Üdvözöljük a CypSec Csoportnál
Fejlett védelemre és intelligens megfigyelésre szakosodtunk, hogy védjük digitális eszközeit és üzleti műveleteit.
A wake-up call for companies and authorities.
Zürich, Svájc – 2025. szeptember 17.
2024. február 25-én Hamilton városa, Ontario, kifinomult zsarolóprogram-támadás áldozata lett, amely megközelítőleg 80 százalékát megbénította az önkormányzati hálózatnak. Kritikus szolgáltatások – például az üzleti engedélyeztetés, az ingatlanadó-adminisztráció, a forgalomtervezés, valamint a pénzügyi és beszerzési rendszerek – hetekig zavartak voltak. A támadók 18,5 millió kanadai dollár váltságdíjat követeltek, amit a város visszautasított.
Az eset különösen figyelemre méltó, mert a város biztosítója kártérítési igényét elutasította a többfaktoros hitelesítés (MFA) teljes körű hiánya miatt. Ennek következtében a városnak magának kellett viselnie a teljes költséget, ami azt jelentette, hogy az oktatásba és az infrastruktúrába szánt beruházásokat csökkenteni kellett.
Az incidens azt mutatja, hogy a technikai biztonsági intézkedések önmagában nem elegendőek vállalatok vagy önkormányzatok kiberkockázatokkal szembeni védelméhez. A rendszerek mögött álló emberek – integritásuk, hozzáférési jogaik és cselekedeteik – gyakran figyelmen kívül maradnak, pedig kulcsfontosságúak. Ebben jönnek képbe a háttérellenőrzések.
A támadók egy külső, internetre néző szerveren keresztül szereztek bejutást gyenge bejelentkezési hitelesítő adatokkal. Felderítés és oldalsó mozgás után a belső hálózatokban titkosították a rendszereket és az adatokat. Bár megpróbálták megsemmisíteni az összes biztonsági mentést, ez nem sikerült teljesen, így egyes adatok visszaállíthatók voltak. A biztosító azonban elutasította a kártérítést, mert az MFA nem volt teljes körűen bevezetve a támadás időpontjában. A biztosítási feltételek kifejezetten kimondták, hogy az MFA hiányából eredő károk nem fedezettek.
„A Hamilton-i eset azt mutatja, hogy a legerősebb technikai védelmi intézkedések is kudarcot vallhatnak, ha az emberi kockázatokat nem kezelik. Küldetésünk, hogy segítsünk a szervezeteknek megelőzni az ilyen vakfoltokat azzal, hogy megbízható háttérellenőrzéseket építünk be biztonsági stratégiájukba már az elejétől fogva” – mondta Reto Marti, a Validato AG vezérigazgató-helyettese.
A technikai gyengeségek nem jelentették az egyetlen belépési pontot. Gyengén átvilágított szolgáltatók és emelt szintű hozzáféréssel rendelkező belső munkavállalók is hozzájárultak a katasztrófához. Csak az MFA hiánya, az elégtelen emberi kockázatkezelés és a hálózati szegmentálás mellőzése együttesen teremtette meg a „tökéletes vihart”, amely súlyos anyagi terhet rótt a városra. A közeli McMaster Egyetem és a Mohawk College rendelkezett volna szakértelemmel az ilyen rések rutinszerű bezárásához, a város mégis inkább nemzetközi, átvilágítatlan biztonsági szállítókra bízta magát.
Bár a technikai biztonsági intézkedések – például az MFA – elengedhetetlenek, a vállalaton vagy városházán belüli emberi tényezőket sem szabad figyelmen kívül hagyni. Az átfogó háttérellenőrzések hatékony eszközt jelentenek a potenciális kockázatok korai azonosítására és csökkentésére, amelyeket belső munkavállalók vagy külső partnerek jelenthetnek. Ide tartozik a képesítések, a szakmai előélet és az esetleges érdekellentétek ellenőrzése a felvétel előtt, hogy kizárólag megbízható személyek kapjanak hozzáférést az érzékeny rendszerekhez.
Emellett a rendszeres újraellenőrzések kulcsfontosságúak a munkavállalók és partnerek integritásának és megbízhatóságának folyamatos biztosítása érdekében. A Hamilton-i incidenst követően a város amerikai szállítókhoz és a „Big Four” tanácsadóihoz fordult. A magas tanácsadói költségek csökkentése érdekében egy kanadai „shell” vállalatot is felvettek, amelyet kizárólag az ár alapján választottak. A céget korábban kitiltották egy másik tartomány közbeszerzési eljárásaiból, mert alapítója hamis személyazonosságokat használt, és korábbi projekteket nem teljesített kielégítően.
Ilyen esetekben OSINT-elemzéssel azonosíthatók lettek volna a külső szolgáltatók vagy partnerek potenciális kockázatai nyilvános forrásokból. A háttérellenőrzéseket mindig szorosan integrálni kell a vállalatszintű irányításba, például ISO/IEC 27001 szerinti megfelelőségi szabványokba, hogy kielégítsék a szabályozási követelményeket és megerősítsék a biztonsági stratégiát. Ez megakadályozhatta volna, hogy egyáltalán kialakuljon a közvetlen függőség külföldi szereplőktől.
Az említett shell-vállalat azóta csődbe ment. Nem tisztázott, hogy kerültek-e ki érzékeny adatok. Ami biztos: a költségek szétrobbantak, a helyi adófizetők bizalma megrendült, a helyi szakértőket pedig figyelmen kívül hagyták. Az ilyen forgatókönyvek megelőzése érdekében a CypSec és a Validato szorosan együttműködik annak érdekében, hogy átfogó háttérellenőrzési megoldásokat kínáljon, és segítse a vállalatokat az emberi kockázatkezelési stratégiák bevezetésében és folyamatos javításában.
A Hamilton-i incidens azt mutatja, hogy a kiberkockázatok nem kizárólag technikai jellegűek. A hatékony kockázatkezelésnek ezért mind technikai, mind emberi tényezőkkel foglalkoznia kell. A vállalatoknak biztosítaniuk kell, hogy a többfaktoros hitelesítés teljes körűen be legyen vezetve, hogy megakadályozzák a jogosulatlan hozzáférést. Emellett rendszeres képzések szükségesek a munkavállalók biztonsági kockázatokkal kapcsolatos tudatosságának növelésére és érzékenyítésére.
Ugyanakkor a vállalatoknak háttérellenőrzéseket kell bevezetniük a potenciális kockázatok korai észlelésére és csökkentésére, amelyeket belső munkavállalók vagy külső partnerek jelenthetnek. A kiberbiztosítási feltételek átvizsgálása szintén kulcsfontosságú, hogy a meglévő biztonsági intézkedések megfeleljenek a szerződéses követelményeknek és védelmet nyújtsanak szükség esetén. Csak az összes intézkedés következetes kombinációja biztosíthatja a rendszerek hatékony védelmét és a kiber-támadások kockázatának tartós csökkentését.
A Hamilton elleni támadás potenciálisan megelőzhető vagy legalábbis enyhíthető lett volna az MFA korai bevezetésével és átfogó háttérellenőrzésekkel. Ehelyett most a védtelen állampolgároknak kell megfizetniük néhány döntéshozó hibáját. A vállalatoknak ezért nem szabad kizárólag technikai megoldásokra hagyatkozniuk, hanem az emberi tényezőt is be kell építeniük biztonsági stratégiájukba. Ahogy ez az eset is mutatja, egyetlen hiányzó puzzle-darab összeomlaszthat egy teljes biztonsági mechanizmust.
A Validato AG-ről: A zürichi székhelyű Validato AG digitális háttérellenőrzési és emberi kockázatkezelési szolgáltatásokat nyújt, hogy segítse a szervezeteket a belső fenyegetések azonosításában és mérséklésében, mielőtt kárt okoznának. Platformja támogatja az előzetes alkalmazásvizsgálatot, a folyamatos újraellenőrzéseket és a partner-integritás-ellenőrzéseket, közvetlenül beépítve az HR- és megfelelőségi folyamatokba a kockázatkitettség csökkentése érdekében. További információ a Validato AG-ről: validato.com.
Média kapcsolat: Frederick Roth, vezető információbiztonsági tisztviselő, CypSec – frederick.roth@cypsec.de.
Fejlett védelemre és intelligens megfigyelésre szakosodtunk, hogy védjük digitális eszközeit és üzleti műveleteit.
