Önnek is elege van a jelszavakból?

  • Hiába figyelmeztetnek a szakemberek, a felhasználók egyszerűen gyűlölik a jelszavakat, főleg a biztonságosakat.
  • A szolgáltatók sem érzik át az adatvédelem súlyát, nem is költenek rá eleget, elavult titkosításokat használnak. 
  • Sem a felhasználó, sem a szolgáltató nem érzékeli elég nagynak az adatszivárgásból eredő károkat ahhoz, hogy többet költsön rá. 
  • A jelszó azonban hamarosan az életünkbe kerülhet, a szolgáltatókkal szemben pedig óriási kártérítési igénnyel jelentkezhetnek a károsultak. 
  • És akkor jönnek majd a biztosítók. Illetve dehogy, már ott állnak a rajtvonalon. 

Hiába tanácsolja minden IT-szakértő, hogy használjunk biztonságos jelszavakat, minden regisztrációnál más jelszót adjunk meg, és hiába adnak általuk egyszerűnek mondott algoritmusokat a szerintük biztonságos jelszavak generálásához, a felhasználók nem tanulnak a káreseményekből.

Az amerikai NIST (National Institute of Standards and Technology) kutatásai szerint az emberek egyszerűen lebecsülik a rájuk leselkedő kockázatokat ("Miért pont rám lennének kíváncsiak a hackerek?”), és túlzottnak érzik a biztonsági elvárásokat („Nem lehet 28 jelszót megjegyezni”). Ezt a jelenséget nevezik a kutatók „adatvédelmi fásultságnak”.

Azt adatvédelmi fásultság a vállalatvezetők szintjén is jelentkezik. A jellemző vezetői hozzáállás az, hogy az információbiztonság feneketlen kút, amibe hiába öntik a pénzt, a terület felelősei mindig újabb és újabb igényekkel állnak elő. Ráadásul az adatvédelem helyes megközelítése nemcsak pénzt, hanem rengeteg munkaidő-ráfordítást is igényel, hiszen az alkalmazottak fenyegetettségtudatának kialakítása és biztonságtudatos rutinok kialakítása az összes munkavállaló képzését és folyamatos kondicionálását igényli, nem beszélve a biztonság miatt bonyolultabbá váló kommunikációról és munkafolyamatokról.

Nem elég nagy a tét, ahhoz, hogy megijedjünk

A KPMG szakértői szerint az adatszivárgás a cégeknek egyszerűen nem kerül elég sokba ahhoz, hogy nagyobb figyelmet fordítsanak rá. A Target üzletlánc nagy port felverő adatvesztési ügye jól példázza mindezt. A cégtől 2013-ban 110 millió felhasználó adatait lopták el hackerek, köztük bankkártya-adatokat is. A társaság 2015-ig összesen 250 millió dollárt költött a károk feltárására, a biztonsági auditra, új rendszerek kialakítására és egy 10 millió dolláros peren kívüli egyezségre a károsultak képviseletével.

Ebből a veszteségből azonban 90 millió dollárt a biztosítóktól visszakapott, így az okozott kár végső soron 170 millió dollár, három évre elosztva. Ez csekély összeg a Target éves árbevételéhez és eredményéhez képest: a cég tavaly 77 milliárd dollár forgalom mellett 2,5 milliárd dollár adózott eredményt ért el.

Ugyan nincs számszerűsíthető információ a reputációs veszteségről, vagy bármilyen üzleti eredmény visszaeséséről, de arról is vannak adatok, hogy mit lépnének a felhasználók, ha egyik szolgáltatójuktól kiszivárognának az adataik. Az eredmények azt mutatják, hogy az emberek nagyon eltérően reagálnak aszerint, hogy milyen szolgáltatóról van szó: a bakoknál szigorúbbak, egy kereskedelmi láncoknál azonban sokkal megbocsátóbbak: mindössze 19 százalékuk venné alaposan fontolóra, hogy egy ilyen esemény után ugyanoda járjon-e vásárolni. A valóság azonban nem mindig ezt mutatja : a Target forgalma 2014-ben és 2015-ben is emelkedett, vagyis a vevők bizalma az adatvesztés ellenére sem ingott meg, legalábbis nem annyira, hogy lemondjanak a hűségpontokról.

Nagy adatlopások

A Target-adatvesztés ma már kisebb feltűnést keltene, hiszen azóta tudjuk, hogy egy profi hackercsoport több mint egy milliárd jelszót tört fel 2012-ben,13 esetben olyan nagy szolgáltatók hálózatiból, mint a Yahoo, a Twitter, a Myspace, a Tumblr, a LinkedIn vagy a Dropbox, amikről aztán igazán azt gondolnánk, hogy nagyon vigyáznak a felhasználóik adataira. A 2012-es adatlopások arra is rávilágítanak, hogy nemcsak az üzemeltetők felelőtlenek, hanem – az adatvédelmi fásultság nyomán – a felhasználók is: a több mint 1 milliárd feltört jelszó között sok az átfedés, azaz rossz (egyszerű, vagy tipikus) jelszavakat használunk, és ugyanazt a jelszót több szolgáltatónál is alkalmazzuk. Az akkor feltört 1 milliárd jelszó szakértők szerint aligha érint 400 milliónál több felhasználót.

A legújabb nagy érdeklődést kiváltó adatvesztési ügy viszont könnyen rávilágíthat arra, hogy a vállalatok milyen felelősséggel tartoznak felhasználóikért. A közelmúltban derült fény arra, hogy hackerek több mint 300 millió felhasználó fiókjához fértek hozzá a világ legnagyobb szexpartner kereső oldalán, a SexFriendFinder-en.

Ha ezek az adatok napvilágot látnak, sok család és karrier kerülhet veszélybe, csakúgy, mint akkor, amikor nyilvánossá vált a Sony belső levelezése. Hasonló eset történt tavaly, amikor az Asley Madison társ(partner) keresőről szivárogtak ki kompromittáló adatok. Az eseménnyel több öngyilkosságot is összefüggésbe hoztak, a céggel szemben 567 millió dolláros pert indított a károsultak pertársasága.

A privát szféránkat és pénztárcánkat érintő esetekben hamarosan hatalmas kártérítési perek indulnak az elvárható gondosságra hivatkozva. Az ügyvédeknek pedig valószínűleg igazuk lesz, hiszen mit is gondoljunk egy olyan szexpartner keresőről, amelyik a legolcsóbb kriptográfiai megoldást használja, és még csak nem is „sózta” a hash-eket (az eljárásról bővebben olvashat itt). És nemcsak az amerikai precedensjogban emelkednek a tétek, hanem Európában is, ahol az állam szereti megoldani az ilyen problémákat.

Az Európai Adatvédelmi Rendeletet ugyan csak két év múlva kell alkalmazniuk a tagállamoknak, de ha már életbe lépett volna, akkor a Tesco Bank minapi adatvesztése miatt a cégre akár 1,9 milliárd eurós bírságot is kiszabhattak volna, miután az új jogszabály akár az árbevétel 4 százalékáig is terjedő bírsággal sújtja az adatvédelmi előírásokat be nem tartó cégeket.

És ez csak a kezdet, mi lesz akkor amikor – kis túlzással – az autónkat is egy jelszó fogja vezetni, azaz a testi épségünk lesz a tét.

A kockázati érték növekedése felkavarhatja az állóvizet és partiba hívhatja a biztosítókat is, akik máris ott állnak a rajtvonalon. A történetből a biztosítók szerepét kell kiemelni, mert az információbiztonsági szakma önmagában – részben éppen az adatvédelmi fásultság miatt – nem képes megválaszolni a biztonság kérdését. Hiába mondjuk el százszor, hogy milyen a jó jelszó, mi több minden szolgáltatónál más jelszót kell használni, jól látszik, hogy nem a felhasználói oldalon kell keresni a megoldást.

A ráfordítás és a biztonság exponenciális összefüggést mutat. Minél nagyobb biztonsági szintet célzunk meg, annál többet kell költenünk minden egyes további lépésre, a 100 százalékos biztonság pedig soha nem érhető el, végtelen költéssel is csak megközelíteni lehet. Éppen ezért mindig marad tere a biztosításoknak a cégek életében, hogy az elért biztonsági szint és a 100 százalék közötti rést valamilyen módon fedezzék.

A kérdés az, hogy mennyit érdemes a biztonsági felkészülésre, és mennyit a biztosításra költeni, vagy fordítva, hol éri meg a biztosítóknak belépni a piacra. A keresett pont a függvényen nyilván valahol ott van, ahol a következő biztonsági szint elérése többe kerülne, mint a bekövetkezés valószínűségével súlyozott kár.

Ez a határhaszon azonban nem egy könnyen megtalálható pont, hiszen minden cég más, és minden cégnek más és más a kockázatviselő képessége és a kockázati étvágya. Nem véletlen, hogy a legnagyobb biztosítótársaságok máris együttműködési megállapodásokat kötnek információbiztonsági cégekkel, vagy felvásárolnak ilyeneket, és közös konstrukciókat dolgozzanak ki velük arra, hogy pontosabban lássák és kvantifikálják azon kockázatok összességét, amiket biztosítaniuk kell majd.

Az amerikai AIG nemrégiben 4, az információbiztonság különböző szakterületével foglakozó kiberbiztonsági céggel (K2 Intelligence, BitSight Technologies, RSA and AXIO Global) kötött partnerségi megállapodást, hogy felkészítsék ügyfeleiket a biztosításra. Ennek során felmérik a biztosított társaságok kockázatait, az azokból eredő potenciális károkat, és kidolgozzák azokat a lépéseket, amelyeket az adott társaságnak még érdemes megtennie rendszereinek védelme érdekében, hogy a fennmaradó kockázatok ezután egy racionális összeggel biztosíthatóvá váljanak.

A szakmai minimum

Az intézkedések kulcsa a kockázatok számbavétele, elemzése (auditja). Azt kell nagyon védeni, ami érték, és amit támadni akarnak. Ezért fontos tudnunk, hogy mink van, ebből minek az elvesztése mekkora kárt okoz a vállalat számára, és mi az, ami vonzó lehet a külső támadók számára. Ha ez megvan, akkor érdemes elvégezni a következőket:

  1. Óvd webes felületeidet a külső támadástól és az ártalmas programoktól! Az adatszivárgások 40 százaléka valamilyen webes applikációt ért támadásból fakad.
  2. Védd a felhasználók eszközeit! A vírus- és betörésvédelem hiánya, a pőre böngészők, a védelem nélküli egyéb eszközök hozzáférést kínálnak a védeni kívánt hálózathoz. A szervereket ért támadások után rögtön ezek az eszközök következnek, mint lehetséges célpont. A végfelhasználói pontokon keresztül történő behatolások száma évről évre masszívan növekszik.
  3. Vértezd fel a dolgozókat az adathalászattal szemben! A social engineering egyre rafináltabb. A 2016-os DBIR-vizsgálat szerint a felhasználók 13 százaléka kattintott már valamilyen adathalász csalicsatolmányra. Az adathalászok 98 százaléka profi elkövető: bűnszövetkezet tagja, vagy állami megrendelésre dolgozik.
  4. Időben telepítsd a javításokat! A behatolók előszeretettel használják ki a szoftverek hibáit, a biztonsági réseket. Az időnkénti javítás nem elég, szisztematikus megközelítésre, folyamatos frissítésekre van szükség. Talán meglepő adat, de 5-6 éve betömetlen biztonsági réseken keresztül több behatolás történik, mint az egy-két éve felfedezetteken.
  5. Szabályozd a belsősök hozzáféréseit! A munkavállalókkal kapcsolatos esetek a legszokványosabb adatbiztonsági problémák közé tartoznak. Hanyagság, kényelemszeretet, de akár ártó szándék is állhat a háttérben. Ezt a fajta adatszivárgást a legnehezebb felderíteni: az esetek felében hónapok, ötödében évek kellenek hozzá, és csak az esetek 9 százaléka derül ki pár napon belül.
  6. Alapvető fontosságú a hatékony jelszavazás. A 2015-ben előfordult adatszivárgások 63 százaléka mögött jogosulatlan használat – alapbeállítás szerinti, gyenge vagy lopott jelszó – állt. A helyes jelszópolitika ennélfogva az egyik legfontosabb dolog. A jelszavakat legtöbbször hackeléssel, de számos esetben kémprogramok használatával vagy a social engineering módszerével szerzik meg.
  7. A „hozd a saját eszközödet” (BYOD) stratégia, a felhőhasználat és az okoseszközök elszaporodása jelentősen növeli a kockázatokat. Gondoskodj róla, hogy a hálózathoz csatlakozó eszközök mindegyikén legyen valamilyen védelem! A saját eszközökkel összefüggésben bekövetkezett incidensek 2014-ről 2015-re, tehát egyetlen esztendő leforgása alatt két és félszeresükre (!) nőttek. Ráadásul ezeknek az eszközöknek a száma 2015-ről 2020-ra várhatóan megötszöröződik.
  8. Védd az érzékeny adatokat! Használj titkosítást és adatvesztéssel szembeni védelmet a szenzitív információk megóvása érdekében. Amennyiben szükséges, korlátozd a nem engedélyezett eszközök, pl. mobilwinchesterek, USB drive-ok használatát. 2015-ben 429 millió személyes adatlopásról vagy vesztésről tettek jelentést, ami 23 százalékos növekedés az előző évhez. Belegondolni is szédítő, mekkora lehet ennek a jéghegynek a víz alatti része.
  9. Ne feledkezz meg az adatmentésről! Gondoskodj az alapvető rendszerek és a végponti adatok rendszeres mentéséről! Adatvesztés esetén a biztonsági mentések különösen jó szolgálatot tesznek, és az adatállományokat titkosító zsarolóvírusokkal szemben is védelmet nyújthatnak. Fontos tartani a tolvajlástól, de ne tévesszük el az arányokat: egyetlen adatlopásra száz „sima” adatvesztés jut.
  10. Légy felkészülve a legrosszabbra, vagyis az incidensek kezelésére! Ha mindent megtettél, akkor is bekövetkezhet a biztonsági gubanc. Nem árt, ha van terved, vannak eljárásaid a helyzet kézben tartására. Ilyenkor minden perc számít. Az esetek 99 százalékában a védelem lebontásához kevesebb mint egy nap kell, és ugyanekkora százalékban egy héten belül kinyerik az adatokat a megtámadott rendszerből.

Lassan eljön az ideje, hogy elfogadjuk: nem várható el egy felhasználótól a kellő biztonságtudatosság, tehát a szolgáltatói oldalon kell olyan szakmai minimumokat alkalmazni, vagy kikényszeríteni, amelyek csökkentik a káresemények bekövetkezési valószínűségét, az ezek fedezésére fizetett biztosítási díjakat, ugyanakkor racionális mederben tartják a ráfordításokat.

Ez már rövidtávon felelősebb magatartást fog kikényszeríteni a szolgáltatókból, addig azonban célszerű jó minőségű jelszavakkal védeni privát szféránkat és értékeinket. Sőt, sajnos azután is célszerű lesz, hogy adatainkra afféle money back garanciát kapjunk majd a szolgáltatótól, mert a kellemetlenség az kellemetlenség, akár fizet később a biztosító, akár nem.