Nem lehet megfékezni az adattolvajokat?

Annak ellenére, hogy tavaly a vállalatok közel 68 milliárd dollárt költöttek világszerte az IT biztonságra, minden eddiginél több adat került illetéktelen kezekbe.
 

A CDSYS idén is elkészítette azt a jelentését, amelyben az elmúlt egy év legjelentősebb adatbiztonsági incidenseit gyűjtötte össze. Ebből az látható, hogy a biztonsági költések növekedése még korántsem tudott kifogni a kiberbűnözőkön, illetve az adattolvajokon, akik minden korábbinál nagyobb intenzitással tevékenykedtek.

Tanulságos múltidéző

Tavaly elsőként az érintés nélküli bankkártyák biztonságos használatának kérdése került terítékre, majd január végén érkezett a hír, miszerint negyedmillió font bírságot kellett fizetnie a Sonynak, mivel a 2011-es PlayStation Network elleni támadás során nagy mennyiségben kerültek illetéktelen kezekbe felhasználói adatok.

Februárban az EU biztonsági direktívatervezetéről olvashattunk, amely kötelezővé teszi a biztonsági kockázatelemzés elvégzését és az incidensek bejelentését a központi koordinációt végző nemzeti hatóságok felé. A tervezet év közben komoly bírálatokat kapott egy vezető EU-s adatvédelmi biztostól, illetve a European Data Protection Supervisor (EDPS) vezetőjétől, mivel szerintük az nem nyújt elegendő védelmet a személyes adatok számára.

Márciusban Norvégiából jött a hír, hogy a Telenor egy kibertámadásnak esett áldozatául. A hackerek a vállalat norvég vezetőinek számítógépeibe törtek be, és azokról szenzitív adatokat loptak el, illetve töröltek le. A Telenor biztonsági főnöke szerint jól megtervezett, célzott ipari kémkedésről árulkodtak a nyomok.

Szinte minden évben megjelenik egy hír a német offshore számlákat leleplező adatszivárgásokról, és ez tavaly sem volt másként. Áprilisban szivárgott ki 260 gigabájtnyi adattömeg, amely legalább 100 ezer embert érintett, és 260 millió tranzakció adatait tartalmazta.

Május elején az AIG Europe az adatbiztonsággal kapcsolatos biztosítások számának növekedéséről számolt be. A biztosító képviselője kiemelte, hogy a biztosítás nem helyettesíti az IT biztonsági rendszert, inkább annak kiegészítőjeként használható. A vállalatok ezzel fedezhetik az esetleges incidensekből származó anyagi károkat. A hónap során további súlyos incidensek is napvilágra kerültek. Ezek egyike a Yahoo!-nál történt, 22 millió felhasználót érintő adatszivárgás volt.

Június elején pattant ki az év legnagyobb sajtóvisszhangot kapott eseménye, amely az amerikai hatóságok megfigyeléseiről szólt. Az Edward Snowden által kirobbantott ügyben az amerikai hatóságok a PRISM kódnevű program segítségével figyelték meg többek között a Google, az Apple, a Facebook, a Yahoo! és az AOL ügyfeleit. Ugyancsak a nyár közepén derült fény egy Facebook incidensre. A hiba a Facebook profilok letöltéséért felelős szolgáltatásban volt, amelynek hibás működése miatt hatmillió felhasználó e-mail címe és telefonszáma vált kiszolgáltatottá. 

Július közepén olvashattunk arról, hogy a Kreml szerint az a legjobb megoldás az adatszivárgás ellen, ha írógépeket vásárolnak, mintegy félmillió rubel értékben. A világ másik oldalán, Amerikában egy tanácsadó cég azt javasolta egy kormányhivatalnak, hogy dobják ki a gépeket, így azok biztosan nem lesznek vírusosak. A hónap ezzel még nem ért véget, két nagy incidensről is kaptunk információkat. Az egyik esetben az Ubuntu fórumába tört be egy hacker, majd lementette az összes (1,82 millió) felhasználó bejelentkezési nevét, kódolt jelszavát és e-mail címét. A másik eset az Apple háza táján történt. Illetéktelenek hozzáfértek az egyik adatbázishoz, így a vállalat kénytelen volt egy időre teljesen lekapcsolni a fejlesztői oldalát.

Egy augusztusban megjelent IT biztonsági kockázatokat elemző felmérés szerint egy célzott, sikeres támadás akár 2,4 millió dolláros anyagi kárt is okozhat a nagyvállalatok számára. Egy hazai tanulmány ugyanakkor rámutatott arra, hogy a magyar cégeket gyakorta nem érdekli az információbiztonság: a vállalkozások 86 százaléka nem tart attól, hogy az alkalmazottak informatikai visszaélést követnek el.

Szeptemberben és októberben egymás után jöttek a hírek az adatbiztonsági incidensekről: először az Adobe szervereire törtek be a támadók, és szerezték meg több tízmillió felhasználó titkosított jelszavát. Majd a LinkedIn biztonsági vezetőjének kellett magyarázkodnia a vállalat Intro nevű szolgáltatása miatt. Nem javított az összképen, hogy 2012 egyik legnagyobb adatlopási ügyének éppen a LinkedIn volt elszenvedője, melynek során 6,4 millió jelszót lopták el a cégtől.

Az év utolsó két hónapja is mozgalmas volt az adatbiztonság tekintetében. A The Irish Times számolt be az utóbbi évek egyik legnagyobb európai adatlopásáról, melynek keretében egy hűségprogramokat lebonyolító cégtől loptak el 1,5 millió felhasználói adatot. Közben megjelent a Verzion 2013-as adatszivárgásokat vizsgáló jelentése, amely szerint az esetek közel harmadában 100 főnél kisebb vállalkozások voltak érintettek az adatvesztési incidensekben. A hónap végén még egy ausztrál társkereső oldalról is olvashattunk, ahonnan 42 millió titkosítatlan jelszót loptak el a behatolók. Érdekes adat, hogy közel 2 millió felhasználónak az "12345" számsor volt a jelszava.

December sajnos egy hazai vonatkozású eseménnyel indult, aminek során egy ausztrál hacker feltörte a Prezi rendszerét, és értékes forráskódokhoz jutott hozzá. A nemzetközi színtéren pedig elsősorban az amerikai Target áruházláncnál bekövetkezett nagyszabású incidens borzolta a kedélyeket. Nem véletlenül, hiszen ismét több tízmillió személy adata, bank- és hitelkártya információja került illetéktelen kezekbe.

Összegezzünk

A CDSYS 2013-as DLP-kutatásának eredménye szerint jelentősen növekedett a nagy értékű anyagi veszteséggel járó adatszivárgási esetek száma. A vállalatok életében már komoly szerepet kaptak a felhőalapú megoldások és az alkalmazottak magántulajdonú eszközei (BYOD Bring Your Own Device), amik további kockázati tényezőt jelentenek. 

"Az elmúlt esztendő híreit olvasva sajnos azt kellett látnunk, hogy az internetes bűnözés növekvő tendenciája töretlenül folytatódott. Milliószámra kerültek illetéktelen kezekbe a vállalatok és a felhasználók adatai, ami a jelentős anyagi veszteség mellett az érintettek presztízsét is megtépázta" - mondta Egerszegi Krisztián, a CDSYS ügyvezető igazgatója. "Az új informatikai trendek új lehetőségeket kínálnak az internetes bűnözők számára is. Nekünk az a feladatunk, hogy lépést tartsunk, sőt megelőzzük a bűnözőket, és minden területre kiterjedő védelmi megoldásokat kínáljunk a felhasználók számára. Ehhez azonban a fenyegetett intézmények hozzáállásának is változnia kell. Sajnos a legtöbb helyen a meredeken emelkedő adatvesztésekből eredő károk ellenére sem teszik meg a szükséges lépéseket, a legtöbb esetben nincs tudatosság és eltökéltség felhasználói oldalon, hogy a megfelelő időben, a megfelelő eszközökkel és a megfelelő szakemberek segítségével védekezzenek a támadások ellen" - tette hozzá a szakember.