A mobileszközök a legsérülékenyebbek
Az internetes bűnözés konzervatív becslések szerint is évi 100 milliárd dolláros kárt okoz a világon és gyorsan terjed: például csak 2013 első negyedévében mintegy 113 ezer online banki felhasználót károsítottak meg rosszindulatú szoftverek (malware) segítségével. Világszerte a banki weboldalak 81 százaléka tartalmaz komoly sérülékenységet, a mobilalkalmazások többségével különösen könnyű visszaélni. A hazai trendek alapvetően a nemzetközi tendenciákat követhetik. Ez is oka annak, hogy egyre több hazai pénzintézet végeztet rendszeresen biztonsági auditokat. A tét óriási: az ügyfelek bizalmának fenntartása – figyelmeztet a BDO Magyarország IT Megoldások üzletága.
Magyarországon az online fizetési módok közül a banki átutalást a lakosság túlnyomó többsége biztonságosnak értékeli. A nemzetközi statisztikák szerint ugyanakkor az internetes csalások mintegy kétharmada pénzügyi műveletek érint: 33 százalékuk online fizetéskor (e-payment), 17 százalékuk online bankoláskor (e-banking), 13 százalékuk pedig online vásárláskor történik. Ráadásul az esetek 40 százalékában az áldozatok képtelenek megtéríttetni a kárukat.
Hogy a banki oldalak milyen módon válhatnak az internetes bűnözők terepévé, akkor az alábbi beszédes nemzetközi statisztikák adnak képet.
Különösen elgondolkodtató tény, hogy a támadások 96 százaléka nem komplikált támadás, illetve, hogy az incidensek többségét csak legalább egy hét elteltével, egy harmadik fél fedezte fel.
A bizalom fenntartásának számos eszköze van. Egyrészt a leggyakoribb típust jelentő behatolási (hacking) incidensek mintegy 90 százaléka soha nem kerül nyilvánosságra. Másrészt – és ez a hazai banki gyakorlatban mindenképpen pozitív vonás – a károk megtérítésében az itthoni bankok igen együttműködőek. Bár nincs erre vonatkozó magyar statisztika, a legalább részleges megtérítések aránya hazai viszonylatban kedvezőbb lehet a nemzetközileg kimutatott 59 százaléknál.
„A hosszú távon is eredményes stratégia azonban a probléma valódi okának megszüntetése, illetve reálisabb megközelítéssel annak minimalizálása lehet – magyarázza Miklós Márton, a BDO Magyarország IT Megoldások üzletágának ügyvezetője. – Ezt felismerve egyre több hazai pénzintézet vezet be többszintű biztonsági auditot, melynek során nem csak a külső, de a sok esetben annál is nagyobb veszélyt rejtő belső sérülékenységet is kiszűrhetik.”
A biztonsági auditok legjellemzőbb típusai
- A legegyszerűbb és egyben legolcsóbb eljárás a hálózat letapogatása (network scanning), amelyeket legjellemzőbb módon automatizált szoftvereszközök alkalmazásával végeznek.
- Szintén általános céllal, az adott rendszer kockázatainak felderítése érdekében zajlik a sérülékenység feltérképezése (vulnerability assessment), amelynek sikeressége nagyban függ attól, hogy mennyire széles spektrumot céloz meg. Ennek eredményeként születik meg a sérülékenységek kategorizált és minősített listája, amelynek alapján megkezdhető a kockázatok elhárítása. Ezt az auditot célszerű belső kiindulási ponttal is elvégezni: a rendszerek védelmi pontjairól ugyanis nagyon sok esetben kiderül, hogy csak a külső támadók távoltartására vannak felkészítve.
- A behatolási tesztek (penetration testing) során már egy tényleges cél elérése a feladat – például egy védett adatbázis kompromittálása, egy rendszerparaméter megváltoztatása vagy egy alrendszer feltörése. Az etikus hackerek abban tudnak segíteni, hogy a felfedezett sérülékenységeket maximálisan kihasználják, ennek során valamennyi, a valódi hackerek által is használt kreatív megoldásokat alkalmazva. Ilyen eszköz például a pszichológiai manipuláció (social engineering) is, melynek során jogosultsággal rendelkező személyektől igyekeznek bizalmas adatokhoz jutni, kihasználva azok gyanútlan segítőkészségét.
- A leghatékonyabb eljárás az egyes alkalmazások célzott biztonsági vizsgálata (Application security assesment), melynek során a konkrét, biztonságosnak tartott szoftverek mélyreható átvilágítása zajlik.
„Az idei évben az adatbiztonsági piacon új irányt figyelhetünk meg – hívja fel a figyelmet a BDO szakembere, Miklós Márton. – Míg korábban az adatszivárgást megakadályozó biztonsági rendszerek fejlesztése és alkalmazása volt a fő irány, ma a fókusz az adott alkalmazások, szoftverek biztonsági szintjének növelésére helyeződött át.”