68 Milliárd Dollárnyi Védekezés Sem Szabott Gátat Az Adatbiztonsági Incidensek Növekedésében

A Compliance Data Systems Kft. visszatérő évértékelése szerint sajnos tavaly is eredményes évet zártak az internetes bűnözők. Annak ellenére, hogy a vállalatok közel 68 milliárd dollárt költöttek világszerte az IT biztonságra, minden eddiginél több adat került az illetéktelenek kezébe, hatalmas anyagi és erkölcsi károkat okozva az intézmények számára. A CDSYS felmérése szerint itthon sem jobb a helyzet, a tavalyi évet leginkább az egyre növekvő anyagi károk és stagnálás jellemezte. A vállalat Adatszivárgás Facebook oldalán naprakészen követi a különböző IT biztonsági incidensek történetét és tanulságait, amelyek alapján készült el az elmúlt év összefoglalója.

„Az elmúlt esztendő híreit olvasva sajnos azt kellett látnunk, hogy az internetes bűnözés növekvő tendenciája töretlenül folytatódott. Milliószámra kerültek illetéktelen kezekbe a vállalatok és a felhasználók adatai, amelyek a jelentős anyagi veszteség mellett az érintettek presztízsét is megtépázta" – mondta Egerszegi Krisztián a CDSYS ügyvezető igazgatója. „Az új informatikai trendek új lehetőségeket kínálnak az internetes bűnözők számára is. Nekünk az a feladatunk, hogy lépést tartsunk, sőt megelőzzük a bűnözőket és minden területre kiterjedő védelmi megoldásokat kínáljunk a felhasználók számára. Ehhez azonban a fenyegetett intézmények hozzáállásának is változnia kell, sajnos a legtöbb helyen a meredeken emelkedő adatvesztésekből eredő károk ellenére sem teszik meg a szükséges lépéseket, a legtöbb esetben nincs tudatosság és eltökéltség a felhasználói oldalon, hogy a megfelelő időben, a megfelelő eszközökkel és a megfelelő szakemberek segítségével védekezzenek a támadások ellen."

Kronológiai sorrendben a tavalyi évben elsőként került terítékre az érintés nélküli bankkártyák biztonságos használatának kérdése, illetve január hónap végén érkezett a hír, miszerint negyedmillió fontot, azaz több mint 97 millió forint bírságot kell fizetnie a Sonynak, mivel egy 2011-es PlayStation Network elleni támadás során illetéktelen kezekbe kerültek a felhasználók adatai.

Februárban egy újabb felmérés járta körbe a dolgozók által okozott adatszivárgások hátterét, amelyre már a CDSYS is igyekezett felhívni a figyelmet egy korábbi anyagában, majd az EU biztonsági direktívatervezetéről olvashattunk, amely kötelezővé teszi a biztonsági kockázatelemzés elvégzését és incidensek bejelentését egy központi koordinációt végző nemzeti hatóság felé. A tervezet év közben komoly bírálatot kapott egy vezető EU-s adatvédelmi biztostól, illetve a European Data Protection Supervisor (EDPS) vezetőjétől, mivel szerintük a tervezet nem nyújt elegendő védelmet a személyes adatoknak. Ugyancsak februárban érkezett a hír, hogy a BME Adat- és Rendszerbiztonság Laboratórium (CrySyS) egy Magyarországot is érintő informatikai támadássorozatot leplezett le. A támadók az Adobe Reader sebezhetőségét kihasználva egy emberi jogi konferenciával kapcsolatos levél, és az ukrán NATO-csatlakozással összefüggő terveknek álcázott PDF állományokon keresztül telepítettek backdoort a felhasználók gépeire. CrSyS a kártevőt a BME által már alaposan dokumentált DuQu vírus hoz való hasonlóságai miatt MiniDuke-nak nevezte el.

Március elején számolt be a CDSYS 2012-es eredményeiről. A hazai adatszivárgás elleni védelem szakértője 50 százalékos növekedést ért el, Egerszegi Krisztián, a CDSYS ügyvezető igazgatója elmondta, hogy 2012-ben a vállalat közel 500 millió forintos forgalmat realizált új ügyfeleinek és a régi partnereknél beinduló új projektjeinek köszönhetően.

Pár nappal a bejelentés után érkezett a hír Norvégiából, hogy a Telenor súlyos kibertámadásnak esett áldozatául. A hackerek a vállalat norvég vezetőinek számítógépeibe törtek be, és azokról szenzitív adatokat loptak el, és töröltek le. A Telenor biztonsági főnöke szerint jól megtervezett, célzott ipari kémkedésről árulkodtak a nyomok. A norvég távközlési szolgáltatót érintő incidens után pár nappal érkezett az a kiemelt hír, miszerint a CrySys újabb, Magyarországot is komolyan érintő kártevőt fedezett fel. A kibertámadás során a TeamSpy vírus segítségével – amely a TeamViewer program DLL hijacking módosításával működött – loptak el kiemelt ipari és kutatói, valamint diplomáciai adatokat az áldozatoktól.

Fontos adatbiztonsági hír volt az Apple kétlépcsős azonosítását kihasználó hiba bejelentése is. Az Apple szándéka eredetileg a felhasználói fiókok biztonságának növelése volt, azonban akiknél nem volt bekapcsolva az azonosítás, azoknál illetéktelenek is hozzáférhettek adataihoz, megváltoztathatták a felhasználó jelszavát, illetve vásárolhattak az App Store-ban a bankkártyájának terhére. Ezen kívül a fiókból törölni lehetett az érintett eszközökön (iPhone, iPad, Mac) tárolt adatokat is. A Verge által felfedezett rés az elfelejtett jelszó visszaállításánál keletkezett, szerencsére az Apple néhány óra után leállította ezt a lehetőséget, és kidolgozták a szolgáltatás biztonságos végrehajtásának módját.

Szinte minden évben megjelenik egy hír a német offshore számlákat leleplező adatszivárgásról, és idén sem volt másképp. Áprilisban szivárgott ki 260 gigabájt nagyságú adattömeg, amely legalább 100 ezer embert érintett és 260 millió tranzakció adatait tartalmazta. A német adóelkerülők mellett számos más IT biztonsággal kapcsolatos hír látott napvilágot ebben a hónapban. Olvashattunk a Telenor mobilos gyorsfelméréséről, a Ricoh Europe tanulmányáról a pénzügyi szolgáltató cégek biztonsági aggodamaival kapcsolatban, kaphattunk tippeket a kiberkockázatok megfelelő menedzseléséhez, és megjelent a Verzion adatbiztonsági jelentése is. Ugyancsak ebben a hónapban tartott előadást az Oracle HOUG konferencia keretein belül Egerszegi Krisztián, a Compliance Data Systems Kft. ügyvezető igazgatója, aki a hazai adatbiztonsági incidensekről, illetve a felhőalapú azonosságkezelés lehetőségeiről beszélt a résztvevőknek.

Május elején az AIG Europe Limited hazai képviselője az adatbiztonsággal kapcsolatot biztosítások számának növekedéséről számolt be. A biztosító képviselője is kiemelte, hogy a biztosítás nem helyettesíti az IT biztonsági rendszer, inkább annak kiegészítéseként használható, a vállalatok ezzel fedezhetik az esetleges incidensekből származó anyagi károkat. A hónap során még több súlyos incidensről is olvashattunk a hazai médiában. Ezek egyike volt a Drupal elleni támadás, ahol a behatolók szinte minden adatot elloptak, egy másik hír a Ruby on Rails keretrendszer hibáját kihasználó támadássorozatról szólt, illetve a Yahoo!-nál történt, 22 millió felhasználót érintő esetleges adatszivárgás is komoly visszhangot kapott. Május végén a CDSYS szakemberei az adatszivárgásokkal kapcsolatos szemléletváltás fontosságát hangsúlyozták, amely segíthet lépést tartani az új trendek elterjedésével egyre növekvő biztonsági kihívásokkal.

Június elején pattant ki az év legnagyobb sajtóvisszhangot kapott ügye, amely az amerikai hatóságok megfigyeléseinek kiszivárogtatásáról szólt. Az Edward Snowden által kirobbantott ügy során az amerikai hatóságok a PRISM kódnevű program segítségével figyelték meg többek között a Google, az Apple, a Facebook, a Yahoo! és az AOL ügyfeleit. Snowden az ügy kirobbanása után Hongkongba, majd Moszkvába menekült az amerikai hatóságok elől, ahol egy évre ideiglenes menedéket kapott. Ugyancsak a hónap elején jelent meg a Huddle elemzése, amelyben a munkavállalók helytelen adatkezeléséről olvashattunk, majd a CDSYS foglalta össze, mi az a hat legveszélyesebb dolog, amely tönkreteheti a vállalatok weboldalát, illetve a BYOD (Hozd a saját eszközöd – Bring Your Own Device) jelenség biztonsági kockázataira is felhívták a figyelmet a cég szakemberei. Nem sokkal később érkezett a hír a Facebook 6 millió felhasználójának kikerült adatairól. A hiba a Facebook archív tevékenységünk letöltéséért felelős szolgáltatásban volt, amelynek hibás működése miatt 6 millió felhasználó email címe és telefonszáma került ki. Pár nappal később érkezett a hír, miszerint a britek 650 millió fontot költenének a kiberbűnözők ellen, amelyből 4 millió font csak az oktatásra menne. A hónap utolsó napján olvashattunk egy érdekes adatszivárgási ügyről, amelyben állítólag egy hazai banktól szivárogtak ki egy nemzetközi piacon is jegyzett magyar banki szoftvereket fejlesztő cég ajánlatának adatai. A fejlesztő cég végül jogi útra terelte az ügyet, és 700 millió forintos kártérítést kért a banktól.

Az év hetedik hónapjában az IDC biztonsági képzés fontosságát hangsúlyozó kutatása mellett, az EU kibertámadások büntetésére tett konkrét javaslatairól is olvashatunk. Érdekes téma volt még az Átlátszó Oktatás blog írása a mindenki által hozzáférhető HÖK-ös levelezőlistákról, amelyben számos bizalmas adat is megtalálható volt. A levelezőlisták még most is szabadon olvashatók bárki számára…

Július közepén olvashattunk arról, hogy a Kreml szerint az a legjobb megoldás az adatszivárgás ellen, ha írógépeket vásárolnak, mintegy félmillió rubel értékben, ráadásul a 160 dollárért is megkapható gépek darabjáért 740 dollárt fizetnének. A világ másik oldalán, Amerikában egy tanácsadó cég azt javasolta egy kormányhivatalnak, hogy dobják ki a gépeket, így azok biztosan nem lesznek vírusosak. A közel egymillió dollárért dolgozó tanácsadó cég ötlete további 2,7 milliós kiadást jelentett az adófizetőknek.

A hónap még nem ért véget, két nagy incidensről is kaptunk információkat. Az egyik esetben az Ubuntu fórumába tört be egy hacker és lementette az összes felhasználó bejelentkezési nevét, jelszavát és email címét, amely 1,82 millió felhasználót érintett. A másik eset újra az Apple háza táján történt. Illetéktelen behatolók hozzáfértek a teljes fejlesztői adatbázishoz, így a vállalat kénytelen volt egy időre teljesen lekapcsolni fejlesztői oldalát. Az Apple szerint az adatok titkosítva voltak, de a jelek szerint a támadóknak sikerült visszafejteniük a kódot.

Az augusztus sem telt el IT biztonsági események nélkül. Egy vállalati IT biztonsági kockázatokat elemző felmérés szerint egy célzott, sikeres támadás akár 2,4 millió dolláros anyagi kárt is okozhat a nagyvállalatok számára. Egy hazai tanulmány ugyanakkor rámutatott, hogy a hazai cégeket nem érdekli az információbiztonság, a vállalkozások 86 százaléka nem tart attól, hogy munkatársai informatikai visszaélést követnek el. Olvashattunk még olyan károkozókról, amelyek a kétfrontos azonosítás kijátszásáért egyszerre támadják a számítógépeket és a mobilokat, így a mobileszközök védelme egyre fontosabb kérdés lesz a jövőben.

Az iskolakezdés hónapja a Microsoft nagy javítócsomagjával indult, amelyben elsősorban az Office és az Explorer hibáit igyekeztek befoltozni a redmondi óriás munkatársai, de olvashattunk a munkavállalói mobileszközök vállalati kockázatairól, illetve növekvő okostelefon lopások következményeiről. Újra szembesülhettünk azzal, hogy a legbefolyásosabb, leggazdagabb emberek is áldozatai lehetnek az adatlopásoknak, amelyek a komoly bevételt jelentenek a hackerek számára.

Az ősz egyik fontos hazai IT biztonsági rendezvénye volt az ITBN 2013, ahol a CDSYS egy kerekasztal beszélgetés formájában beszélt az adatszivárgás elleni védelemről, és bejelentette a 2012-es DLP felmérésének folytatását.

Egy kísérlet keretein belül, a Symantec munkatársai a ZeroAccess botnet vizsgálata során arra a kérdésre keresték a választ, hogy egy fertőzött gép mennyivel több áramot fogyaszt, mint egy tiszta berendezés. Kiderült, hogy a fertőzött számítógép napi 1,82 kWh-val többet fogyaszt, mint egy vírusmentes gép, amely egy közel 2 milliós berendezést magában foglaló hálózattal számolva 111 ezer háztartás napi áramszükségletét fedezné. A hónap hátralévő részében egymás után jöttek a hírek az adatbiztonsági incidensekről: először az Adobe szerverei törtek be és szerezték meg 40 millió felhasználó titkosított jelszavát (a vállalat először ennek tizedét vallotta be), majd a LinkedIn biztonsági vezetőjének kellett magyarázkodni a vállalat Intro nevű szolgáltatása miatt, amely a mobilos levelező kliensekbe ágyazódva ad extra információkat a felhasználóknak az elérhető adatok alapján. Nem javított az összképen, hogy a tavalyi év egyik legnagyobb adatlopási ügyének éppen a LinkedIn volt elszenvedője, amelynek során 6,4 millió jelszót lopták el a vállalattól. A hónap végén tartoztattak le egy brit férfit, aki három társával együtt több ezer informatikai rendszerbe tört be, ráadásul kiderült, hogy az Anonymus csoport tagjai az ukrán külügyminisztérium levelezését is feltörték.

Az év vége igazán mozgalmas volt az adatbiztonság terén. Novemberben egy hulladékgyűjtő telepet néztek át a kutatók, akik közel 800 kg szelektív papírhulladékból 173 kg olyan iratot találtak, amely bizalmas, visszaélésre alkalmat adó adatokat tartalmazott. Újra megjelentek hazánkban a túszejtő vírusok, amelyekkel kapcsolatban a CDSYS adott értékes tanácsokat a felhasználók számára.

A The Irish Times számolt be az utóbbi évek egyik legnagyobb európai adatlopásáról, amelynek keretében egy hűségprogramokat lebonyolító cégtől loptak el 1,5 millió felhasználói adatot, amelybe a bankkártyás fizetések adatai is beletartoztak. Megjelent a Verzion 2013-as adatszivárgásokat vizsgáló jelentése is, amely szerint az esetek közel harmadában a 100 főnél kisebb vállalkozások voltak érintettek az adatvesztési incidensekben. A hó végén még egy ausztrál társkereső oldalról is olvashattunk, ahonnan 42 millió jelszót loptak el a behatolók, amelyek minden titkosítás nélkül, sima szövegként voltak tárolva a cég rendszerében. Érdekes adat, hogy a felhasználók közül közel 2 milliónak az '12345' számsor volt a jelszava.

Az év utolsó hónapja sajnos egy hazai vonatkozású hírrel indult, ami arról számolt be, hogy egy ausztrál hacker feltörte a Prezi rendszerét és hozzájutott a prezentáló alkalmazás forráskódjához. A vállalat hibakereső programja 500 dollárt ígért mindenkinek, aki valamilyen hibát talál a rendszerben, de amikor a szakember bejelentette az általa talált rést, a Prezi csak egy bögrét ajánlott neki. Az eset nyilvánosságra került, és végül a nagy nyomásnak engedve a cég kifizette a meghirdetett díjat a hiba felfedezőjének.

A hónap közepén publikálta 2013-as DLP felmérésének eredményeit a CDSYS. A kutatás eredményei szerint jelentősen növekedett a nagy értékű anyagi veszteséggel járó adatszivárgási esetek száma, illetve a vállalatok életében idén már komoly szerepet kaptak a felhő alapú megoldások és a dolgozói tulajdonú eszközök használata (BYOD Bring Your Own Device), amelyek további kockázati tényezőket jelentenek.

Az év hátralévő részében az ünnepi vásárlásokkal kapcsolatos tanácsok és a 2014-es évre szóló előrejelzések domináltak a hírek között. A Gartner előrejelzése szerint tovább nő a biztonsági kockázat és a bizalmas adatok lesznek a célkeresztben. Az elemző szerint három nagy trend – a mobilbiztonság, a big data biztonsági kihívásai és az egyre kifinomultabb célzott támadások – határozzák meg idén az IT biztonság területét.

Összegzés képen elmondhatjuk, hogy IT biztonsági szempontból is mozgalmas időszak volt a tavalyi esztendő, olvashattunk adatlopási és más biztonsági incidensekről, elemzésekről, előrejelzésekről, ugyanakkor a felhasználói oldalról nem érkeztek olyan hírek, amelyek bizakodásra adhatnának okot. Sajnos a jelszavak között még mindig az "12345" és a "passworld" a legnépszerűbb, sokszor az adatbiztonsági szakemberek még a jelszavak kódolására sem veszik a fáradtságot, és a józan, lofikus gondolkodás hiányában a legprimitívebb trükkökkel is hozzájutnak az adatokhoz az internetes bűnözők. Jó hír azonban, hogy megjelent az EU biztonsági direktívatervezete, ugyanakkor látnunk kell, hogy még hosszú az út vezet a mindenki számára megfelelő szabályozás elfogadásáig.

http://www.facebook.com/adatszivargas