A légiiparból ismerős lehet az a mondás, hogy a repülők azért nem zuhannak le, mert checklistákat alkalmaznak. Természetesen más kritikus iparágakban is vannak hasonló ellenőrző listák, így a mostani bejegyzésünkben néhány informatikai biztonságot célzó listát szeretnénk bemutatni. Az alábbi listák – a teljesség igénye nélkül – a legfontosabb pontokat ismertetik.
Milyen belépő szintű, preventív jellegű biztonsági listát javaslunk hálózati informatikusoknak?
1. Szegregált hálózat legyen, ne flat network
A hálózati biztonsághoz kapcsolódó feladatok elvégzése kifejezetten fontos, ezzel tudjuk megakadályozni, hogy külső támadó a mi belső hálózatunkba bejusson. Illetve, ha valaki mégis bejut, akkor ne lásson minden gépet, hostot, szervert a hálózaton, tehát minél kisebb legyen az a felület, ami sebezhető, elérhető a hálózaton.
Figyeljünk arra, hogy például egy 100 fős cégnél ne legyen minden egyes számítógép szerver ugyanabban az IP cím tartományban. Erre találták ki a hálózat szegregációt, a virtuális hálózatokat. Egy routeren be lehet állítani, hogy például a pénzügynek, az IT-nek vagy a beszerzésnek külön szeparált hálózata legyen. Ezt mindegyik cég máshogy csinálja, el lehet különíteni osztályonként vagy emeletenként, a lényeg, hogy ne lapos hálózatot alakítsunk ki.
2. Nem használt szolgáltatások, portok letiltása
Egy port scanner tool-lal meg tudjuk nézni, hogy mik azok, amiket nem használunk, majd kikapcsolhatjuk őket. Ezzel a támadási felületet csökkenthetjük, hiszen minden portnak, szolgáltatásnak lehetnek sérülékenységei.
3. Erős jelszó használat
A hálózati eszközöknek vannak alap hozzáférései, amiket a gyártás során beállítanak, hogy könnyű legyen konfigurálni. Például a CISCO hálózati eszközöknél a “cisco” szó a felhasználó név és a jelszó is, de gyakori az admin, admin páros is. Kulcsfontosságú, hogy a hálózati informatikusok ezeket erősebb, biztonságosabb jelszavakra állítsák át.
4. Nyílt wifi hálózat
Több cégnél is megfigyelhető, hogy nyílt wifi hálózatot használnak, melyre a kollégák is felcsatlakozhatnak. Általában a kód is nagyon egyszerű, ezt érdemes lenne legalább évente megváltoztatni. Jó ötlet lehet egy vendég wifi kialakítása, amire a privát eszközöket engedhetjük fel, de a MAC szűrés is megoldás lehet, hogy csak azokat az eszközöket engedjük fel, amik a mi kezelésünk alatt, tartományunkban vannak.
5. Internet elérése
Ne lehessen elérni az internetet egy sima UTP kábellel, legyen egy meghatározott autentikáció. Manapság már nem kell bemenni az irodaházba ahhoz, hogy be lehessen lépni a szerverre, ha nem védjük megfelelően a céges wifi hálózatot.
Ehhez hozzátartozik az is, hogy az informatikusnak el kell döntenie, hogy legyen-e internet elérése minden munkavállalónak vagy csak a belső hálózathoz férjenek hozzá. Ha úgy döntenek, hogy legyen hozzáférésük, akkor az informatikus állítson be egy proxy szervert, amelyen meg tudja adni milyen oldalakat érhet el a munkavállaló.
Milyen checklistát javaslunk a céges sérülékenységek feltárására?
1. Belső hálózat scannelése
A cég méretétől függően legyen egy olyan eszköz, amivel a belső hálózatot tudjuk scannelni. Ez egy egyszerű megoldás, csak kiválasztjuk a nekünk tetsző szolgáltató céget, megvesszük a szoftvert, beállítjuk és napi vagy heti bontásban megkapjuk a riportot. Ezáltal az informatikus látja, hogy milyen sérülékenységeket kell javítani.
2. Behatolás teszt
Ha a cég rendelkezik külső internet elérési ponttal, csináltasson behatolás tesztet, például egy black box-ot, félévente egyszer.
3. Bug bounty
Ha a cég olyan platformmal vagy termékkel rendelkezik, mely a megélhetéséhez kapcsolódik vagy ügyfelek adatait kezeli, vagy online térben elérhető, érdemes hibavadász programot indítani. Így a tesztelés folyamatos lesz, nem csak egy adott állapotot láthatunk.
Milyen checklistát javaslunk a céghez frissen odakerülő CIO-nak?
1. Szabályozási környezet megvizsgálása
Először is nézzük meg a szabályozási környezetet és hasonlítsuk össze a gyakorlattal. Ha például nagyon erős jelszó policy van előírva jelszóvédelemre, de ez szerver oldalról nincs kikényszerítve, akkor ott más problémák is előfordulhatnak.
2. Kockázatelemzés
Nézzük át a kockázatelemzéseket, miket tártak fel eddig, milyen kritikus pontokat azonosított a cég. Ha eddig nem végeztek kockázatelemzést, akkor ezt is pótolni kell.
3. Beszélgetés, körbekérdezés
Szintén hasznos lehet a kollégákkal beszélgetni, megkérdezni mi az, ami szerintük működik, nem működik, milyen nehézségeik akadnak. Olykor egy automatizálással a folyamatok egyszerűsödése mellett a manuális hibák is kiküszöbölhetők.
Milyen checklistát javaslunk egy kolléga beléptetésekor?
1. Onboarding oktatás
Miután frissen belépő kollégánk megkapta a felszerelését (laptop, telefon stb.), tartsunk neki oktatást. Ismertessük vele, hogy mi az, amire a céges laptopot használhatja, hogyan tárolja a kapott eszközöket, jelszókezelésre hívjuk fel a figyelmét. Foglaljuk bele, hogy tartson rendet az asztalán, érzékeny dokumentumokat ne hagyjon őrizetlenül. Ha használ adathordozót, ellenőrizze le vírusírtó szoftverrel. Hívjuk fel a figyelmét az esetleges támadásokra, tudja, hogy az ismeretlen feladótól érkező levelekre, gyanús linkekre ne kattintson.
2. Beléptető kártya használata
A beléptető kártya használatának megismertetése is fontos szempont. Csak olyan helyekre adjunk belépést az illetőnek, ahova a mindennapi munkája elvégzéséhez szükséges. A feliratozott kártyáját mindig látható helyen hordja az irodában, így könnyen ki lehet szűrni, ha engedély nélkül tartózkodna az épületben. Ha a kártyát elveszíti, azonnal jelentse és tiltassa le.
3. Vendégek fogadása
Ha vendég érkezik az épületbe, semmiképpen ne hagyjuk magára. Emellett pedig, ha találkozunk olyan személlyel, aki egyedül van, és úgy látjuk, hogy nem oda tartozik, kérdezzük meg miben segíthetünk. Szintén kérjük meg, hogy a vendégkártyát (visitor) tartsa magán látható helyen.
Milyen checklistát javaslunk egy kolléga kiléptetésekor?
1. Hozzáférések kezelése
Egy kollégánk kilépésénél minden hozzáférést vegyünk el, amit korábban megadtunk. Az utolsó munkanapján kérjük el a kulcsokat és a belépőkártyát is.
2. Céges eszközök
A hozzáféréseken kívül a céges eszközöket is vegyük vissza és ennek megtörténtének igazolására készítsünk nyomtatványt vagy rögzítsük az elektronikus nyilvántartásunkban.
3. Folyamatok átadása
Ha például az illető termékmenedzserként dolgozott, nézzük meg milyen termékek, szoftverek, fejlesztések tartoztak hozzá, és keressük meg az utódját, akinek át tudja adni a munkát.
Milyen checklistát javaslunk a cég dolgozóinak SZMSZ-ébe?
1. Alapvető irányelvek
Ebbe a működési szabályzatba minden pontot belevehetünk, amit a beléptetésnél is említettünk, azonban ez a dokumentum sok helyen nyilvános, ezért a biztonsággal kapcsolatos feladatokat, intézkedéseket nem feltétlenül előnyös beleírni. Alapvető irányelveket belefoglalhatunk, de például az, hogy a munkavállalónak mire kell figyelnie támpontot adhat a támadónak.
2. Biztonsági rendszer
Érdemes lehet belefoglalni például, hogy beléptető kapuk kerültek alkalmazásra vagy, hogy kamerákat szereltek fel. Azt azonban semmiképp, hogy ezek a kamerák hol találhatók.
3. Tanúsítványok
Megjeleníthetjük azokat az irányelveket, jogszabályokat, tanúsítványokat, melyeket a cég megszerzett és büszkén visel.
Milyen checklistát javaslunk zsarolóvírus támadás esetén?
1. Számítógép leválasztása a hálózatról
Első lépésként mindenképp távolítsuk el a gépet a hálózatról, így ha a támadás féreg jellegű, megakadályozhatjuk a továbbterjedését.
2. Az illetékes értesítése
Ne pánikoljunk, szóljunk az informatikusnak vagy az IT biztonsági vezetőnek, aki felmérheti, hogy hány gép fertőződött meg, illetve utánanézhet, hogy készült-e már hozzá feloldókulcs.
3. Biztonsági mentés
Semmiképp ne fizessünk, mert nincs rá garancia, hogy visszakapjuk a fájlokat. Mérlegeljük, hogy milyen adatok voltak a gépen, készítettünk-e biztonsági mentést, ha igen, akkor vissza tudjuk állítani.
4. Tapasztalatcsere
Az incidens elhárítása után érdemes tapasztalatcserét tartani. Így átgondolhatjuk, hogyan juthatott a cég gépére a vírus, és ez alapján változtathatjuk a biztonsági intézkedéseket.
Milyen checklistát javasoltuk GDPR szabály betartásához?
1. Fogalmak tisztázása
Jellemző, hogy többen nincsenek tisztában a fogalmak jelentésével és összekeverik őket. Ha ez előfordul, akkor sejthető, hogy adatvédelmünkben hiányosság van.
2. Érintetti jogok
Nézzük meg, hogyan érvényesülnek az érintetti jogok, teljesíthetők-e. Tudja-e garantálni a szervezet a jogok érvényesülését a megadott határidőn belül?
3. Jogszabályi megfelelés
Érdemes felmérni, hogy a folyamatokat, amiket beépítettünk, valóban jól csináljuk-e és megfelelünk-e az előírásoknak.
4. Lista készítés
Gyűjtsük össze, hogy milyen elvárásoknak kell megfelelni, mi az, ami a mi cégünkre vonatkozik, és ezeket próbáljuk meg teljesíteni.
Ezeken kívül milyen checklistára lehet még szükség?
Mindegyik szervezet másképp működik, nincs jó és rossz megoldás. Az ISO 27001 fejezetei jó támpontokat adnak IT oldalról, ez irányadó lehet. Ezen kívül több ajánlás is elérhető, Magyarországon például az MNB készített ilyet.
Ezeket a listákat érdemes annál a felelős vezetőnél tartani, aki az adott területért tartozik elszámolási kötelezettséggel. Azonban jó ötlet lehet egy társosztály bevonása is, ugyanis külső személyek észrevehetnek olyat, ami felett mi elsiklottunk. A listák végrehajtását mindig dokumentálni kell, és meg kell őrizni, hiszen az éves beszámoló során is hasznos lehet.
Miért éri meg a listákat elkészíteni?
Régebben még önkéntes vállalású volt a tanúsítványok megszerzése, most azonban a piac követeli meg a meglétét. Legnagyobb előnye, hogy erősíti a piaci jelenlétet és az ügyfélbizalom megteremtését. Emellett pedig a saját dolgunkat is megkönnyítjük vele, ha bármilyen incidens történik, tudjuk milyen pontokon kell végigmennünk.