A modern technológia és a társadalom állandó kapcsolata az internettel minden eddiginél több kreativitást tesz lehetővé az üzleti életben – beleértve a feketepiacot is. A kiberbűnözők óvatosan fedeznek fel új módszereket arra, hogy megcsapolják a világ legérzékenyebb hálózatait. Az üzleti adatok védelme egyre nagyobb kihívást jelent, de a tudatosság az első lépés. Íme az információbiztonságot napjainkban fenyegető 10 legnagyobb veszély:
Gyenge biztonságú technológia – Naponta jelennek meg új technológiák. Többször előfordul, hogy az új kütyük valamilyen formában rendelkeznek internet-hozzáféréssel, de nincs biztonsági tervük. Ez nagyon komoly kockázatot jelent – minden egyes nem biztonságos kapcsolat sebezhetőséget jelent. A technológia gyors fejlődése az innovátorok érdeme, a biztonság azonban súlyosan lemarad1.
Social Media Attacks – A kiberbűnözők a közösségi médiát használják fel médiumként egy komplex földrajzi támadás, az úgynevezett “water holing” terjesztésére. A támadók azonosítják és megfertőzik azon weboldalak egy csoportját, amelyekről úgy vélik, hogy a megcélzott szervezet tagjai meglátogatják őket2.
Mobil malware – A biztonsági szakértők már az internethez való kapcsolódásuk korai szakaszától kezdve kockázatot látnak a mobileszközök biztonságában. A közelmúltban elkövetett támadások hosszú listáján szereplő minimális mobil kártevők miatt a felhasználók sokkal kevésbé aggódnak, mint kellene. Figyelembe véve kultúránk törhetetlen függőségét a mobiltelefonoktól és azt, hogy a kiberbűnözők milyen kevéssé vették célba őket, ez katasztrofális fenyegetést jelent.
Harmadik fél belépése – A kiberbűnözők a legkisebb ellenállás útját részesítik előnyben. A Target a harmadik féltől származó belépési pontokon keresztül végrehajtott jelentős hálózati támadások példaképe. A globális kiskereskedő HVAC-szolgáltatója volt az a szerencsétlen vállalkozó, akinek a hitelesítő adatait ellopták, és 70 millió ügyfél pénzügyi adatkészletének ellopására használták3.
A megfelelő konfiguráció elhanyagolása – A nagy adatszolgáltató eszközök a szervezet igényeinek megfelelően testre szabhatók. A vállalatok továbbra is elhanyagolják a biztonsági beállítások megfelelő konfigurálásának fontosságát. A New York Times nemrégiben adatszivárgás áldozatává vált, mivel a szervezet információinak teljes körű védelméhez szükséges számos kritikus funkció közül csak egyet engedélyezett4.
A biztonsági szoftverek elavultsága – A biztonsági szoftverek frissítése alapvető technológiairányítási gyakorlat és a nagy adatok védelmének kötelező lépése. A szoftvereket az ismert fenyegetések elleni védelemre fejlesztik ki. Ez azt jelenti, hogy minden új rosszindulatú kód, amely a biztonsági szoftver elavult verzióját éri, észrevétlen marad.
Social Engineering – A kiberbűnözők tudják, hogy a behatolási technikáknak van egy szavatossági ideje. Olyan megbízható, nem technikai módszerekhez fordultak, mint a social engineering, amelyek a társadalmi interakciókra és a pszichológiai manipulációra támaszkodnak a bizalmas adatokhoz való hozzáférés megszerzéséhez. A behatolásnak ez a formája kiszámíthatatlan és hatékony.
Titkosítás hiánya – Az érzékeny üzleti adatok szállítás közbeni és nyugalmi védelme olyan intézkedés, amelyet hatékonysága ellenére még kevés iparágban alkalmaznak. Az egészségügyi ágazat rendkívül érzékeny adatokat kezel, és tisztában van azok elvesztésének súlyosságával – ezért a HIPAA-megfelelőség megköveteli, hogy minden számítógépet titkosítani kell.
Vállalati adatok személyes eszközökön – Függetlenül attól, hogy egy szervezet vállalati telefonokat forgalmaz-e vagy sem, a bizalmas adatokhoz a személyes eszközökön is hozzáférnek. Léteznek mobilkezelő eszközök a funkciók korlátozására, de a kiskapuk biztosítása sok szervezetnél nem került fel a prioritási listára.
Nem megfelelő biztonsági technológia – A hálózat biztonságát felügyelő szoftverekbe való befektetés egyre növekvő trenddé vált a vállalati térben a 2014-es fájdalmas adatbetörések után. A szoftvereket úgy tervezték, hogy riasztásokat küldjenek, ha behatolási kísérlet történik, azonban a riasztások csak akkor értékesek, ha valaki rendelkezésre áll, hogy foglalkozzon velük. A vállalatok túlságosan is a technológiára hagyatkoznak a támadások elleni teljes körű védelemben, holott annak egy kezelt eszköznek kellene lennie.
A Georgetown University online Master’s in Technology Management programjáról többet megtudhat, kérjen további információt, vagy lépjen kapcsolatba egy felvételi képviselővel a (202) 687-8888-as telefonszámon.
Források
1Ten Napel, Novealthy, Mano. “Wearables and Quantified Self Demand Security-First Design”. Wired.com. Conde Nast Digital, 2015. Web. 12 Sept. 2015.
2Sterling, Bruce. “Spear-phishing és Water-holing”. Wired.com. Conde Nast Digital, 2012. október 10. Web. 12 Sept. 2015.
3Krebs, Brian. “A Target betörés, számok szerint”. Krebs on Security RSS. Krebs on Security, 2014. május 14. Web. 12 Sept. 2015.
4 “Cybersecurity Lessons from the New York Times Security Breach”. GovDefenders. DLT Solutions, 2013. Web. 12 Sept. 2015.