Névjegyeid/Névjegyed Mentett tartalmak és előzmények Profilbeállításaid
Fókuszterület választó kvíz

Derítsd ki, mire van szüksége vállalkozásodnak a fejlődéshez!

Regisztrálok Profil létrehozása
Tartalmak Digitalizálj a Demján Programmal Networking Megoldások D terv
Rólunk
Jogi dokumentumokImpresszum
Vissza
Cikk

Egy rossz kattintás milliókba kerülhet – mit tehet a cégvezető IT-csapat nélkül?

Egy zsarolóvírus vagy egy jól időzített adathalász e-mail ma már nem csak a nagyvállalatokat fenyegeti. Egy könyvelőiroda, egy autószerviz vagy egy 15 fős kereskedőcég ugyanúgy célponttá válhat. De mit tehet egy cégvezető, ha nincs külön IT-biztonsági csapata? Somogyi Márió, a Magyar Telekom kiberbiztonsági szakértője szerint a megoldás gyakran nem a sokmilliós technológiai fejlesztésekben, hanem a tudatos csapatépítésben rejlik.

{{ formattedDate }}8 perc olvasási idő

Egy jól működő kisvállalkozásban ma már természetes a digitális jelenlét; az online számlázás, a felhőben tárolt dokumentumok, az internetbank, az ügyféladatbázis vagy a közösségi média a mindennapok részét jelentik. A technológia adott, a működés gördülékeny. A legtöbb cégvezető valószínűleg úgy érzi, az informatikai alapok rendben vannak, de közben talán számolnak valamilyen eszközzel.

„A technológia az elmúlt években rengeteget fejlődött, hiszen a tűzfalak, végpontvédelmi rendszerek, felhőbiztonsági megoldások ma már kifejezetten fejlettek és automatizáltak. A támadók viszont alkalmazkodtak ehhez, rájöttek, hogy sokkal egyszerűbb egy embert megtéveszteni, mint egy jól konfigurált rendszert feltörni” – hívta fel a figyelmünket Somogyi Márió rendszermérnök, a Magyar Telekom kiberbiztonsági szakértője. A szakember szerint a felismerés sok KKV-nál még nem épült be a mindennapi gondolkodásba. A legtöbb incidens ma nem bonyolult technikai trükkel kezdődik, hanem egy sürgető e-maillel, egy hamis számlával vagy egy vezető nevében érkező utasítással. „A támadó nem a szervert támadja meg elsőként, hanem a munkavállaló bizalmát” – hívta fel egy lényeges pontra a figyelmet a rendszermérnök.

Miért működik ennyire jól a megtévesztés?

A legtöbb KKV-vezető fejében a kibertámadás még mindig technikai eseményként él, vagyis valaki „feltöri a rendszert”, de a valóság ennél sokkal hétköznapibb és emiatt veszélyesebb is. „A modern támadások jelentős része ma már emberi befolyásolásra épül” – mondta Somogyi Márió. Például „a támadó sürget, tekintélyre hivatkozik, vagy olyan helyzetet teremt, ahol a munkatárs úgy érzi, azonnal döntenie kell.” Ez a pszichológiai nyomásgyakorlás különösen jól működik kisebb cégeknél. Egy 10-20 fős vállalkozásban mindenki több szerepet visz egyszerre, gyors reakciókhoz szokott, és gyakran személyesebb a kommunikáció. Egy „gyors utalásra” vonatkozó kérés vagy egy „fontos partner” nevében érkező levél könnyen átcsúszik a szűrőn. „Egy embert sokkal könnyebb sürgetéssel vagy pszichológiai nyomással hibázásra késztetni, mint egy rendszert feltörni” – tette hozzá a Telekom kiberbiztonsági szakértője.

Így dolgoznak a hackerek

Képzeljünk el egy 10 fős könyvelőirodát. Az egyik munkatárs kap egy sürgető hangnemben megírt e-mailt egy ismert ügyfél nevében. A levélben egy új bankszámlaszám szerepel, azzal a kéréssel, hogy a következő utalás már oda érkezzen. A kolléga látja az ismerős nevet, érzi a sürgetést, és mivel tele van feladatokkal, nem hívja vissza egyeztetni. Egy ilyen helyzetben nem a rendszer hibázik. A számlázóprogram működik, a vírusirtó fut, a levelezés elérhető, vagyis a döntés a munkatárs felelőssége. Ugyanez megtörténhet egy autószerelő műhelyben is. Egy beszállító nevében érkezik egy „frissített árlista” vagy egy csatolt számla. A műhelyvezető gyorsan megnyitja a mellékletet, mert a következő javításhoz szüksége van az alkatrészre. A fájl azonban kártékony programot tartalmaz, ami titkosítja a gépen lévő adatokat, aztán a teljes ügyfél-nyilvántartás pillanatok alatt elérhetetlenné válik. Ezekben a helyzetekben a technológiai háttér önmagában nem elegendő a védelemhez. A lényeges pontot az jelenti, hogy a munkatárs felismeri-e a gyanús jeleket, és mer-e egy plusz ellenőrző lépést tenni.

A munkatárs a védelem részét jelenti

Egy kisebb cégnél a kollégák gyakran több szerepet visznek egyszerre, időnyomás alatt dolgoznak, gyors döntéseket hoznak, és nem feltétlenül kapnak rendszeres biztonságtudatossági képzést. Egy rossz kattintás viszont komoly üzleti következményekkel – leálló rendszer, elveszett adat, elmaradó bevétel, sérülő ügyfélbizalom – járhat. Somogyi Márió szerint alapvető szemléletváltásra van szükség, ami szerint a „munkavállaló nem »gyenge láncszem«, hanem a védelmi vonal része”. A kérdés az – folytatta a szakember –, hogy a cég mennyire készíti fel erre a szerepre. A kibervédelem sok vállalkozásnál még mindig informatikai ügyként jelenik meg, de érdemes másképp tekinteni rá. „A kibervédelmet üzleti kockázatként kell keretezni, nem IT-projektként” – fogalmazott Somogyi Márió. Ez ugyanúgy a működés része, mint a pénzügyi fegyelem vagy a munkavédelem. Ha egy támadás miatt leáll a rendszer, csúsznak a szállítások vagy a kifizetések, az már üzleti probléma technikai probléma helyett.

A kiberbiztonság nem egy kipipálható feladat

Sok vállalkozásnál az első komolyabb IT-fejlesztés – van vírusírtó és tűzfal, egy működő rendszer – után kialakul az érzés, hogy a védelem „rendben van”.  Somogyi Márió szerint ez a gondolkodás jelenti az egyik legnagyobb kockázatot, ugyanis a „a legnagyobb hiba, amikor valaki azt gondolja, hogy egy vírusirtó telepítésével le is van tudva a kiberbiztonság. Ez nem egy egyszeri technikai feladat, mert a kiberbiztonság nem egy állapot, hanem egy folyamat.” Ez a gyakorlatban azt jelenti, hogy a fenyegetések módjai változnak, a munkafolyamatok alakulnak, új rendszerek kerülnek bevezetésre, és a csapat összetétele is módosulhat. „Ami tavaly még elegendő védelem volt, az ma már kevés lehet” – hívta fel a gyors elavulás veszélyére a figyelmet a Telekom kiberbiztonsági szakértője. Egy tudatos vezető kampányszerű kérdés helyett folyamatos működési kérdésként kezeli a témát.

Mit tehet egy cégvezető IT-szakember nélkül?

Somogyi Márió szerint egy 10-30 fős vállalkozásnál reális cél, hogy az alapokat házon belül rendbe tegyék. Tehát az erős jelszavak használata, a kétlépcsős azonosítás bekapcsolása, rendszeres és ellenőrzött biztonsági mentések, valamint egyszerű belső jóváhagyási folyamatok már jelentősen csökkentik a kockázatot. Például egy utalás csak akkor indulhat el, ha azt két ember is jóváhagyta.

Ami már komolyabb szakértelmet igényel – folytatta szakember –, az a hálózati architektúra átgondolt kialakítása, az incidenskezelés, a naplóelemzés vagy egy támadás utáni helyreállítás. Szavai szerint „itt már érdemes külső partnert bevonni, a zsarolóvírus-támadások ma már nem csak a nagyvállalatokat érintik, a kisebb cégek sokszor könnyebb célpontok”.

Egy kockázatos tévhit: majd az informatikus megoldja

A szakember tapasztalata szerint sok KKV-nál él az a megnyugtatónak tűnő gondolat, hogy az informatikus felel a biztonságért. „Fontos látni, hogy a rendszergazdai feladat és a kiberbiztonsági stratégia nem ugyanaz” – mondta Somogyi Márió. „Egy IT-s kolléga kiválóan karbantartja a rendszert, de a szervezeti kockázatok kezelése már vezetői döntés” – tette hozzá a rendszermérnök. Eszerint a jelszóhasználati szabályok, a jóváhagyási folyamatok, az incidensek bejelentésének kultúrája a működési és szervezeti kérdések. Ha a vezetés nem foglalkozik velük – tette hozzá a szakember –, önmagában az IT-háttér nem fogja megoldani a problémát.

Mik a leggyakoribb kibervédelmi hibák a kisebb cégek szintjén?

A tapasztalatok szerint sok KKV addig nem foglalkozik komolyan a kibervédelemmel, amíg nem történik konkrét incidens. Pedig a megelőzés töredékébe kerül a helyreállításnak. Gyakori, hogy ugyanazt a jelszót több rendszerben is használják, nincs bekapcsolva a többfaktoros hitelesítés, a biztonsági mentéseket nem tesztelik rendszeresen, és nincs egyértelmű incidensjelentési folyamat. „Legalább ennyire problémás, ha a kollégák félnek szólni egy hibáról” – árnyalta a helyzetet Somogyi Márió. Egy elhallgatott rossz kattintás sokszor nagyobb kárt okoz, mint maga a kattintás. Szavai szerint a biztonsági kultúra ott kezdődik, hogy a munkatárs tudja, hogy ha hibázik, azonnal jeleznie kell, amiért nem jár megszégyenítés.

Vállalkozásbarát mini tréning 4 lépésben

A megfelelő védelem és védelmi szervezeti kultúra kialakításához egy belső tudatosítási programra van szükség. Egy havi 30–60 perces, rendszeresen ismétlődő alkalom már érezhető változást hozhat. Somogyi Márió szerint az alábbi négy területre érdemes fókuszálni:

  1. Adathalászat és megtévesztés felismerése
    A legtöbb támadás e-maillel indul. A kollégák tanulják meg felismerni a sürgető hangnemet, az eltérő e-mail-címet, a gyanús linket. Külön figyelmet érdemelnek a vezető nevében érkező sürgős pénzügyi kérések.
  2. Jelszóhasználat és kétlépcsős azonosítás
    Minden rendszerhez egyedi jelszó, jelszókezelő használata, ahol csak lehet, kétlépcsős azonosítás. Ez az egyik legegyszerűbb és leghatékonyabb védelmi lépés.
  3. Incidensek azonnali jelzése
    Legyen egyértelmű, kihez kell fordulni, ha valaki gyanús e-mailt kapott vagy rossz linkre kattintott. A gyors reakció sokszor milliós károkat előz meg.
  4. URL-ek tudatos ellenőrzése
    Meglepően sok csalás múlik egy félreolvasott webcímen. Ha a munkatárs érti, melyik része árulkodik egy hamis oldalnak, nemcsak a céget védi, hanem saját online vásárlásait és bankolását is.

A belső tréningek akkor működnek igazán, ha nemcsak a céges kockázatokról szólnak. A munkavállalók számára sokkal kézzelfoghatóbb a téma, ha látják, hogy a saját digitális biztonságuk is érintett. „Ha valaki megérti, hogy egy rosszul ellenőrzött webcím nemcsak a céges adatbázist, hanem a saját bankkártyáján lévő pénzt is veszélyeztetheti, egészen más szemmel néz arra a linkre” – fogalmazott a szakember. „Egy tudatos munkatársi csapat a vállalata legerősebb védelmi vonala” – fogalmazott Somogyi Márió.

Miből látszik, hogy működik a tudatosítás?

„A fejlődés legfontosabb jele a viselkedésváltozás” – mondta Somogyi Márió kérdésünkre, ami szerint miből ismerhető föl a kiber-tudatosság szintje emelkedése a vállalkozásban. „Ha a kollégák egyre gyakrabban jelzik a gyanús e-maileket, ha gyorsabban reagálnak, és következetesen betartják a belső szabályokat, az már mérhető előrelépés” – tette hozzá. A tudatosság változása jól lekövethető úgynevezett szimulált adathalász kampányokkal is; ha idővel csökken a kattintások aránya, és nő a bejelentések száma, az azt mutatja, hogy a csapat tanul és figyel. A szakember szerint „nem lehet garantálni, hogy soha nem lesz incidens, de ha a hibák száma csökken, és a reakcióidő rövidül, akkor a vezető joggal érezheti, hogy a vállalata kockázata mérhetően csökkent.”

Mikor érdemes külső szakembert bevonni a védelembe?

Ahogy a vállalkozás növekszik, egyre összetettebb rendszereket használ, nő a távoli munkavégzés aránya, vagy érzékeny ügyféladatokat kezel, a kockázat is emelkedik. A megfelelési kötelezettségek – fogalmazott Somogyi Márió –, például a NIS2-előírások, további szakértelmet igényelhetnek. Ilyenkor érdemes olyan partnert bevonni, aki technikai és szabályozási oldalról egyaránt biztosítja a szakszerű támogatást, akár delegált információbiztonsági felelőssel. Ugyanakkor a döntés mindig vezetői felelősség ha a cégvezető úgy értékeli, hogy a kockázatok kezelése meghaladja a belső kapacitásokat, a külső szakértő bevonása a működés biztonságát szolgálja.

5 dolog, amit minden KKV-vezetőnek érdemes megjegyeznie

  1. A legtöbb kibertámadás egy megtévesztett munkatárssal indul.
  2. A kiberbiztonság folyamatos működési kérdés egy vállalkozás életében.
  3. Az egyedi jelszavak, a kétlépcsős azonosítás és a rendszeres mentés érezhetően csökkentik a kockázatot.
  4. A gyors hibajelzés sokszor milliós károkat előz meg.
  5. A tudatos, rendszeresen képzett csapat jelenti a legerősebb védelmet.

Tovább olvasnád?
Regisztrálj!

  • Lépj kapcsolatba más vállalkozókkal, üzleteljetek
  • Töltsd le D terveinket, és digitalizáld a vállalkozásodat
  • Fogyaszd exkluzív tartalmainkat
  • Értesülj első kézből az aktuális kkv-kat értintő témákról hírlevelünkből

szerző:Lippai Roland

Digitális biztonság

Ezek is érdekelhetnek

További tartalmak