Ellopott adataink tömkelege kerülhet piacra hamarosan
Mekkora kockázatot jelent a WannaCry által elopott adatok kiszivárgása, üzleti célú értékesítése?
Galló Csaba Márton (CIB) elmondta: megnézték, a bankjukat is érte-e támadás, de még az első szintű védelmi vonal megállította ezt a támadást, amely közel 4 órán át tartott. 2-3 órás időközönként konferenciahívások segítségével folytatták tovább az események követését. Az volt a tanulság számukra, hogy gyors szállítói támogatást kaptak, a javítások ellenőrzése viszont sok időt vett igénybe, és azonnali reakcióra volt szükség. Az egész támadásban az a legriasztóbb, hogy az ellopott adatokkal mit kezdenek majd a támadók. Jakab Péter (Országos Fizetési Szolgáltató) szerint az esetek jelentős részében pénzzé tehető adatokat lopnak el, az adat és a pénz ellopása tehát szorosan összefügg. Igenis tartani kell szerinte attól, hogy a támadás kapcsán rossz kezekbe került adatok fel fogják használni pénzszerzésre. Ezt a támadást egy olyan microsoftos sérülékenység tette lehetővé, amelyről hónapok óta tudni lehetett, és megoldás is létezik rá. Kókai Tamás (Initon) felhívta a figyelmet: pénzt jóval nehezebb ellopni, mint adatot, a kriptovalutákat viszont relatíve könnyű. A WannaCry támadásban az adathalász támadásokkal szemben nem volt szükség felhasználói közreműködésre. Mintegy 150 ország volt érintett a támadásban, 230 ezer körüli volt a kezdeti hullámban érintett számítógépek száma, egy szerencsének volt köszönhető, hogy utóbbi szám ilyen alacsony volt. Sallai György (KPMG) szerint számítani lehet arra, hogy felhasználják az ellopott adatokat, a nagy kérdés, hogy miért nem vagyunk olyan biztonságtudatosak, hogy figyeljük az elemzéseket, figyelmeztetéseket.
Mi a legfontosabb IT-biztonsági kihívások ma Magyarországon, és milyen támadásokra kell felkészülnünk?
Galló Csaba Márton szerint az emberi tényező, a biztonságtudatosság hiánya a legnagyobb kihívás az IT-biztonság fenntartása szempontjából, tehát nem technológiaiak a fő kihívások. A védekezés beruházásokat igényel. Jakab Péter tapasztalatai szerint a bankoknál a biztonsági kérdésekről szóló oktatás gyakran nem sokat ér. Pénzintézeteknél a védendő adatok és értékek igen nagyszámúak, és egyre több az olyan szolgáltatás, amelyet kevésbé jól védett eszközökről próbálnak elérni az ügyfelek, ezzel a kockázati tényezővel komolyan foglalkozni kell. Ennek során minél kisebb teret kell hagyni a humán interface-nek, "bolondbiztos" megoldásokat kell gyártani. Az emberi kíváncsiságra, mohóságra és jutaloméhségre építő támadóknak jó esélyeik vannak. Kókai Tamás a cégen belül kísérletképpen szétszórt pendrive-ok példáját említette: gyanútlanul minden alkalmazott kipróbálta őket - akinek le volt tiltva az USB-bemenete, az hazavitte. Sallai György szerint nagyon jó kérdés, hogy mennyire vagyunk védettek - ehhez egy érettségi modellt kellene felállítani. Bizonyos benchmarkok pontosan megmutatják, hol, miben kell fejlődnünk.
Kevesebb mint egy év múlva jön a GDPR adatvédelmi rendelet, milyen kihívásokat, változásokat jelent ez?
Galló Csaba Márton szerint a vonatkozó magyar rendelkezések egészen magas színvonalúak, a GDPR-on belül így már ma is egészen sok mindennek megfelelnek a pénzintézetek. Hogy minek kell megfelelni, arról pontos felmérések még nem készültek, de nem kell arra számítani, hogy jelentősen nőni fog a dokumentált incidensek száma az eddig eltussolások miatt. Jakab Péter szerint is a pénzintézetek vannak a legjobb helyzetben a GDPR-ra való felkészülés szempontjából, a többi cégnek túl rövidnek bizonyulhat a hátralévő felkészülési idő, pláne, hogy a kiszabható adatvédelmi bírságok több nagyságrenddel nőttek. Kókai Tamás szerint a GDPR miatt jelentősen nőni fog a dokumentált incidensek száma, ugyanis sokat eltussoltak eddig a bankok. Az egy éves felkészülési idő sok munkát fog hozni a tanácsadóknak. Sallai György felhívta a figyelmet, hogy a személyes adatok kezelése szempontjából vannak a bankoknál jóval érzékenyebb vállalatok, ahol azt sem tudják, mi az a GDPR.
Hogy készüljenek fel IT-biztonsági szemmel a PSD2-re a bankok?
Galló Csaba Márton szerint a megnövekedett figyelem miatt javulni fog az IT-biztonság. Nemcsak a bankoknak kell megerősíteniük biztonsági védelmüket, más szolgáltatók is erre kényszerülnek majd. Jakab Péter abban bízik, hogy a PSD2 részeként életbe lépő komoly biztonsági előírások megteszik a hatásukat, és az applikációk gazdáira legalább olyan biztonsági követelmények vonatkoznak majd, mint a bankokra. Kókai Tamás nem ennyire optimista, nem hallotta még például egy informatikai startup képviselőjét IT-biztonságról beszélni, ezek a cégek biztonsági szempontból nem eléggé tudatosak.
Megtekintés: 1022