Kibertámadás után: Ki fizeti a számlát?

Míg 25 éve még leginkább csak az informatikával játszadozó fiatalok “csínytevése” volt, ma már gyakran a cégek létét veszélyeztetik a kibertámadások. Ezek rontják a megtámadott cégek hírnevét, hitelét, de gyakran a működésüket is megbénítják.

A zsarolóvírusok, adatszivárgások, DDoS-támadások vagy épp célzott adathalászatok által okozott anyagi kár évente a százmilliárd dolláros nagyságrendet is eléri, ráadásul ezek a számok évről évre nőnek.

Ki fizeti meg a kibertámadások okozta kárt?

Mi történik akkor, amikor bekövetkezik a baj? Ki fizeti a helyreállítást, a bírságokat, a reputációvesztés következményeit, árbevétel-kiesést vagy éppen az ügyféladatok pótlásának költségeit? A biztosító? A vállalat? A munkavállaló? Netán végső soron a fogyasztó?

A kérdés megválaszolása minden felelős cégvezető és CIO számára kulcsfontosságú.

A legtöbb kibertámadás emberi hiba következménye

A Littlefish elemzése szerint a kibertámadások 95%-a emberi hibából következik be. Ez lehet egy óvatlanul megnyitott e-mail csatolmány, egy új jelszó megosztása vagy épp a kétfaktoros hitelesítés elmulasztása.

A probléma gyökere sokszor nem is a rosszindulat, hanem az információhiány. A munkavállalók jellemzően nincsenek tisztában azzal, hogy akár már egyetlen rossz kattintással is több millió forintos kárt okozhatnak.

Munkavállaló vs. munkáltató: mikor ki fizet?

A magyar munkajog – a Munka Törvénykönyve – világosan szabályozza, hogy a munkavállaló csak szándékos vagy súlyosan gondatlan magatartása esetén felel a munkáltatónak okozott teljes kárért. Egy figyelmetlenségből bekövetkező adatszivárgás esetén tehát jó eséllyel nem a dolgozónak, hanem a munkáltatónak kell viselnie a kárt.

Súlyos gondatlanságnak minősül viszont az, ha egy munkavállaló többszöri figyelmeztetés ellenére továbbra is személyes eszközön, védelem nélkül végzi a céges levelezést, mások számára is elérhetően tárolja a jelszavait,  vagyis szándékosan figyelmen kívül hagyja az IT-szabályzatot.

De még ilyen esetben is ritka, hogy egy céges káresemény után bepereljék a dolgozót, hiszen a reputációs kockázat és a munkáltatói felelősségvállalás általában erősebb szempont.

Biztosítás biztonság?

Fizet a biztosító? Igen – néha.

Egyre több vállalat rendelkezik úgynevezett kiber kockázati biztosítással (kiberbiztosítással), ami megtéríti a támadás következtében felmerülő:

  • rendszerhelyreállítási költségeket,
  • jogi költségeket,
  • adatvédelmi bírságokat,
  • ügyféltájékoztatási kiadásokat,
  • vagy épp a zsarolóvírusos váltságdíjat.

A gond csak az, hogy a biztosítók egyre szigorúbb feltételekhez kötik a kifizetést. A legtöbb kárigényt ugyanis elutasítják, ha bebizonyosodik, hogy a vállalat nem tartotta be az alapvető kiberbiztonsági protokollokat – például nem volt rendszeres biztonsági oktatás, nem frissítették időben a szoftvereket vagy nem alkalmaztak többfaktoros hitelesítést.

Ráadásul a hagyományos vállalati felelősségbiztosítás általában nem fedezi a kibertámadások következményeit – ezek külön biztosítási konstrukciókhoz kötöttek.

Mi történik, ha senki sem fizet?

Egy 2023-as IBM tanulmány szerint a kibertámadások okozta károk költségének döntő részét – közvetve vagy közvetlenül – végül a fogyasztók fizetik meg.

Hogyan?

  • Áremeléseken keresztül,
  • Lassabb ügyintézéssel,
  • Romló szolgáltatási színvonallal,
  • Akár személyes adatvesztés formájában.

A vállalat tehát nemcsak saját eredményességét veszélyezteti, ha nem fordít figyelmet a kiberbiztonságra, hanem ügyfelei bizalmát is – ami sok esetben még nagyobb veszteség.

Mennyibe kerül egy támadás?

A GetAstra kutatása alapján egy sikeres kibertámadás átlagosan 200 000 dollárba kerül egy középvállalatnak – de ez az összeg könnyen a milliós tartományba emelkedhet, ha adatvédelmi bírságról, GDPR-ről vagy hosszabb leállásról van szó.

A legtöbb cég azonban még mindig nincs felkészülve egy ilyen helyzetre: nincs incidenskezelési terv, nincsenek biztonságtudatosított kollégák, és a vezetők is gyakran csak a támadás után keresnek megoldást.

Mit tehet a vezető?

1. Tudatosítsa a felelősséget: A kiberbiztonság nem csak az IT-osztály dolga. A hibák többsége az emberi tényezőre vezethető vissza, így minden kolléga bevonása elengedhetetlen.

2. Képezze a csapatot: Évente legalább egyszer legyen kötelező kiberbiztonsági tréning. A social engineering támadások, adathalász e-mailek és jelszókezelés alapjai mindenki számára érthető formában taníthatók.

3. Vizsgálja felül a biztosítási hátteret: Ellenőrizze, hogy a meglévő biztosítás valóban fedezi-e a digitális kockázatokat – ha nem, keressen kiberspecifikus konstrukciót.

4. Dolgozzon ki incidenskezelési tervet: Mit tesz a cég egy támadás első 24 órájában? Ki dönt? Hogyan kommunikálnak az ügyfelekkel? Ezek a kérdések ne a támadás napján merüljenek fel először.

5. Kérjen auditot: Egy független kiberbiztonsági audit feltárhatja a rejtett gyenge pontokat – és megelőzheti a nagyobb bajt.

Büntetés elmaradt megelőzés miatt

A NIS2 bevezetése új megközelítést hozott. Eszerint a Hatóság (Magyarországon a Szabályozott Tevékenységek Felügyeleti Hatósága)

Bírságolhatja a szervezetet: bírságot szabhat ki, ha a az nem teljesíti az NIS2 szerinti kötelezettségeit (pl. kockázatkezelés, incidensjelentés, auditálás). Ennek a bírságnak a mértéke elérheti a 10 millió eurót / az éves árbevétel 2%-át, ami komoly elrettentő erővel bírhat,

  • Bírságolhatja a vezető tisztviselőket (egyéni felelősség), ha a vezető nem gondoskodik a megfelelő kiberbiztonsági intézkedésekről. Akár személyes felelősségre vonás is lehetséges. (Ez akár büntetőjogi következményeket is vonhat maga után, ha súlyos gondatlanság vagy szándékos mulasztás áll fenn  – pl. ha tudatosan nem jelentettek egy súlyos incidenst).
  • Bírságolhatja a külső szolgáltatók (pl. IT-szolgáltatók, MSSP-k):
  • Ha a szolgáltató hibájából következik be a támadás vagy a szabályozás megsértése, szerződéses és polgári jogi felelősség is felmerülhet.

Mindezek csak az NIS2 törvényeben megnevezett, a szabályozás alá tartozó szervezetekre vonatkoznak.

Összefoglalás: Aki nem fizet megelőzésre, az fizet majd a károkra

A kibertámadások nem a jövő problémái – már rég itt vannak. A kérdés nem az, hogy lesz-e támadás, hanem az, hogy mikor, és hogy a cég felkészült-e rá.

Aki most nem ruház be a megelőzésbe – oktatásba, biztosításba, protokollokba –, az nagy valószínűséggel a sokszorosát fogja fizetni utólag.

Gyakran Ismételt Kérdések a kibertámadások okozta károk megtérítéséről

Kinek a felelőssége, ha egy kolléga hibájából történik kibertámadás?

A legtöbb esetben a munkáltató felel a munkavállaló hibájáért – kivéve, ha a dolgozó szándékosan vagy súlyosan gondatlanul járt el. Magyar jog szerint a munkavállaló csak ilyen esetben köteles megtéríteni a teljes kárt. Ezért kulcsfontosságú a világos belső szabályozás és a rendszeres biztonságtudatossági képzés.

Milyen esetekben téríti meg a biztosító a kibertámadás okozta kárt?

A kiberbiztosítás csak akkor fizet, ha a vállalat betartotta a szerződésben meghatározott minimális biztonsági követelményeket – például voltak frissítések, mentések, oktatások és incidenskezelési terv. Ha ezek hiányoznak, vagy az emberi hiba egyértelműen elkerülhető lett volna, a biztosító elutasíthatja a kártérítést.

Milyen kárt okozhat egy kibertámadás egy magyar középvállalatnál?

Egy sikeres támadás akár több tízmillió forintos veszteséget is okozhat. Ide tartozik az IT-rendszer helyreállítása, az esetleges bírságok (pl. GDPR), a kieső árbevétel, valamint az ügyfelek elvesztése. A nemzetközi átlag 200 000 dollár körül mozog – hazai környezetben ez reális veszteség lehet.

A vállalati felelősségbiztosítás is fedezi a kibertámadás okozta károkat?

Nem feltétlenül. A hagyományos vállalati felelősségbiztosítás nem minden esetben terjed ki kibertámadásokra. Erre külön kiberbiztonsági kiegészítő biztosítást vagy dedikált kiberbiztosítást kell kötni. Fontos, hogy a fedezeti kör és a kizárások pontosan ismertek legyenek.

Meg lehet előzni a kibertámadások többségét?

Igen, a támadások több mint 90%-a megelőzhető lenne megfelelő biztonsági intézkedésekkel és képzéssel. A legnagyobb gyengeség továbbra is az emberi tényező: jelszókezelési hibák, óvatlan kattintások, tudáshiány. A technikai védelem mellett az oktatás és a tudatosítás a legjobb befektetés.

A kiberbiztonsági tudatosság nélkül nincs védekezés

A napokban levelet kaptam a bankomtól. A borítékban egy hűtőmágnes volt, amin az állt, hogy legyünk óvatosak, ha online vagy telefonon bankszámlánkkal kapcsolatban keresnének. A mutatós hűtőmágnes mellett volt még egy levél is, ami csupa átverős (rém)történetet tartalmazott. Veszélyes időket élünk.

Az ember a leggyengébb láncszem

Rég elmúltak azok az idők, amikor a hackerek még unatkozó fiatalok voltak, akik azon versengtek, ki tud nagyobb, ismertebb cég rendszereibe bejutni. Akiket ma hackereknek becézünk, jellemzően kiberbűnözők, akik kárt akarnak okozni vagy adatokat akarnak lopni, zsarolni próbálják az áldozatokat. Az IT biztonsággal foglalkozó szakemberek sokáig kizárólag az informatikai rendszerek védelmére összpontosítottak. A támadások detektálása és meghiúsítása egyre komolyabb erőforrásokat emészt fel. Hiába azonban a legkorszerűbb védekezés, ha a felhaszálókban, a vállalat dolgozóiban nincs meg a kiberbiztonsági tudatosság.

A felhasználói viselkedés gyenge pontjai

A mai csalók mindig alaposan tanulmányozzák az emberi viselkedést, és annak gyenge pontjait használják ki a támadásaikhoz. Az offline világban a hagyományos  csalások mindig is az emberek manipulálhatóságán alapultak. Amikor azonban a számítógépek is bekerültek a képbe, a csalási potenciál hatványozódott. Ahhoz, hogy a számítógépek tömegesen használhatók legyenek az emberek számára, feltalálták az ember-számítógép interakció (Human-Computer-Interface – HCI) tudományágát. Az olyan cégek, mint az SRI International – az egér feltalálója -, olyan módokat nyitottak meg a számítógépekkel való interakcióra, amelyek az emberi viselkedést szorosan összekötötték a számítógép működésével. A HCI-kutatás a számítástechnika, a kognitív tudományok és az emberi tényezők (UX) egyesítését jelentette.

A HCI létfontosságú volt a számítástechnika humanizálásában, mivel lehetővé tette, hogy a kezelő (az ember) természetesebb élményt szerezzen a számítógép használata során, ami zökkenőmentesebb működést tesz lehetővé. Idővel azonban az ember és a számítógép közötti szoros kapcsolat a kiberbűnözés nyitott kapujává vált. Ahogy a HCI fejlődött – és ahogy az UI mérnökök olyan szintre emelték a felhasználói élményt, ahol a számítógépes felülettel való interakció szinte automatikus lett -, a felhasználó rosszindulatú manipulálása is egyszerűbbé vált.

Az emberi viselkedés: mi késztet minket kattintásra?

Az informatikai eszközök használatához bizonyos viselkedésformákat is elsajátítunk. A jobb felhasználói élmény kialakítása az informatika egyik olyan területe, ami olyan rendszerek tervezésén alapul, amelyek természetes viselkedéseket használnak, vagy amelyek elkerülik az olyan interakciókat, amelyek új viselkedéseket kell, hogy létrehozzanak. A számítógépek használata bizonyos megtanult viselkedésformáktól függ, például attól, hogy egy linkre kattintva megnyílik egy új weboldal. 

A felhasználói élmény (UX), a felhasználói utak és a felhasználói felület tervezése az ilyen viselkedéses kondicionálásra épül. Célja, hogy a technológia használatát könnyebbé és intuitívabbá tegyék. A UX-tervezők a pavlovi kondicionálás módszerét használják a felhasználói viselkedésminták kialakítására. Erre példa a visszajelzési mechanizmusok használata, például a linkek és gombok színének megváltoztatása a kattintás hatására.

A legtöbb számítógépes feladat fárasztó és repetitív. A berögzült automatikus kattintások segítik  a számítógépek intuitív használatát, ugyanakkor ezt használja ki a csalások többsége is. A nagy mennyiségű  beérkező információ miatt gyakran automatikussá válik a kattintás, ami megnehezíti azok alapos ellenőrzését; az időhiánnyal küzdő alkalmazottak a rendszeres feladatokhoz kapcsolódóan gondolkodás nélküli, a tanult viselkedésminták alapján nyithatnak meg egy emailt vagy kattintanak a linkekre. Ez a kondicionált viselkedés a kiberbűnözők álma. Ők az UI tervezőkhöz hasonlóan ugyanezt a pszichológiai kondicionálást használják ki, hogy a felhasználók az adathalász emailben automatikusan rákattintsanak egy linkre.

Viselkedésalapú kiberbiztonság

Ha a kiberbűnözők a pszichológia felé fordultak, a kibervédelemnek is ezeket az eszközöket kell használnia. Az új módszer a a viselkedéstudományt ötvözi a kiberbiztonsággal. Azt az elképzelést, hogy a humán tényezőt kell a kibervédelem középpontjába állítani, visszaigazolta a kiberbűnözők gyakorlata.

A pszichológia és a viselkedéstudomány széleskörűen elismert tudományos alapelveket kínál, amelyek alkalmazhatók a kiberbiztonsági tudatossági programokban, valamint a kibertámadásokkal szembeni intézkedések megtervezésében és kidolgozásában. E tudományágak egyesítésével a viselkedésalapú kiberbiztonság új területe jött létre. A viselkedéstudomány megkönnyíti a kockázatnak a viselkedéshez való hozzárendelését, és a különböző típusú alkalmazottak kockázatértékelésének megértését. Az eredmény a kiberbiztonság emberközpontú szemlélete, a viselkedésalapú kiberbiztonság.

Viselkedésalapú kiberbiztonsági és tudatossági programok

A kiberbűnözők pszichológia módszereinek kivédéséhez feltétlenül szükséges azok felismerése.
A korszerű kiberbiztonsági képzés fontos része a kiberbiztonsági tudatossági program, ami a legfontosabb pszichológiai alapelvekre épül.

Ezeknek a tréningeknek a legfőbb feladata, hogy a résztvevők elsajátítsák a kritikai gondolkodást, felismerjék a veszélyre figyelmeztető jeleket, képesek legyenek a betanult, automatikus működést tudatos gondolkodásra váltani.

IT security képzés – nem csak informatikusoknak

A Panor IT security képzése felkészíti kollégáit a kibertámadásokra. Megismerik ezek leggyakoribb formáit:

  • a social engineeringet – a manipuláción alapuló csalásokat
  • a malewareket
  • a zsarolóvírusokat
  • a jelszólopást

A képzést elvégzők a korábbinál könnyebben, hamarabb felismerik a kiberfenyegetéseket, jobban reagálnak rájuk, így biztonságosabbá válik saját és környezetük munkája.

Hogyan növelhető az email biztonság?

leadkép e-mail higiénia

Ma már az iMesage-től a Messengerig, a WhatsApptól a Signalig rengeteg online kommunikációs csatorna áll rendelkezésünkre, de az üzleti levelezés, külső és belső információk megosztásának legfontosabb eszköze még mindig az emal. Az elektronikus levelezés meglepően régi találmány, de használata igazából csak a 21. század első éveiben vált általánossá.

Régóta tudjuk, hogy ahol sokan megfordulnak, ott hamarosan megjelennek a bűnözők is. Nincs ez másképpen az online világban sem. Mára a spamelők, adathalászok, vírusterjesztők, zsarolóvírus-gyártók tömegesen fenyegetik az emailek biztonságát.

Fontos a felhasználói kultúra

Az email megjelenése és tömeges elterjedése óta több generáció is felnőtt, de még ma is csak kevesen tudják igazán, hogyan kell ez emailt használni. Az inkább csak bosszantó, hogy sokan nem ismerik a CC vagy a BCC címzés használatát, nem képesek megkülönböztetni az email üzenetet a történelmi regénytől, de az igazán nagy bajok az alapvető biztonsági követelmények mellőzésével történnek.

képregény

Email higiénia: alapvető követelmények

Az email higiénia, vagyis az email biztonsággal kapcsolatos legfontosabb tudnivalók röviden így foglalhatók össze: biztonságos jelszó, a spammerek kerülése és a túl szépnek tűnő ígéretek fenntartásokkal való kezelése. (Az utóbbihoz kategóriához tartozik az emailekben szereplő linkekkel és csatolmányokkal kapcsolatos fokozott óvatosság is.)

Biztonságos jelszavak

Érthető törekvés, hogy az emberek egyszerű, könnyen megjegyezhető jelszóval próbálják megúszni az azonosítást. Sajnos ez nem működik. Szakértők szerint a véletlenszerűen generált (kis- és nagybetűket, számokat és speciális karaktereket tartalmazó) legalább 14 karakter hosszú jelszavak csak a biztonságosak. Ezeket azután rendszeresen frissíteni kell, a korábbi jelszavak “újrahasznosítása” tilos!

Több faktoros azonosítás

Bár az MFA, illetve a 2FA (kétfaktoros azonosítás) sokáig jó megoldásnak tűntek, a Gmail fiókok elleni legújabb tömeges hackertámadás (a 2FA védelem megkerülése) is bizonyítja, hogy még ez, a sokáig bombabiztosnak tűnő módszer sem nyújt tökéletes védelmet a kiberbűnözők ellen. 

Az adathalász levelek felismerése

Egyre gyakoribbak “hivatalosnak” tűnő, látszólag pénzintézettől, adóhatóságtól vagy futárcégtől, valójában adathalászoktól érkező levelek. Megfelelő tréninggel, kis gyakorlattal ezek könnyen felismerhetők.

Linkek és csatolmányok óvatos kezelése

Az emailekben található linkek adathalász oldalakra vezethetnek, az ismeretlen eredetű csatolmányok pedig maleware-t tartalmazhatnak. Érdemes háromszor is meggondolni, hova kattintunk. Egy felelőtlen kattintás akár egy egész vállalati rendszert is megfertőzhet.

Email biztonság gépi segítséggel

Az e-mail higiénia megfelelő szoftverekkel is támogatható. A bejövő és kimenő e-mailek ellenőrzése, szűrése és biztonságos kezelése révén minimalizáljuk a fenyegetések lehetőségét. Ennek része az emailek hitelességének ellenőrzése, az ártalmas tartalmak szűrése. A Panor a Cisco, a Fortinet és a Microsoft erre a feladatkörre szakosodott szoftverei segítségével teszi biztonságosabbá a céges emailezést. Ezek integrált védelmet nyújtó megoldások a legújabb technológiákra építenek, mint például a gépi tanulás, a mesterséges intelligencia és a felhő alapú szolgáltatások.

A biztonságos emailezés tanulható

A jól megválasztott szoftverek biztonságosabbá eszik az emailezést, de nem védenek meg minden veszélytől. Fontos felhívni a kollégák figyelmét az emailezés veszélyeire, de a tapasztalat azt mutatja, hogy ez nem elég. Meggyőződésünk, hogy a kibertámadások kivédése nem kizárólag az IT-biztonsággal foglalkozó szakemberek feladata. A dolgozók képzése, a veszélyek tudatosítása és az alapvető védekezési / elkerülési stratégiák megtanulása bizonyítottan komoly eredményekkel jár.Te melyik jelszókezelőt használod?
Feleslegesek. Egy Post-ittel kiragasztom a monitorom szélére