Amikor ezeket a sorokat írjuk, éppen lecsengőben van a WannaCry zsarolóvírus okozta sokk és mire az írás megjelenik, az egész sztori nagy valószínűséggel feledésbe merül. Legalábbis az átlagfelhasználók számára. Aztán, hogy a szakemberek által vizionált következő hullám megérkezett-e már, azt nem tudjuk. Azt viszont igen, hogy meg fog érkezni. Ezért gondoltuk úgy, hogy érdemes kicsit a témával foglalkozni. Meg azért, mert IT biztonság terén a legtöbb KKV-nál még mindig áldatlan állapotok uralkodnak.
Mivel nem mindenki van otthon a zsarolóvírusok világában, gyorsan tekintsük át a sztori lényegét! A WannaCry elnevezésű zsarolóvírus május elején hozta lázgörcsbe az informatika világát. A vírus egy Windows sebezhetőséget használt ki, a szokásos recept szerint zárolta a számítógépeket, titkosított rajtuk minden adatot, majd közölte a tulajdonossal, hogy csak akkor oldja fel a titkosítást, ha az átutal X összeget. Mivel az ilyen vírusok készítőinek többsége nem Grál lovag, sajnos a váltságdíj átutalása nem garantálta az adatok visszakapását. Úgyhogy azon a héten volt sírás bőven, nem ok nélkül kapta a kis rohadék a nevét. Szerencsére viszonylag hamar felfedezték, hogyan lehet leállítani, így nem lett belőle akkora krízis, mint amekkora lehetett volna. De kicsit sem biztos, hogy a következő hullámmal is ekkora szerencsénk lesz.
Ami a magyar kisvállalkozások világát illeti, többségüknél (kimondva-kimondatlanul) az a reflex gátolja leginkább egy hathatós biztonsági rendszer felépítését, hogy “ugyan ki akarna épp minket megtámadni”. Hát egy zsarolóvírus. Mert az nem válogat, nem mérlegel, terjed, amerre tud. És ahogy attól, hogy nem érezzük magunkat fontos személyiségnek, még lehetünk influenzásak, ugyanígy, bekaphatunk egy zsarolóvírust is. És akkor most képzeljük el egy pillanatra, ahogy ez megtörténik! Egy zsarolóvírus bejut a rendszerbe és zárolja az összes adatot az adott számítógépen. De ezzel még közel sincs vége. Mert a hálózaton keresztül eljut mindegyik gépre (beleértve a szervert is) és zárolja azokat is. Ha pedig olyan mentési szisztémát alkalmazunk, ami szintén rá van kötve folyamatosan a hálózatra (pl. NAS), akkor azt is zárolja. Mi pedig ott állunk egy működésképtelen rendszerrel, amin nagy valószínűséggel csak a teljes újratelepítés segít.
Nézzük először a kedvezőbb forgatókönyvet! Azt, amikor rendelkezünk szeparált biztonsági mentéssel. Ez azt jelenti, hogy van mentésünk olyan külső adathordozón, amit csak a mentés idejére csatlakoztatunk a hálózatra, egyébként el van szeparálva tőle. Ebben az esetben az adataink nem vesztek el végleg. De vajon mennyi idő, amíg a rendszergazda újratelepíti a teljes rendszert, minden számítógépet és visszaállítja azt a legutolsó állapotot, ami a biztonsági mentés segítségével visszaállítható. Nézzük meg, hogy ez mennyi idő, aztán a cég aktuális vagy átlagos havi bevétele alapján
számoljuk ki, hogy ez mekkora bevétel kiesés! És ez a forgatókönyv most azt feltételezi, hogy az újratelepítés során nem lép fel semmilyen komplikáció, amire azért a számítástechnikában nincs garancia. Ez az egész móka még egy nem kiemelkedően magas árbevételű kkv esetében is milliós nagyságrendű.
Abba a verzióba pedig, amikor nincs szeparált biztonsági mentésünk, talán jobb nem is belegondolni. Mert akkor tényleg csak az a reményünk marad, hogy a váltságdíj kifizetése éppen egy jobb pillanatában találja meg a hackert és az hajlandó lesz feloldani a zárolást. De ebben bízni majdnem annyira megalapozott, mint a lottó nyereményre építeni az egzisztenciánkat. Bár a filmekben kedvelt téma a szimpatikus és tökös, a betyárbecsületet mindenek fölé helyező bűnöző figurája, a valóság ennél kevésbé romantikus. Főleg egy hacker esetében, aki még egy bankrablóhoz képest is nagyon mélyen van. A bankrabló legalább még konfrontálódik, a vásárra viszi a bőrét és megkockáztatja, hogy kinyírják. De az a hacker, aki sunyin és névtelenül próbál másoknak ártani, még a gyáva féreg jelzőt sem érdemli meg, mert a férgek valószínűleg zokon vennék. És egy ilyen embertől(?) ne számítsunk semmiféle tisztességre.
Mi ennek az egésznek a tanulsága? Az egyik, hogy legyen szeparált mentésünk. Az a mentés, ami folyamatosan a hálózatra van kapcsolva, legfeljebb a hardver meghibásodása esetén jelent védelmet, egy kifinomultabb külső támadás esetében gyakorlatilag nem tudja betölteni a szerepét. Ezt nem muszáj nekünk elhinni, de ha nem voltunk elég meggyőzőek, érdemes utánaolvasni. És ha nincs, érdemes minél előbb megvalósítani, mert napról napra növekszik annak az esélye, hogy bekapunk egy ilyen támadást. Ez nem egy olyan veszély, amitől félni kell. Ez egy olyan veszély, amivel szembe kell nézni. És időről-időre felidézni a régi bölcsességet: katasztrófa az, amire nem vagyunk felkészülve. Minél jobban felkészülünk, annál kevésbé lehet katasztrófa.
De a biztonsági mentés csak a helyreállításban nyújt segítséget. A kár pedig – ahogy azt már korábban taglaltuk – így is milliós nagyságrendű lehet. Az igazi megoldás a megelőzés. Ehhez azonban tisztában kell lennünk azzal, hogy gyakorlatilag minden zsarolóvírus igényli a felhasználó aktív közreműködését. Ez azt jelenti, hogy meg kell nyitni egy mellékletet, rá kell kattintani egy hivatkozásra, meg kell látogatni egy weboldalt. A felhasználók jelentős része pedig meg is teszi. Egyszerűen azért, mert fel sem merül benne, hogy bármi baj lehet belőle. Konkrét példa: egy cég munkatársakat keresett. Jöttek is szépen a jelentkezések. Aztán, egy reggelen befutott egy újabb önéletrajz. Mondjuk ez a levélből nem derült ki, mert sem tárgya, sem szövege nem volt. Csak egy csatolt melléklete, konkrétan egy “=-1.pdf” nevű fájl. Az ügyvezető pedig gondolkodás nélkül megnyitotta. Szerencséje volt, mert tényleg csak egy önéletrajz volt benne. De ennyi erővel lehetett volna egy zsarolóvírus is. És akkor tényleg lett volna sírás.
Képzeljünk el néhány egyszerű, falusi embert, akik életük java részét valamelyik dunántúli kis faluban
töltötték! Aztán – mindenfajta felkészítés nélkül – helyezzük át őket valahova Brazíliába, az esőerdő közepébe! Ahol nagyon könnyű ragadozóba, mérges kígyóba, mérges pókba vagy valami hasonlóba botlani. Ha ugyanazzal a biztonságérzettel próbálnák élni tovább az életüket, mint a hazájukban, az nem lenne hosszú karrier. Na, kb. ez történik most az interneten. Egy csomó zalai meg tolnai parasztember hirtelen az őserdőben találta magát. És ha nem készítjük fel őket, akkor baj lesz. Ez természetesen nem azt jelenti, hogy rettegésben kellene élnünk az életünket. A brazil bennszülöttek sem rettegnek egész nap. De azt tudnunk kell, mikor legyünk óvatosak.
Summa summárum, a munkatársakat képezni kell és fel kell őket készíteni, hogy az erdő ugyan gyönyörű, de vannak benne mérgeskígyók, pókok és jaguárok is. Tudniuk kell a vírusokról, a védelmi rendszerekről, a megelőzésről és arról, hogy a biztonság milyen viselkedést kíván meg tőlük. Ha pedig ezt valaki nem tartja be, azt szankcionálni kell. Mert inkább ő sírjon, mint az egész cég. És ezen a téren nem lehetünk szívbajosak. Egy ideális világban elegendő lenne az emberek értelmére hatni. De a való világban az a helyzet, hogy a felelőtlenség gyászos méreteket öltött. Ez ellen pedig csak az működik, ha a szankció fenyegetése erősebb, mint a késztetés, hogy az illető hülyeséget csináljon.
Az aktuális adatok szerint világszinten 40 másodpercenként ér támadás egy céget és ez a szám folyamatosan csökken. Nem az a kérdés, hogy az Ön cégét fogja-e támadás érni. Fogja, ebben teljesen biztos lehet. Az a kérdés, hogy mennyire készítette fel erre a céget és ebből következően a támadás mekkora károkat képes okozni. Ideje a szó informatikai értelmében is felnőnünk – attól, hogy a párna alá dugjuk a fejünket, a többiek még látnak. Bár már leírtuk, de annyira fontosnak tartjuk, hogy leírjuk még egyszer: katasztrófa az, amire nem vagyunk felkészülve. Vagyis nemcsak a saját szerencsénknek vagyunk a kovácsa. A saját katasztrófánknak is.