Idén már négy ügyfelemnél fordult elő informatikai biztonsági “vészhelyzet”, ebből ketten milliókat veszítettek, a másik kettőt csupán a mázli választotta el a jelentős veszteségtől. Ha te Chuck Norris vagy, akkor nyugodtan keresgélj tovább a kiscicás, vagy a politikai mémek között, ha viszont felelősséggel gondolkodó vállalkozó, akkor érdemes maradnod még 5 percre.
Röviden, tömören, és nem túl olvasmányosan a történet (a valósággal megegyező illusztráció) a következő: Van egy ügyfeled, megy az üzlet és utalod a pénzt. Nagy összeget. Kapsz egy levelet tőle, hogy “bocsi, megváltozott a számlaszámom, a … számú számla ellenértékét kérlek mostantól ide küldjed.”
…és Te küldöd. Hátradőlsz és elégedett vagy.
Aztán két hét múlva kapsz egy másik email-t az ügyfeledtől, amiben írja, hogy azért jó lenne, ha elutalnád a számla ellenértékét, mert el vagy maradva. Te pedig azonnal válaszolsz, mondván “én már elutaltam” és elküldöd a bizonylatot is. Aztán jön a válasz: “nekem bizony nem utaltál, az nem én voltam”. És ezen a ponton az agyad ledobja a láncot…
A reakciók változatosak, a gyomorgörcstől a tehetetlen dühön át az egy irányba nézésen keresztül, végül teszel egy feljelentést a rendőrségen, elnézést kérsz az ügyféltől és könyveled a vesztességet. (Akár 20 millió Ft-ot!!!)
Lépjünk hátra, hogy lássuk, hogy mi történt, mit tehetsz a megelőzésre, mit tehetsz, ha érintett vagy és mit KELL tenned, ha megtörtént veled egy hasonló eset.
Tartalomjegyzék
Mi történt?
Az utalás eltérítésével működő visszaélések úgy működnek, hogy a hekker megszerzi a korlátlan hozzáférést a levelezésedhez. Sokáig figyel. Tudja az adataidat és az ügyfeleid adatait. Neveket, email címeket, bankszámlaszámokat, sőt, ha ügyes, még a stílust is érzi és személyes részletekre is gondot fordít, olyan dolgokra, amelyeket csak ti, ketten tudtok. Ezeket használja majd fel az adott pillanatban, amikor is egy fizetésre kerül a sor, és ő egy az ügyfeledéhez nagyon hasonló email címen elkezd veled levelezni. Innen sima ügy, te abban a hitben, hogy a partnereddel levelezel, az ő általa megadott újabb számlaszámra utalod a pénzt és többé sosem látod.
Ami a tűzfalak akarom mondani a színfalak mögött történik… és ez a legfontosabb…
A teljes email forgalmatok és az érzékeny adataitok jó eséllyel továbbra is idegen kezekben vannak.
Az email-edet, vagy a partnered email-jét megtámadták, és meglehet, hogy az egész vállalkozásod többi fiókja és eszköze is érintett lehet.
Gondolj itt mindenre, ami legrosszabb lehet. Személyes adatok, érzékeny üzleti információk, termékek, szabadalmak, GDPR témában szabályzott adatok, partnerek, ügyfelek telefonjai, email-jei stb. Sőt, a felhasználói fiókjaid és jelszavaid a különböző rendszerekhez.
Ha ez az infó kint van az interneten, akkor hamar gazdát is cserél, így jó esélyed van egy “identitás rablás”, vagy egy “zsaroló” támadásra is, ami akár az egész céged informatikai rendszerét lelőheti két hétre, hatalmas bonyodalmakat okozva, elveszítve az ügyfeleid bizalmát.
Nem ragozom tovább, pedig lehetne.
Az intervenció, ha már megtörtént a baj.
Az első lépés az, hogy azonnal hozz össze egy vészhelyzeti meetinget (nagy szavak, de ez tényleg indokolt) az összes érintett döntéshozóval.
Derítsétek ki, hogy ki kivel kommunikált, gyűjtsétek össze az összes információt, és keressétek meg az érintett partnert, a bankot, és nem utolsó sorban a rendőrséget.
Az utóbbi a szinte semmit nem fog tenni érdemben, azonban jogi szempontból fontos, hogy azonnal adminisztrálnod kell a hatóságok felé. Ha ez megvan, a bank vagy tud valamit tenni, vagy nem. Jó eséllyel talán igen, legalábbis letiltja a visszaélő számláját, aki addigra már bizonyára leemelte az összeget.
A partnered tájékoztatása azért fontos, mert nem tudhatjátok, hogy kinél történt a támadás, azaz kinek az email fiókjához fértek hozzá a rossz fiúk (lehet, hogy lányok, legyünk gendersemlegesek 🙂 ) A te részedről úgy kell tekintened, mintha a támadás nálad történt volna, akár így van, akár nem.
Azonnal konzultálj az informatikusoddal. (Ugye van?)
Két oldalon kell cselekedj. Un. szerver oldalon, az email szolgáltatódnál, ebben a szolgáltató segít, és kliens oldalon, azaz fizikailag a te céged saját berendezéseiben.
Mit értek ez alatt?
Le kell ellenőrizz minden eszközt. Szó szerint minden eszközt!
Minden mobiltelefont, tabletet, laptopot, pc-t, okosórát, sőt, a routereidet, wifi hotspotjaidat, és még a nyomtatóidat is!
Manapság könnyen megfeledkezünk róla, de minden eszközünkben számítógépek vannak, un. Firmware-ekkel, azaz olyan operációs rendszerekkel, amelyek a hálózaton keresztül megfertőzhetőek, és a rosszindulatú, adathalászatra secializált kódokat továbbíthatják a többi eszköz számára. Ezt elég pongyolán fogalmaztam, de a lényeg az, hogy szó szerint minden eszközön vírusellenőrzést és firmware frissítést kell végezz.
Meg kell változtass minden jelszót! Szó szerint minden jelszót.
Ahol nincs, ott be kell vezess két lépcsős hitelesítést. Ez arról szól, hogy a bejelentkezéshez egy másik eszközről kapsz egy kiegészítő kódot, enélkül nem enged be a rendszer, tehát a jelszavad önmagában nem lesz elég a belépéshez.
Ha ez megvan, le kell ellenőrizd a levelezésed összes email címét, hogy ne kommunikálj többet a sötét oldallal.
Mivel csapatjáték a vállalkozás, a témáról meg kell fogalmazz egy tényszerű információs levelet és meg kell osszad partnereiddel, hogy felhívd a figyelmüket a lehetséges visszaélésekre, és hívd fel a figyelmüket, hogy érzékeny adatokat a jövőben csak többszörös megerősítés után fogadjanak el, számlaszám változtatást több csatornán ellenőrizzenek le.
Eddig a beavatkozás tőszavakban.
A megelőzés ennél mindig sokkal kifizetődőbb.
Hogyan lesz digitálisan golyóálló a vállalkozásod?
Pár “bullet-point” tényleg csak dióhélyban:
✔ Keress egy felelős és jól képzett informatikust.
✔ Készíts egy külső szakértővel egy mindenre kiterjedő, testre szabott informatikai biztonsági szabályzatot.
✔ Határozd meg a tiltott, tűrt és engedett alkalmazások és eszközök listáját és a felelősségi szinteket.
✔ Ismertesd meg MINDEN alkalmazottaddal, aki belép a céghez.
✔ Legyenek felhasználó szintű fiókok minden alkalmazotthoz rendelve, saját adathozzáférési szintekkel.
✔ Tarts tréninget.
✔ Irass tesztet és bizonyosodj meg róla, hogy mindenki érti, akarja és képes rá.
✔ Legyen rendszeres mentésed, több, külön tárolt offline adathordozóra.
✔ Rendszeresen frissítsd az összes eszközöd szoftvereit, alkalmazásait.
✔ Rendszeresen ellenőrizd az eszközeidet, hogy nincs rajtuk rosszindulatú kód, a szabályzatod által tiltott alkalmazás, vagy a szabályzatodban meghatározott adat.
✔ Legyen gazdája az IT rendszereteknek, olyan felelős személy, aki folyamatosan naprakészre fejleszti magát és a csapatot a témában.
És ami a legfontosabb. A céges berendezések a cég tulajdonában vannak, céljuk a munkavégzés. Értük a munkavállaló és a cég tartozik felelősséggel.
A privát eszközök a személyes életünk részei, értük mi, magánemberként tartozunk felelősséggel. Lehetőleg a kettőt soha ne keverd össze! Szigorúnak tűnik a hozzáállás, de ha tudnád, hogy milyen árat fizethetsz azért, mert az alkalmazottaid a magánéletüket is a céges gépen élik, inkább vennél nekik privát számítógépet karácsonyra…
✅ Készíts konkrét szabályzatot és folyamatot a pénzügyi tranzakciók biztonsága érdekében is.
✅ Csökkentsd a minimálisra az elektronikus formában továbbított érzékeny adatok mennyiségét, és szabályozd a hozzáférési köröket.
✅ Adatváltozás esetén több csatornás megerősítéssel járj el, legyen az minimum, hogy telefonon, személyesen egyeztetsz a másik féllel.
És egy friss információ. Több külföldi bank kezd ráállni arra a gyakorlatra, hogy a közleményben foglaltakat összeveti a valósággal, így minden külföldi utalásnál add meg a közleménybe a címzett cég nevét és számlaszámát.
A négy ügyfelem közül ketten azért “úszták” meg a veszteséget, mert valami sugallat, vagy régi szokás alapján beírták a közleménybe a címzett cég adatait, ami nem egyezett a csalók adataival. A szemfüles banki alkalmazott kiszúrta a trükköt és letiltotta a tranzakciót, így a pénz vissza fog kerülni (60 nap után) a feladóhoz.
Ez nem mindig működik, bankfüggő, de adhatsz neki egy esélyt.
Ha kérdéseid támadtak, ne habozz megkeresni egy kockázat csökkentő konzultációra!
Leon Frank
coach, tréner