10 gyakori IT biztonsági hiba

2022. november 10. 11:49 - Csizmazia Darab István [Rambo]

Ma már mindenki megtapasztalhatja, nem kell híres embernek vagy szervezethez tartozónak lenni ahhoz, hogy kibertámadások garmada próbálkozzon behatolni a számítógépünkbe, netes eszközeinkre. Összegyűjtöttük a tíz leggyakoribb hibát vagy mulasztást, ami a kockázatokat növeli. Érdemes ezeket elkerülni, megelőzni.

A Covid csak katalizátora volt annak a folyamatnak, hogy egyre inkább online, felhőkben töltsük el időnk java részét. Egy brit tanulmány szerint a munkaidőt nem számítva napi 5 óra az átlagos képernyőidő, ami nem kevés.

A 16-24 évesek egyébként is viszik a prímet, például a felmérésbeli évi 2500 órát visszaosztva egyedül csak az Instagramozással átlagosan 6.8 órát töltenek el napi szinten.

Mikre érdemes figyelni, mit érdemes elkerülni ahhoz, hogy javuljon a biztonságunk? Röviden összefoglalva jobban kell kezelnünk a biztonsági kockázatokat és fejlesztenünk kell a biztonságtudatosságunkat. Van is okunk minderre, a már közismert AV-Test nyilvántartás szerinti egyedi kártékony kódok, vírusok száma már elérte az 1.21 milliárdos számot, míg a haveibeenpwned weboldalán 11.9 milliárd ellopott, feltört név-jelszó páros sorakozik.

De említhetjük azt Digital Shadows által jegyzett kutatást is, miszerint 24 milliárd felhasználónév és jelszó érhető el a dark weben, ami két év alatt 65%-os növekedést jelent. Következzen akkor pár hasznos tipp.

01. A leggyakoribb átverések egyik az adathalászat
Jön a kéretlen üzenet, fedélzetén egy rosszindulatú webhelyre mutató linkkel, vagy egy kártékony fájlmelléklettel, és a felhasználók többsége gondolkodás nélkül kattint ezekre, legutóbb például az eKréta üzemeltetők estek áldozatul ilyen incidensnek. Érdemes óvatosnak, gyanakvónak lenni, hiszen ez egy nagyon hatékony átverési mód, és pusztító következményei lehetnek.

02. Frissítések elmulasztása
Az operációs rendszer, és az alkalmazói programok rendszeres hibajavító frissítéseket kapnak, hogy ezzel befoltozzák a kártevők által kihasználható sérülékenységeket, sebezhetőségeket. Érdemes bekapcsolni az automatikus frissítéseket minden eszközünkhöz, szoftvereinkhez, böngészőhöz és operációs rendszerünkhöz.

Emlékezetes, hogy 2017-ben az USA egyik legnagyobb hitelminősítő intézete, az Equifax olyan incidens áldozata volt, ahol 143 millió adat szivárgott ki, és összesen 2mrd USD kár keletkezett. Az utólagos vizsgálatoknál kiderült, nem csak akkor nem frissítettek, de a cégnél nem is létezett szabályozott rendje a hibajavításoknak, és nem is volt kinevezett felelőse sem ezen feladatok elvégzésének.

03. Ismeretlen USB eszközök csatlakoztatása
Szintén gyakori veszélyforrás a cserélhető adathordozók fertőzöttsége. Érdemes óvatosan kezelni a nem-saját eszközöket, és csatolás előtt alapos vírusellenőrzést végezni rajtuk.

04. Gyenge jelszavak használata és újrafelhasználása
Ez egy örökzöld téma, nem lehet elégszer hangoztatni a fontosságát. A jelszavaknak, vagy még jobb, ha jelmondatoknak hosszúnak, erősnek és egyedinek kell lenniük. Megjegyzésükhöz, generálásukhoz használjunk jelszókezelőt, jelszó széfet, hogy biztonságban és könnyen használható legyen.

05. A többfaktoros autentikáció mellőzése
Kapcsolódva a fentiekhez, a két vagy többtényezős hitelesítés egy extra biztonsági réteget ad a belépési folyamathoz, aminél egyszeri SMS kódot, biometrikus azonosítást vagy valamilyen hitelesítő alkalmazás OTP kódját is meg kell adni a sikeres bejelentkezéshez. A vállalatok, szervezetek egyre inkább arra kényszerítik munkatársaikat, hogy ezeket használják minden fiókhoz, ám sajnos sok cégnél még mindig mellőzik. Emlékezetes lehet a Colonial Pipeline 2021-es esete, ahol a mérnökök távmunkában otthon dolgoztak a pandémia idején, de említhető az eKréta eset is - egyik helyen sem volt kétfaktoros autentikáció, a következményeket pedig már ismerjük.

06. Hiányzó biztonsági mentés
Még magánfelhasználóknál is fontos, de vállalati környezetben egyenesen nélkülözhetetlen. Lehet rá szükség rendszerösszeomlás, hardver meghibásodás miatt is, de a lassan tíz éve pusztító zsarolóvírusok miatt még jobban felértékelődött a jelentősége. Ha friss példát kellene említeni, akkor idén márciusban a Rosaviatsia, vagyis az orosz polgári repülés irányítást feltörték, és 65 TB mennyiségű adatot nem csak elloptak, de töröltek is. A rendszer leállt, mert nem volt mentésük, elmondásuk szerint mert "nem volt rá költségvetés".

07. Óvatlanság
Egy kimutatás szerint egy átlagos munkaidő alatt egy számítógépen dolgozó felhasználó 150 ezer kattintást végez. A biztonságtudatos felhasználás, az óvatosság tanulható ugyan, de munkahelyi környezetben ezt rendszeres képzéseknek is kell kísérnie, mert ez egy örök probléma. A túlterheltség, a kapkodás nem kedvez a tudatosságnak, ellenben hihetetlen károkat képes okozni a felelőtlen, átgondolatlan kattintás. Megint csak egy élő példa, 2019. tavaszán egy angol energetikai cég vezérigazgatója 220 ezer eurót utalt át egy ismeretlen magyar beszállító számlájára, ahol a megtévesztésben a vállalat németországi vezetőjének hangját utánozták le sikerrel. A hanghamisításban a főnök azonnali átutalást rendelt el, és a hangját a csalók annyira jól utánozták le, hogy az akcentus, a beszéd szokásos hanglejtése, sebessége is tökéletes volt. A mintegy 72 millió forintnak megfelelő összeget az ismeretlen elkövetők a magyar számláról azonnal továbbutalták egy mexikói számlaszámra.

08. Munkahelyi eszközök magánhasználata
A Covid időszakban történt lezárásban hirtelen mindenkinek otthonról kellett dolgoznia, amihez megfelelő számú eszközt kellett biztosítani - átcsoportosítani, vásárolni, bérelni - az otthoni munkavégzéshez. Volt ahol ezt sikerült megugrani, és volt ahol nem. Ám a dedikált munkahelyi eszközök privát használata mindenképpen kockázat, legyen szó hétköznapi munkavállalóról, vagy vezető beosztású munkatársakról. Egy korábbi felmérésben például a vezető eszköze azért volt fertőzött volt, 56% adathalász levélre kattintott, 45% átengedte a használatot a családtagjainak, 47% fertőzött USB-t csatlakoztatott, és 40% felnőtt tartalmú weboldalt látogatott.

09. Hamis biztonságérzet
A biztonság nem egy állapot, hanem egy véget nem érő folyamat, amin mindig dolgozni kell. Robert S. Mueller, korábbi FBI igazgató úgy fogalmazott: "Két féle cég van, akiket már feltörtek, és akiket még nem." Ennél talán közelebb áll a valósághoz John Chambers, Cisco vezérigazgató megközelítése, miszerint "Két féle cég van, akik már észrevették, hogy feltörték őket, és akik még nem vették észre." Szánjuk időt és energiát a biztonsági beállításokra, és folyamatosan tájékozódjunk a fő kockázatokról, ezek kezeléséről.

10. Nem minden eszközön használunk biztonsági szoftvert
Ma már nem kérdés, hogy kártékony kódok, sebezhetőségek minden platformon előfordulnak, legyen az Windows, Macintosh, Linux, Android vagy bármi más. Gyakori hiba, ha például a mobiltelefont vagy a tabletet kihagyják a védelemből, pedig a kockázat itt is ugyanúgy létezik adathalászat, vírusok, kémprogramok formájában. Érdemes gondoskodni arról, hogy minden számítógép és eszköz védve legyen.

3 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Mesterséges Geci 2022.11.10. 20:02:15

Kétfaktoros... aha... ez egészen addig jó, míg az ember nem fut bele olyanba, hogy pl. valamiért nem hozzáférhető a 2FA-hoz használt mobilja. És persze ez mindig olyankor történik, amikor a recovery kódok is több száz km-re vannak egy otthoni pendrive-on. Vagy nincs ilyen egyáltalán, lásd pl. az a kib.....tt gúgle, ami sokadjára szopat, hogy nem enged be a postaládámba, mert a mobilom nem elérhető és az egyéb elérhetőségeimre magasról szarik.

gigabursch 2022.11.11. 07:50:42

A hatodik pont sztorija szerintem féknyúz, de legalább jól hangzik.
Az utolsó is q hihető..

Továbbá nincs ember aki 37 féle jelszót megjegyezzen.

Mesterséges Geci 2022.11.11. 08:58:57

@gigabursch: a backup egyáltalán nem olcsó dolog. Sajnos nem fake a sztori, simán benne van a hihető kategóriában.
süti beállítások módosítása