Gyártóipar a kémek hálójában
Egy év alatt megduplázódott a gyártó cégek ellen irányuló, érzékeny információk megszerzését célzó támadások aránya. Immár a szektor kisebb, beszállító vagy értékesítő partnerként tevékenykedő szereplői sincsenek biztonságban.

Az ipari kémek által előszeretettel alkalmazott, célzott támadások a rosszindulatú programkódot a pszichológiai manipuláció módszereivel ötvözik annak érdekében, hogy a számítógépes rendszerek védelmén rést ütve bizalmas információkhoz férjenek hozzá. A célzott támadások az internetes fenyegetések más típusainál – például a vírusoknál, trójaiaknál vagy adathalász leveleknél és weboldalaknál – ritkábbak ugyan, de kifinomultabbak, egyúttal veszélyesebbek azoknál, és számuk is rohamosan nő.

Legfrissebb internetbiztonsági jelentésében (Internet Security Threat Report 2013) a Symantec az ipari kémkedés és az adatlopások növekvő intenzitására hívja fel a figyelmet. Az informatikai (IT) biztonsági cég adatai szerint a célzott támadások száma 2012-ben 42 százalékkal nőtt az egy évvel korábbi szinthez képest: az ipari kémek naponta átlag 116 ilyen típusú támadást intéztek a szervezetek ellen.

Esetenként arra utalhat a célzott támadás mögötti indíték és a támadáshoz felhasznált erőforrások felderítése, hogy a támadó mögött valamely kormány áll, de ennek egyértelmű bizonyítása rendkívül nehéz lehet. Egy másik IT-biztonsági cég, a Kaspersky Lab az utóbbi pár évben egy olyan, kiberkémkedéssel foglalkozó csoport működését kísérte figyelemmel, amely a világ 40 országában több mint 350 rangos szervezet – kormányzati intézmények, nagykövetségek, olajtársaságok, kutatóközpontok, hadiipari beszállítók és jogvédő szervezetek – informatikai rendszereiből lopott érzékeny információkat.

A támadásokhoz használt eszköz, a NetTraveler egy rosszindulatú szoftverkód, amely a számítógépek titkos megfigyelésével eddig többek között atom- és űrkutatással, nanotechnológiával, energiatermeléssel, gyógyszergyártással és a távközléssel kapcsolatos információk eltulajdonítását segítette.

A múlt év végén a Kaspersky Lab egy további kémcsoport, az Icefog felfedezéséről is beszámolt, amely elsősorban dél-koreai és japán célpontokat támad, és rajtuk keresztül férkőzik be nyugati cégek ellátási láncaiba. Míg a célzott támadásokat indító ipari kémek jellemzően hónapokon vagy éveken keresztül csapolják az információkat áldozataik rendszereiből, az Icefog sokkal fókuszáltabb. Munkamódszerére jellemző, hogy először érzékeny adatokat tartalmazó dokumentumokat, vállalati terveket és felhasználóazonosítókat szerez, amelyekkel különböző informatikai erőforrásokhoz fér hozzá az áldozat házon belüli, illetve partnerhálózatában.

Az eddigi támadásokból ítélve úgy tűnik, hogy a hadiipar, a hajógyártás és a tengerészet, a hardver- és szoftverfejlesztés, az alapkutatás, a távközlés és tömegtájékoztatás, valamint a műholdak működtetése iránt érdeklődő csoport az esetek többségében pontosan tudja, mit akar, például meghatározott fájlnevek alapján keres a dokumentumokra, azokat gyorsan azonosítja és letölti.

Tavaly az Egyesült Államok több kínai technológiai és távközlési céget is ipari kémkedéssel vádolt meg, és tiltott el attól, hogy kormányzati pályázatokon induljon az országban. Most pedig, miközben e sorokat írom, Eric Snowden, az NSA lehallgatási botrányát kirobbantó szivárogtató állította azt egy német tévécsatornának adott interjúban, hogy az amerikai nemzetbiztonsági hivatal ipari kémkedést folytatott – titokban az olyan gyártó vállalatoktól is információkat szerzett, mint a Siemens.

Mozgó célpontok

A Symantec jelentése szerint is a gyártóipar kerül leggyakrabban az ipari kémek célkeresztjébe, 2012-ben a célzott támadások 24 százaléka irányult a szektor szereplői ellen – míg egy évvel korábban ez az arány csupán 15 százalék volt. Ezzel szemben a kormányzati szektor és a közszféra szervezeteit célba vevő támadások száma egy év alatt felére, a 2011-ben jegyzett 25 százalékról 12 százalékra csökkent.

Míg 2011-ben a kutatás és fejlesztés területén dolgozó szakembereket a támadások mindössze 9 százaléka vette célba, addig a rá következő évben ez az arány háromszorosára, 27 százalékra ugrott. Ugyanebben az időszakban megduplázódott, 12-ről 24 százalékra nőtt az értékesítőket ért támadások aránya, ami valószínűleg azzal magyarázható, hogy elérhetőségeik jellemzően széles körben hozzáférhetők.

Az ipari kémek változatlan előszeretettel veszik célba a háttérirodai munkakörben dolgozó alkalmazottakat, a felsővezetők ellen indított támadások aránya viszont a korábbi 25 százalékról egy év alatt 17 százalékra csökkent. Az ipari kémek a pszichológiai manipuláció számos technikáját bevetik annak érdekében, hogy megtévesszék a kiszemelt szervezet alkalmazottait, és rajtuk keresztül bizalmas információkhoz férjenek hozzá.

A támadók például kormányzati vagy európai uniós tisztségviselők, illetve biztonsági cégek nevében küldhetnek levelet, vagy olyan üzeneteket, amelyek látszólag a kormányzati szervezetek előzetesen bejelentett beszerzéseivel kapcsolatos információkat tartalmaznak. Ehhez alaposan tanulmányozzák nemcsak az adott szervezet üzleti törekvéseit, hanem az egyes területeken dolgozó alkalmazottak motivációit is. Mindez növeli annak esélyét, hogy a címzett megnyitja a levél mellékletét, amely a támadás másik fontos eszközét, a rosszindulatú szoftverkódot tartalmazza.

Miközben a célzott támadások fele a 2500 alkalmazottnál többet foglalkoztató szervezetek ellen irányult 2012-ben, és a támadások száma éves összehasonlításban megkétszereződött, ez az arány gyakorlatilag nem változott a 2011-ben mért 50 százalékhoz képest. A 250 vagy ennél kevesebb alkalmazottat foglalkoztató kisvállalatok ellen indított, célzott támadások aránya viszont eközben 18-ról 31 százalékra ugrott – a támadások száma ebben a szegmensben egy év alatt megháromszorozódott.

Egyik oka ennek, hogy a kkv-k védtelenebbek, mint a nagyvállalatok, beszállító vagy értékesítő partnerként ugyanakkor értékes szellemi tulajdonhoz lehet hozzáférésük, ami vonzóvá teszi őket az ipari kémek szemében, akik gyakran ugródeszkaként használják őket célzott támadásaik indításához. Nő azonban az innovatív technológiákat fejlesztő, induló vállalkozások száma is, amelyek maguk is elsődleges célponttá válhatnak.

A Symantec ezért azt tanácsolja a vállalatoknak, hogy mérettől függetlenül számoljanak a célzott támadás kockázatával, adatvagyonuk, szellemi tőkéjük megóvására megfelelő biztonsági eszközök, folyamatok és szabályok bevezetésével alakítsanak ki többrétegű védelmet, és alkalmazottaik figyelmét hívják fel az ipari kémkedés veszélyeire.

Üzleti hírszerzés

A hatékony védekezés érdekében a szervezeteknek megfelelő szemléletet és gyakorlatot kell kialakítaniuk. Segíthet ebben az a tanfolyam is, amelyet a Budapesti Gazdaságtudományi és Műszaki Egyetem Mérnöktovábbképző Intézete a Posys Kft. gondozásában 2001-ben indított Gazdasági és üzleti információ- és hírszerzés címmel.

– Szeretnénk bemutatni az üzleti élet szereplőinek, a szervezetek vezetőinek, hogy a hírszerzés miként járulhat hozzá a vállalat eredményes és biztonságos működéséhez – mondta Jasenszky Nándor, a tanfolyam vezető előadója. – Kiindulásképp ehhez egy tévhitet kell eloszlatnunk, amely a gazdasági hírszerzést ipari kémkedésnek tartja: a kettő között ugyanis óriási a különbség.

A gazdasági, üzleti hírszerzés legális és etikus eszközökkel végzett, áttekinthető és folyamatos tevékenység, amely a vállalat eredményességének javítását és adatvagyonának védelmét szolgálja. Az ipari kémkedés ezzel szemben valamely értékes információ illegális úton történő, egyszeri megszerzését célozza, hogy kárt okozzon az egyik, és jogosulatlan előnyöket biztosítson a másik félnek.

A gazdasági élet szereplőjeként minden vállalatnak fel kell ismernie, hogy nem egyedül, elszigetelten tevékenykedik a piacon, hanem hasonló profilú szervezetekkel versenyez, partnerekkel, beszállítókkal, értékesítőkel, ügyfelekkel tartja a kapcsolatot. A sokszereplős, dinamikus környezetben az üzleti érdekek elengedhetetlenül ütköznek, a feleknek ezért folyamatosan figyelniük kell egymásra. – Tapasztaljuk azonban, hogy a szervezeten belül az egyes területek, a marketing, az értékesítés, a logisztika csupán a saját szemszögükből tekintenek a piacra, ami töredezettséghez vezet – mutatott rá az előadó. – A felső vezetésnek viszont átfogó piacismeretre van szüksége ahhoz, hogy megalapozhassa rövid és hosszú távú döntéseit, és jobb stratégiát alkothasson.

A vállalatnál ezért információ- és hírszerzéssel foglalkozó funkciót kell létrehozni, amely közvetlenül a felső vezetéssel tartja a kapcsolatot. Ismernie kell ugyanis a vállalat stratégiáját, rövid és hosszú távú célkitűzéseit ahhoz, hogy a célok elérésében hasznos információkkal segíthesse, illetve az eredményes működést aláásni próbáló, a szellemi tőkét, az adatvagyont veszélyeztető támadásokkal szemben megvédhesse a vállalatot. Ez a védő és elhárító szerep legalább annyira fontos, mint a versenytárs cégekről nyilvánosan elérhető információk begyűjtése és elemzése, mivel a támadások nemcsak kívülről, hanem házon belülről is érkezhetnek.

A hazai vállalatok zöme az érzékeny adatok és információk védelmét az IT-biztonság témakörébe sorolja, pedig azok nem kizárólag informatikai rendszerekben lelhetők fel. Számos munkafolyamat, így sok információ továbbra is papír-, illetve humánalapú. Ha a biztonsági kockázatok aktív kezelése nem terjed ki ezekre a területekre is, akkor az informatikai rendszerek védelme önmagában kevés lesz a biztonságos működéshez.

– Gyakran találkozunk azzal, hogy a vállalatok keveset tudnak a legérzékenyebb adatokkal és információkkal dolgozó, vagy szerepkörüknél fogva azokhoz hozzáférő alkalmazottaikról – folytatta Jasenszky Nándor. – Sok kisebb vállalat külső rendszergazdát bíz meg IT-környezetének menedzselésével, akiről még kevesebb információ áll rendelkezésre, de jellemzően a nagyvállalatok sem világítják át például az irodáik takarítását végző vagy a külső helyszíneken megtartott vezetői találkozók lebonyolításához szolgáltatásokat adó cégek alkalmazottait.

Ma, az internet, a keresők és a közösségi hálók korában persze könnyű információt gyűjteni szervezetekről és személyekről egyaránt, talán túlságosan is az. A kevés információnál ugyanis csak egy valami rosszabb, a túl sok információ, mutatott rá az előadó. Ezért szükséges, hogy a vállalatnál legyen hírszerző funkció, amely nemcsak összegyűjti, hanem rendszerezi, elemzi, és feldolgozott, döntéstámogatásra alkalmas formában a menedzsment elé tárja az információkat.

– Nagyobb vállalatoknál célszerű a szervezet egészének biztonsági szolgáltatásokat adó csoportot, azon belül hírszerzéssel, elhárítással dedikáltan foglalkozó funkciót létrehozni – mondta Jasenszky Nándor. – Korábban a Malév Vállalkozásbiztonsági Igazgatóságát vezettem, amely a poggyászkezeléstől a versenytárs légitársaságok tevékenységének figyeléséig az üzlet védelmének minden, gazdasági, humán, informatikai és fizikai aspektusával foglalkozott. Bizonyos vállalatméret alatt erre persze nincs lehetőség, a kisvállalatok azonban, a könyveléshez és a jogi képviselethez hasonlóan, külső szolgáltatót bízhatnak meg a gazdasági-üzleti hírszerzéssel is.