„Az Anonymous hackercsoport hazai célpontok ellen indított támadásai az elmúlt hetekben ismét ráirányították a figyelmet a magyar adatbiztonsági helyzetre.
A BDO Magyarország 2011-ben is számos hazai IT-infrastruktúra átfogó belső és külső adatbiztonsági vizsgálatát végezte el kórházi hálózatoktól, közműcégeken keresztül, komplex kereskedelmi rendszerekig. A vizsgálatok alapvető tapasztalata az volt, hogy az általános hazai kibervédelem már közepes informatikai felkészültség mellett is kijátszható. A szakemberek szinte minden esetben 1-2 nap alatt triviális adatbiztonsági hibák kihasználásával hozzáférést tudtak szerezni teljes rendszerekhez.
„A legkülönbözőbb, sokszor alapvető adatbiztonsági hibákkal találkoztunk a tesztek során” – ismertette a tapasztalatokat Török Szilárd, a BDO Magyarország IT Megoldások üzletágának partner ügyvezetője. „A rendszergazdai jog megszerzéséhez sokszor elegendő volt azt kihasználni, hogy a rendszerek alapbeállításokkal futnak, és igen gyenge vagy triviális felhasználónév/jelszó páros társul hozzájuk. Máskor egy pénzügyi szervezet egy külső, védelem nélküli webszerverén találtunk olyan adatokat, amelyek alapvetően könnyítették meg a behatolást. A legriasztóbb az a tény, hogy a hackerek egyes közműcégek olyan vezérlő rendszerei felett is képesek átvenni az uralmat, amelyeken keresztül ártó szándékkal befolyásolható (esetenként leállítható) a fogyasztók ellátása, bizonyos esetekben a teljes rendszer visszafordíthatatlanul tönkretehető” – tette hozzá a szakember.
A hibák detektálása önmagában nem elegendő, azokat gyorsan ki is kell küszöbölni. A BDO IT Megoldások üzletágának ezzel kapcsolatban is negatívak a tapasztalatai. A cég az auditok során például feltárt egy olyan komoly védelmi hibát egy, a hazai bankok többsége által használt home banking rendszerben, amelyet már 2001-ben, tehát több mint tíz éve beazonosítottak.
Csak a törvényi kötelezés az igazán hatékony
Bár a pénzügyi szektorban tevékenykedő szervezetek IT infrastruktúráin is találhatók biztonsági rések, a törvényi előírások betartása érdekében mindenütt végrehajtották azokat az alapvető biztonsági fejlesztéseket, amelyek jelentősen csökkentik a kockázatokat.Az elmúlt években komplex, online kereskedelmi rendszerek tömege épült ki, ugyanakkor ezek biztonsági rendszerei korántsem fejlődtek a rajtuk keresztül lebonyolított forgalommal arányos módon. A BDO által végzett tesztek során külső behatolóként lehetséges volt hozzáférni bármely felhasználó kereskedelmi tételeihez, nevükben megrendeléseket leadni, stb…”
Forrás:
Gyenge lábakon áll a hazai adatbiztonság?, Kristóf Csaba, Computerworld, 2012. április 12.
