Az alkalmazotti hibák 3 leggyakoribb oka

2017. május 29. 18:48 - Csizmazia Darab István [Rambo]

Évek óta érkeznek a híradások kisebb, nagyobb, néha pedig gigantikus méretű adatlopásokról. Nyilván sosem csupán egyetlen okra vezethetőek vissza ezek az incidensek, de ha biztonságtudatosabban szeretnénk fellépni a támadásokkal szemben, érdemes áttekinteni az adatsértések három leggyakoribb okát, amelyeket az ember, az alkalmazott véthet, illetve követhet el.

Target áruházlánctól Sony-ig, Home Depotól Apple-ig, Adobe-tól LinkedIn-ig sok féle mulasztást, hibát találhattunk korábban is. Egy friss felmérés szerint jelenleg a megkérdezett szervezetek 74%-a tartja legjelentősebb oknak a belső fenyegetéseket.

A Haystax Technology adatai szerint a biztonsági szakemberek 56% gondolja úgy, hogy az elmúlt évben a belsős támadások egyre gyakoribbak lettek.

Hasonlóan a kocsmai verekedéseket megelőző három kérdés mintájára (Mivan? Mivan? Mivan?) az incidensek fő okai között is az emberi tényezőt találhatjuk különféle szerepekben. Ha tehát az első helyen kellene valamit említeni, akkor mindenképpen a véletlen és nem szándékos emberi mulasztás és hiba kerülhetne erre a képzeletbeli dobogó legfelső fokára.

A megvalósulási forma aztán már teljesen változatos lehet: nem megfelelő biztonsági beállítások, ellopott vagy elvesztett titkosítás nélküli mobil- illetve adathordozó egységek, érzékeny adatokat tartalmazó leselejtezett eszközök értékesítése, és hosszan sorolható még milyen alkalmazott által elkövethető dolog tartozhat ide.

Második helyre kerülhet a munkavállalói hibák között a gondatlanság: szakmai ismeretek hiánya, vagy például a figyelmeztetések semmibevétele. A fenti kategóriánál - aki véletlenül elveszíti a mobileszközét - ez talán már egy fokkal komolyabb, hiszen ha a programozó kifelejti a bruteforce elleni védelmet, vagy hiányos ismeretei miatt nem használja az input ellenőrzést, a jelszóhash-ek sózását, annak komoly következményei lesznek.

Ugyanígy ha a rendszergazda a webszerveren "felejti" a cleartext-ben tárolt jelszó listát, foltozatlanul vagy open relay hagyja a szervert, és hasonlókat követ el, az szintén megbocsáthatatlan véteknek számít a biztonság területén. Egy korábbi jelszavakkal kapcsolatos ESET + Harris Interactive felmérésből egyébként az derült ki, hogy a júzerek 16%-a sosem változtatja meg a jelszavát, és 18% figyelmen kívül hagyja az incidensek miatti azonnali jelszócsere figyelmeztető jelzést.

A harmadik helyre pedig valóban a tudatos, rosszindulatú támadások kerülhetnek. Az informatikai incidensek egy jó részénél van valamiféle belső szál, akik valamilyen szinten részesei a bekövetkező eseményeknek. Az a legrosszabb, ha az alkalmazottak közül egyesek bosszúból és/vagy pénzért segítik a külső támadók munkáját. 2015. májusában például az USA legnagyobb bankjának, a JP Morgan Chase-nek egy korábbi munkatársát tartóztatta le az FBI, mert az ügyfelek adataival visszaélve pénzért árulta a bizalmas számlainformációkat.

A jegyzőkönyvek szerint a lebuktatás hosszas nyomozás után úgy következett be, hogy egy fedett FBI ügynök vásárlóként jelentkezett a lopott adatokért Peter Persaudnál, aki 2500 dollárért (kb. 670 ezer HUF) hajlandó volt egy banki ügyfél számlaadatait eladni.

Mit tehetünk tehát cégünknél a humán faktor fenti gyengeségei ellen? A teljesség igény nélkül, a leglényegesebbeket kiemelve mindenképpen fontos a rendszeres dolgozói biztonságtudatossági képzés, amelynek a technikai témákon túl a social engineering területét is be kell vonnia a napirendbe. Ugyancsak fontos a helyes beállítások kérdése, a hozzáférések szabályozása, naplózás, és a titkosítás alkalmazása minden érzékeny adat esetén.

Természetesen a kisebb cégek, vállalatok - amelyeket nem kötelezi a törvény megfelelőségi vizsgálatokra, és időszakos auditokra - szintén jól teszik, ha komolyabban veszik a informatikai védelem ezen kérdését is, és nem csak pentesteket végeznek, de a dolgozókat is felkészítik a várható veszélyekre.

Bár sokan emlegetik gyógyírként a GDPR-t, nem árt tudni, hogy ennek a magyarországi részletes jogszabályai egyelőre még nem készültek el, illetve mivel a személyes adatok kezelésének kimagaslóan szigorú követelményeit tartalmazza, gyanítható, hogy a vállalkozások egy része ezeket nem fogja tudni teljesíteni, és azok emiatt felkészülés helyett akár meg is szűnhetnek.

3 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

2017.05.29. 19:45:31

Már bocs, de ha valahol még most is cleartext password van, ott sürgősen ki kell rúgni a felelősöket. Hogy a fenébe kerülhet tárolásra hasheletlen jelszó a szerveren?

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2017.05.29. 20:40:15

Egyetértek, ez valóban nem "bocsánatos bűn".

<img border="0" src="https://mendo.pt/wp-content/uploads/2015/03/Strip-Confession-650-finalenglish.jpg">

2017.05.30. 08:04:00

@Csizmazia Darab István [Rambo]: :D
Én még mindig találkozom olyan oldalakkal, ahonnan kiküldik a jelszavamat, ha elfelejtettem... :(
süti beállítások módosítása