Képzeljen maga elé tíz magyarországi céget, a játék kedvéért akár el is kezdheti őket felírni, csak hagyjon egy kis helyet a sorok között. Könnyen megy, ha egyszerűen csak végiggondolja az elmúlt heteket: a fizikai bolt, ahol tegnap bevásárolt vacsorához; a webáruház, ahonnan múlt csütörtökön ruhát rendelt; aztán ott van az áramszolgáltatója, aminek köszönhetően most ezt a cikket egyáltalán el tudja olvasni. Ez eddig három, de lássuk csak: a bankja, az a hangulatos étterem három utcára, a sarki kávézó, az autószerelő műhelye, a fürdőszobaszalon – de jó is lenne a nagyobb kád, ha beférne –, az előfizetett online újság kiadója és a kedvenc könyvesbolthálózata.

Most minden cég neve mellé írja be, miket tudnak önről. Nevét, e-mail-címét, fizikai lakcímét, személyigazolványának számát, bankkártyájának adatait, az (akár több fiókban is használatos) jelszavát, érdeklődési körét, autójának típusát, kedvenc ételeit-italait, vágyait.

Miután megvan a tíz vállalat neve, és alapos végiggondolás után mindegyikhez beírt minden olyat, amit tudhatnak önről az egyes cégek, válasszon ki a tízből kettőt. Mindegy, melyiket, mehet betűrendben, rábökhet az első kettőre, vagy mindegyiknek dobhat kockával.

Most képzelje el, hogy a kiválasztott két vállalkozásnál tárolt adatai kikerülnek az internetre, névvel, címmel, minden egyes adatsor, könnyen beazonosíthatóan. És ezen a ponton vége van a játéknak, ez ugyanis már maga a valóság. Az lehet, hogy a véletlenszerű kiválasztásnál éppen „ártatlan” cégekre bökött, maga az arány viszont egészen biztos: Magyarországon az elmúlt évben minden ötödik céggel megesett zsarolóvírus-támadás, azaz tízből két vállalkozás adatait próbálták megszerezni.

Ezen a ponton érdemes tisztázni: miért érdekelje az ügyfelet, hogy egy cég üzletmenetébe valaki két hétre bekavar? A zsarolóvírus-támadás során a kiberbűnözők megszerzik a vállalkozás által tárolt adatok egy részét, előszeretettel az ügyfelekhez köthető adatokat. Hiszen pontosan tudják, hogy mennyire érzékeny téma ez: maguk az ügyfelek sem örülnek egy adatszivárgásnak, a hatóságok ceruzája pedig egyre vastagabban fog a büntetési tétel kiszabásakor. (Nagyon helyesen, hiszen az egyre több adat miatt egyre veszélyesebb azok szivárgása.) A bűnözők ilyenkor választás elé állítják a céget: ha kifizeti a váltságdíjat, akkor visszakapja az adatait, ha nem, akkor viszont vagy megsemmisítik az ügyféladatbázist, vagy ami sok esetben rosszabb, egyszerűen kiteszik az internetre. Ha a cég fizet is – amit egyébként a legtöbb szakértő arra hivatkozva nem tanácsol, hogy csak olaj lehet a tűzre –, azt már soha senki és semmi nem garantálja, hogy a bűnözők a megszerzett adatokkal később ne kezdenének valamihez. Például a váltságdíjat fizető cégnek történő visszaküldés mellett ne tegyék ki a dark web valamelyik jól fizető fórumába, ahol újabb milliókat kaszálhatnak így.

Így talán már érthető, miért tanulságos a magyarországi cégeknek és ügyfeleiknek egyaránt, hogy a vállalati támadások már régen nem csak a nagy multikat érintik. Az, hogy a hazai vállalkozások 20 százaléka érintett volt ilyesmiben 2023-ban, a Sophos által Magyarországon, Csehországban és Lengyelországban elvégzett regionális kutatásból derült ki. Ez a hazai adat egyébként csak a zsarolóvírus-támadásokat jelzi, tágabb értelemben vizsgálva Magyarországon minden negyedik cég szembesült valamiféle kibertámadással tavaly.

A kutatásból az is kiderült, hogy Csehországban és Lengyelországon a cégeknek több zsarolóvírusos támadást sikerül megállítaniuk, mint Magyarországon. Csehország esetében a támadások 48 százalékát akadályozták meg, míg Lengyelországon a kísérletek 67 százalékát. Magyarországon a rosszindulatú vírusokkal támadott cégek csupán 39 százalékánál sikerült időben visszaverni a támadást. Az esetek felében a bűnözőknek sikerült titkosítaniuk az adatokat, és minden tizedik incidensben hozzáférést szereztek hozzájuk.

A hazai vállalkozások 28 százaléka nyilatkozta, hogy bár még nem történt támadás, tudatában vannak annak, hogy ez előbb-utóbb megtörténhet. A Sophos szakértői szerint egyenesen „riasztó”, hogy a megkérdezettek 34 százaléka azt válaszolta, hogy cégük nem tapasztalt kibertámadást a múltban, és nem is gondolják, hogy a jövőben előfordulna.

A legerősebb technikai védelem csak annyira erős, mint a cégnél dolgozó legfigyelmetlenebb kolléga

A magyar cégek majdnem egyharmada az adathalászatot jelölte meg támadóeszközként. Ez egy olyan online csalás típusa, amely az e-mailen vagy SMS-en keresztül történő üzenetek tömeges terjesztésén alapul, amelyben a bűnöző más személynek vagy intézménynek adja ki magát, hogy bizalmas adatokat csikarjon ki. A vállalati operációs rendszerek biztonsági réseinek kudarca volt a támadások negyede (26%) mögött. Az egyéb okok között a magyar válaszadók az illegálisan megszerzett hitelesítő adatokat is megemlítik (22%). Egyéb esetekben a zsarolóvírus-támadások okát belső hibára vezették vissza. Ilyen lehet például, amikor a cég egyik munkatársa lop adatot.

„Az egyik kulcsfontosságú biztonsági intézkedés a cégek számára az oktatás. A munkatársaknak minél többet kell tudni a fenyegetésekről; arról, hogyan védhetik meg magukat; és hogyan vehetik észre az olyan jeleket, amik arra utalnak, hogy valami nincs rendben. Jó ötlet továbbá rendszeresen gyakorlatokat és támadásszimulációkat végezni, hogy mindenki tudja, mit kell tennie egy incidens esetén” – fűzte hozzá a számokhoz Chester Wisniewski, a Sophos technológiai vezetője.

Korábban a BellResearch kutatásából derült ki, hogy magyar cégek 90 százalékánál gondolkodnak úgy, ha megvédik az informatikai eszközeiket, azzal az adatok védelme is megoldott. Ez hamis biztonságérzet: hiába véd tűzfal egy gépet, amin ott az adatbázis, ha a gép előtt ülő felhasználó leokéz olyan kérdéseket, vagy átverős e-mailre kiad olyan adatokat, amiket nem kellene. Az elemzés szerint ez egyáltalán nem mellékes tényező: a sikeres kibertámadások 82 százalékában játszik szerepet az emberi tényező.

Az év kulcsszava a NIS2

Az idei év érezhető változást hoz. Már hatályba lépett, hamarosan élesedik is a felülvizsgált uniós kibervédelmi irányelv, a NIS2, amely itthon több ezer vállalkozás és munkavállalóik mindennapjait érinti. Tennivaló már most is akad vele. 2024. október 18-án indul EU-szerte a felügyeleti és ellenőrzési tevékenység. 

A cégeknek év végéig (december 31-ig) kell szerződést kötniük olyan auditorral, amely átvilágítja a kiberbiztonsággal kapcsolatos tevékenységüket. Majd 2025. december 31-ig kell lefolytatni az első kiberbiztonsági auditot.

Az új szabályozás a gyakorlatban egy újabb munkahelyi képzést tesz kötelezővé, azaz a jelenléti ív és a tűzvédelmi oktatás mellé jön még egy „lepapírozandó” dolog, de a kibervédelmi oktatást érdemes lesz még azoknál is komolyabban venni. Elkönnyelműsködni nem érdemes a dolgot: egy kiberbiztonsági incidens után a hatóság bekérheti az oktatott anyagot is, hogy kiderüljön, miként készítette fel a vállalat a dolgozóit. Azaz tisztában lehettek-e legalább elméletben a munkavállalók a tőlük elvárt tudatosság mértékével, nem azért jártak-e sikerrel a kiberbűnözők, mert a cég nem készítette fel rendesen a dolgozókat.

Hogy az edukációra mekkora szükség van, azt jól mutatja, hogy a Mastercard adatai szerint a magyarok fele egyszerűen nem tudja, hogy kibertámadás során mit tegyen.

Ha egy hatósági ellenőrzés során a cég nem felel meg a kibervédelmi előírásoknak – ez a munkatársak felkészítése mellett például kibervédelmi szabályokat és egy esetleges incidens esetében érvényes forgatókönyvet is jelent –, jelentős bírságot kaphat. A kiemelten kockázatos kategóriába sorolt szervezetek esetében az előző pénzügyi év globális forgalmának 2 százaléka lehet a büntetés, akár akár 10 millió euró. A kockázatos kategóriába szervezeteknél az előző pénzügyi év globális forgalmának 1,4 százaléka, akár 7 millió euró a büntetési tétel.És persze nem árt fejben tartani: a NIS2 mellett a jó öreg GDPR ugyanúgy érvényben marad.