Nézze meg a sporthíreket is
Iratkozzon fel hírlevelünkre Nézze meg a sporthíreket is
Csatlakozzon hozzánk közösségi oldalainkon is!
Nagyon alacsony szintű a magyar cégek fenyegetettségtudata. A KPMG számos hazai nagyvállalat, köztük bizalmas adatokat kezelő pénzintézetek és mobilcégek megbízásából végzett behatolási kísérleteket, és az esetek döntő többségében több egyszerű módszerrel is sikerrel járt.
"Eddigi munkáink során nem találtunk olyan magyarországi céget, ahová ne tudtunk volna személyesen bejutni anélkül, hogy azonosítottuk volna magunkat" - idézi a KPMG közleménye Sallai Györgyöt, a tanácsadócég social engineering-vizsgálatokat végző üzletágának vezetőjét. A social engineering-vizsgálat az a módszer, amellyel a cégvezetők felmérhetik, hogy vállalatuk biztonsági rendszerei hogyan működnek.
"Magyarországon nagyon rosszul" - összegzi a tapasztalatokat Sallai György. Még az azonosítás utáni bejutással is vannak gondok: a belépőkártyát minden esetben sikerült elhozni a cégektől, és soha nem fordult elő, hogy egy héttel később ugyanazzal a kártyával ne lehetett volna bejutni az épületbe.
A teszteket végző munkatársak a szemetesekben mindig találtak bizalmasnak minősülő iratokat, sőt az esetek 80 százalékában más úton is hozzájutottak ilyenekhez. Tízből kilenc esetben sikerült működő mobileszközt elhelyezniük az épületben, és minden másodikkal sikerült is rácsatlakozni a belső hálózatra.
Az alkalmazottak sem vizsgáztak jól a külső megkeresések alkalmával. "Mobilszámokat szinte mindig sikerült némi telefonálgatás útján megszereznünk, és az esetek 40 százalékában elértük, hogy valaki bizalmas dokumentumot küldjön külső e-mail-címre". Ráadásul a hívások egyötöde során ki lehetett csalni valakinek a hálózati jelszavát.
Ennél is súlyosabb problémákat jelez, hogy a kívülről bejuttatott, és tárgyalókban, itt-ott "véletlenül" elhagyott adathordozók (CD, pendrive) felét csatlakoztatják a rendszerhez a megtalálók. A postán, személyre szabottan beküldötteknél pedig a csatlakoztatási arány 80 százalékos. "Márpedig ezeken bármilyen kémszoftver lehetne, sőt volt is, hiszen innen tudjuk, hogy melyiket hányszor alkalmazták" - mondja Sallai György.
A KPMG nemzetközi felmérése szerint a social engineering és az adathalász jellegű támadások 2012-ben a cégeket világszerte elérő külső támadásoknak 1-1 százalékát tették ki. Ilyenkor főként bankkártyaadatokat, illetve felhasználóneveket és jelszavakat próbálnak megszerezni, amelyekkel azután újabb visszaéléseket lehet kívülről elkövetni.