„A MEGELŐZÉS A LEGFONTOSABB”

Interjú Harasztia Ádámmal, a Kerubiel IT biztonsági vezetőjével

2021. március 31. szerda, 11:00
Néhány egyszerű biztonsági megoldás bevezetése is tud olyan védelmet adni egy kisvállalkozás számára, mellyel megelőzhető a nagyobb baj. Ez nem pénz, inkább felkészültség és akarat kérdése. Így értékeli a hazai kkv-k IT biztonsági helyzetét Harasztia Ádám. Március 31-én a Kerubiel IT biztonsági vezetője is részt vesz a Modern Vállalkozások Programja, Digitális cégbiztonság online konferencián. Az alábbi interjú fő gondolatai biztosan előkerülnek a „Felkészülés a biztonsági incidensekre” című előadásában is.

Twitter megosztás
Cikk nyomtatása

- Infotér: Az elmúlt időszakban melyek voltak a leggyakrabban előforduló biztonsági incidensek?

- Harasztia Ádám: A korona vírus járvány magával hozta a home office és az online térben való munka aranykorát. Mi ezzel egyidejűleg azt tapasztaltuk, hogy az elmúlt egy évben megnövekedett az adathalász incidensek száma. Ezek általában kéretlen, látszólag csomagküldő-, egészségügyi- vagy banki szolgáltatótól érkező, káros hivatkozást tartalmazó üzenetek. Tipikus, hogy a küldő email cím nagyon hasonlít az utánozni kívánt szervezhet email címéhez, így a megtévesztés esélye igen nagy. Amennyiben az áldozat megnyitja a kapott hivatkozást, egy csaló adathalász weboldal jelenik meg, ami sok esetben rendkívül jól utánozza a megszemélyesített cég valódi bejelentkezési felületét (logók, színek, tipográfiai jellemzők). Az adatbekérő oldalakon általában személyes adatokra vagy bankkártya adatokra vadásznak. Ez a szerencsésebb helyzet, mert itt azért felismerhető, hogy valami turpisság van az oldal mögött és egyszerűen ki lehet ikszelni az oldalt. A rosszabbik esetben az oldal a számítógépbe vagy a böngészőbe beépülve, automatikusan elkezd letölteni és telepíteni valamilyen káros szoftvert vagy kódot. Ezek után a nyerészkedők nagyon egyszerűen hozzáférhetnek a fent említett adatokhoz. Legtöbbször ilyenkor már csak az tűnik fel az áldozatnak, hogy pénzt emeltek le a bankkártyájukról vagy szenzitív, üzleti adatok szivárogtak ki a számítógépükről.
Amikor már megtörtént a baj, a kárenyhítés nehéz feladat, legyen szó akár magánszemélyekről, akár vállalatokról. Utóbbiak esetében nem csak pénzügyi, hanem akár reputációs károkról is beszélhetünk, melyek mértéke igen jelentős tud lenni.

- Infotér: Hogyan lehet ezek a támadások ellen védekezni egy vállalatnál?

- Harasztia Adám: A megelőzés a legfontosabb. Az alkalmazottak számára nyújtott tudatosító oktatások, képzések elsődlegesek. Egy-egy ilyen képzés megszervezése nagyvállalatok esetén azonban rengeteg időt és energiát tesz szükségessé, ezért azt szoktam ajánlani, hogy ahol van egy vagy több megbízott, vagy van információbiztonsági felelős, az kövesse nyomon a Nemzeti Kibervédelmi Intézet riasztásait. Így akár valós időben, tudnak küldeni egy emailt arról, hogy mi az épen aktuális kockázat az online térben, mit tegyünk vagy mit ne tegyünk.
A másik kiváló védekezési forma a különböző vírusvédelmi adatbázisok frissen tartása és a tűzfal szabályok a helyes beállítása. Email-ek esetében lényeges a tartalom szűrés bekapcsolása és magas szinten tartása, főleg ha egy vállalti munkaállomásról beszélünk. De egészen elmehetünk odáig, hogy a nem engedélyezett honlapokat tiltjuk vagy csak az engedélyezett honlapokhoz férhet hozzá a munkavállaló.

- Infotér: A cég nagysága alapján lehet különbséget tenni abban, hogy hogyan/mivel védekezzenek?

- Harasztia Ádám: Az említett védekezési formák betartásában nincs különbség egy kisebb vagy egy nagyobb cég között. Ezt a munkaállomások és a munkavállalók száma nem befolyásolja, hiszen ezek nagyon egyszerű gyakorlatok, amiket be lehet vezetni cégmérettől függetlenül.
Az azonban igaz, hogy egy nagyobb mérettel rendelkező vállalat könnyebben szerezhet be olyan védelmi funkciót ellátó eszközt, vagy megoldást - itt gondolhatunk különböző hálózatvédelmi vagy log elemző rendszerre - ,melyeknek az ára sokszor csillagászati.
Fontos azt is szem előtt tartani, hogy egy bekövetkezett kár esetében a kárenyhítésre költött folyamatok nagysága forintosítva az esetek több mint 90%-ban legalább megegyező, ha nem nagyobb mint ezeknek az eszközöknek és a megoldásoknak az ára. Nem is beszélve a bevont belsős és külsős személyek munka és időkapacitásának a lekötéséről. Éppen ezért érdemes költeni erre a területre.

- Infotér: Mindennek ellenére azért a nagyvállalatok számára több a lehetőség védekezési szempontból. Egy biztonsági szakember számára mások velük szemben az elvárások is?

- Harasztia Ádám: Míg a kkv szektornál pár jó gyakorlat betartása elégséges lehet a károk elkerülése érdekében, egy nagyvállalat esetében más lenne a minimálisan elvárt intézkedések összessége. Ha egy állami vagy egy önkormányzati szervről beszélünk, ott minden esetben valamilyen rendelet, pl a 41/2015-ös BM rendelet írja és irányozza elő a különböző IT és információbiztonsággal kapcsolatos minimum biztonsági követelmények meglépését és betartását, továbbá az információ biztonságért felelős személy vagy személyzet meglétét is kötelezővé teszi. A magánszektorban egyelőre ez nem így van.
Úgy látom sajnos, hogy sokszor a profitorientált nagyvállalatok nem hogy felelős személyről vagy személyzetről nem gondoskodnak, a releváns szabályozási környezetük is erősen hiányos vagy nem is létezik. A biztonság kérdése azonban nem merülhet ki a klasszikus, fizikai biztonságban (fegyveres őrség, kamera, beléptető rendszer). Gondoskodni kell az informatikai vagy információ biztonságról is.
Már csak azért is, mert véleményem szerint ezek a nagyobb vállaltok felelősséggel tartoznak az alkalmazottaik felé is. Ha egy nagyobb incidens következik be, aminek súlyos pénzügyi következménye is lesz, akkor feltételezhető, hogy erőteljes személyzeti leépítésekbe kezdenek a pénzügyi stabilitás megőrzése, az elvárt számok fenntartása miatt. Nekik ezért is fokozottan figyelni és költeni kell erre a területre.

- Infotér: Változott valamit az IT biztonsághoz való hozzállás a kkv szektronban az elmúlt egy év alatt?

- Harasztia Ádám: A helyzet jelentősen javult mondjuk az öt évvel ezelőttihez képest. Ma már a kkv szektorban működő vállalatok sok esetben kötelezővé teszik, valamilyen biztonsági szabvány betartását magukra nézve. Ide tartozik a vállalti tanúsítás is. Az egyik legismertebb az ISO 27001- es, nemzetközi információbiztonsági szabvány.
Az én tapasztalatim azonban azok, hogy ez a tendencia a fiatalosan működő, progresszív vállalkozásokra jellemző. Nemzetközi szinten még így is nagy lemaradásban vagyunk. De tulajdonképpen nem is várható el, hogy egy 40 éve működő kis üzlet több százezer forintot adjon ki tanúsításra, vagy 20-30 szabályzatot észben tartva működjön. A fent említett egyszerű intézkedések azonban már jelentősen segíthetnek nekik is a nagyobb baj elkerülésében.