fbpx
+36 1 781 4842 info@fortix.hu

Kedves CISO-k! Ne babusgassunk minden folyamatot!

Kedves CISO-k! Ne babusgassunk minden folyamatot!

A biztonsági hiányosságok felfedezésének legkézenfekvőbbnek tűnő, de egyben a legkevésbé hatékony és „érett” módja az, amit én úgy hívok, hogy “minden folyamat babusgatása”. Ez az ellenőrzés “első szintjén” történik, ami azt jelenti, hogy a biztonság minden (informatikai) folyamaton belül közvetlenül reprezentálva van. Ez olyan, mint a következő történet egyik szereplője.

Egy kis faluban csak akkor volt víz, amikor esett az eső, ezért felbéreltek két fickót, hogy vizet hozzanak a faluba. Az első fickó vett két vödröt, és elkezdett naponta többször oda-vissza gyalogolni a folyótól a faluba, hogy vizet hozzon. Ez a folyamat minden nap megismétlődött, a fickó számos utat tett meg a faluból a folyóhoz és vissza.

A második kolléga több hónapra eltűnt, majd azzal a tervvel tért vissza, hogy csővezetéket épít a folyótól a faluba. Elkezdték követni a tervükben felvázolt lépéseket, és a következő évben felépítették a csővezetéket. Miután a csővezeték elkészült, a faluban a hét minden napján, a nap 24 órájában volt víz! Furcsa módon a második fickó egyetlen vödröt sem vitt el a folyótól a faluba.

Vegyük ilyen szemmel példának az informatikai változáskezelési folyamatot. Minden változtatást, a kisebbektől a nagyobbakig, az illetékes biztonsági személyzet által kötelezően jóváhagyandó csatornán keresztül kell vezetni. Ez nagyon körültekintő megoldás, de számos hátulütője van.

Az első és legnyilvánvalóbb, hogy minden változtatási kérelem válogatás nélküli feldolgozása a biztonsági osztály értékes erőforrásait veszi igénybe. Ilyenkor megpróbálhatunk gyakorlatiasabbak lenni, és csak a jelentős változtatások biztonsági felülvizsgálatát írhatjuk elő. Ez működhet, de ebben az esetben, akárcsak az összes módosítás felülvizsgálatakor, a biztonsági felülvizsgálat szűk keresztmetszet lesz a folyamatban. Ez pedig a szándékunk ellenkezője. Ráadásul így rossz üzenetet küldünk a „társosztályoknak”.

A biztonsági csapat által kikényszerített extra, operatív szintű ellenőrzés szigorú ellenőrzésnek tűnhet, de ehelyett inkább arról szól, hogy mi, a „security-sek” képtelenek vagyunk megfelelő irányítási struktúrát kialakítani! Ez a megközelítés az üzemeltetés és a többi IT-csapat részéről is erős függőséget fog teremteni a biztonsági ellenőrzések tekintetében. Ez adott esetben nem szándékolt szereptévesztésbe tolhatja a biztonsági kontrollszervezetet.

Egy idő után a biztonsági ellenőrzés a késedelmek ürügyévé válhat, és a mérnökök ahelyett, hogy elolvasnák(!), megértenék és alkalmaznák a biztonsági szabályokat, a biztonsági csapathoz fordulnak, hogy értelmezzék a rendszerarchitektúra vagy a megoldás minden egyes részletét, és eseti alapon hozzanak meg go/no-go döntéseket. E döntések túlnyomó többségét, megfelelően előkészítve a projektben egyébként dolgozó szakértők, vezetők is meghozhatják!

Az biztos, hogy ha a szabályzatok nincsenek jól elkészítve, nem egyértelműek vagy elavultak, akkor a fenti lehet az egyetlen módja annak, hogy a dolgokat ellenőrzés alatt tartsuk. Ez azonban ahhoz a végzetes pillanathoz vezet, amikor a biztonsági vezető elengedi a dolgot, és lemond a történések validálásáról; ezért ez a „megoldás” csak átmeneti lehet!

Minden folyamat babusgatása túlságosan úgy hangzik, mintha vödröket cipelnél. Nem inkább a csővezeték építésével kellene foglalkoznod?

Szerző: Farkas Imre

Iratkozzon fel hírlevelünkre!

    (*)

    FIGYELO.HU -N MEGJELENT CIKKÜNK: KIBERBIZTONSÁG: ELŐTÉRBEN A TUDATOSSÁG

    FIGYELO.HU -N MEGJELENT CIKKÜNK: KIBERBIZTONSÁG: ELŐTÉRBEN A TUDATOSSÁG

    Figyelo.hu -n megjelent cikkünk: KIBERBIZTONSÁG: ELŐTÉRBEN A TUDATOSSÁG

    Október jellemzően a kiberbiztonság hónapja, immár 10-ik alkalommal rendezi meg az ENISA (Európa Unió Kiberbiztonsági Ügynökség) a figyelemfelkeltő és oktató programjait, amibe Magyarország is bekapcsolódik.

     

     Hőnyi Gyula

    Néhány megdöbbentő adat jellemzi a legjobban miért érdemes még most is (25-30 évvel a civilek által is hozzáférhető internet elterjedése után) kiberbiztonságról beszélni. Az utóbbi időszakban több, mint 400 százalékkal nőtt a zsarolóvírusok száma, a kiberkárok 95 százaléka emberi mulasztások miatt következik be, a világban keringő levelek 99 százaléka spam, vagy vírus, 3 millió szakember hiányzik a kiberbiztonsági piacról és a netes kereskedelem az utóbbi időben 800 milliárd dollár értékben nőtt.

    Ilyen adatforgalom mellett egyáltalán nem csoda, hogy a kiberbűnözőknek időről-időre sikerül feltörniük egy-egy biztonsági rendszert és kárt okozniuk a vállalatoknak. Itthon a FORTIX Consulting Kft. az egyik szereplője a kiberbiztonsági hónapnak, Rónaszéki Péter a cég ügyvezetője lapunknak elmondta, ebben az évben a programsorozatok kiemelt területe a 40-60 éves korosztály, illetve a KKV szektor.

    A cég oktatással és tanácsadással igyekszik felkészíteni (célzottan, cégekre szabva) a vállalatokat, illetve a vállalatok szakembereit hogyan lehet, vagy érdemes elkerülni a kibertámadásokat. Ugyanis a helyzet az, hogy az esetek többségében a józan gondolkodással a támadások túlnyomó része elkerülhető.

    Az emberi társadalom több ezer éve úgy épül fel, hogy a közösségek segítik egymást, ám ezt az erőt használják ki a csalók. A hiszekénységre, a segítőkészségre alapozzák a támadások nagy részét. A csalók egyre szofisztikáltabb módszerrel dolgoznak és mindig igyekeznek kihasználni a közéleti fősodort, gyakran állami vállalatok, vagy nagy szolgáltatók nevében jelentkeznek és ma már nem csak elektronikus levél formájában, hanem más informatikai eszközök opcióit is kihasználják.

    A kis- és közepes vállalatok jellemzően nagyon kitettek az ilyen támadásoknak, egyrészt mert nekik nincs akkora költségvetésük a kiberbiztonságra, mint a nagy, vagy nemzetközi vállalatoknak és persze információbiztonsági szabályokat sem mindig határoznak meg, másrészt őket is erősen érinti, hogy a munkavállalók otthonról, lazább környezetben dolgoznak. Az otthoni számítástechnikai rendszerek védelme pedig sokkal gyengébb, mint a munkahelyi rendszereké, így azon keresztül a bűnözők feltörhetik a vállalati adatbázisokat.

    Az Európai Kiberbiztonsági Hónap kampányának célja végső soron az, hogy reziliensebbé tegye az uniós rendszereket és szolgáltatásokat. Ennek megvalósítása érdekében lehetővé teszi a polgároknak, hogy a tűzfal szerepét betöltve segítsék az átmenetet egy kiberbiztonsági kérdésekben tudatosabb társadalom felé.

    Cikkünk a figyelo.hu -n jelent meg: https://figyelo.hu/hirek/kiberbiztonsag-eloterben-a-tudatossag-178810/

    Iratkozzon fel hírlevelünkre!

      (*)

      DORA RENDELET: MI AZ A DORA? (1. RÉSZ)

      DORA rendelet: Mi az a DORA? (1. rész)

      A GDPR-t, mint Általános Adatvédelmi Rendeletet, talán senkinek sem kell bemutatni, több, mint 4 éve velünk él és valamilyen formában mindenki találkozik vele. Azt talán már kevesebben tudják, hogy az EU-ban jelenleg több olyan jogszabály előkészítése vagy éppen elfogadása is terítéken van, amelyek az adatvédelemhez, információbiztonsághoz, illetve a mesterséges intelligenciához kapcsolódnak, egy-egy jól megfogalmazott stratégia részeként. Ebben a rendszerben kiemelt szerepet kap a kiberbiztonság, a Európai Bizottság megfogalmazása szerint ugyanis a 2020-2030 közötti időszak “Európa digitális évtizede”. Az egységes, uniós szabályozás megteremtését több állásfoglalás, irányelv és rendelet fogja segíteni.

      A közeli és távoli jövőben megjelenő új jogszabályok közül az egyik a Digital Operational Resilience Act, azaz a digitális működési rezilienciáról szóló rendelet (röviden: DORA), amelynek célja, hogy a pénzügyi szervezetek számára az információs és kommunikációs technológiák (IKT) használatára vonatkozóan közös szabályokat írjon elő. Ezt a rendeletet ugyan még nem fogadták el, de 2022. május 10-én ideiglenes megállapodással az előzetes tárgyalások lezárultak és várhatóan idén elfogadásra is kerül. A beterjesztett rendelet tervezet szövegében már csak pontosítások várhatóak a különböző határidők tekintetében.

      Ha egyszerűen akarjuk értelmezni, akkor azt mondhatjuk, hogy a DORA a pénzügyi szervezetekre fog vonatkozni – ami igaz is meg nem is. Ugyanis a rendelet tervezet 20 pontban, tételesen felsorolja, mit kell pénzügyi szervezet alatt érteni, de a jogszabályt kiterjeszti a harmadik félnek minősülő IKT szolgáltatókra is. Ezek alatt a digitális és adatszolgáltatást nyújtó vállalkozásokat (pl. felhőszolgáltató, szoftverszolgáltató, adatközpont) kell érteni, akik szerződéses kapcsolatban állnak a pénzügyi szervezettel. Ezáltal egy jóval nagyobb kört von be, akiknek meg kell felelnie a rendeletnek. (A témához tartozó következő részben részletesebben is foglalkozunk a DORA alanyaival.)

      A DORA tervezet főbb területei a következők:

      a) IKT kockázatkezelés: A pénzügyi szervezeteknek átfogó és jól dokumentált IKT kockázatkezelési keretrendszerrel kell rendelkezniük.
      b) IKT vonatkozású biztonsági események kezelése, osztályozása, bejelentése: A pénzügyi szervezeteknek a biztonsági eseményeket osztályozni kell és a jelentős IKT vonatkozású biztonsági eseményeket az adatvédelmi incidensekhez hasonlóan, az illetékes hatóságnak be kell majd jelenteni.
      c) Digitális működési reziliencia tesztelése: A pénzügyi szervezeteknek legalább évente tesztelniük kell valamennyi kulcsfontosságú IKT rendszerüket és alkalmazásukat, illetve legalább 3 évente behatolási teszteket kell végrehajtani.
      d) Harmadik féltől eredő IKT kockázat kezelése: A külső IKT szolgáltatókra is stratégiát kell alkotni, illetve bevezetésre kerül a kulcsfontosságú IKT szolgáltató megnevezés, akire külön szabályok vonatkoznak majd.
      e) Információmegosztásra vonatkozó megállapodások: A pénzügyi szervezetek, egymás közötti megállapodások alapján megoszthatják egymás között az információkat.

      Azon pénzügyi szervezetek számára, ahol eddig is működött valamilyen információbiztonsági rendszer és kockázatelemzés, ott nem lesz akkora újdonság a DORA bevezetése, bár tény, hogy tennivaló így is lesz bőven. Ettől függetlenül a felkészülést el kell kezdeni, most még időben vagyunk.
      (A sorozat következő részeiben a DORA egy-egy részével vagy újdonságával foglalkozunk részletesebben.)

      A DORA sorozat második része – kire vonatkozik? – már elérhető. 

      Szerző:

      Dr. Simon Norbert

      Iratkozzon fel hírlevelünkre!

        (*)

        VILÁGGAZDASÁGBAN MEGJELENT CIKKÜNK: ELÉG-E A KIBERBIZTOSÍTÁS?

        VILÁGGAZDASÁGBAN MEGJELENT CIKKÜNK: ELÉG-E A KIBERBIZTOSÍTÁS?

        Világgazdaságban megjelent cikkünk: Elég-e a kiberbiztosítás?

        Elég-e a kiberbiztosítás?

        Mire is jó egy ilyen biztosítás? És mire nem jó egy ilyen biztosítás? Miért fontos az, hogy felkészültek legyünk? Összességében azt lehet mondani: a helyes felkészülés két részből áll.

        2022.09.30 | Szerző: Balla Teodóra, a Fortix Consulting Kft. IT Security-tanácsadója

        Biztonságban az online térben! Sok biztosító ezzel a szlogennel hirdeti termékét cégeknek és magánszemélyeknek egyaránt. A kibertérben ugyanis mindenki célpont. A koronavírus okozta világjárvány első hullámában a nagyvállalatok voltak inkább a hackerek fő célpontjai. Az utóbbi időszakban a kis- és középvállalkozások is igencsak gyakran kerülnek célkeresztbe. Ennek oka, hogy általában a kisebb szervezetek veszítenek a legtöbbet, ha támadás éri őket, valamint rajtuk keresztül talán könnyebb eljutni partnereikhez, a nagyobb cégekhez. Az adathalász levelek, a zsarolóvírusok száma és minősége folyamatosan nő, szinte már nincs cég, intézmény, magánszemély, aki ne találkozott volna ezzel a jelenséggel. A telefonhívások általi adathalászat (Vishing) is egyre gyakoribb.

        Nem lehet elégszer hangsúlyozni a technológiai biztonság folyamatos szinten tartását okoseszközeink védelmének érdekében. A vírusvédelmi szoftverek alkalmazása minden okoseszköz esetén javasolt ma már, ezek a rendszerek is folyamatosan fejlődnek, egyre több és jobb megoldást javasolnak. És hogy ez mennyire fontos például a cégek esetében is? Vannak olyan felmérések, amelyek szerint a vállalatok számottevő része az adatszivárgást követő hat hónapon belül megszűnt vagy súlyos válságba került. A home office elterjedésével pedig igencsak megnőtt azoknak a magánszemélyeknek a száma, akiknek a gépét kiberbűnözők támadták meg, és adatokat szereztek meg tőlük. Erre reagáltak természetesen a biztosítók is: számos kiberbiztosítási csomagot kínálnak ügyfeleiknek, amelyek mindenféle szolgáltatást, kártérítést ígérnek. Természetesen hasznos lehet ilyet kötni, speciálisan személyre vagy cégre szabottan.

        kiberbiztonság

         

        De mire is jó egy ilyen biztosítás? Egy vállalkozás esetében akár egy irodában, de még inkább egy üzemben, gyárban olyan értékű eszközpark működhet, amelynek javítása vagy pótlása tetemes beruházás. Ezek nemcsak olyan közismert károk esetében sérülhetnek meg vagy károsodhatnak fizikailag, mint egy tűzkár, hanem kibertámadásból eredően is.

        Megbénulhat és sérülhet az informatikai eszközpark, ami adott esetben tönkreteheti a gépparkot.

        A biztosító kártérítéséből ezek pótolhatók. Egy üzemszünet bekövetkezhet kibertámadástól is. Ha szünetel a gyártás, és nincs mivel kiszolgálni a vevőket, akkor az elmaradt nyereség és a továbbra is fizetendő állandó költségek is nagyok lehetnek, és csak a biztosítási kártérítéssel pótolhatók. Harmadik félnek: ügyfeleknek, vevőknek, partnereknek, beszállítóknak is kárt okozhatunk azzal, ha a kibervédelmi rendszer nem bizonyul megfelelőnek. A felelősségbiztosítások elvén ezek a másnak okozott károk is megtérülhetnek a megfelelő biztosítási konstrukcióval.

        Nos, és mire nem jó egy ilyen biztosítás, és miért fontos az, hogy felkészültek legyünk? 

        Alapvetés, hogy mint semmilyen biztosítás, ez sem véd meg önmagában attól, hogy a kár bekövetkezzen.

        Vagyis nem hárítja el magát a kiberkockázatot, nem gátolja meg, hogy a nem kívánt esemény, például egy kibertámadás bekövetkezzen. Nem tartja távol a zsarolóvírust sem. Ezek kockázatát információbiztonsági kontrollokkal, védelmi, sérülékenységmenedzsment-eszközökkel, megelőzéssel, rendszeres tudatosító kampányokkal lehet csökkenteni, de megszüntetni nem. Egyetlen lehetőség maradt csak: a lehető legjobban fel kell készülni az ilyen esetekre. Persze a kiberbiztonságnak megvan a maga technológiai rutinja, elkészül egy szoftver, amelyet valakik valamiért feltörnek, hibát találnak benne, ezért elkészül a szovfter javítása egyszer, kétszer és akár végtelen sokszor. Az informatikusok egyik leggyakoribb feladata a javítások telepítése. Ez azt jelenti, hogy az IT-szakember folyamatosan javít, frissít, megold. A szoftverfejlesztő csapatok is mindig azon dolgoznak, hogy jobb, eredményesebb, hatékonyabb és persze – ma már nélkülözhetetlen elvárásként – gyorsabb szoftvereket írjanak, lehetőleg a legkevesebb hibával.

        Mindenki azon dolgozik tehát, hogy az élet a kibertérben biztonságos legyen,

        de akár kisebb informatikai eszközparkról, akár felhőszolgáltatásról beszélünk, a legfontosabb a folyamatosság és a rendszeresség. Ha ezzel megvagyunk, érdemes a kiberbiztosításnak is utánajárni, mert míg az előbbi egy technikai megoldás, az utóbbi egy felelős gazdasági döntés, mint a lakásunk vagy éppen az autónk biztosítása, védelme.

        Összességében azt lehet mondani, a helyes felkészülés két részből áll: egy jól működő, a kockázatokkal arányos információbiztonsági rendszerből, melynek része a hardveres és szoftveres védelem. Ehhez hozzátartozik a munkatársak ilyen irányú képzése. A másik pedig a kiberbiztosítás megkötése. Egyik sem hagyható ki, a kettő közös alkalmazásával biztosítható a megfelelő védelem és vállalkozásunk, cégünk sikere.

        Cikkünk a Világgazdaság – vélemény rovatában jelent meg: https://www.vg.hu/velemeny/2022/09/eleg-e-a-kiberbiztositas

        Iratkozzon fel hírlevelünkre!

          (*)

          Egy lépéssel közelebb a kiberbiztonság felé az új uniós szabályoknak köszönhetően

          Egy lépéssel közelebb a kiberbiztonság felé az új uniós szabályoknak köszönhetően

          EGY LÉPÉSSEL KÖZELEBB A KIBERBIZTONSÁG FELÉ AZ ÚJ UNIÓS SZABÁLYOKNAK KÖSZÖNHETŐEN

          Globális szinten 11 másodpercenként zsarolóvírus-támadás ér egy szervezetet, és a kiberbűnözés által okozott becsült éves kár 2021-ben elérte az 5,5 billió eurót, a kiberbiztonság erősítése és a digitális termékek sebezhetőségének csökkentése fontosabb, mint valaha.

          Éppen ezért az Európai Bizottság 2022. szeptember 15-én javaslatot terjesztett elő egy, a kiberrezilienciáról szóló új jogszabályra azzal a céllal, hogy megóvja a fogyasztókat és a vállalkozásokat a nem megfelelő biztonsági funkciókkal rendelkező termékek veszélyeitől. Ez az első ilyen jellegű uniós szintű jogszabály, mely kötelező kiberbiztonsági követelményeket vezet be a digitális elemeket tartalmazó termékekre vonatkozóan, mely követelményeket a termékeknek a teljes életciklusuk alatt teljesíteniük kell.

          A Bizottság elnöke, Ursula von der Leyen által 2021 szeptemberében, az Európai Unió helyzetéről szóló beszédben említett, illetőleg a digitális évtizedre vonatkozó 2020. évi uniós kiberbiztonsági stratégiára és a biztonsági unióra vonatkozó 2020. évi uniós stratégiára épülő jogi aktus biztosítani fogja, hogy a digitális termékek – például a vezeték nélküli és vezetékes termékek és szoftverek – Unió-szerte biztonságosabbá váljanak a fogyasztók számára: az új javaslat növeli a gyártók felelősségét, mivel előírja, hogy az azonosított sebezhetőségek kezelése érdekében kötelező biztonsági támogatást és szoftverfrissítéseket biztosítani, továbbá lehetővé teszi a fogyasztók számára, hogy hozzáférjenek a kellő információkhoz az általuk vásárolt és használt termékek kiberbiztonságáról.

          Margarítisz Szhinász, az európai életmód előmozdításáért felelős alelnök a következőket tette hozzá: „A kiberrezilienciáról szóló jogszabály az Unió válasza a modern biztonsági fenyegetésekre, melyek mára digitális társadalmunkban mindenütt jelen vannak. A kritikus infrastruktúrára, a kiberbiztonsági felkészültségre és reagálási képességre, valamint a kiberbiztonsági termékek tanúsítására vonatkozó szabályok létrehozása révén az EU úttörő szerepet vállalt a kiberbiztonsági ökoszisztéma létrehozásában. Ma egy olyan törvénnyel tesszük teljessé ezt az ökoszisztémát, amely fokozza a biztonságot otthonainkban és a vállalkozásainkban, továbbá megbízhatóbbá tesz minden összekapcsolt terméket. A kiberbiztonság már nem csak az ipart érinti, hanem a társadalom számára is fontos kérdés.”

          A ma javasolt intézkedések a termékekre vonatkozó uniós jogszabályok új jogszabályi keretén alapulnak, és a következőket foglalják magukban:

          1. a) a digitális elemeket tartalmazó termékek forgalomba hozatalára vonatkozó szabályok, melyek e termékek kiberbiztonságát hivatottak biztosítani;
          2. b) a digitális elemeket tartalmazó termékek tervezésére, fejlesztésére és gyártására vonatkozó alapvető követelmények, valamint a gazdasági szereplők e termékekkel kapcsolatos kötelezettségei;
          3. c) a digitális alkotóelemeket tartalmazó termékek teljes életcikluson átívelő kiberbiztonságának garantálása érdekében alapvető követelmények a biztonsági rések kezelésére irányuló, gyártók által alkalmazott folyamatokra, továbbá kötelezettségek e folyamatokkal kapcsolatban a gazdasági szereplőkre nézve. A gyártóknak továbbá jelentést kell tenniük a kihasznált biztonsági résekről és a kiberbiztonsági eseményekről;
          4. d) a piacfelügyeletre és a végrehajtásra vonatkozó szabályok.

          Az új szabályok nagyobb felelősséget helyeznek a gyártókra, akiknek biztosítaniuk kell, hogy az uniós piacon forgalmazott, digitális elemeket tartalmazó termékeik megfeleljenek a vonatkozó biztonsági követelményeknek. Következősképpen a fogyasztók és a polgárok, valamint a digitális termékeket használó vállalkozások javát szolgálják azáltal, hogy javítják a digitális elemeket tartalmazó termékek biztonsági jellemzőinek átláthatóságát és előmozdítják az azokba vetett bizalmat, valamint biztosítják az alapvető jogok, például a magánélet jobb védelmét, valamint a jobb adatvédelmet.

          A következő lépések

          Most az Európai Parlamenten és a Tanácson a sor, hogy megvizsgálja a kiberrezilienciáról szóló jogszabálytervezet. Elfogadását követően a gazdasági szereplőknek és a tagállamoknak két év áll majd rendelkezésére, hogy alkalmazkodjanak az új követelményekhez.

          Iratkozzon fel hírlevelünkre!

            (*)

            Spamellenes világnap 

            Spamellenes világnap 

            Spamellenes világnap

            2003 óta, minden év június 23-án kerül sor a spamellenes világnap megrendezésére. A világnap ötlete a Yahoo-tól származik, és a kezdeményezés alapvető célja az volt, hogy felhívja az emberek figyelmét a kéretlen levelekre, azok szűrésére és a védekezésre. 

            Idegesítő e-mailek, SMS-ek, hangüzenetek és egyéb digitálisan terjesztett üzenetek, amelyeket kapott, de sohasem kért volna? Ezek mind leírhatók egyetlen szóval – spam. 

             

            Mi is az a spam? 

            Spamnek tekinthetjük a kéretlen, tömegesen küldött kommunikáció bármely típusát (Unsolicited Bulk Email, UBE). Leggyakoribb formája a nagyszámú címre küldött kereskedelmi e-mail (Unsolicited Commercial Email, UCE), de “spammelés” lehetséges, szöveges üzeneteken (SMS), közösségi médián vagy akár hangpostán keresztül is. A spam küldése több jogi szempont alapján is lehet illegális. 

            Jelenleg a spamek az elektronikus kommunikáció egyik legnagyobb problémái közé tartoznak. Az összes e-mail kommunikáció akár 50 százalékát is kitehetik. 

             

            A kifejezés eredete 

            A Monty Python című brit vígjátéksorozat rajongói valószínűleg már tudják, honnan származik a kifejezés. A műsor 1970-es “Spam” című szkeccsében két vendég, ételt rendel egy filléres kávézóban és észreveszik, hogy az étlapon szinte minden étel SPAM-et (egyfajta húskonzerv) tartalmaz. Bár egyikük sem akar SPAM-et az ételébe, hamarosan kiderül, hogy az összetevőt szinte lehetetlen elkerülni – akárcsak a kéretlen e-mail üzeneteket. 

             

            Története 

            Az első spam e-mail kampányt 1978-ban figyelték meg, amikor az internet elődjéhez, az Advanced Research Projects Agency Network-höz (ARPANET) csatlakozó közel 400 felhasználó (vagy az összes felhasználó 15%-a) postaládájába kerültek üzenetek. Egy vállalat termékbemutatóját reklámozta, de miután sok negatív visszajelzést kapott, a marketingnek ezt a formáját – legalábbis egy időre – elhagyták. 

            Ahogy az internet globális méreteket öltött, úgy nőtt a spamek száma is. A 2000 utáni években számuk robbanásszerűen megnőtt és 2008 körül érte el a csúcsot, amikor a globális spamek az összes e-mail forgalom több mint 90%-át tették ki. Ráadásul nem csak kéretlen hirdetéseket terjesztettek, hanem adathalász linkeket és más csalárd tartalmakat, valamint veszélyes malware-ket is, így komoly biztonsági fenyegetéssé váltak, amellyel sürgősen foglalkozni kellett. 

            A spamek mennyiségének visszaszorítása több fronton is elkezdődött. A kiberbiztonsági gyártók és szoftverfejlesztők olyan biztonsági megoldásokat hoztak létre, amelyek képesek kiszűrni az ilyen jellegű kommunikációt. A jogalkotók pedig, olyan spamellenes törvényeket dolgoztak ki, melyekben a spamküldés bizonyos esetei illegálisnak is minősülhetnek, így a küldőik bíróság előtt büntethetővé válnak.  

            2008-ban a McColo-t, egy kaliforniai székhelyű tárhelyszolgáltatót azért zártak be, mert olyan gépeknek adott otthont, amelyek “kéretlen kereskedelmi e-mailek (UCE)” küldéséért voltak felelősek. Becslések szerint a McColo szerverei a világszerte küldött spam-üzenetek 75%-áért voltak felelősek. 

             

            Hogyan lehet felismerni a spameket? 

            Ha a tömeges kommunikáció bármely formája (legyen az szöveges- vagy hangüzenet) kéretlen és megtévesztő, akkor valószínűleg spamről van szó. 

             

            Hogyan védekezzünk a spam ellen? 

            Soha ne adja meg e-mail címét olyan oldalon, ahol ez nem szükséges. Amennyiben szükséges, abban az esetben is megfontoltan járjon el. Létrehozhat például egy „eldobható e-mail címet” is, amelyet csak hírlevelekhez vagy feliratkozásokhoz használ. Illetve a legtöbb e-mail szolgáltató és antivírus szoftver is rendelkezik már viszonylag jó felismerőképességű spamszűrővel. 

            Spam szűrők használatával, különböző tűzfal szabályok alkalmazásával, e-mail címünk bizalmas kezelésével lényegesen csökkenthetjük a beérkező spam üzenetek számát. 

             

            Interaktív szemléltetés: 

            https://talosintelligence.com/ebc_spam  

            https://www.spamhaus.com/threat-map/ 

             

            Források: 

            https://www.kurt.hu/spamellenes-vilagnap/ 

            https://kamaraonline.hu/junius-23-a-spam-ellenes-vilagnap-de-mi-is-az-a-spam/ 

            https://www.cert.hu/keretlen-levelek-spam-ek 

            Iratkozzon fel hírlevelünkre!

              (*)