Megjelent: 8 éve

Megdöbbentő történeket: nincs olyan magyar cég, ahová ne juthatna be egy idegen

Elképesztően alacsony szinten van a magyar nagyvállalatok fenyegetettségtudata – adta hírül a KPMG. A társaság számos hazai nagyvállalat, köztük bizalmas adatokat kezelő pénzintézetek és mobilcégek megbízásából végzett behatolási kísérleteket, és az esetek döntő többségében több egyszerű módszerrel is sikerrel járt.

Social engineering-vizsgálatnak hívják angolul azt a módszert, amelynek alkalmazásával a cégvezetők felmérhetik, hogy vállalatuk biztonsági rendszerei hogyan működnek. "Magyarországon nagyon rosszul" – összegzi tapasztalatait Sallai György, a social engineering-vizsgálatokat végző üzletágának vezetője.

A tanácsadó cég az elmúlt években több tucat nagyvállalat, köztük bankok és telekommunikációs cégek megbízásából ellenőrizte e vállalatok biztonsági rendszereit ezzel a módszerrel. A tapasztalatok nagyon rosszak. "Eddigi munkáink során nem találtunk olyan céget, ahová ne tudtunk volna azonosítás nélkül bejutni" – mondja Sallai György. Kockázatos az azonosítás utáni bejutás is, mert a belépőkártyát minden esetben sikerült elhozni a cégektől, és soha nem fordult elő, hogy egy héttel később ugyanazzal a kártyával ne lehetett volna bejutni az épületbe.

Ha már bent voltak, körülnéztek a szemetesekben is, és minden alkalommal találtak bizalmasnak minősülő iratokat, de az esetek 80 százalékában más úton is hozzájutottak bizalmas dokumentumokhoz. Az esetek 90 százalékában sikerült működő mobileszközt elhelyezniük az épületben, és ezek felén keresztül később sikerült is rácsatlakozni a belső hálózatra.

A csoport nemcsak ezt vizsgálja, hanem azt is, hogy az alkalmazottak hogyan viselkednek külső megkeresések alkalmával. "Mobilszámokat szinte mindig sikerült némi telefonálgatás útján megszereznünk, de az esetek 40 százalékában elértük, hogy valaki bizalmas dokumentumot küldjön külső e-mail címre, és a hívások egyötöde zárult azzal, hogy megkaptuk valakinek a hálózati jelszavát" – mondja Sallai György, hozzátéve, hogy ez talán a legsúlyosabb tapasztalatuk.

A vállalati biztonság egyik legjobb fokmérője azonban mégsem ez, hanem az, hogy egy kívülről bejuttatott adathordozót (CD-t, pendrive-ot) hányan csatlakoztatnak a benti hálózaton. A tapasztalatok szerint a tárgyalókban, itt-ott "véletlenül" elhagyott adathordozókat 50 százalékban csatlakoztatják a rendszerhez a megtalálók, a postán, személyre szabottan beküldötteknél pedig a csatlakozási arány 80 százalékos. "Márpedig ezeken a kütyükön bármilyen kémszoftver lehetne, sőt van is, hiszen innen tudjuk, hogy melyiket hányszor alkalmazták" – mondja Sallai György.

Ami a tényleges külső támadásokat illeti, a nemzetközi felmérés szerint 2012-ben a social engineering és az adathalász jellegű támadások a cégeket érő külső támadásoknak mindössze 1-1 százalékát tették ki, de a jelenség így is veszélyes. Az ilyen támadások 48 százaléka ugyanis bankkártyaadatok, 42 százaléka felhasználónevek és jelszavak megszerzésére irányul, amelyekkel azután újabb visszaéléseket lehet elkövetni. A támadások 4 százaléka során a személyes adatok kerülnek célkeresztbe, és csak a fennmaradó 1-2 százalék célja üzleti információ megszerzése.

"A támadások kivédése nem működhet anélkül, hogy a cégvezetés és a munkatársak ne éreznék át a külső fenyegetettség súlyát" – mondja az üzletágvezető. A menedzsment – főleg egy social engeneering-vizsgálat után – általában megérti, hogy milyen könnyű a szervezetből és a rendszerekből olyan információkat szerezni, amelyek ténylegesen nagy kárt okozhatnak a vállalatnak. Sallai György tapasztalatai szerint azonban sokszor még ezután is alulértékelik az esemény bekövetkeztének valószínűségét, vagy sajnálják a ráfordítást, ami egy komplex vállalati biztonsági rendszer megtervezéséhez és bevezetéséhez szükséges.

A fenyegetettség érzetének megteremtése és a munkatársak felkészítése a helyes eljárásra valóban idő- és pénzigényes folyamat. "Az a tapasztalatunk, hogy ezt a ráfordítást az első káresemény bekövetkeztéig nem biztosítási kiadásként élik meg" – mondja Sallai György.
  • 2021.05.12SAP Human Experience Summit Miért fontos, hogy a vállalatok a munkavállalókat helyezzék tevékenységük középpontjába? Hogyan növelhető a kollégák hatékonysága és elkötelezettsége egy világméretű járvány idején? Ezekre a kérdésekre is választ ad az SAP Human Experience Summit. A közép-kelet-európai régió HR-eseinek szóló rendezvény interaktív virtuális élményt kínál független és SAP szakértők előadásaival, valamint vállalatok vezetőinek kerekasztal-beszélgetéseivel. A konferencia ingyenes, csupán regisztálni kell. Csatlakozik? Részletek Jegyek
  • 2021.05.13 Humán controlling mutatószámok a gyakorlatban Olyan vezetőknek és (kulcs) munkatársaknak, (HR) controllereknek, HR-eseknek, pénzügyi szakembereknek ajánljuk a képzést, akik a HR munka hatékonyságát, eredményét mérni, számolni, és ezt begyakorolni szeretnék. Ajánljuk továbbá mindazoknak, akik a munkaerő elemzésének, értékelésének vállalati standardizálását, és mérésének elvét és gyakorlatát megismerni szeretnék. Részletek Jegyek
  • 2021.06.07 Munkavédelmi technikus Munkavédelmi technikusra lehet szüksége minden olyan cégnek, amelynél kiemelten fontos a munkahelyi egészség és biztonság megvalósítása. A Munkavédelmi technikus ugyanis elősegíti a munkahelyi balesetek és foglalkozási megbetegedések megelőzését, valamint a munkavédelemre fordított költségek optimalizálást. Támogatja a munkáltatót a munkavédelmi kötelezettségek teljesítésében, ezzel hozzájárul a mulasztások és szabályszegések hátrányos személyi és anyagi következményeinek elkerüléséhez Részletek Jegyek
  • 2021.06.19Agilis Transformáció Leader képzés online, videokonferenciás Hazánkban egyre több és több vállalat lép az agilis átalakulás útjára, így felértékelődik az agilis transzformációt vezető szakemberek jelentősége. Az Agile Transformation Leader egy olyan szervezetfejlesztő szakember, aki felkészíti és végig kíséri az agilis átalakulás útján a vállalatot. Ügyfél-fókuszt, Design Thinking szemléletet hoz be, vezetőket coachol, csapatokat mentorál, miközben pozitív, felhatalmazó légkört teremt a szervezeten belül. Részletek Jegyek
Follow hrportal_hu on Twitter
További cikkek
„Kéz a kézben jár a fenntarthatósági szemlélet és az üzemeltetési szempontrendszer”

Miközben a járvány felerősítette az irodai eszközállomány észszerűsítésének igényét, a tudatosan racionalizáló cégek és állami... Teljes cikk

Munkaidőben sorozatokat néznek és edzenek az IT-biztonságiak

Az informatikai biztonsági munkatársak 85 százaléka szabadidős tevékenységekkel is foglalkozik a munkaidejében. Ezekre a hobbikra jellemzően heti hat... Teljes cikk

Rekordot döntött a NAV-hoz beérkező számlák mennyisége

Tavaly decemberben hétköznaponként átlagosan egymillió online számla érkezett az adóhivatalhoz, az elmúlt héten ez a szám a duplájára nőtt,... Teljes cikk