Social engineering-vizsgálat – így hívják angolul azt a módszert, amelynek alkalmazásával a cégvezetők felmérhetik, hogy vállalatuk biztonsági rendszerei hogyan működnek. „Magyarországon nagyon rosszul” – így összegezhetőek a tapasztalatok.
A KPMG az elmúlt években több tucat nagyvállalat, köztük bankok és telekomcégek megbízásából ellenőrizte a vállalatok biztonsági rendszereit ezzel a módszerrel. A tapasztalatok nagyon rosszak. „Eddigi munkáink során nem találtunk olyan céget, ahová ne tudtunk volna személyesen bejutni anélkül, hogy azonosítottuk volna magunkat.” Nem problémamentes az azonosítás utáni bejutás biztonsága sem, mert a belépőkártyát minden esetben sikerült elhozni a cégektől, és soha nem fordult elő, hogy egy héttel később ugyanazzal a kártyával ne lehetett volna bejutni az épületbe. Ha már bent voltak, körülnéztek a szemetesekben is, és minden alkalommal találtak bizalmasnak minősülő iratokat, az esetek 80 százalékában pedig más úton is hozzájutottak bizalmas dokumentumokhoz.
Az esetek 90 százalékában sikerült működő mobileszközt elhelyezniük az épületben, és ezek felén keresztül később sikerült is rácsatlakozni a belső hálózatra. A csoport nemcsak ezt vizsgálja, hanem azt is, hogy az alkalmazottak hogyan viselkednek külső megkeresések alkalmával. „Mobilszámokat szinte mindig sikerült némi telefonálgatás útján megszereznünk, és az esetek 40 százalékában elértük, hogy valaki bizalmas dokumentumot küldjön külső e-mail címre, a hívások egyötöde zárult azzal, hogy megkaptuk valakinek a hálózati jelszavát.” Ez utóbbi volt talán a legsúlyosabb tapasztalatuk. A vállalati biztonság egyik legjobb fokmérője azonban mégsem ez, hanem az, hogy egy kívülről bejuttatott adathordozót (CD-t, pendrive-ot) hányan csatlakoztatnak a benti hálózaton. Tapasztalatok szerint a tárgyalókban, itt-ott „véletlenül” elhagyott adathordozókat 50 százalékban csatlakoztatják a rendszerhez a megtalálók, a postán, személyre szabottan beküldötteknél pedig a csatlakozási arány 80 százalékos. „Márpedig ezeken a kütyükön bármilyen kémszoftver lehetne, sőt van is, hiszen innen tudjuk, hogy melyiket hányszor alkalmazták.”
Ami a tényleges külső támadásokat illeti, 2012-ben a social engineering és az adathalász jellegű támadások nemzetközi felmérés szerint a cégeket világszerte elérő külső támadásoknak alig 1-1 százalékát tették ki, de a jelenség így is veszélyes. Az ilyen támadások 48 százaléka ugyanis bankkártyaadatok megszerzésére, 42 százaléka felhasználónevek és jelszavak megszerzésére irányul, amelyekkel azután újabb visszaéléseket lehet kívülről elkövetni. A támadások 4 százaléka során a személyes adatok kerülnek célkeresztbe, és csak a fennmaradó 1-2 százalék célja üzleti információ megszerzése.
