A Jó, a Rossz és a Csúf

 Avagy a típikus munkavállalói visszaélések példái

Vajon mi járhatott annak a pénzügyi vezetőnek a fejében, aki „véletlenül” csalóknak utalt el 37 millió amerikai dollárt? Mivel fogja megmagyarázni tévedését a board meetingen?

Ahogy a digitalizáció felpörgette az üzletmenetet, vele párhuzamosan emelkedett a potenciális kockázatoknak a száma. Legyen szó emberi hanyagságról, biztonsági kontrol-folyamatok hiányáról, képzetlenségről vagy szándékosságról elegendő egy rossz kattintás, egy jól megfogalmazott scam/phishing levél és a kiberbűnözők már dörzsölik is a tenyerüket és költik a pénzünket.

Hátborzongató belegondolni mennyi pénzt költünk el biztonsági eszközökre, személyzetre azért, hogy a technológiai fenyegetéseket megelőzzük és mindeközben elég egy felmondási idejét töltő sértett munkavállaló, egy megzsarolt, lefizetett partner vagy egy felületes munkatárs és máris 37 millió dollárral kevesebb van a vállalati folyószámlán.

Nesze neked incidens response, sandboxing, titkosítás és sorolhatnánk.

Ismerkedjünk meg közelebbről az emberi kockázatokkal néhány frissen napvilágot látott példán keresztül, amelyek olyan nagyvállalatoknál történtek meg, amelyek sok tapasztalattal, sok biztonsági technológiával és szakértővel rendelkeznek és mégis megbotlottak!

1.    A Jó: Az óvatlan munkavállaló, aki hibázik

• Az első eset még 10 évvel ezelőtt történt, de csak most került nyilvánosságra: a Toyota európai részlegének egyik pénzügyi vezetőjét találták meg csalók, akik scam üzenet segítségével csalták lépre a figyelmetlen vezetőt. A scam email-ek a spam-ek kategóriájába tartoznak, azonban a gyanútlan felhasználót úgy próbálják megvezetni, hogy a levél tartalmát, megjelenését hivatalosnak tűnő formába öntik. Ennek eredményeképpen a Toyota pénzügyi vezetője nemkevesebb mint 37 millió USD összeget utalt át a csalók külföldön vezetett bankszámlájára!
• A dallasi rendőrség (City of Dallas) IT munkavállalói 2020 márciusában megfelelő előkészületek megtétele nélkül, állításuk szerint "figyelmetlenségből" 22TB összméretű nyomozási és egyéb hivatalos adatot köztük bizonyítékokat töröltek. Az érintett munkavállalókat azonnali hatállyal elbocsátották, de mivel nyomozati anyagok és bizonyítékok (fotók, videók) is voltak az adatvesztés mögött ezért az FBI is nyomozást indított velük szemben.

2.    A Rossz: A sértett/becsvágyó munkavállaló, aki visszaél

• A több mint 50,000 alkalmazottat foglalkoztató Capital One az Egyesült Államok egyik legnagyobb pénzintézete, amely az Amazon felhőszolgáltatási infrastruktúráján futtat adatelemzési szolgáltatásokat. Egy volt Amazon dolgozó 2019-ben képes volt távolról a pénzintézet tűzfalait átkonfigurálni és így visszaélni több mint 100 millió ügyfél személyes- és bankkártya adatával...
• A BUPA Global nemzetközi biztosító haszonleső munkatársa 2017-ben a vállalat ügyféladatbázisából több mint félmillió ügyfél adatait másolta ki és próbálta értékesíteni a dark web-en. Az elkövetővel szemben büntetőeljárás van folyamatban és a Brit felügyeleti hatóság (ICO) a pénzintézetre nemkevesebb mint £175,000  büntetést szabott ki.

3.    A Csúf: A kihasználható munkatárs, akit ki is használnak

• Több éves nyomozást követően 2018-ban letartóztattak egy pakisztáni férfit, aki éveken keresztül call center munkatársakat fizetett le az AT&T telekommunikációs nagyvállalatnál, azért, hogy rendszerinformációkhoz férhessen hozzá az ő segítségükkel. A több mint 200 millió dolláros károkozás miatt a férfit 12 éves szabadságvesztésre ítélte a bíróság 2019-ben.
• Amerika egyik legnagyobb retail vállalatát, a Target-et érte szervezett kibertámadás 2013-ban, amelynek folytán 41 millió ügyfél bankkártya adatát tulajdonítoták el. A bonyolult „high profile” támadást az elkövetők a vállalat egyik beszállító partnerénél indították: egy ott dolgozó munkavállaló rendszer-hozzáférési adatinak a megszerzésével voltak képesek bejuttatni a testre szabott malware-eket a Target informatikai rendszereibe. A vállalatnak 18,5 millió dollárt kellett az incidens miatt kifizetnie az évek alatt.

És hogy mi a tanulság? Nos a statisztikák szerint egyre több pénzt költ mindenki technológiai védelemre a világban, mégis a sikeres támadások száma nemhogy nem csökken, de meredeken emelkedik.

A számítástechnikai rendszerekre irányuló technológiai támadásokkal szembeni hagyományos technológiai védekezés mellett sokkal több figyelmet kell szentelni a humán kockázatok megelőzésére.

Reménykedhetünk a biztonsági tudatossági oktatási programokban, költhetünk még több pénzt felhasználói viselkedés-elemzési rendszerekre vagy elővesszük a józan eszünket és elkezdjük elemezni, majd visszavenni a munkatársainktól a felesleges és/vagy kockázatos jogosítványokat...  

Ebben segít az XS Matrix AURA. Automatizáltan, megbízhatóan és gyorsan!