Cyberbűnözés pandémia idején, és ami utána velünk marad

Budapest, 2021. február 23. – A megváltozott környezetünk egyik új kihívása a kibertérből érkező támadások számának növekedése. A rosszindulatú mozgások fokozódásával az online térben felértékelődött a kiberbiztonság, amelyről hasznos információkhoz juthattak vállalatvezetők és szakemberek a JVSZ Etikus Üzleti Magatartás Bizottságának támogatásával szervezett mini online konferencián.

A támadások jellemzően adathalász-kísérletek és rosszindulatú programok formájában jelentkeztek. A vállalatok szinte ugyanazokkal a kihívásokkal találják szembe magukat, mint az egyszerű felhasználók.

Nem tudunk eléggé éberek és naprakészek lenni. Kellő óvatosságra és elővigyázatosságra van szükség, különösen most, mikor rengetegen vannak home officeban – hívta fel a figyelmet Dr. Szent-Ivány Ágnes, a Sándor Szegedi Szent-Ivány Komáromi Eversheds Sutherland Ügyvédi Iroda vezetője és egyik alapító partnere, a JVSZ Etikai Bizottságának elnöke.

Cyberbűnözés és a home office

A cybertámadások összköltsége 2020-ban 945 milliárd dollárra emelkedett, a 2018-as 522 milliárd dollárról. Csak az adathalász támadások okozta globális veszteség naponta 7.569.000.000 forintra rúg. Minden 13. kattintás az interneten valamilyen kártékony oldalra megy, emellett az összes elküldött e-mail 55%-a spam. A cybertámadásokban a cégek 60%-a adatokat veszít. 2020 eleje óta több mint a hétszeresére nőtt a távoli elérési protokollok elleni támadás – mutatott be néhány számot Tanos Áron, a KPMG Cyber LAB operatív vezetője.

A hirtelen jött tömeges home office biztonsági kihívások elé állította a cégeket. Ezek lehetnek technikai kihívások (túl sok eszköz, nem megfelelő szoftverkörnyezet, nem megfelelő hálózati biztonság) és emberi hiányosságok (nem megfelelő jelszóhasználat, kártékony programok letöltése) is. Valódi veszélyt jelentenek az adathalász e-mailek, melyeket a tanuló algoritmusok, mint amilyen a deepfake, még inkább valósághűekké tehetnek a jövőben.

A funkcionalitás – hozzáférhetőség - biztonság hármasából sajnos nem lehet egyszerre mindhármat maximalizálni. Megoldást jelenthet a technikai kihívásokra az információbiztonsági előírások kialakítása, a végpontok védelme (vírusvédelem, friss szoftverek), a virtuális magánhálózat (VPN), a hálózati szintű hitelesítés (NLA) vagy a többfaktoros azonosítás. Az emberi hibák kiküszöbölésére a folyamatos oktatás, a biztonságtudatosság növelése és a támadásokat szimuláló gyakorlatok jelenthetnek megoldást.

Elektronikus csatornák kihívásai pandémia alatt

Az Erste Banknál napi szinten találkoznak azokkal a tranzakciókkal, amiket az ügyfelek Netbankon, Mobilbankon vagy bankkártyával bonyolítanak le. Eddig is voltak tapasztalatok az ügyfeleket érintő visszaélések tekintetében, de a PSD2-vel sokkal nagyobb rálátásunk lett – mondta Benyó Pál, Cyber Fraud Center vezető.  

Az elektronikus csatornák előtérbe kerültek a járvány idején, ami a kiberbűnözők számára is lehetőséget teremtett. A bankokat érintő adathalász támadások jellemzően, a banki ügyfeleket érintik, ennek megfelelően a bank nevében küldenek e-maileket, hogy a csalók az azonosításra használt adatokat megszerezzék. Az adathalász oldalak a böngészők címsávjából felismerhetők, még ha teljes grafikai egyezőséggel imitálják is a banki oldalakat és szolgáltatásokat. Az e-mailben található linken – fölé vitt egérrel – is látszik, hogy az nem a bank oldalára vezet.  

Amennyiben adathalászok megszereznek valamilyen adatot (teljes kártyaadat, Netbank felhasználónév vagy jelszó) mindenképp jelezni kell ezt a banknak. Az eltulajdonított adatok alapján a támadók jellemzően indítanak valamilyen tranzakciót, amiről az ügyfél SMS-ben értesítést kap (amennyiben ilyen szolgáltatással rendelkezik), ami már gyanúra adhat okot.  

A szakértő bemutatott néhány olyan csalástípust, mellyel pénzügyi csalás elkövetéséhez szükséges adatokat tudnak kicsalni. Ilyen az úgynevezett CEO fraud típusú csalás, az számlaszám eltereléses csalás, vagy a SIM-kártyához köthető csalás.  

Fontos, hogy az ügyfelek felismerjék a támadások intő jeleit! Mindig győződjünk meg a feladó valódiságáról, a weboldalak eredetiségéről (címsáv), ne engedjük, hogy siettessenek vagy távoli elérést szolgáló alkalmazást telepítésre kérjenek bennünket, továbbá mindig merjünk kérdezni és kérjünk segítséget!  

Cyberincidensek a gyakorlatban

Adatvédelmi oldalról járta körbe a problémát Dr. Márkus Fanni, a KPMG Legal Tóásó Ügyvédi iroda szakértője. Az adatvédelmi incidens definíció szerint a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Ide sorolható például a téves postázás, a dokumentum téves átadása vagy az adatbázisban tárolt adatok elvesztése.

Ilyen incidensek esetén követendő eljárásokról a GDPR rendelkezik, mellyel kapcsolatban ma már több elfogadott álláspont, ajánlás is létezik. Az észlelő köteles az észlelt eseményt bejelenteni az illetékesnek. A bejelentést az adatvédelmi tisztviselő pedig legkésőbb a tudomására jutástól számított 72 órán belül a NAIH felé is meg kell tennie.

A WP 29-es munkacsoporti ajánlás információbiztonsági elvek alapján határozza meg az incidenskezelés mikéntjét. Meg kell vizsgálni a kockázat bekövetkeztének valószínűségét és súlyosságát és ez alapján lehet eldönteni, hogy be kell-e jelenteni a NAIH felé az incidenst.

Nemrégiben az Európai Adatvédelmi Testület (EDPB) is kiadott egy iránymutatást, amely gyakorlati példákon keresztül mutat be incidenseket, ezek lehetséges megelőzését, és a bekövetkeztekor szükséges lépéseket.

Valamennyi adatkezelő cégnek ajánlott áttekintenie incidenskezelési folyamatait, és felülvizsgálnia azt, biztosítani a társaságon belüli bejelentési folyamatokat, teszteléseket lefolytatni, módszereket kialakítani az incidensek értékelésére vonatkozóan, a hatóság és az érintettek tájékoztatásának folyamatát megtervezni, hogy mindezzel ne terheljük a 72 órás határidőt.