Szerző: Magas Bianka, NKE kiberbiztonsági mesterszakos hallgató
A Covid-19 kapcsán megtanultuk, milyen fontos a higiéniára való odafigyelés – azonban ez nem csak a való életben, hanem a kibertérben is elengedhetetlen. A kiberhigiéniás képességek megléte nagyban hozzájárulhat a kibertérből érkező fenyegetések kivédéséhez. Ez nemcsak magánéletükben fontos, hanem egy vállalat életében is, hisz a támadások nagy része továbbra is a humán sebezhetőséget használja ki.
De mi is az a kiberhigiénia?
A kiberhigiénia olyan rendszeresen, már-már rutinszerűen végzett gyakorlatok összessége a szervezetek és az egyének által, amelynek célja a felhasználók, eszközök, hálózatok és adatok biztonságának fenntartása. Ezen gyakorlatokkal hivatottak az érzékeny adatokat biztonságban tartani és védeni a lopásoktól vagy támadásoktól. Hasonlóan a személyes higiéniához – ahol a rendszeres kézmosással akadályozzuk meg a betegségek terjedését – ezek az óvintézkedések betartásával előzhetők meg a különböző biztonsági incidensek. Magánszemélyként és egy vállalat érdekében is segíthet a támadások kivédésében a kiberhigiéniás képességek elsajátítása, a gyakorlatok betartása. Többek között a következő problémákra terjednek ki:
- Eszközeink, adataink biztonságának megsértése: beleértve a hackerek, az adathalászat, a rosszindulatú programok és a vírusok által jelentett fenyegetéseket.
- Adatvesztés: a biztonsági mentések hiánya a hackerek és rosszindulatú szoftverek miatt adatvesztést eredményezhet.
- Elavult szoftverek: a szoftverek frissítésének elhanyagolása kiszolgáltatottabbá teheti az eszközt az online támadásokkal szemben, hisz számos támadó ezen frissítések elmulasztásából adódó technológiai sérülékenységet használ ki.
- Régebbi vírusirtó, vírusirtó hiánya: a nem naprakész biztonsági szoftverek kevésbé hatékony védelmet nyújtanak, hiányuk pedig kiszolgáltatottá teszi eszközeinket.
Miért fontos?
A COVID-19 mindannyiunk életében sok változást okozott. A járvány okozta zavaros és bizonytalan időben terjedt el nagy mértékben az otthonról dolgozás gyakorlata, valamint a karantén hatására is többet használtuk infokommunikációs eszközeinket. Ennek a változásnak is betudható, hogy a kibertámadások számában drámai növekedés mutatkozott, hisz a támadók előszeretettel használták ki a járványt e-mailes adathalászat, az ellátási láncot érintő támadások, valamint a távmunkások millióit érintő rosszindulatú támadások révén.
Már 2021 első felében a globális zsarolóvírus-támadások száma elérte a 304,7 milliót, ami akkor meghaladta az azelőtti évben mért 304,6 milliót. A 2021-ben megjelent ENISA Cyber Threat Landscape-ben szerepelnek az e-mailhez kapcsolódó fenyegetések is negyedikként a jelentésbe foglalt 8 elsődleges fenyegetettségi csoport között. Ez alatt olyan fenyegetéseket értenek, amelyek az emberi psziché és a mindennapi szokásainkból adódó gyengeségeket használnak ki informatikai sebezhetőségek helyett. Ezek az oktató és tudatosítási kampányok ellenére még mindig nagy veszélyt jelentenek.
Ezek általában olyan e-mailek, amelyek valamilyen nyereményt helyeznek kilátásba – például egy sorsoláson minket választottak ki szerencsés nyertesnek, díjunk pedig egy utazás – vagy magukat szolgáltatóként (pl.: gázszolgáltató, bank) kiadva kérnek tőlünk személyes adatokat. Azt pedig, hogy milyen komoly veszélyt jelenthetnek az e-mailezéshez kapcsolódó támadások (beleértve továbbá az ezen a csatornán továbbított rosszindulatú programokat is), jól mutatja, hogy 2021-ben az összes kibertámadás több mint 84%-át e-mailben terjesztették. Mivel egyre többen férnek hozzá levelezésükhöz mobiltelefonon keresztül, várhatóan egyre több hacker fogja kihasználni ezt a támadási vektort is.
A technológiai fejlődés, a felhasználók alacsony kiberhigiéniás képessége, a kiberbűnözéssel járó anyagi haszon reménye és a világ eseményei pedig mind arra mutatnak, hogy a támadások mértéke pedig nem fog csökkenni, a veszély nem lesz kisebb. A CyberSecurity Ventures korábbi elemzése szerint 2022-re minden 11. másodpercben lesz egy zsarolóvírus-támadás. Ez mintegy 20%-os növekedést jelent a 2019-es előrejelzéshez képest, amely másodpercenként 14 támadást jósolt.
Kiberhigiénia a gyakorlatban – mire fontos figyelni egy vállalatnak?
A kiberhigiénia, ahogy arra a korábbiakban utaltam, értelmezhető egyéni szinten bevett gyakorlatokra, valamint vállalati szinten alkalmazottakra. Természetesen teljesen nem lehet különválasztani a kettőt, hisz az alkalmazottak biztonságtudatossági szintje befolyásolja a szervezetét is.
Tekintsük át először a szervezetekre, vállalatokra vonatkozó jó gyakorlatokat. Az Európai Unió Kiberbiztonsági Ügynökségének megközelítésében 10 alapvető feladatpontban értelmezendő:
- nyilvántartás a szervezet által birtokolt hardverekről;
- nyilvántartása a szervezet által birtokolt szoftverekről (a megfelelő patchmenedzsment érdekében);
- biztonságos konfiguráció használata minden eszközhöz;
- hálózaton belüli és azon kívüli adatok menedzsmentje;
- minden bejövő e-mail átvizsgálása;
- adminisztrációs fiókok minimalizálása;
- rendszeres biztonsági másolat készítése az adatokról, és a visszaállíthatóság tesztelése;
- biztonsági eseménykezelési terv kidolgozása;
- hasonló biztonsági szintek érvényesítése az ellátási láncban is;
- megfelelő biztonsági ellenőrzések biztosítása minden szolgáltatási megállapodásban (beleértve a felhőszolgáltatásokat is).
Első lépésként mindenképp egy megfelelően kialakított informatikai biztonsági keretrendszerre van szükség, amely kiindulópontot jelent a biztonság megszervezéséhez és irányításához. Fontos, hogy ez a kiberhigiéniai feladatok meghatározásához és priorizálásához jól használható folyamatokat, gyakorlatokat és irányelveket használjon. Fontos lehet ezeken felül más megközelítés szerint a végpontvédelem, a jól kialakított jelszó-policy és hozzáférés-ellenőrzés szabályozás (akár többfaktoros autentikációt is ideértve), valamint a biztonságos távoli elérés és a biztonsági naplózás is. Szerencsére számos szabvány (többek között az ISO27001 például) tud segítséget nyújtani ennek kialakításában.
Összegzés
A cikkben áttekintést kaphattunk a kiberhigiénia fogalmáról, fontosságáról, valamint tartalmi elemeiről, amelyek egy vállalat szempontjából lehetnek fontosak. A cikk következő részében részletesen fogunk azzal is foglalkozni, hogy magánszemélyként mit tehetünk azért, hogy adatainkat és eszközeinket biztonságban tudhassuk.