Tíz jó tanács, hogy megvédjük ügyfeleinket az átverésektől

Az Online Trust Alliance (OTA) kiadta 2011-re szóló tízes listáját azokról a módszerekről, technológiákról, amelyek segíthetnek a szervezeteknek megvédeni ügyfeleik és dolgozóik személyes és üzleti adatait az online felületekről érkező támadásoktól. Az OTA nonprofit szervezet, célja egy olyan online közösség létrehozása, amely tanácsaival, illetve különféle technológiák bemutatásával segít a vállalkozásoknak, állami szervezeteknek, pénzügyi szolgáltatóknak növelni ügyfeleik bizalmát.

Az Online Trust Alliance (OTA) kiadta 2011-re szóló tízes listáját azokról a módszerekről, technológiákról, amelyek segíthetnek a szervezeteknek megvédeni ügyfeleik és dolgozóik személyes és üzleti adatait az online felületekről érkező támadásoktól. Az OTA nonprofit szervezet, célja egy olyan online közösség létrehozása, amely tanácsaival, illetve különféle technológiák bemutatásával segít a vállalkozásoknak, állami szervezeteknek, pénzügyi szolgáltatóknak növelni ügyfeleik bizalmát.

Az adatszivárgás elleni védelem hazai szakértője, a CDSYS szerint mindenképpen érdemes külső szakemberek segítségét is igénybe venni a biztonságos IT környezet kialakítása érdekében. Magyarországon kevésbé jellemző olyan komplett stratégia tervezése és bevezetése, amely magában foglalja a megelőzést, az esetlegesen bekövetkező esetek kivizsgálását, a megfelelő jogi lépések megtételét és a következtetések levonását.

„Az OTA listája felhívja a figyelmet azokra a területekre, amelyek alapvető fontosságúak a biztonsági incidensek és adatlopások megelőzésében, továbbá segítik megőrizni az őket alkalmazó vállalatok jó hírnevét is. A mai megtévesztő webhelyekkel és emailekkel teli online térben kiemelt kérdés a bizalom, amely elnyerése hosszú időt vesz igénybe, de pillanatok alatt elveszíthető, ezért egyre fontosabb szerepet kapnak a vállalatok titkosítással, adatszivárgással kapcsolatos teendői, illetve a biztonsági tanúsítványok megfelelő alkalmazása. Reméljük, a vállalatvezetők itthon is megfogadják ezeket a tanácsokat és ezáltal idehaza is csökkenni fog az incidensek száma." – nyilatkozta Tóth Péter Barnabás, a CDSYS vezető IT biztonsági tanácsadója.

A lista a leggyakoribb és legveszélyesebb támadások alapján készült, tanácsokat ad többek között a rosszindulatú e-mailek, az adathalászat és a megtévesztő weboldalak okozta problémák kivédésére is.

1.       Gondoskodjunk arról, hogy munkatársaink a legújabb kiadású böngészőket használják – amelyek tartalmaznak adathalászat és a rosszindulatú szoftverek elleni védelmet, a nyomkövetés ellenei védelmet („Do Not Track" funkció). Frissítsük az adatvédelmi szabályozást e böngészők használatának megkövetelésére. Adjunk instrukciókat a frissítéshez, és fontoljuk meg, hogy a továbbiakban nem nyújtunk támogatást az ősrégi, elavult verziójú, ismert biztonsági résekkel teli böngészőknek, megakadályozva a belépést rendszerünkbe.

2.       Alapítsunk és üzemeltessünk olyan domain nyilvántartási adatbázist és folyamatot, amely figyelmeztet a tulajdonunkban lévő domain nevek megújítására, így gátolva meg, hogy a lejárt domain illetéktelen kezekbe kerüljön. Fontos, hogy figyelemmel kísérjük az általunk bejegyzett oldalhoz hasonló nevű, hamis vagy megtévesztő weboldalakat is. Az átirányítások, véletlen változtatások, törlések elkerülése érdekében érdemes zároltatni a domain nevünket. Ezek a megoldások megakadályozzák, hogy ügyfeleinket és partnereinket megtévesztő oldalra irányítsák, ellopva logóinkat, megsértve védjegyeinket.

3.       Alkalmazzunk e-mail hitelesítési eljárásokat, mint például az SPF (Sender Policy Framework, RFC 4408) és a DKIM (DomainKeys Identified Mail, RFC 5672) annak érdekében, hogy csökkentsük a hamis e-mailekkel elkövetett visszaéléseket, azonosíthassuk a rosszindulatú programok alkotóit.

A hamis e-mailben küldött támadás az egyik leggyakoribb módja az online visszaéléseknek, így ennek biztonságosabbá tételével sokat tehetünk saját biztonságunkért. A hitelesített e-mail segít az internetszolgáltatóknak és a vállalati hálózatoknak a megtévesztő üzenetek blokkolásában, csökkenti a hamis pozitív jelzéseket, illetve megvédi online védjegyeinket és weboldalainkat a támadásoktól.

4.       Titkosítsunk minden olyan külső címzetteknek e-mailben küldött, illetve mobil adattároló eszközökön (USB, külső merevlemez) tárolt adatot, amely ügyfél információt, e-mail címeket és/vagy bármilyen személyes azonosítót tartalmaznak.

5.       Alkalmazzunk kiterjesztett ellenőrzést használó biztonsági tanúsítványt (Extended Validation Secure Socket Layer Certificate, EV SSL) minden olyan weboldalunkon, amely bizalmas információt kér a felhasználóktól (regisztráció, online bankolás, elektronikus kereskedelem, bármilyen személyes azonosítót kérő adat). Az EV SSL tanúsítvány növeli ügyfeleink bizalmát online termékeink iránt. Ha telepítettük a tanúsítványt a weboldalunkra, akkor annak meglátogatásakor a böngésző címsora zöldre vált, így biztosítva a felhasználókat arról, hogy magas szintű titkosítással védett, ellenőrzötten beazonosított legális vállalkozás oldalán adnak meg adatokat.

6.       Alakítsunk ki és teszteljünk adatszivárgás és adatvesztés elleni tervet, hogy felkészülten tudjunk reagálni az esetlegesen bekövetkező incidensekre, így minimalizálva az adatvesztés kockázatát és a vásárlókra, üzleti partnerekre gyakorolt hatását. Az ilyen stratégiák kialakításával egyszerűbb egységesíteni az adattárolási szabályokat, a felhasználókra vonatkozó hozzáférési és a törlési folyamatokat.

7.       Alkalmazzunk erős jelszavakat, illetve képezzük munkatársainkat a hatásos jelszókezelésre, így csökkentve a biztonsági kockázatokat és a felhasználói fiókok rossz kézbe kerülésének esélyét. Mindenképpen fontoljuk meg a jelenlegi jelszavaink, jelszógeneráló módszereink modernizálását. Használjunk biztonsági kérdéseket, sokféle válaszlehetőséggel, amelyek nem deríthetőek ki a közösségi oldalak segítségével. Ezen felül érdemes megfontolni a következőket:

a.       az alkalmazottak használjanak erős jelszavakat, ügyfeleinknél tiltsuk a gyenge jelszavakat;

b.      cseréljük a jelszavakat 30, de maximum 60 naponta;

c.       gondoskodjunk arról, hogy munkatársaink ne használják a technikai hozzáférésre létrehozott fiókokat;

d.      rendszeresen vizsgáljuk felül a felhasználói fiókok aktualitását, a már nem használt fiókokat azonnal tiltsuk le;

e.      limitáljuk a téves bejelentkezési kísérleteket, és függesszük fel az adott fiók elérhetőségét, dokumentálva a belépési próbálkozásokat.

8.       Alakítsunk ki a biztonsági javítások kezelésére proaktív folyamatot operációs rendszereinkhez, alkalmazásainkhoz. Ez segít megvédeni rendszereinket az ismert sebezhetőségektől, a régi, nem támogatott alkalmazások eltávolításra kerülnek, vagy elkülönítve, biztonságos környezetben használhatóak a továbbiakban.

9.       Folyamatosan monitorozzuk a harmadik fél által létrehozott kódokat, linkeket, esetleg weboldalaink hirdetéseit, megelőzve a rosszindulatú programok vagy kéretlen hirdetések károkozását saját weboldalainkon keresztül. Mindenképpen kérjük a tartalomszolgáltatóinkat és a hirdetőket, hogy alkalmazzák a rosszindulatú hirdetések elleni irányelveket (anti-malvertising guildelines).

10.   Alkalmazunk titkosítást minden vezeték nélküli hálózathoz kapcsolt routeren és az összes hozzáférési ponton. Rejtsük el az SSID (Service Set Identifier Names) azonosítónkat, vagy olyan nevet adjunk a hálózatnak, amely segítségével nem tudják azonosítani vállalatunkat. Változtassuk a kulcsokat gyakran, így elejét véve, hogy illetéktelen kezekbe kerüljenek. Ha ingyenes WiFi hálózatot üzemeltetünk, limitáljuk a hozzáférés módját és idejét, folyamatosan monitorozzuk a használatot, és vállalati hálózatunktól tartsuk elkülönítve az ingyenes hozzáférési lehetőséget.

Olvasson rendszeresen frissített híreket, tanulmányokat az adatszivárgás témaköréről a Facebookon is: http://www.facebook.com/adatszivargas

 Szükséges-e az adatszivárgás elleni védelem? Nem is lehet kérdés, hisz ma az információ a legnagyobb érték. Hogyan védekezzünk? Ahhoz, hogy erre a kérdésre válaszolni tudjunk, további kérdéseket kell feltennünk magunknak.

–          Tudjuk, hogy hol tároljuk a bizalmas adatainkat? Azt is, hogy hol vannak róluk másolatok? Laptopok, fájlmegosztások, közös mappák, adatbázisok – kockázatelemzések során kiderült, hogy minden tíz fájlból egyet rossz helyen tárolunk.

–          Tudjuk, hogy hogyan és kik használják az adatokat? Mit másoltak USB-re vagy küldtek el e-mailben, csevegőprogramon, webmail-en vagy FTP-n? – kockázatelemzések kimutatták, hogy minden négyszázadik e-mail tartalmaz titkos adatot.

–          Hogyan akadályozzuk meg titkos adataink elvesztését? Felmérések alapján kiderült, hogy a dolgozók 59% vitt el adatot a munkahelyéről. Hogyan tudjuk ezt megakadályozni és kikényszeríteni az adatvédelmet?

Az adatszivárgás elleni védelmet biztosító technológiák (Data Loss Prevention – DLP) megfelelő használata és a biztonsági tudatosság növelése  jelentik a megoldást.

További áttekintést a DLP-ről a Wikipedián: http://hu.wikipedia.org/wiki/Data_Loss_Prevention