Amikor egy-egy nagyvállalatot ér kibertámadás, óriási összegű kár keletkezhet. Az első ilyen, nagy médiavisszhangot is kapó támadás 2014-ben volt, amikor a Sony szervereit – rajta filmek sokaságával, munkavállalói és ügyféladatokkal – feltörték. Akkor 100 millió dollárra becsülték a károkat, és még a munkavállalókat is kompenzálni kellett 8 millió dollárral a kiszivárgott adataik miatt.

Ma már nem is okoz nagy feltűnést, hogy például áprilisban 533 millió Facebook-felhasználó adatait sikerült ellopni. A cégeknek azonban nemcsak a PR-veszteség, a kieső bevételek okoznak problémát, hanem egyre gyakoribb, hogy jelentős büntetéseket is kell fizetniük azért, mert nem voltak képesek ügyfeleik adataira elég felkészülten figyelni. A British Airwaysnek idén tavasszal 28 millió dollár büntetést kellet fizetnie, mert kikerült 430 ezer ügyfelének fizetési adata a nem megfelelően védett rendszereiből.

Egészen elképesztő mennyiségű felhasználói adatot szereznek meg cégektől a hackerek a támadások során: az idei első hét hónapban már 791 millió felhasználó adatát szerezhették meg – és ez csak az ismeretté vált, nemzetközileg jelentős esetekre vonatkozik.

Nem csak nemzetközi nagyvállalatokat érint a probléma: ahogy egyre inkább digitálissá válik a gazdaság, a hazai kkv-k bevételeinek egyre jelentősebb része szintén az online csatornákhoz kötődik, így egy-egy támadás nekik is egyre nagyobb kockázatot jelent. A hackertámadások és zsarolóvírusok pedig őket sem kímélik. Az egyik legjelentősebb hazai autóalkatrész-kereskedőt, az Unix Autót idén áprilisban érte zsarolóvírus-támadás, ami miatt a teljes elektronikus kereskedelme leállt.

Tesztelés és audit segít a biztonsági rések ellen

A zsarolóvírusok ellen azonban fel lehet készülni: a cégeknek az informatikai rendszereiket érdemes folyamatosan tesztelni és ellenőrizni. Míg egy zsarolóvírus megjelenése látványos, az adatokkal való visszaélés sokszor nem könnyen felfedezhető, hiszen ennek pont az a lényege, hogy a hackerek észrevétlenül szerezzék meg és értékesítsék azokat – akár a konkurenciánknak.

Egy átlagos zsarolóvírus okozta veszteség az IBM adatai szerint 2020-ban 4,6 millió dollár volt, egy adatvesztés esetében pedig 4,2 millió dollár. Ez természetesen nagyban függ a cégmérettől, de egy ellopott adat átlagos költségét 161 dollárra becsülték felhasználónként – ez alapján bárki könnyen kiszámolhatja, milyen kockázatai vannak. Ehhez képest eltörpülnek az etikus hackereknek kifizetett jutalmak.

Az adatszivárgás (angolul data breach) nagyon elterjedt, amit az egyre gyorsuló informatikai fejlesztések, a fejlesztési és tesztelési időszakok rövidülése is segíthet. A legtöbb nagyvállalat már régen együtt dolgozik kibervédelmi szakértőkkel, időszakonként IT biztonsági auditokat, kockázatkezeléseket végeznek.

Egy audit során az informatikusok és etikus hackerek néhány nap vagy hét leforgása alatt ellenőrzik, hogy tudnak-e hibákat feltárni, és ezeket összegzik. Vannak erre specializálódott kisebb és nagyobb cégek, de például a big 4 tanácsadócégek is kínálnak ilyen szolgáltatásokat. 

Pózner Balázs IT biztonsági tanácsadóként és etikus hackerként dolgozott, biztonsági auditok során. Azt látta, hogy hiába a legjobb tudásuk szerint dolgoznak, ez egy igen korlátozott együttműködési forma, hiszen meghatározott időszak áll rendelkezésre a tesztek elvégzésére. A támadások azonban bármikor jöhetnek, és az auditok között is lehetnek olyan változások, amik a cégeknek kockázatokat jelentenek.

Számos nagyvállalat – de még olyan kormányzati szerv is, mint az amerikai hadügyminisztérium – tart fenn olyan hibakereső programokat, ahol az etikus hackerek a feltárt hibákat jelenteni tudják. Már a magyar Nemzeti Kibervédelmi Intézetnél is elérhető ilyen bejelentő.

Az etikus hackerek pedig jutalmat kapnak általában a feltárt hibákért. A szaknyelven bug bounty oldalakon teszik közzé, hogy milyen hibák feltárását várják. Az etikus hackereknek azért is fontosak ezek a megbízások, hogy folyamatosan követni tudják a fejlesztéseket és változásokat.

Pózner Balázs Molnár Leventével közösen úgy gondolta, hogy a vállalatoknak és az etikus hackereknek is hasznosabb lenne, ha sikerülne egy olyan platformot készíteni, ahol biztonságos körülmények között össze tudják kötni őket. Ez lett a 2020 decemberében elindult HACKRATE.

A HACKRATE-re cégek és etikus hackerek is regisztrálhatnak. A vállalatok itt közzétehetik, hogy mely rendszereiket szeretnék tesztelni, és hogy egy-egy hiba felfedezéséért milyen jutalmat ajánlanak fel. Ez azért lehet nagyon előnyös számukra, mert így folyamatosan biztosított a rendszereik tesztelése, nem csak egy-egy audit időszakában.

Az etikus hackerek szeretnek egy-egy platformra, szoftverre specializálódni, számukra az az igazán motiváló, hogy egy ilyen bug bounty platformon ki tudják választani, hogy mi érdekli őket. Ez pedig igen lényeges a saját képzésük miatt. Eléggé jól sikerült a két, korábban IT-biztonsági szakemberként dolgozó alapítónak eltalálni, hogy mire van az etikus hackereknek igényük, még egy év sem telt az alapítás óta, és már közel ötszázan regisztráltak a platformjukon.

Ehhez különösebb marketingre sem volt szükség: a céges blogukon és az IT biztonsági fórumokon bemutatták, hogy mit is készítettek, és már néhány hónap után elegendő etikus hackerük volt. Ekkor a fő feladat az volt, hogy nekik motiváló munkákat is találjanak.

Az ügyfelek is hamar felfedezték őket: első ügyfelük egy olyan szervervédelemmel foglalkozó cég volt, amelynek már csak a működési területe miatt is gyakran kellett a jó- és rosszindulatú tesztelésekkel, hackelésekkel megküzdenie. A legnagyobb előnye a HACKRATE rendszerének, hogy egy legális és biztonságos felületet biztosítanak a hibák feltárására.

Az IT biztonsági vizsgálatok pedig nem túl hatékonyak a sérülékenységek feltárásában. Az IBM jelentése szerint átlagosan 287 napig, azaz közel 10 hónapig tart, amíg egy vállalat egyáltalán észreveszi, hogy adatvisszaélés történt. Ezt a nagyon hosszú időt segítenek érdemben csökkenteni a HACKRATE szolgáltatásai.

Mindkettő nagyon fontos, hiszen egy kritikus rendszerhibát senki nem szeretne nem biztonságos úton, e-mailben megkapni, ahogy az etikus hackerek számára is fontos, hogy a feltárt hibákért nehogy retorziók érjék őket. Emlékezetes lehet ennek kapcsán a T-Systems BKK-nak készített, amatőr hibákkal összeállított mobiljegye, ahol a cég meghurcolta a hibát feltáró etikus hackert.

Egyre több cégnél látják be nemcsak az informatikai, de a gazdasági vezetők is, hogy az informatikai rendszereik folyamatos tesztelése kritikus a vállalat fejlődése szempontjából. Ez különösen igaz a kisebb cégekre: egy amerikai kutatás szerint

a kkv-k 60 százaléka csődbe megy egy jelentősebb mértékű hackertámadás után.

A vállalkozás indulásakor azt gondolták, hogy főként startupokra és pénzügyi vállalatokra fognak specializálódni. A startupoknál azt látták, hogy az agilis fejlesztésnek köszönhetően gyors átfutással kerülnek ki az újabb és újabb szoftverfrissítések, és ezek mélyebb IT biztonsági tesztelésre nincs igazán lehetőség, ezért egy folyamatos, etikus hackerek által végzett tesztelés hatékonyabb lehetne. A folyamatosan feltárt hibák vizsgálata és kezelése is jelentős erőforrásokat köthet le, ami főként egy startupnál kevésbé adott.

A kkv-k esetében sokkal inkább meglátták a lehetőséget: egyre több vezető érti meg, hogy milyen jelentős üzleti kockázata van, ha nem megfelelő az informatikai biztonság, de saját erőforrásuk ezek kezelésére nem igazán van. Már az sem egyszerű feladat, hogy hogyan lehet a feltárt biztonsági hibák legális beküldését lehetővé tenni.

A HACKRATE erre egy standard megoldást dolgozott ki, a cégek ezt honlapjukra kitéve tudják fogadni az etikus hackerek által feltárt kockázatokat. Ezért feltétlenül nem is kell jutalmat fizetni – sok esetben tanulási célból vizsgálnak portálokat, rendszereket a szakértők, és ha kapnak legális és biztonságos bejelentési lehetőséget, akkor ezt megteszik.

A nagyvállalatokat is sokkal jobban érdekli a platform, mint várták: a második ügyfelük egy globális egészségügyi vállalat volt, ahol egy informatikai vezető úgy érezte, a biztonsági audittal megbízott alvállalkozójuk nem megfelelő szinten végzi a munkáját. Ehhez pedig a HACKRATE etikus hackerei gyorsan meg is találták a megfelelő információt.

A két alapító a cég indulásakor már sikeresen kockázati tőkét vont be, az OXO Cybersecurity Lab Kft. és a Hiventures Zrt. lett a befektető. Az OXO Holdings kifejezetten kiberbiztonsági startupok inkubációjára létrehozott programját 2019-ben indította el. Úgy gondolták, ez egy olyan  piac, ahol nagyon jó lehetőségek vannak nemzetközileg is gyors fejlődésre képes, új technológiai vállalkozások létrehozására.

A HACKRATE is a gyors nemzetközi terjeszkedést tűzte ki célul: ezt segíti, hogy az etikus hackerek között is vannak már külföldiek. Az európai piacokon szeretnének bővülni a következő időszakban, a kkv-kra is koncentrálva.

A cikk megjelenését az OXO Technologies Holding Zrt. támogatta.

G7 támogató leszek! Egyszeri támogatás / Előfizetés

Támogatói tartalom bug bounty hackrate kiberbiztonság oxo oxo holdings támogatói tartalom Olvasson tovább a kategóriában