A vállalkozás adatainak védelme – így cselekedjünk a mesterséges intelligencia által támogatott kibertámadások ellen
Napjainkban egyre jelentősebb szerepet tulajdonítanak a mesterséges intelligenciának. Belopja magát a mindennapokba és számos területen segítségül hívhatjuk. Sokan azonban nem tudják, hogy sajnos nem csak jó célokra és eredmények elérésére lehet használni. Létezik ugyanis egy sötét oldala is, mellyel vállalkozóként érdemes mindenképpen tisztában lennünk annak érdekében, hogy cégünket megvédjük az illetéktelen behatolóktól, azaz a kibertámadásoktól. A mesterséges intelligenciáról, annak veszélyeiről és a kiberbiztonsággal való kapcsolatáról Keleti Arthur kibertitok jövőkutatóval beszélgettünk.
Nem is gondolnánk, az információk, melyeknek birtokában vagyunk – legyenek azok személyesek vagy cégesek – mennyire körbeveszik életünket. Eszközeinken tárolt adataink igen nagy jelentőséggel bírnak, és ha kiszivárognak, hatalmas károkat okozhatnak. „Onnantól, hogy a saját titkainkat és adatainkat digitalizáljuk, már más is megtalálhatja őket, ráadásul egyben, akár egy helyen. A védendő információk digitalizálásával egy vállalkozás adatai bizonyos értelemben más veszélyzónába kerülnek. Nem minden vállalkozás van tudatában annak, hogy amikor a különböző titkait és adatait felteszi egy felhőbe (azaz internetes hálózati adattárolóba) vagy használ hozzá valamilyen csatornát pl. google drive, akkor azokhoz hányan, milyen jogosultsággal, kivel megosztva és milyen formában férnek hozzá. Ekkor jön a képbe igazán a kiberbiztonság kérdése” – kezdi az adatok védelmének értelmezését Keleti Arthur, aki az Informatikai Biztonság Napja (ITBN) alapítójaként nem győzi hangsúlyozni, mennyire fontos, hogy egy vállalkozás levédje mindazt, amije van.
A mesterséges intelligencia szerepe a kibertérben
Természetesen számos jó dologra bevethetjük a mesterséges intelligenciát, hiszen szövegek fordítására, tartalmak és termékleírások készítésére, helyesírás javítására, szövegekben ellőforduló esetleges inkonzisztenciák kimutatására egyaránt használhatjuk, ezek azonban mind azok a funkciók, melyeket általánosságban tudunk róla. A negatív oldalait ugyanakkor nem sokan ismerik még, ezért fontosnak tartottuk utána járni, milyen károkat okozhat az AI (mesterséges intelligencia) egy szervezet életében.
Gyakori hiba bizonyos szervezeteknél, hogy azt gondolják, nincsenek védendő adataik, hiszen nincsenek jelen a közösségi média platformokon vagy éppen nem végeznek semmilyen jellegű online tevékenységet. Ez azonban nem igaz, hiszen még a legalapvetőbb vállalkozások is folytatnak tipikus üzleti tevékenységeket alkalmazásokon keresztül, például e-maileken keresztül kommunikálnak, online árlistákat képeznek, megrendeléseket adnak fel stb. Minden csatorna ezáltal, üzletileg kritikus működésű lehet a kibertérben, a vállalkozások adatainak biztonságát pedig minden szervezetnek garantálnia kell. Nem mindegy ugyanis, hogy a cégek titkait és védendő adatait milyen technológiákkal gyártják és hogyan védik meg azokat. Itt kerül képbe a mesterséges intelligencia, mely minden szervezetnek segíthet, hogy az azokban megtalálható bizalmas információk valóban bizalmasak is maradjanak és ne kerüljenek illetéktelen kezekbe. Léteznek már olyan AI alapú rendszerek, melyek segítségével a szervezet számára is megtalálható a védendő információ egy anyagban vagy állományokban és így jobban odafigyelhetnek a felhasználókra és azok biztonságára, megvédve őket a külső online támadásoktól.
Mit értünk kibertámadás alatt és hogy kerülhetjük el?
„A kiberbiztonság terén fontos felmerülő kérdés, hogy tulajdonképpen mitől is kell félnie manapság egy szervezetnek? Egyrészről a kiberbűnözőktől, akik nagyon jól összerakott szervezetként összetett és célzott kampányokat tudnak folytatni kisvállalkozások és magánszemélyek ellen, melyeket most már a mesterséges intelligencia által készített tartalmakkal is meg tudnak támogatni. A cégek ezáltal tökéletesen testre szabott tartalmakat, előkészített üzenet és weboldal mintákat, jól megfogalmazott leveleket és alaposan elkészített anyagokat kaphatnak a csalóktól, mindezt azért, hogy becsalják és becsapják a vállalkozókat vagy magánembereket, akik valamiért felkeresnek bizonyos weboldalakat és lehetőségeket” – mondja a szakember. Sajnos gyakori hiba, hogy a vállalkozások megadják bankszámla- és kártyaadataikat, személyes információikat, melyeket a kibertámadók felhasználnak. Az összetett csalások száma egyre csak nő, és Arthur nem győzi hangsúlyozni az adatvédelem fontosságát, ugyanis a mesterséges intelligencia segítségével megvalósított bűntény 2023-ra már egy önálló, szakmából szervezett területté vált. A kiberbűnözés, melynek szintje már meghaladta a drogkereskedelemet vagy terrorizmust, egy virágzó terület, általa több ezer milliárd dollár kár keletkezik évente.
Szerencsére a támadók ellen egy szervezetnek számos lehetősége van arra, hogy megvédjék magukat. A szakember azt javasolja, hogy amikor valaki felhő szolgáltatót használ, keresse meg a beállításokban az összes olyan funkciót, ami kéretlen levelekről és rosszindulatú tartalmak, állományok szűréséről szól és kapcsolja be. Ezek a felokosított biztonsági rendszerek közül sok mögött már mesterséges intelligenciát találunk és ez mind rengeteget számít az adatok megvédésében. Fontos kiemelni, hogy nem a közösségi platformok és egyéb felületek biztosítják automatikusan egy cég biztonságát, hanem a felhasználó, az általa tanúsított magatartás és az elvégzett biztonsági beállítások. Nézzük végig, hogy milyen digitális platformokat és applikációkat használunk, és mindegyiknél menjünk végig a biztonsági beállításokon. Érdemes bekapcsolni a multi- vagy többfaktoros azonosítást is. „Itt a legjobb, ha kód generáló alkalmazásokkal csináljuk. Az is sokat segíthet, ha arcunk vagy ujjlenyomatunk azonosítása a második faktor. De mindenképpen legyen egy másodlagos védelmünk a felhasználó néven és a megfelelő jelszón kívül” – ismerteti Keleti Arthur a többlépcsős biztonsági praktikákat. Fontosnak tartja, hogy a jelszó is elég erős legyen, használjunk kis- és nagybetűket, számokat, speciális karaktereket (2023-ban legalább 12-14 karakter hosszú legyen), és ne mindenhol ugyanazt a jelszót adjuk meg. Tároljuk belépési kódjainkat az operációs rendszerünkben vagy mobilunkon használatos jelszótárolóban.
Ismertessük meg a biztonságtudatosságot szervezeten belül is
Nagyon fontos, hogy egy vállalkozás beépítse a mindennapjaiba a biztonsági gondolkodásmódot és fokozza a biztonságtudatosságát. Ma már számos olyan tanfolyam és internetről letölthető oktatási anyag, illetve videó érhető el, melyek segítségével megismertethetjük a kollégákkal az adatvédelem fontosságát. Arthur véleménye szerint a biztonságtudatosságot példákon keresztül kell napi szintű gondolkodásmóddá tenni egy cég életében. „A digitális technológia mindenhol körbevesz minket, így egész nap rajtunk kell legyen a „védőszemüveg”. A tudatos védekezést folyamatosan növelni és sulykolni kell a kollégákba. Cégeknél például kitehetünk a képernyővédőre hasznos tanácsokat ezzel kapcsolatban vagy küldhetünk rendszeresen e-maileket, információkat erről a dolgozóknak. Készíthetünk időnként teszteket is hamis email üzenetekkel, melyben a résztvevők biztonságtudatosságát ellenőrizhetjük.” – mondja Arthur.
Fontos, hogy legyen legalább egy olyan személy, aki foglalkozik a biztonsággal szervezeten belül, mindemellett lényeges, hogy megfelelő összeget is áldozzon a vállalkozás erre. A szakértő szerint a cég informatikai büdzséjének legalább 5-10%-át biztonságra kellene fordítani és igaz ez az összes digitális fejlesztési projektre is. Valamint az elkészült fejlesztések etikus hackelésére vagy hibavadász programba szervezésére is kell időt és forrást szánni. Ha egy vállalkozás ugyanis nem különít el erre a területre valamilyen összeget, később könnyen pórul járhat; és az okozott anyagi kár és a reputáción esett csorba az adatlopások által sokkal nagyobb lesz, mint az az összeg, melyet a szervezet a kezdetektől ráfordított volna a biztonsági rendszerére.
Biztonsági technológiák szolgáltatóinktól, antivírus alkalmazások és saját éberségünk is segíthetnek
Érdemes azon elgondolkodni, hogy amellett, hogy a különböző eszközeinken pl. laptop, számítógép, mobil, tablet stb. megfelelő megfelelő védelmi rendszer van, kérjünk-e külső segítséget is. Adott szolgáltatónktól ugyanis már lehet érdeklődni bizonyos biztonsági csomagokkal kapcsolatban. Az internet szolgáltatók, felhőszolgáltatók és telekommunikációs szolgáltatók a vállalkozásokat segítve, saját kínálatukban már tudnak akár havidíj ellenében olyan szoftver- és szolgáltatáscsomagokat ajánlani, melyekkel meg lehet védeni egy vállalkozás adatait. „Érdemes családi csomagokban gondolkodni, ugyanis például egy zsaroló vírus nem válogat: egy otthoni gépről is lelophatja az adott cég adatait, ha például a vállalkozásnak saját, házi eszközén is vannak céges információk. Az is előfordulhat, hogy egy nem megfelelően megvédett, otthon megfertőződött laptop vagy mobil eszköz teszi tönkre a céges adatokat is, amikor a céges hálózatba lép. Manapság már kérhetünk zsaroló vírusok elleni vagy leterheléses támadás elleni védelmet kérni, vagy akár rosszindulatú programok elleni megoldásokból is választani. Mindenképpen érdeklődjünk a szolgáltatónknál és gondoljuk végig a kockázati lehetőségeket” – tanácsolja a kibertitok jövőkutató.
Ha mindezeket elkövetjük, sajnos még akkor sem lehetünk teljes biztonságban, mert bár saját rendszerünket nehezebb lesz feltörni, a kívülről érkező adatok lehetnek falsok, és a túloldalt ugyanúgy feltörhetik. Keleti Arthur szerint bizonyos esetekben saját éberségünkre kell támaszkodjunk és amikor kapunk valakitől valamit online, saját magunk kell eldöntsük, hogy az mennyire lehet valós, hiteles és hihető. „Érdemes átgondolni, hogy azelőtt milyen viszonyunk volt az adott személlyel vagy szervezettel, akitől egy üzenet érkezett. Ha a szokásostól eltérő hangnemben és megfogalmazás módban zajlik a kommunikáció, szinte biztosra vehetjük, hogy csalás történik. A bankok biztonsági területeinek nevében telefonáló bűnözők például megpróbálhatják elkérni céges vagy magánadatainkat – teljes bizalmat ébresztve bennünk. Ha valaki felhív így minket, és megpróbál a biztonságra irányuló ajánlatokat tenni, utasítsuk vissza, tegyük le a telefont, majd mi magunk a hivatalos felületen jelentkezzünk be a szolgáltatónál, azonosítsuk magunkat, és ott tájékozódjunk minden – biztonságunkat érintő csomagajánlatról vagy esetleges minket megcélzott támadásról. Vegyük át a kezdeményezést, legyen nálunk a kontroll és ne kapkodjunk.” – ismerteti a saját magunk által is elvégezhető technikákat Arthur.
A szakember mindezeken túl az alábbi hasznos programokat és weboldalakat ajánlja figyelmünkbe védelmünk érdekében:
- haveibeenpwned.com: itt ellenőrizhető, hogy az email címeink szerepelnek-e szivárgásokban
- virustotal.com: ide feltölthető bármilyen gyanús kórokozó, amit rengeteg anti-vírus motorral ellenőriz a rendszer
- Google authenticator: alkalmazás, mellyel többlépcsős azonosításokhoz lehet kódokat készíttetni
- Microsoft Copilot (programozáshoz): mesterséges intelligencia támogatott fejlesztői megoldás
- Deepl: fordítóprogram
+ 7 tanács a biztonságunk érdekében Keleti Arthurtól
- Ne csak vállalkozásként, magánemberként is védjük adatainkat
- Chat ablakokba kapcsoljunk be végpontok közti titkosítást és ahol lehet és praktikus állítsunk be eltűnő, automatikusan törlődő üzenteket
- Ha valaki védekezni akar, a megoldást és a gondolkodásmódot együttesen kell alkalmaznia
- Ismertessük meg gyermekeinkkel is a kibertámadások negatív következményeit és őket is avassuk be otthoni eszközeink védelmébe (biztos, hogy több dolgot jobban tudnak, mint a felnőttek)
- Vállalkozásként mindig figyeljünk oda, hogy milyen tartalmak kerülnek fel rólunk az internetre (gondoljunk a reputációnkra, amelynek örökre nyoma marad a világhálón)
- Kezeljük fenntartással a személyre szabott tartalmakat, melyeket kapunk
- Ha támadás érte vállalkozásunkat, menedzseljük az incidenst, kommunikáljunk róla megfelelően, használjunk ebben harcedzett szolgáltatót, valamint kövessük a biztonsági szabályzatban, eljárásban előre lefektetett protokollt