Sok hibát el tudnak követni a kis- és közepes vállalkozások az információbiztonság kapcsán, de a legnagyobb hiba az, ha úgy érzik, ők nem érintettek. „Kis cég vagyunk mi, ki akarna megtámadni minket?”, teszik fel a költőinek szánt kérdést. A válasz erre pedig nem az, hogy senki, hanem sokkal inkább az, hogy bárki.
De miért is kerülhet a kibertámadások célkeresztjébe egy mégoly kevéssé figyelemreméltó magyar kisvállalkozás? Ennek számtalan oka van.
Számos támadás egyáltalán nem célzott, nem csak egy-egy iparágra vagy nagyvállalatra irányul. Való igaz, hogy egy kkv-ra soha nem fognak annyi erőforrást fordítani, mint az iráni atomprogramot térdre kényszerítő Stuxnetre.
De egy zsarolóvírus vagy más kártevő nem is válogat: azt megalkotói rászabadítják a világra, és ahol védtelen rendszereket találnak, kímélet nélkül fertőznek. Márpedig ezek nehezen kiheverhető és költséges adatvesztéseket eredményezhetnek (GDPR mond valamit?).
A támadóknak olyan információk is értékesek lehetnek, amelyekre a cégvezető nem is gondol. Felhasználói neveket és jelszavakat mindenhonnan lehet lopni.
Még az is igaz lehet, hogy az adott kkv önmagában nem érdekes. Viszont a modern gazdaságban a cégek nem elszigetelten, hanem nagyobb ökoszisztémákba rendeződve működnek. Egy kisebb cég is partnere, beszállítója lehet számos nagyobb vállalatnak, amelyekkel esetleg folyamatos online kapcsolatban is áll (megrendelések, számlázás, egyebek). Ha kis cég nem védi saját rendszereit, rajta keresztül a már tényleg értékes zsákmánynak számító nagyvállalatot is meg lehet támadni – hiába az erős várfal, ha nyitva hagyunk egy kis oldalajtót.
Előfordulhat, hogy a támadókat abszolút nem is érdekli, mivel foglalkozik a kisvállalat, milyen adatai vannak. Nekik csak a szervereik számítási kapacitására van szükségük, hogy Bitcoint vagy más kriptovalutát bányásszanak az ő kontójára, esetleg elosztott szolgáltatásmegtagadási (DDoS) támadás végrehajtására használják fel a gépeket.
Lehet persze azt is mondani, hogy az információbiztonság rendkívül költséges mulatság és komoly szakértelmet igényel. Ez így is van, de csak részben. Hogy egy példával éljünk: vehetünk több száz millióért szupersportkocsit, amit aztán alig tudunk az úton tartani és képtelenek vagyunk kiautózni a képességeit; de megelégedhetünk egy középkategóriás autóval is, amellyel talán kicsit lassabban, de ugyanúgy elérünk úticélunkhoz.
A biztonságit is lehet – és kell is – kicsiben kezdeni, és az első lépések sokkal inkább odafigyelést, mint pénzt igényelnek. Nézzük meg, mit tehet meg bármelyik kkv, ha magasabb szintre akarja emelni informatikai rendszereinek védelmét!
1. Csak legális szoftvert használjuk!
Ez annyira nyilvánvaló, hogy szégyelljük is mondani. Az innen-onnan, „okosban” beszerzett, feltört szoftverek gyakran tartalmaznak rejtett fertőzéseket.
2. Rendszeresen frissítsük szoftvereinket!
A legtöbb gyártó már automatikusan küldi az értesítéseket, és nem érdemes halogatni a biztonsági frissítések telepítését. Ha felhő alapú szoftvereket használunk, még ezzel sincs dolgunk, mert a szolgáltató azokat folyamatosan frissíti.
3. Használjunk tűzfalat és vírusirtót!
Ezek még csak a védelmi rendszer alapjait jelentik, de szerencsére a magyar vállalkozások több mint 90 százaléka alkalmazza őket. Ezekre is érvényes az előző pont: folyamatosan naprakészen kell tartani az alkalmazott szabályokat, beállításokat a maximális védelem érdekében.
4. Figyeljünk oda jelszavainkra!
Ennek két oldala is van. Egyrészt a mindennapokban használt jelszavakat kell komolyan venni. Felejtsük el az 1234-hez hasonló, komolytalan jelszavakat (és nem, a 654321, a születési időd, a gyereked vagy a kutyád neve sem jó). Az igazán jó jelszavak véletlen karakteres sorozatai, de azokat tényleg nincs ember, aki megtanulja. Járható középút lehet, ha veszünk egy összetett szót és azt bolondítjuk meg egy kicsit (mondjuk MackÓ26NadráG!). A jelszavakat pedig rendszeres időközönként cserélni KELL.
Másrészt változtassuk meg az eszközeinkben (router, szerver, nyomtató, egyebek) alkalmazott alapértelmezett jelszavakat. Hidd el: a rosszfiúk ismerik az összeset, és az alapjelszavak kikövezett utat jelentenek nekik rendszereinkhez.
5. Titkosítsuk az adatokat!
Ezzel nem csak a GDPR követelményeihez kerülünk közelebb, de abban is biztosak lehetünk, hogy egy véletlen adatvesztés esetén sem kerülnek illetéktelen kezekbe a kényes információk. A Windows 7, 8 és 10 vállalati (Pro vagy Enterprise) verziói beépítve tartalmazzák a BitLocker titkosító modult, amely akkor is védi adatainkat, ha a meghajtót kiszerelnék a számítógépből. Ha felhőben tároljuk az adatainkat, akkor a megszokott szolgáltatókon túl kereshetünk olyanokat is, amelyek nem csak a távoli szerveren, hanem küldés és fogadás közben is titkosítják az adatokat.
6. Mentsük az adatokat!
A rendszeres biztonsági mentések hasznát akkor fogjuk igazán érezni, ha valamiért elérhetetlenné válnak az adataink. A mentés viszont önmagában még csak a történet fele: próbáljuk ki, hogyan tudjuk visszaállítani rendszereinket a mentett adatokból.
Ha egy vállalat csak a fentieket megcsinálja, már többet informatikai rendszerei védelméért, mint a hazai kkv-k fele. Tökéletes biztonság persze nincs, de az említett lépésekkel már jelentősen és alacsony költségek mellett csökkenthetőek a kibertérből ránk leselkedő kockázatok.
