Kiberbiztonság alapok kisvállalkozásoknak

A kiberbiztonság a kis és a közepes méretű vállalkozások számára egyaránt fontos. A cégeknél napi szinten keletkező rengeteg adatot őrizni kell, a rendszereket pedig védeni a behatolás és a megfigyelés ellen.

A KeeperSecurity kutatása alapján kiberbiztonsag-kezdoknek2016-ban a kisvállalkozások 50%-át hackelték meg és megkérdezett kisvállalkozások 14%-a nyilatkozott úgy, hogy megfelelő képességekkel rendelkeznek az online biztonsági hibák, sebezhetőségek és támadások kivédésére.

Az információbiztonság vállalkozásoknak című bejegyzésem kiegészítéseként ebben a cikkben megválaszolom a következő kérdéseket:

  • Miért érdekesek a hackerek számára a kisvállalkozások?
  • Melyek a leggyakoribb támadási formák?
  • Mik azok a biztonsági megoldások, amelyeket azonnal megtehetek?

A kisvállalkozások helyzete a kiberbiztonság szempontjából

Amíg a nagy cégekhez betörni rengeteg időt és pénzt igényel, addig a kisebb cégek könnyebb célpontot nyújtanak a hackerek számára, mivel nem rendelkeznek megfelelő védelemmel.

Kiberbiztonság szempontjából a kisvállalkozás a legveszélyeztettebb méretű vállalkozás.

A kisvállalkozásoknak sokkal több adat van a birtokában, mint egy egyedi internethasználónak, azonban sokkal kevesebbet foglalkoznak a biztonsággal, mint a nagy cégek. Ideális célpontot nyújtanak a támadók számára.

Egy kis cégnek is van legalább egy adatbázisa, ahol a megrendelők adatait tárolja. Ezek az adatok ugyanúgy ellophatóak és különböző célokra felhasználhatóak, mint a nagy cégek adatbázisai.

A kisvállalkozások sokkal kevesebb foglalkoznak a biztonsággal, mint a nagyok. Egy 2014-es infografika szerint a kisvállalkozások 82%-a mondta azt, hogy ő nem célpontja a kibertámadásoknak, hiszen nincs mit ellopni tőle. Ahol üzlet van, ott adatok is vannak és ahol adatok vannak, ott ellopható vagyon található. A vállalkozók 31%-ának nincs cselekvési terve sikeres támadás esetére, 24% szerint a kiberbiztonság túl drága, míg 22% nem tudja, hol kezdjen hozzá a védelem kiépítéséhez.

A valóság ezzel szemben kiábrándító. Egy 2016-ban készült kiberbűnözési jelentés szerint a kisvállalkozások 50%-a nyilatkozott arról, hogy kibertámadások elszenvedője volt az elmúlt 12 hónapban legalább egyszer. S ezek pusztán azok a támadások, amelyekre fény derült…

Melyek a leggyakoribb támadási formák?

A kibertámadások legfőbb célja érzékeny, fontos adatok ellopása, megszerzése vagy éppen egyszerűen csak törlése.

Ezekkel az adatokkal sikeres lopás után kereskednek vagy zsarolják az adott céget. A bankkártya információkat felhasználják, ahogy megfelelő mennyiségű személyes adat esetén felhasználhatják az online identitásokat saját céljaikra.

Íme, itt vannak a leggyakoribb támadási módszerek:

DDoS támadás: A DDoS támadásról akkor beszélhetünk, ha a weboldalt kiszolgáló címre szándékosan túl sok kérést intéznek, ezáltal a szerver biztonsági okokból lekapcsol a hálózatról. Ezt úgy kell elképzelni, mint amikor azért indítanak be riadót egy szigorúan őrzött létesítményben, mert a támadók szeretnék, ha adott személyek, eszközök, találmányok a létesítményben maradnának elzárva a külvilágtól.

Belső támadás: Soha ne kerülje el a figyelmedet a belső támadás lehetősége. Nem lehetsz biztos abban, hogy valamelyik, megfelelő jogosultságokkal ellátott alkalmazott nem-e szeretné pénzzé tenni a céges adatokat. A munkavállaló potenciális veszélyt jelent, ha rossz viszonyban váltok el. Fontos, hogy legyen egy terved azokra az esetekre, amikor egy munkavállaló elhagyja a céget. Attól a pillanattól kezdve ne férhessen hozzá semmihez.

Jelszóval kapcsolatos támadások: Jelszavak kitalálásának három lehetséges módja van. Az első, az ún. brute-force támadás. Itt egy program addig próbálgatja a lehetséges jelszavakat, ameddig az egyik be nem válik. Sok időbe telik, nagyon lefoglalja a számítógép kapacitásait és nagyon könnyű ellene védekezni. Például azzal, hogy kétlépcsős azonosítást használsz vagy X számú sikertelen bejelentkezés esetén Chaptcha hitelesítést is szükségessé teszel a belépéshez. A második a szótár-alapú támadás, amelyben előre megadott szavakat próbál végig a szoftver a belépéshez, a harmadik lehetséges esély pedig a keylogger használata, ami az összes leütött billentyűt elmenti, beleértve a jelszavakat is.

Malware: Ez a rövidítés – malicious software, rosszindulatú program – minden olyan programot lefed, amely azért van a számítógépen, hogy kárt okozzon vagy segítsen illetékteleneknek behatolni a számítógépbe. 

Phishing (Adathalászat): Az adathalászat fontos, érzékeny adatok gyűjtésének a módszereiből áll. Ilyen népszerű és elterjedt módszer, hogy egy bank nevében küldenek olyan emailt, amelynek a megjelenése megszólalásig hasonlít az online bankfiókunk megjelenésére. A színeket, a betűtípust, a hivatalos nyelvezetet és néha még a cég logóját is felhasználják. A legtöbb sikeres támadást ezzel a módszerrel viszik véghez. A legjobb védekezési módszer az adathalászat ellen az alkalmazottak képzése.

Példa adathalász weboldalra:

adathalasz-weboldal-pelda-kiberbiztonsag

Ez egy tipikus adathalász weboldal. Figyeld meg, hogy egy ismert cég logóját felhasználva kínálnak ellenállhatatlan nyereményjátékot! A weboldal felépítése egyszerű és igénytelen. A szövege pongyolán fogalmazott (Unknown város lakosairól nem is beszélve…)

Túlzottan hihetetlen az ajánlatuk, de a legjobban árulkodó tény a címsor (mellékelt képen alul). A böngésző címsorában nem a hivatkozott cég weboldalának címe jelenik meg, hanem egy teljesen más webes cím. Minimális odafigyeléssel ezek a weboldalak könnyen kiszúrhatóak.

Kiberbiztonság a gyakorlatban:
Mik azok a biztonsági óvintézkedések, amelyeket azonnal megtehetsz?

1. Mindig frissítsd a szoftvereidet

Az egyik legnagyobb probléma, hogy a vállalkozások nem frissítik a legújabb verzióra a szoftvereiket, ezzel biztonsági réseket hagyva a támadóknak. A szoftverfrissítések nem csak új funkciókat vagy más kezelőfelületet jelentenek, hanem ezekben folyamatosan be vannak foltozva a biztonsági rések.

Minél régebbi szoftvereket használsz, annál nagyobb az esélye, hogy sikeres támadásnak leszel az áldozata.

2. Képezd az alkalmazottakat

A kiberbiztonság leggyengébb láncszeme az emberi tényező.

A sikeres támadások jelentős része a felhasználók tudatlansága miatt lehetséges. Készítsd fel az alkalmazottakat a lehetséges támadások jeleinek észrevételére, hívd fel a figyelmüket a bonyolult jelszavak használatára és az adathalász weboldalak és levelek felismerésére.

3. Vezess be hivatalos biztonsági irányelveket

Ezeknek a biztonsági irányelveknek kötelező érvényűnek kell lennie minden dolgozóra. Ilyen irányelv az erős jelszavak használata, a jelszavak megújításának szükségessége 90 naponta, a gyanús emailek jelentése az IT részlegnek/szakembernek és a külső adathordozók használatának tiltása. Ide tartozik bizonyos platformok tiltása adatok küldésére. Például nem küldjük a céges dokumentumokat Facebook és Whatsapp csatolmányként.

A vállalkozások jelentős része nem figyel oda ezen szabályok betartására.

4. Kérj fel egy szakembert a céged átvilágítására

Egy adatvédelmi, biztonsági szakember nézze át az online és az offline adatok tárolására vonatkozó elveket. Tanácsokat fog adni ezen adatok védelmére, segít megelőző stratégiát építeni és vésztervet fog írni azokra az esetekre, amikor különböző támadások és adatlopások következnek be a cégnél.

5. Gyakorold a vésztervet

Mindig legyen egy B terved, ha baj történik. Menj be a céghez és indítsd azzal a napot, hogy “baj van, az XY adatokat ellopták/megsemmisítették. Ötleteket várok a kármentésre, mert nagy bajban vagyunk.” Az ilyen helyzetekben derül ki igazán, hogy van-e megfelelő terve a cégnek a kármentésre vagy nincs. Ha a terv nem megfelelő, akkor ez a gyakorlat tökéletes lehetőség a hibák befoltozására és felismerésére.

kemprogram

6. Használj minden számítógépen és mobiltelefonon antivírus szoftvert

Ahogy már fent írtam, az alkalmazottak képzése a legfontosabb. Emellett fontos, hogy legyen antivírus szoftver az összes eszközön – ne csak a számítógépeken.

7. Használj szoftveres és/vagy hardveres tűzfalat

Fontos, hogy legyen a védelem része a tűzfal. A hardveres tűzfalat én jobban ajánlom, azonban a szoftveres tűzfalaknak sincs miért szégyenkezniük.
Mi az a tűzfal? Egy köztes réteg a hálózat és a számítógép között, amellyel különböző jogosultságokat adhatunk vagy éppen vehetünk el a programoktól, hogy ne történjen jogtalan hozzáférés az adatokhoz.

8. Mindig készíts biztonsági másolatot az adataidról

Ezeken felül fontos még az adatmentés. A fontos adatokat egy független, másodlagos , védett helyre is el kell menteni, így a megsemmisülés esetén nagy rá az esély, hogy egy biztonsági mentés megoldja a problémát.

9. Használj titkosítást minden kommunikációra és védd a fontos mappákat és fájlokat jelszóval!

Ahol csak lehetséges, ott használj kétlépcsős azonosítást! A legjobb erre, ha a jelszó beírása után még SMS-ben is kapsz egy kódot és csak akkor tudsz hozzáférni az adatokhoz, ha az SMS-ben kapott kódot is beírod. Ez a módszer hihetetlenül nagy mértékben csökkenti a sikeres támadások esélyét.

Egyéb kiberbiztonsági “támadások”

Bár nem kifejezetten kibertámadáshoz kapcsolódó téma, de biztonság szempontjából érdemes megemlíteni még egy olyan lehetőséget, amely óriási problémákat okoz.
A vállalkozások hajlamosak figyelmen kívül hagyni ezt a biztonsági rést.

Ez a probléma a fizikai meghibásodás. Ami tönkre tud menni, az egyszer tönkremegy és biztos lehetsz benne, hogy akkor fog tönkremenni, amikor a legnagyobb szükséged lenne azokra az adatokra. A fizikai meghibásodás oka lehet egyszerűen az alkatrész hibája, de gyakoriak az időjárás okozta károk vagy az adatokat tároló épület megrongálódásából keletkező hibák.
Minden fontos adatról tarts egy jól őrzött, elzárt helyen másolatot!

Ami elromolhat, az el is romlik. Csinálj redszeresem biztonsági mentéseket!

Tedd meg most a megfelelő lépéseket az adataid és ügyfeleid védelme érdekében!

Alkalmazd a cikkben leírtakat és radikálisan növelheted az esélyét annak, hogy nem esel áldozatául az egyre növekvő kiberbűnözésnek.

Tetszett a bejegyzés? Oszd meg az ismerőseiddel! Szólj hozzá!
  •  
  •  
  •   
  •  

A szerzőről

A cikk szerzője online marketing és IT ismereteinek kombinálásával, egyedi látásmódjával segít vállalkozóknak és szervezeteknek bevételeik növelésében. Nem ismer lehetetlent, szereti a változatosságot. Szabadidejében kutyákkal játszik, sportol vagy a barátnőjével van.

Vélemény, hozzászólás?