Ön is alkalmazzon etikus hackert, sokat spórolhat
Ipar 4.0Több kiberbiztonsággal foglalkozó neves vállalat is figyelmeztetéseket adott ki az elmúlt napokban, hetekben: ezek szerint 2018-ban látványosan növekedhetnek az IoT (internet of things), az ipar 4.0, és más vállalati IT rendszerek elleni támadások. Az informatikában a legsérülékenyebbek azok az új területek, ahol még nincsenek bevett gyakorlatok, kevés a kiforrott megoldás, azaz egyfajta tesztelés, kísérletezés folyik. Éppen ebben a fázisban van nálunk, sőt még tőlünk nyugatabbra is, az okos gyárak, az okos mezőgazdaság, vagy a szenzorokkal felvértezett raktározás-logisztika, és persze a szenzorokkal, adatgyűjtéssel felvértezett kereskedelmi egységek. Nemritkán az üzleti döntéshozók maguk is hamis illúziókba ringatják magukat: mondván, „velem ez nem történhet meg” vagy: „az ipari, drága rendszerek eleve biztonságosabbak”. E részigazságok ellenére az informatikai szakemberhiány, vagy a legó-szerű, igazából toldozott-foldozott IT rendszerek olyankor különösen sérülékenyek, ha új folyamatok kerülnek bele. Pedig éppen ez történik, ha például egy raktárba vagy kereskedelmi egységbe, esetleg gyárba, szántóföldre, állattartó telepre, vagy épp egy szolgáltató csapathoz új eszközöket, új érzékelőket telepítenek, melyeket összekötnek egymással, illetve a meglévő vállalati programokkal. Ha terekre teszünk ki új szenzorokat, tableteket, laptopokat, telefonokat, akkor ezek nyilván eleve jobban ki vannak téve az elvesztésnek. Ám az igazi kitettséget ezek netre kötöttsége jelenti, ami nagyon megnövelheti a sérülékenységet. Az egyetlen biztos védelem a fentiek ellen, ha egy ilyen bevezetés után nem spóroljuk meg az úgynevezett etikus hackercsapat – nem épp filléres – megbízását. Miként megy ez? Úgy, hogy az általunk „felbérelt” etikus hackerek megpróbálják kívülről feltörni például vállalatirányítási programunkat vagy akár a gyártást vezérlő úgynevezett MES (manufacturing execution system) rendszerünket. Vagy bármilyen más belső applikációt, megoldást, amelyből értékes adatok nyerhetők, vagy akár csak kártékony leállásokat okozhatnak így nekünk – a zsarolóvírusos adattörlésekről már nem is beszélve! Azaz kapunk egy listát a cégünk leggyengébb pontjairól, ahol meg kell erősíteni a digitális várfalainkat. Nem gondolnánk, de további támadási felület, hogy egyre több helyen használnak például „digitális iker modelleket” (angolul: digital twin vagy device shadow), azaz szoftveresen lemodellezik a – gyártási, kereskedelmi, raktározási, szolgáltatási, stb. – adatgyűjtési és feldolgozási folyamatokat azért, hogy különböző problémákat, fennakadásokat szimuláljanak. Ám, ha ezeket finoman meghackelik, akkor nagy galibát tudnak okozni a céges döntéshozók félrevezetésével, a gyártási folyamat megváltoztatásával. Különösen veszélyes, hogy ezeket az „ikreket” éppen olyan kritikus pontokon használják, mint az áramtermelő generátorok, turbinák, repülőgépmotorok vagy épp a mozdonyok! A leggyengébb láncszem persze éppen az ember, különösen azok a dolgozók, vezetők, akiknél elmaradt vagy épp felületes volt az IT-biztonsági oktatás. Így például még azt sem tudják, hogy fura e-mail csatolmányokat még akkor is körültekintően, például víruskeresés futtatását követően, nyitunk meg, ha látszólag ismert feladótól érkezett. Vagy a böngészés során vigyázunk, illetve ilyen-olyan ismeretlen pendrive-okat nem dugunk rá csak úgy a céges gépekre. Továbbá: ha bármi gyanúsat észlelünk, azonnal jelentjük a cég felelős informatikusának, illetve IT-csapatának. Leginkább a netre kötött eszközök az igazán veszélyeztetettek – állapítja meg például a Trend Micro biztonsági cég minapi jelentése. E szerint a vállalati alkalmazásokra, illetve platformokra is nagyobb kockázatok leselkednek a 2018-as évben. Az Ipar 4.0 térnyerése révén egyre több folyamatot vesznek át különböző intelligens megoldások a gyártásban, ezek azonban megfelelő védelem nélkül komoly rizikófaktort is jelenthetnek – húzzák alá a szakértők. Sőt, e jelentés azt is előrejelzi, hogy az IoT-eszközök esetében is nőni fog a sebezhetőségek száma, mivel a gyártók egyre több készülék előállítása során mellőzik a biztonsági előírások és az ipari szabványok betartását. Az internethez kapcsolódó eszközök számának emelkedésével párhuzamosan nő a támadási felület is, ez pedig olyan új lehetőségeket kínál a kiberbűnözők számára, amelyek révén az ismert sérülékenységek kiaknázásával behatolhatnak a vállalati hálózatokba. De mások is figyelmeztetnek a veszélyekre: az ESET kiberbiztonsági vállalat szakemberei az idén májustól életbe lépő General Data Protection Regulation (GDPR) szabályozást emelik ki. Ez a korábbi EU-s adatvédelmi irányelvet váltja fel, és a határidő közeledtével egyre növekednek az aggodalmak. A jelentésben szakemberek az adatgyűjtés felhasználói tudatosságára összpontosítanak, kiemelve az IoT révén begyűjtött adatokban rejlő kockázatokat és hangsúlyozva a jelentős büntetéseket, amelyek a cégeket fenyegetik, ha nem képesek megfelelő védelmet kínálni az általuk kezelt személyes adatoknak. Érdekes módon ugyanis nem csak a nagy ügyfélbázisról kiszivárgó kártyaszámok, nevek, e-mail címek és jelszavak vannak veszélyben, hanem akár a vállalati rendszerekben megadott hasonló érzékeny adatok (például a HR-ben vagy a vállalati dolgozók egészségügyi adatainál) is kiszivároghatnak. A bírság felső határa itt 20 millió euró lesz május után, ami mintegy 6,2 milliárd forint!