Megrendelés
Jegyző és Közigazgatás

Fizessen elő a Jegyző és Közigazgatásra!

Előfizetés

Jerabek György: IT-biztonsági szemelvények - NKI-tájékoztatás, riasztás és sajtószemle (Jegyző, 2020/3., 31-32. o.)

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézete (NKI) heti rendszerességgel összeállít egy válogatást az adott hét IT-biztonságot érintő híreiből. A sajtószemle mellett tájékoztatást és riasztásokat is küld, ha úgy ítéli, hogy azok olyan súlyú fenyegetések, amelyeket érdemes közzétenni az érintetti körben.

A legszerencsésebb (és utólag mindig kiderül, a legköltséghatékonyabb) megelőzni a bajt: azok a szervezetek, ahol az információbiztonsági felelős élő kapcsolatot ápol a rendszer üzemeltetőivel, fejlesztőivel és használóival, megerősödött immunrendszerükkel könnyebben állnak ellen a vírusoknak, zsarolási kísérleteknek és egyéb rosszindulatú kódok mesterkedéseinek.

Az elmúlt időszak érdekességeiből válogatunk most egy csokrot, de akiknek az érdeklődését felkeltettük, a teljes anyagot eléri az NKI oldaláról: https://nki.gov.hu/it-biztonsag/kiadvanyok/sajtoszemle/

"Nyilvános konzultáció indult az európai tanúsítási rendszerről (enisa.europa.eu)

Az Európai Unió Kiberbiztonsági Ügynöksége (ENISA) egy hónapig, - július 31-ig - tartó nyilvános konzultációt indított az első európai kiberbiztonsági tanúsítási rendszerének (EUCC) vonatkozásában, így az érdekelt felek számára lehetőség nyílik visszajelzést adni az EUCC aktuális munkapéldányáról. Az új tanúsítási rendszer célja az IKT termékek és szolgáltatások megfelelő kiberbiztonsági szintjének megteremtése a meglévő SOG-IS alapján működő rendszerek új elemekkel történő kiegészítésével, valamint a hatókör minden EU tagállamra történő kiterjesztésével. A nyilvános konzultációról bővebb információ az ENISA oldalán érhető el. A véleményezett anyagot az NBSZ NKI-nál működő Nemzeti egyedüli kapcsolattartó pont e-mail címére lehet megküldeni."

Üdvözölendő a törekvés, de gyors eredményre nem számítok: az uniós döntéshozók nem kapkodnak... Sajnos az idő ez esetben nem nekünk dolgozik: azt tapasztaljuk, hogy mire megszületik a szabályozás, már egészen máshol tart a világ...

"NSA útmutató IPsec VPN-ek biztonságos beállításához (bleepingcomputer.com)

Az NSA útmutatót adott ki IPsec virtuális magánhálózatok (VPN) biztonságos konfigurálásáról. Eszerint a legfontosabb teendők: csökkenteni a VPN átjárók támadási felületét; biztosítani, hogy az alkalmazott kriptográfiai algoritmusok megfelelnek a CNSSP (Committee on National Security Systems Policy) által támasztott elvárásoknak (CNSSP 15); kerülni az alapértelmezett VPN beállításokat; eltávolítani a nem használt kriptográfiai készleteket; valamint rendszeresen telepíteni a gyártói biztonsági frissítéseket. A tájékoztató függelékei konkrét beállítási javaslatokat is tartalmaznak. Az elmúlt évben több kiberbiztonsági szervezet is adott ki figyelmeztetést VPN-eket érintő biztonsági kockázatokról: a Pulse Secure VPN sérülékenységeire például az NSA tavaly októberben, a CISA pedig idén januárban is figyelmeztetett."

Rég bevett adathalász módszer az emberek félelmére építeni és üzleti előnyökkel (ingyenes eszközt vagy szolgáltatást kínálva) kecsegtetni a számítógépes rendszerek felhasználóit: megvédünk a rosszindulatú kártevőkkel szemben! A VPN-ek használata az otthoni munkavégzés hirtelen elterjedtsége okán exponenciálisan növekedett és olyan érintetti körben is bevezetésre került, ahol ezek használatára a korábban megtartott IT-biztonsági oktatásokon nem feltétlenül helyeztünk hangsúlyt. Jól érzékelhető, hogy ezt a humán sérülékenységet sokan felismerték és biztosították a szükséges erőforrásokat azok kihasználására... Legutóbb épp a telepített VPN kliens frissítését javasolta egy kártevő: ezért javasoljuk, hogy csak tiszta forrásból és a kellő óvatossággal/szakértelemmel vállaljuk el ezeket a feladatokat! (Ugye alapértelmezetten nincs adminisztrátori - telepítési - joga a normál felhasználóknak azokon a gépeken, ahonnan a hivatali hálózat is elérhető?)

"Valutaváltó alkalmazásnak álcázva jutott be a Cerberus banki trójai a Play Store-ba (securityweek.com)

A Cerberus egy információlopó trójai, ami hitelesítő adatok után kutat, azáltal, hogy képes logolni a telefon képernyőjén beírt adatokat, emellett hozzáfér a Google Authenticatorban tárolt információkhoz, valamint az SMS üzenetekhez is. Egy újonnan megfigyelt támadás során a malware-t készítői valutaváltó alkalmazásnak álcázták, amivel a Google Playen heteken át észrevétlen tudott maradni, ez idő alatt az Avast szerint a Calculadora de Monedanévű káros alkalmazást több, mint 10 000 alkalommal töltötték le."

Az asztali és hordozható gépek világa leáldozóban van. A mobileszközök egyre nagyobb teret nyernek és ezt a trendet a kártékony kódokat fejlesztő "vállalkozások" is érzékelik. Egy ilyen alkalmazás feljuttatásához a Google Play Store-ba vagy kivételes programozói zsenialitásra, vagy a keresőóriás biztonsági protokolljainak hiányosságára volt - lehetett - szükség. Gondoljuk át, milyen veszélyekkel terhelt egy olyan alkalmazás telepítése, amely még ezeken a biztonsági szűrőkön sem megy át és közvetlenül települ a gyártói oldalról az eszközünkre - már ha engedjük.

A teljes tartalom megtekintéséhez jogosultság szükséges.

A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.

Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!

Visszaugrás

Ugrás az oldal tetejére