Az 5 legveszélyesebb emberi hiba, ami információbiztonsági katasztrófához vezethet

Sok információbiztonsági szakember kapásból sorolja azokat a fenyegetettségeket, amelyek bekövetkezését – vagy legalábbis ezek valószínűségét és várható hatásukat használni szokta a napi munkája során. Az ilyen fenyegetettség- és kockázatelemzéseknél ténylegesen figyelembe kell venni a legszélesebb körben létező eseteket, akár egy földrengést, egy tüntetés hatását, vagy akár egy zombi támadást is. Na jó, ez utóbbit nem, azonban a napi munkavégzésnél ennél sokkal hétköznapibb dolgok okozhatnak problémákat, komoly büntetéseket vagy akár információbiztonsági katasztrófákat is.

És itt kell, hogy elkeserítsem azon üzleti döntéshozókat, aki azt gondolják, hogy ennél már nem is olvassák tovább a cikket, hiszen ez információbiztonság – nem az ő asztaluk nem ők felelnek érte, oldja meg az informatikus vagy a CISO (Információbiztonsági vezető), ha van ilyen egyáltalán a cégnél.

Ugyanis egy kis botlás is, akár egy emberi hiba, egy óvatlan kattintás is tud olyan, egész szervezetre ható folyamatot elindítani, ami bizony az üzleti tevékenységet fogja a láncolat végén érinteni.

1) Az első emberi hiba a gyanús csatolmányokra történő kattintás.

Mire gondolok? Érkezik egy levél egy cégtől – mintha már leveleztünk volna – amelyben arra kérnek, hogy nézzünk utána a csatolt számla kifizetésének.

A fenti képen lévő levélcsatolmányt ellenőrizve a virustotal.com oldalon láthatjuk 34 program is felismerte benne a kártevőt (Jó kérdés, hogy a többi program mennyire megbízható, ha egy ilyen, minimum egy éves kártevőt sem ismer fel…).

2) A második emberi hiba az adathalász levelekre való kattintás és a csaló, hamis oldalakon az adatok megadása.

Egy adathalászat sikerességének is több fokmérője van, az egyik a csaló levél megnyitása és a csaló linkre történő kattintás és a hamis oldalon történő adatmegadás. Az általános adathalászatoknál jellemzően személyes adatokat és bankkártya adatokat kérnek be. A problémásabb az azon célzott céges támadások, amelyeknél azonosító és hitelesítő adatokat (például céges jelszavakat) próbálnak ellopni. Mivel még rengeteg helyen használnak sima azonosító és jelszó párost belépésre (partnerportálokon, külsős szolgáltatásoknál és akár céges web alapú levelezéseknél) ezért az ilyen adatok is aranybányát jelentenek és elő lehet velük készíteni komolyabb támadásokat, illetve az ellopott adatokat el lehet adni.

3) A harmadik emberi hiba, hogy nagyon sokan még mindig nem védik az informatikai eszközeiket.

Manapság már sokszor összeér a privát eszközök céges használata, illetve a céges eszközökön privát adatok tárolása. Egyik sem jó, de senki nem cipel magával egyszerre két számítógépet, két vagy három telefont. Míg régebben már szinte természetes volt, hogy vírusvédelem van a PC-nken, esetleg a laptopunkon, addig ma a felhasználóknál lévő okostelefonoknak jelentős része még mindig védelem nélkül van. Ha iPhone-okról beszélünk, akkor azért, mert azt gondolják, hogy erre a platformra nincs vagy kevés vírus van (ez lehet, de nekünk elég egy darabot bekapni), Android esetén pedig… Valószínűleg az emberek azt gondolják, hogy a rossz dolgok másokkal történnek. Sajnos céges környezetben is nagyon gyakori, hogy a dolgozó kezébe nyomják a céges okostelefont, de központi menedzsment már nincs hozzá, ezért azt csinál vele szegény, amit akar, vagy amit tud. És mivel jellemzően nincs szabályozva nincs a terület, és nincsenek kiképezve a felhasználók a biztonsági kockázatok felismerésére és kezelésére ez egy potenciális gyenge pont nagyon sok cég életében.

4) A negyedik emberi hiba az eszközök fizikai védelmének a hiánya.

Sokan „csak egy percre” hagyták bent a kocsiban a laptopot, sokaknak kicsúszott a zsebéből a tóparti üldögélés közben, vagy ottfelejtették a gyorsétteremben. Ha ezeken az eszközökön céges fájlok, céges levelezés, céges nyilvántartások, ügyfél lista is meg található, akkor egy igazi rémálommá tud válni egy ilyen eszköz elvesztése vagy ellopása. Nagyon sok mobil eszköz semmilyen védelmet nem kap, még egy árva jelkódot, vagy pinkódot sem. Ez pedig azt jelenti, hogy a megtaláló, rosszabb esetben a tolvaj, hozzáférhet céges adatokhoz. Természetesen a fizikai hozzáférésvédelem szabályozható és mobil eszköz menedzsment szoftverekkel kikényszeríthető, de sok esetben nincs ilyen a cégeknél és egyéb szervezeteknél. Ezzel pedig komoly adatszivárgást és GDPR bírságot kockáztatnak.

5) Az ötödik emberi hiba, hogy túlzottan megbízunk az interneten keresztül érkező és az interneten látott dolgokban. (pl. adathalász oldalak, ismerősök üzenetei, kattintásvadász hírportál cimkék).

Sajnos az interneten erős bizalmatlansággal kellene fogadni minden olyan közlést, üzenetet, sőt manapság már hanghívást is, ahol szokatlan dolgokra próbálnak rávenni, az érzelmeinken keresztül próbálnak kattintásra vagy cselekvésre rávenni, esetleg fenyegetnek, sürgetnek, hogy valamit tegyünk meg, mert súlyos következményei lesznek, ha nem tesszük meg, amit kér a másik fél. Ezek az úgynevezett social engineering technikák, amit nagyon szabad fordításba pszichológiai manipuláción alapuló támadásnak tudnánk nevezni. Ez az a támadásforma, ahol ha elég határozott (és jólértesültnek tűnő) a támadó, akkor hajlamosak vagyunk akár a segítőkész énünk miatt, akár a felvázolt szankciók és fenyetések miatt megtenni, amit kér a támadó. Az ilyen támadások egyik ékes példája a közösségi oldalak bizalmi hálóján terjedő (látszólag) videós tartalomnak tűnő adathalászat is és egyre jobban terjed az úgynevezett „Business e-mail compromise” magyarul üzleti e-mail kompromittálást vagy hamisítás, ahol például egy cég nevében megpróbálnak a csalók számlaszámot vagy kontakt e-mailt változtatni, akár telefonos ráerősítéssel is. Nagyon ésszel kell lenni, hiszen ha sikerül egy hamis e-mailre ráterelni egy számlázási folyamatot, akkor a valós számla ellenértéke akár a csalóknál is kiköthet. Ez egy hosszabb és bonyolultabb folyamat, mivel azonban akár milliós tételekre próbálják a csalók a kezüket rátenni, kifizetődő tud lenni egy ilyen szépen felépített támadás.