A Covid – 19 okozta helyzet emberek millióit kényszerítette otthoni munkavégzésre. A Zoom és más videókonferencia programok felhasználóinak száma az egekbe szökött, és szinte azonnal a hackerek célpontjává vált.
A koronavírus miatti korlátozó intézkedések következtében sok vállalatnak át kellett helyeznie a tevékenységét online környezetbe – ami döntő többségüknek rekordidő alatt sikerült is. Azonban nem mindegyikük tájékoztatta megfelelően alkalmazottait a távmunkával kapcsolatos, új kiberbiztonsági fenyegetésekről, például a videókonferencia-platformokról, melyek használata megfelelő biztonsági intézkedések nélkül problémát jelenthet. Az IFSEC szerint a videókonferencia-eszközök (például Microsoft Teams, Zoom) iránti növekvő igény számos adatvédelmi problémához vezetett a végpontok közötti titkosítás miatt.
Justin Brookman, a Consumer Reports magazin fogyasztói adatvédelmi és technológiai politikájának igazgatója hangsúlyozta, hogy biztonsági szempontból a Zoom különösen nagy kudarcot vallott. Az FBI jelenleg több olyan esetet is vizsgál, ahol hackerek Zoom videokonferenciákra léptek be és ott rasszista, homofób vagy antiszemita üzenetekkel fenyegették a résztvevőket.
Hogyan törhettek be a hackerek ezekre a videokonferenciákra? Egyszerűen olyan URL-ek létrehozásával és kitalálásával, amivel csatlakozni lehet a videocsevegésekhez. Brookman szerint a Zoomnak korábban nem kellett ennyi biztonsági fenyegetéssel megküzdenie, de ahogyan emberek tízmilliói kezdték el használni az alkalmazást, vonzó célpont lett a hívatlan vendégek számára is.
A videohívások bosszantó, olykor fenyegető hangvételű megzavarásának problémája gyorsan globális jelenséggé vált. Franciaországban, Németországban és az Egyesült Államokban is számoltak be hasonló eseményekről, ami aggályokat vetett fel más videókonferencia-platformok biztonsági rendszereivel kapcsolatban is.
Az úgynevezett “Zoom-bombázás” óta kutatók megállapították, hogy a Microsoft Teams biztonsági rendszere is könnyen megtámadható. A BBC arról írt, hogy a Microsoft Teamsben asztali vagy webes használat esetén rosszindulatú GIF-ek segítségével könnyedén lehet támadásokat kezdeményezni. A módszer lényege egy meghackelt aldomainben rejlik, és pusztán azzal, hogy a felhasználó megnézi az adott GIF-et, lehetőséget ad arra, hogy a támadók adatokat kaparinthassanak meg a fiókjából.
A Microsoft azóta javította ugyan ezt a biztonsági problémát, de a kutatók arra figyelmeztetnek, hogy a jövőben más platformokon is megismétlődhetnek ehhez hasonló támadások.
A videokonferenciák biztonsága ugyanakkor magukon a felhasználókon is múlik. Jól példázza ezt az Egyesült Királyság miniszterelnökének, Boris Johnsonnak az esete, aki a legelső virtuális kabinet-ülésről osztott meg Twitteren egy fotót, de nem távolította el a meeting azonosító számát. Ez potenciálisan lehetővé tette bárki számára, hogy csatlakozzon a beszélgetéshez. Mindazonáltal az Egyesült Királyság Nemzeti Kiberbiztonsági Központja kijelentette, hogy ha az értekezletnek nincsen bizalmas besorolása, akkor akár sor is kerülhetett volna erre.
A legfontosabb következtetés a vállalkozások számára: a COVID-19 és az azt követő gyors elmozdulás a digitalizáció felé, egyértelműen megmutatta az erős végpontvédelem és az alkalmazottak alapos képzésének fontosságát.
Mire figyeljünk, hogy biztonságosan használhassuk a videókonferencia alkalmazásokat?
- Ügyeljünk a környezetünkre: mielőtt csatlakoznánk egy videóhíváshoz, ellenőrizzük, hogy nem árul-e el a mögöttünk látszódó háttér valamilyen szenzitív információt. Értékes adatokat tartalmazhat például egy tábla, amelyre az előző hívás során jegyzeteltünk.
- Korlátozzuk a hozzáféréseket: a legtöbb videókonferencia alkalmazásban lehetőségünk van domain név alapján korlátozni a hozzáféréseket, így beállíthatjuk, hogy csak a cégünk munkavállalói csatlakozhassanak a hívásokhoz. A másik lehetőség, ha csak az előzetesen meghívott résztvevőknek engedélyezzük a csatlakozást. Érdemes jelszót beállítanunk a meetingekhez, így a meghívottak egy automatikusan generált jelszót is kapnak a meghívóban, amelyet meg kell adniuk a belépéshez.
- Legyünk óvatosak a fájlok küldésekor: fontoljuk meg a küldhető fájltípusok korlátozását. A legjobb, ha nem engedélyezzük a végrehajtható fájlok (például a .exe kiterjesztésű fájlok) átküldését.
- Figyeljünk a képernyő megosztásakor: érdemes korlátozni a képernyő megosztásának lehetőségét, például, hogy csak a hívás szervezője vagy az általa kijelölt felhasználó tehesse ezt meg. Így kizárhatjuk annak a lehetőségét, hogy valamelyik résztvevő véletlenül osszon meg olyasmit, amit nem szeretett volna. Megosztáskor csak a szükséges, éppen használt programot mutassuk, ne a teljes képernyőt, ugyanis egy asztali ikon vagy fájlnév is árulkodó lehet. Jó, ha szem előtt tartjuk, hogy az Apple iOS képernyőképeket készít, amikor a felhasználó átvált az alkalmazások között – így fennáll az esélye, hogy érzékeny adatokat is rögzít. Ha a videókonferencia platform lehetővé teszi, akkor érdemes beállítanunk, hogy ez a kép homályosan jelenjen meg.
Hatékony megoldásaink adatainak védelméhez
Az ESET az alábbi megoldásokat kínálja, amelyekkel nagyobb biztonságban tudhatja bizalmas adatait:
Végpontvédelem
Proaktív technológiákon alapuló végpontvédelmi megoldásaink többrétegű védelmet biztosítanak a mai dinamikus kártevők ellen, és könnyen kezelhetők az ingyenes központi menedzsment megoldásnak köszönhetően.
Merevlemez titkosítás
Az ESET távoli menedzsment felületeibe beépülő ESET Full Disk Encryption erős, teljes merevlemez titkosítást biztosít, amely hatékonyan védi értékes vállalati adatait, és hozzájárul a megfelelőségi előírások teljesítéséhez.
Többfaktoros hitelesítés
Egyszerű és hatékony megoldás különböző méretű szervezetek számára a többfaktoros hitelesítés megvalósításához. Támogatja a mobil alkalmazássokkal, illetve a push értesítésekkel történő hitelesítést, a hardver tokeneket, a FIDO biztonsági kulcsokat, valamint a teljesen egyedi megoldásokat is.
Szervervédelem
Megbízható vírusvédelmi megoldások fájlszerverek, levelezőszerverek és átjárószerverek védelmére.
Szeretné kipróbálni megoldásainkat? Találja meg az Önhöz legközelebb eső viszonteladó partnereinket!
Kérdezzen szakértőinktől díjmentesen!
Bizonytalan abban, hogy vállalkozásának milyen szintű védelemre lenne szüksége? Szeretné kötelezettségek nélkül kipróbálni megoldásainkat? Szeretne többet megtudni a fenyegetésekről és kivédésükről? Magyar szakértői csapatunk díjmentesen segít Önnek már a legelső lépések során is - forduljon hozzánk bizalommal! Kérjük, pontosan adja meg elérhetőségeit, hogy kollégáink fel tudják venni Önnel a kapcsolatot.
Ismeretlen kifejezést talált a szövegben?
Összegyűjtöttük Önnek a legfontosabb IT biztonsági kifejezéseket, amelyekkel könnyebben értelmezheti adatvédelmi és informatikai témájú cikkeinket. Kattintson ide, és keresse meg az Ön által még nem ismert kifejezést!