Nem létezik tökéletes védelem – de létezik olyan működés, amibe nagyon nehéz bejutni
Bár rengeteget hallani az internetes biztonság fontosságáról, a legtöbb cégnél a kiberbiztonság még mindig valahol a „majd foglalkozunk vele” lista alján van. Pedig a szakértők egyik legőszintébb megállapítása az, hogy nincs olyan rendszer, amit ne lehetne megtámadni, csak olyan, amit még nem támadtak meg, vagy amit túl drágának és túl macerásnak találnak a támadók.
És itt van a lényeg: a cél nem az, hogy legyőzd a hackereket, hanem az, hogy a céged ne legyen könnyű préda. A „meghekkelhetetlen” kifejezés persze kicsit túlzás, de nagyon jól leír egy gondolkodásmódot: azt a működési kultúrát, ahol a támadások többsége már az első lépésnél elvérzik.
Ebben a cikkben azt mutatom meg neked, hogy mik azok a tulajdonságok, amik közösek azokban a cégekben, ahol nem a pánik, hanem a kontroll dominál, és ahol a kiberbiztonság nem kampány, hanem napi rutin.
1) Kattintás előtt gondolkodnak – és ezt rendszerszinten tanítják is
A kiberbiztonság egyik legnagyobb mítosza, hogy ez technológiai kérdés. A valóságban a legtöbb incidens nem úgy indul, hogy „feltörték a tűzfalat”, hanem úgy, hogy valaki rákattintott valamire. Egy linkre, egy csatolmányra, egy hamis belépési oldalra, vagy egy „sürgős” e-mailre, ami épp elég hihető volt.
A meghekkelhetetlen cégek első tulajdonsága ezért nem az, hogy drága eszközöket vesznek, hanem az, hogy a kattintás kultúráját kezelik. Ott a munkatársak nem attól félnek, hogy „hibáznak”, hanem tudják, hogy a gyanús helyzeteket jelenteni kell, és hogy egy rossz kattintás nem szégyen, hanem kockázat, amit kezelni kell.
A legjobb cégek nem azt feltételezik, hogy „nálunk mindenki okos”, hanem azt, hogy mindenki ember, és emberként hibázhat. Éppen ezért a védelem nem tiltásból áll, hanem tudatosításból, egyszerű szabályokból és sok gyakorlati példából.
Ha egy iránymutatást viszel haza ebből a részből, akkor ez legyen az: a legjobb technikai védelem is sérülékeny, ha a szervezetben nincs „kattintás előtti fék”.
2) Titkosítanak mindenhol, ahol adat mozog – és ezt nem vitatják meg
Sokan úgy gondolnak a titkosításra, mint egy „IT-s finomságra”. Pedig a titkosítás valójában nem extra, hanem alap. Olyan, mint a biztonsági öv: akkor is kell, ha „csak a sarki boltig mész”.
A weben ez a legismertebb formában a HTTP és HTTPS különbségében jelenik meg. A HTTPS azt jelenti, hogy a böngésző és a weboldal között az adatcsere titkosított. Ez különösen fontos ott, ahol érzékeny adatot adsz meg: belépési adatokat, ügyféladatokat, fizetési adatokat, szerződéses információkat.
Egy meghekkelhetetlen cég nem kérdésként kezeli, hogy legyen-e titkosítás, hanem úgy tekint rá, mint alapelvárásra. Ha van ügyfélportál, belső rendszer, webes felület, felhős dokumentumkezelés, akkor az titkosítva van, és kész.
A másik fontos pont, hogy a titkosítás nem áll meg a weboldalnál. A jól működő szervezetek azt is átgondolják, hogy hol mozog adat cégen belül, és hogyan lehet azt úgy védeni, hogy még ha valaki hozzá is fér a forgalomhoz, akkor se tudjon vele mit kezdeni.Itt az üzenet egyszerű: ahol adat van, ott érték van. Ahol érték van, ott védelem kell.
3) Nem jelszavakat „használnak”, hanem hozzáférést menedzselnek
Ha van kiberbiztonsági téma, ami még mindig meglepően sok cégnél elavult szinten működik, az a jelszókezelés. A probléma nem az, hogy a munkatársak rosszat akarnak, hanem az, hogy emberi aggyal nem lehet 40 erős jelszót fejben tartani. Ahol ezt elvárják, ott előbb-utóbb jönnek a klasszikus tünetek: újrahasznosított jelszavak, post-itre írt belépési adatok, könnyen kitalálható minták.
A meghekkelhetetlen cégeknél ezzel szemben az a természetes, hogy erős jelszó + jelszómenedzser párosban gondolkodnak. A jelszómenedzser azért zseniális, mert leveszi az emberről azt a terhet, amit nem lehet jól csinálni. Így a felhasználónak nem megjegyeznie kell a jelszót, hanem felelősen használni.
A tudatos hozzáférésmenedzsment másik része az, hogy nem mindenki fér hozzá mindenhez. A jogosultságok nem szívességi alapon működnek („jó lesz az admin is”), hanem munkaköri és folyamat alapon. Ez az a pont, ahol a kiberbiztonság találkozik a szervezeti működéssel, és itt szokott igazán látszani, hogy mennyire érett egy cég.
A jó jelszó nem cél. A jó hozzáférés-kezelés a cél.
4) Többlépcsős azonosítást használnak – mert tudják, hogy a jelszó önmagában kevés
Az erős jelszó fontos, de ma már önmagában nem elegendő. Egyszerűen azért, mert a jelszó valahogy mindig kiszivárog. Adathalászatból, adatbázis-szivárgásból, belső figyelmetlenségből, vagy akár egy régi, elfelejtett fiókból.
A meghekkelhetetlen cégek ezért nem azon vitatkoznak, hogy kell-e kétlépcsős azonosítás, hanem azon, hogy hol nem engedhető meg nélküle belépés. A kétlépcsős azonosítás (2FA, MFA) lényege, hogy a jelszó mellett még egy másik tényezőt is meg kell adni. Ez lehet mobilos kód, authenticator app, hardverkulcs vagy biometria.
A támadó szempontjából ez óriási akadály. Mert hiába tudja a jelszót, ha a második tényező hiányzik, akkor megáll a folyamat.
Itt az iránymutatás nagyon gyakorlatias. Ha csak három dolgon kapcsolod be a többlépcsős azonosítást, már rengeteget nyertél: e-mail fiókokon, admin felületeken, felhős rendszereken.
A biztonságban sokszor nem az dönt, hogy van-e védelem, hanem az, hogy a védelem több rétegű-e.
5) Biztonságosan csatlakoznak – és nem bíznak a nyilvános Wi-Fi-ben
Kevesen gondolnak bele, de a nyilvános Wi-Fi-k világa olyan terep, ahol a támadónak sokszor könnyebb dolga van, mint hinnéd. Egy-egy eszközzel elérhetővé válhat a forgalom figyelése, vagy megtévesztő hálózatot lehet létrehozni, amire az ember jóhiszeműen felcsatlakozik.
Itt jön képbe a VPN, vagyis a virtuális magánhálózat. A VPN lényege az, hogy a forgalmad titkosított csatornán megy, így az eredeti hálózaton nem látszik, mit csinálsz, és a céloldalak sem a valódi hálózati azonosítóidat látják.
Nem kell mindenkinek VPN-t használnia a hétköznapokban, de vannak helyzetek, ahol a VPN nem ajánlás, hanem minimum. Ilyen például a céges hálózat távoli elérése, vagy amikor kollégák sokat dolgoznak útközben, hotelből, konferenciáról, repülőtérről.
A meghekkelhetetlen cégek itt is ugyanazt a logikát követik: nem bíznak a környezetben, hanem védik a kapcsolatot.
A meghekkelhetetlen cégek nem tökéletesek – hanem tudatosak
A „meghekkelhetetlen” cégek valójában nem azért meghekkelhetetlenek, mert nincsenek hibáik. Hanem azért, mert úgy építik fel a működésüket, hogy a hibák ne váljanak katasztrófává.
Ők nem abban hisznek, hogy „velünk úgysem történik meg”. Ők abban hisznek, hogy:
- a támadás előbb-utóbb megpróbálkozik,
- a védelem réteges,
- a felhasználó nem gyenge láncszem, hanem a védelem része,
- és a kiberbiztonság ugyanúgy folyamat, mint a minőség vagy a munkavédelem.
Ha szeretnél elindulni ebbe az irányba, akkor kezdd azzal, ami a legtöbbet adja a legkevesebb energiával: legyen kattintási tudatosság, legyen jelszómenedzser, legyen kétlépcsős belépés. Ezek nem látványos intézkedések, de pontosan ezek azok, amik egy átlagos támadást már az elején megakasztanak.
És onnantól a céged már nem könnyű célpont lesz, hanem egy „túl drága falat”.