A fizikai rács az iroda ablakán csak a biztonság hamis illúzióját kelti, ha a vállalkozó a zsebében hordja a cége összes titkát egy védelem nélküli okostelefonon. A legtöbb magyar cégvezető mániákusan ügyel az értéktárgyaira, miközben a digitális vagyonát egyetlen gyenge kapukóddal védi. A kiberbűnözők szemében az egyéni vállalkozó a legideálisabb célpont. Elég nagy hal ahhoz, hogy legyen mit elvenni tőle, de általában túl kicsi ahhoz, hogy saját informatikai biztonsági részleget tartson fenn. A sérülékenységünk vizsgálata elkerülhetetlen feladat. Ez a folyamat egy kíméletlen és őszinte szembenézés a saját hanyagságunkkal. A digitális páncélzatunkat mi magunk kovácsoljuk, a lyukakat is mi ütjük rajta a kényelem iránti vágyunkkal.
Amiről elfeledkeztél
Az audit első fázisa a saját digitális birodalmunk határainak kijelölése. Pontos listát kell készítenünk mindenről, amit az internetre engedtünk. Egy átlagos vállalkozó ma már több mint harminc különböző felhőalapú szolgáltatást, közösségi média profilt és adminisztrációs felületet használ. A legnagyobb veszélyt a sötétben bujkáló eszközök jelentik. Az a régi tablet a fiók mélyén, amit már csak a gyerek nyomkod, de még mindig be van jelentkezve a céges Drive-ba, nyitott kapu a támadóknak. A router, amit évek óta nem frissítettünk, vagy az irodai okosizzó, amely egy gyenge külső szerverre támaszkodik, mind-mind potenciális belépési pont.
Vegyük számba az összes eszközt, amely képes kommunikálni a világhálóval. A listán szerepelnie kell a magántelefonnak is. A határok a munka és a magánélet között a digitális térben megszűntek. Ha a Gmail-fiókunkat feltörik, a támadó másodpercek alatt jut el a céges számlázóig. A vizsgálat során fel kell tennünk a kérdést: valóban szükségünk van minden egyes hozzáférésre? A digitális minimalizmus a védekezés leghatékonyabb formája. Amit törlünk, azt nem kell védeni többé. A régi, elfeledett regisztrációk elhagyott lőszerraktárak az erdő mélyén. Előbb-utóbb valaki rágyújt mellettük.
A jelszavak alkonya és fizikai kulcsok
A hagyományos jelszavak ideje lejárt. Az emberi agy alkalmatlan arra, hogy ötven különböző, véletlenszerű karaktersort megjegyezzen. Amikor megpróbáljuk mégis megtenni, óhatatlanul mintázatokat használunk vagy ismétlünk. A bűnözők szoftverei ezekre a mintázatokra vadásznak. Az audit során kötelező elem a jelszókezelő programok bevezetése. Ezek a szoftverek generálják és tárolják a komplex kódokat helyettünk. Nekünk csak egyetlen mesterjelszót kell fejben tartanunk. Ez az egyszerű váltás azonnal megszünteti a jelszó-ismétlésből fakadó dominóeffektust.
A valódi védettséget a kétlépcsős azonosítás, az MFA adja. Ez a technológia ma már alapkövetelmény az üzleti életben. Ha egy szolgáltatás nem kínál ilyet, azt a vállalkozónak azonnal ott kell hagynia. A legjobb megoldást a hardveres biztonsági kulcsok jelentik. Ezek fizikai jelenlét nélkül nem engednek belépni sehová. Az SMS-alapú kódok felett eljárt az idő, hiszen a SIM-kártyák klónozása rutinművelet a profiknak. A hitelesítő alkalmazások vagy a biometrikus azonosítók használata a minimum a vagyonunk védelmében. A kényelem elvesztése ebben a fázisban befektetés a jövőbeli nyugalmunkba. A Symantec adatai szerint az ilyen többlépcsős védelem a támadások kilencvenkilenc százalékát blokkolja.
Mit rejtenek a bejövő üzenetek?
A legkorszerűbb tűzfal is hatástalan, ha mi magunk hívjuk be a támadót a rendszerbe. A kiberbűnözés nagy része nem kódok feltöréséről, az emberi hiszékenység kihasználásáról szól. Ezt hívják social engineeringnek. Egy vállalkozó számára a legnagyobb veszélyt a sürgető, ijesztő vagy túlságosan kedvező e-mailek jelentik. A NAV nevében érkező álfelszólítás, a bankunkra hasonlító bejelentkező oldal, vagy a partnernek álcázott számlamódosítási kérés mind-mind klasszikus csapda. Az audit ezen része a saját és a kollégáink digitális éberségének tesztelése.
Meg kell tanulnunk gyanakodni minden szokatlan helyzetben. Ha egy kérés furcsa csatornán érkezik, vagy azonnali cselekvést sürget, ott valami nincs rendben. A rutin ellenőrzés része legyen a feladó e-mail címének alapos vizsgálata. Egyetlen elírás vagy egy különös domain végződés azonnal leleplezi a csalót. A biztonsági kultúra alapja a nulladik bizalom elve. Soha ne kattintsunk linkre közvetlenül az e-mailből, ha be akarunk lépni egy felületre. Gépeljük be a címet kézzel a böngészőbe. Ez a rövid plusz munka mentheti meg a cégünket a teljes anyagi összeomlástól. A hackerek a figyelmetlenségünkre építenek, mi pedig a precizitásunkkal tehetjük őket tönkre.
Digitális higiénia
A technológiai sebezhetőség egyik fő forrása a halogatás. A szoftverfrissítések nem csupán új funkciókat hoznak, hanem azokat a lyukakat foltozzák be, amelyeket a bűnözők éppen felfedeztek. Amikor a frissítés elhalasztása mellett döntünk, nyitott ablakot hagyunk az épületen. Az audit során ellenőriznünk kell, hogy minden eszközünkön és alkalmazásunkon a legfrissebb verzió fut-e. Ez vonatkozik az operációs rendszerekre, a böngészőkre és a router szoftverére is. A lejárt támogatású eszközök használata orosz rulett a vállalkozás jövőjével.
A vállalkozói lét része a technikai adósság kezelése. Az ingyenes, bizonytalan forrásból származó szoftverek gyakran hordoznak rejtett kártevőket. A feltört programok használata a digitális öngyilkosság leggyorsabb útja. Távolítsunk el minden olyan alkalmazást, amelyet nem használunk rendszeresen. Minél kisebb a szoftveres lábnyomunk, annál kevesebb támadási felületet adunk. A kiberbiztonság folyamatos karbantartási feladat. A rendszereink tisztasága közvetlenül összefügg az üzleti stabilitásunkkal. A digitális higiénia hiánya fizikai veszteséget okoz. A NIST szabványai szerint a gyors frissítési ciklus a védelem alapköve.
Az adatok mentőöve a zsarolóvírusok tengerén
A tökéletes biztonság elérhetetlen cél. Fel kell készülnünk arra a pillanatra, amikor a védelem minden igyekezetünk ellenére összeomlik. Ez a zsarolóvírusok kora, ahol a támadók zárolják az adatainkat, és váltságdíjat követelnek értük. Egy vállalkozó számára az adatvesztés halálos ítéletet jelenthet. Az audit utolsó pontja a mentési stratégia felülvizsgálata. A 3-2-1 szabály alkalmazása mindenki számára kötelező. Legyen három másolatunk az adatokról, két különböző hordozón, és legalább egy mentés fizikai helyszíne térjen el a többitől.
A felhőalapú mentés kényelmes, de önmagában kevés a teljes védelemhez. Ha a gépünket megfertőzi egy vírus, az azonnal szinkronizálja a hibás fájlokat a felhőbe is. Szükségünk van offline mentésekre. Egy külső merevlemez, amelyet csak a mentés idejére csatlakoztatunk a géphez, az utolsó védvonalunk. Ezt az eszközt tartsuk távol a számítógéptől a hétköznapokon. A mentés megléte mellett annak visszaállíthatóságát is tesztelnünk kell rendszeresen. Semmit nem ér a több terabájtnyi adat, ha a bajban kiderül a fájlok sérülése. A gyors talpra állás képessége határozza meg egy vállalkozás túlélési esélyeit.
A kiberbiztonsági audit végén egy konkrét teendőlistát kapunk. A digitális világban nem létezik abszolút immunitás, csak a kockázatok tudatos csökkentése. A sérülékenységünk nagy része a saját szokásainkból fakad, így a megoldás kulcsa is a mi kezünkben van. A kiber-higiénia az üzleti élet alapfeltétele. Aki ezt elhanyagolja, az valójában a saját vállalkozása ellen dolgozik. A biztonság nem felesleges költség, hanem a jövőnk záloga. A támadók opportunisták, ott vágnak be, ahol a legkisebb ellenállást tapasztalják. Ne mi legyünk a leggyengébb láncszem a saját rendszerünkben. A kapuk zárva maradnak, amíg mi tartjuk a reteszt.