Öt biztonsági trend, amelyre minden cégnek és dolgozónak érdemes odafigyelnie
A pandémia alatt elterjedt, a munkavállalók pedig megkedvelték, így sok cégnél legalább időszakos lehetőségként megmaradt a távmunka. Ám az otthoni munkavégzés tízből kilenc amerikai cégnél negatív hatással volt a kiberbiztonságra – így összegezhetők a 2022-es KPMG Fraud Outlook megállapításai. Noha a tanácsadó cég kutatása az amerikai kontinenst célozta, készítői szerint a következtetések globális szinten is érvényesek: a távmunka és a hibrid munkavégzés csökkenti a meglévő kontrollok hatékonyságát.
A KPMG által megkérdezett felsővezetők 90 százaléka látta úgy, hogy az otthoni munkavégzés negatív hatással volt a cég csalásmegelőzési intézkedéseinek hatékonyságára, megfelelőségi kockázatainak kezelésére, vagy a kiberbiztonságra – egyeseknél akár mindháromra. A megkérdezettek hatvan százaléka számít arra, hogy – részben a fokozódó szabályozás miatt – tovább nőnek a megfelelőségi kockázatok is.
A távolról történő munkavégzést biztosító VPN és más kibervédelmi rendszerek bevezetése mellett a KPMG szakértői szerint a cégeknek szükségük van átfogó kockázatértékelési folyamatokra, amelyek a csalásokat és visszaéléseket – és különösen a kiberbiztonsági eredetű támadásokat – nem csak elméleti, hanem gyakorlati szinten is feltárják, illetve mindenkiben tudatosítani kell a kockázatcsökkentés érdekében rá háruló feladatokat. A tanácsadó cég elemzésében rámutat: a munkavállalók szerepe a csalások és visszaélések felderítésében szintén elengedhetetlen, a megelőzésben azok a vállalatok tudnak igazán hatékonyak lenni, ahol a munkavállalók nem félnek jelezni gyanújukat.
Míg néhány éve a zsarolóvírus mint műfaj amerikai nagyvállalatok problémájának tűnt, a hírekbe kuriózumként került be, mára szokásossá váltak az ilyen támadások, ráadásul a kis- és középvállalatoknál is. A hazai alapítású Balasys nemrég arra figyelmeztetett: a támadók célkeresztjébe újabban óriási számmal kerülnek a 10 főnél kisebb cégek.
Ez azért is gond, mert a Telekom és a BellResearch kutatása szerint a magyar vállalkozások túlnyomó többségének egyszerűen nem reális a veszélyérzete: a mikrovállalkozásoknak mindössze 20, míg a kkv-k 30 százaléka érzi úgy, hogy rendszerei legalább közepes mértékben kitettek informatikai támadásoknak, veszélyeknek. Ennek fényében nem meglepő, hogy a mikro- és kisvállalkozások háromnegyede úgy véli, hogy a meglévő védelmük elegendő, de azok a cégek is alábecsülik a veszélyeket, amelyek számolnak kockázatokkal. A túlzott magabiztosság pedig oda vezet, hogy a hazai cégek zöme nem fordít kellő figyelmet az adathalászat elleni védelemre.
Pedig abban a korban járunk, amikor még a valós eseteknek csak egy részét jelző rendőrségi statisztikák szerint is exponenciálisan növekszik a veszély. Az „információs rendszer vagy adat megsértése” nevű bűncselekményből 2018-ban még alig 200-at regisztrált a belügyi tárca által üzemeltetett Belügyi Statisztikai Rendszer. 2020-ban ez az érték több mint a négyszeresére, 830-ra emelkedett, és a növekedés a 2021-es évben is folytatódott: az előző év szintjét már ősszel átlépte a számláló, amely tavaly év végére 1140-nél állt meg.
A mesterséges intelligenciával támogatott megoldásokról sokaknak először a csalásfelderítő megoldások jutnak eszébe, ám fontos: a kiberbűnözők fegyvertárában is megjelent az MI. A technológia segít automatizálni és „optimalizálni” a kiberbűncselekményeket, vélhetően az esetszám dinamikus növekedéséhez is jelentős részben hozzájárul.
A T-Systems év elején közzétett elemzése szerint a mesterséges intelligenciát és a gépi tanulásra alapuló módszereket a bűnözők többek között a jelszavak feltörésére, illetve a kártevők álcázására alkalmazzák, valamint a kép és a hang hamisításán alapuló deepfake- és deepvoice-alapú megtévesztésekhez. Ezekkel a hagyományos védelmi rendszerek igen nehezen tudják felvenni a versenyt, az MI ellen MI hatásos: például a hálózati forgalmat vagy a videó- és hangfelvételeket elemző algoritmusokat használó, fejlett védelmi megoldások.
A T-Systems szakértői szerint az ilyen támadások költségesek, az állami intézményeket vagy kritikus infrastruktúrákat célzó támadások mögött gyakran állami szereplők állnak olyan eszköztárral és képességekkel, amellyel szemben egy házon belüli IT-részleg nehezen tudja felvenni a küzdelmet.
Külön figyelmet érdemel a deepfake, amely céges környezetben is megjelent. Például az állásinterjúkon: a csalók az online állásinterjúk előnyeit kihasználva próbálják megtéveszteni a munkaadókat.
A bűnözők ilyenkor lopott személyes adatok birtokában generáltatnak magukról szoftveresen olyan videóképet, amely alapján valaki másnak tűnnek – így aztán a vállalat képviselője a megszemélyesített illetőnek hiszi őket, amikor a videóhívásban először beszélnek egymással. A jelenség elsősorban informatikai cégeket veszélyeztet, és kimondottan olyan pozíciók esetében fordulhat elő, ahol a cég távmunkára alkalmazna valakit – hiszen így sem az interjú során, sem a munkába álláskor nem találkozik az új munkavállalóval. (Ez az itthon egyelőre nagyon szokatlannak tűnő jelenség a nyugati multik világában már nem annyira ismeretlen.)
Az FBI ennek kapcsán arra figyelmeztetett, hogy a csalók, ha felvételt nyertek, hozzáférést szerezhetnek egy vállalat szenzitív információihoz is, vagy legalább olyan szintű alapjogosultságokat a céges rendszerhez, mellyel megkezdhetik ügyeskedésüket a hálózat biztonsági réseinek kihasználásával magasabb szintű hozzáférés illegális megszerzésére.
Hasonlóra már az ESET kiberbiztonsági cég is felhívta a figyelmet. A kiberbűnözők körében egyre gyakoribb támadási technika a megszemélyesítés, mely során a támadók egy megbízható személynek (például kollégáknak, üzleti partnereknek) adják ki magukat annak érdekében, hogy becsapják az áldozatokat, és olyan tevékenységekre vegyék rá őket, amelyek bajba sodorhatják őket és/vagy munkáltatójukat. Míg korábban ilyesmire csak e-mailes (szöveges) kommunikációval kerülhetett sor, az utóbbi időkben van már annyira fejlett a deepvoice technológia, hogy a csalók – megfelelő mennyiségű hangminta megszerzése után – számítógéppel képesek valós időben úgy átváltoztatni valaki hangját, hogy a telefonáló például a cégvezetőnek vagy egy kollégának tűnjön.
Éppen most van kibontakozóban a trend: a számítógépeket már évek óta támadok zsarolóvírusok átköltöztetése az okostelefonokra. A Cleafy cég kiberbiztonsági kutatói hívták fel minap a figyelmet, hogy a Sova nevű androidos banki trójai program újabban már zsarolóvírusként is bemutatkozott: fejlesztés alatt álló funkciója révén titkosíthatja az okostelefonokat.
A jelenség céges vonatkozásokkal is bír, hiszen egyre gyakoribb, hogy a munkavállalók legalább bizonyos szintű hozzáférést igényelnek készülékükön is a vállalkozás egyes alrendszereihez, például levelezéséhez. A kkv-k esetében pedig egyáltalán nem ritka, hogy szenzitív üzleti adatok is vannak a telefonokon, melyek megfelelő védelem nélkül könnyen kiberbűnözők tevékenységének áldozatává válhatnak.
Egy felelősen gondolkodó informatikai vezető aligha hagyhatja figyelmen kívül a trendet: a munkavállalók telefonjainak védelmére is gondolni kell.