A Hunguard Kft. szakértői etikus hackeléssel is tesztelték a hazai víz-, gáz- és áramszolgáltatók, illetve a csatornázási és a telekommunikációs vállalatok rendszereit, melyeknek mindössze 5 százaléka volt kellően felvértezve a külső behatolások ellen - közölte a társaság.

A vizsgált közműszolgáltatók informatikai rendszerének 56 százalékánál találtak magas, 78 százalékuknál közepes, 62 százalékuknál pedig enyhe kockázatokat a külső behatolások tekintetében a szakemberek – derül ki (mint magukról írják, Magyarország vezető IT-biztonsággal foglalkozó vállalatának) 140 rendszerátvilágítás eredményeit összesítő elemzéséből.

Csupán a vizsgált rendszerek öt százalékáról volt elmondható, hogy ellenállt a külső támadásoknak. A feltárt kockázatok javítása révén mára az érintett rendszerek szinte feltörhetetlenné váltak. Az így zárttá tett hálózatok nem csak az adatokat védik, de jó eséllyel megakadályozzák, hogy a kibertámadók átvegyék az irányítást a kritikus közműrendszerek felett.

A szakemberek a rendszerek elsődleges biztonsági felmérése során számos kockázatot tártak fel. A fejlesztések révén ugyanakkor a biztonsági kockázatokat a lehető legkisebbre szorították vissza. A tanúsítási és fejlesztési folyamaton átesett rendszerekben magas kockázatok már egyáltalán nincsenek, közepes szintűeket mindössze 4, alacsony szintűeket pedig alig 8 százalékuk rejt. Ez azt jelenti, hogy kívülről még gyakorlott hackerek számára is szinte sebezhetetlenné váltak eme kiemelt infrastruktúracégek informatikai rendszerei - emeli ki Lengyel Csaba, a Hunguard szakmai igazgatója.

A legtöbb egy cégen belül talált magas kockázatú hiányosság száma 11 volt, míg hasonlóképp egyetlen szervezeten belül 43-ra rúgott a legtöbb, különböző besorolási probléma.

Magas biztonsági kockázat alatt olyan sérülékenységeket értünk, amikor annak kihasználásával egy támadó a teljes rendszert képes veszélyeztetni. A sérülékenységeket kihasználva egy támadó akár az egész rendszer felett átveheti az uralmat, ezzel tetszőleges módosításokat végezhet az adatokban, irányíthatja a folyamatokat. A legtöbb ilyen problémát általában a nem használt, vagy elavult szolgáltatások publikus elérhetősége, a helytelen konfigurációs beállítások, vagy a gyenge jelszavak jelentik.

A közepes biztonsági kockázatot jelentő sérülékenységeket kihasználva egy támadó képes a rendszer nyilvános elérhetőségének korlátozására, vagy egyéb, kevéssé kiemelt adatok megszerzésére. Az alacsony biztonsági kockázat nem veszélyezteti közvetlenül az adott szervezet informatikai rendszerét, azonban több ilyen jellegű adat felhasználásával akár egy összetett támadás is megszervezhető, ami növeli a szervezet kitettségét, az adatok és a folyamatok sebezhetőségét.

A vizsgálat tapasztalatai szerint a rendszerek biztonsági szintje számos esetben külön anyagi ráfordítások nélkül jelentősen emelhető. A feltárt magas kockázati besorolású sérülékenységek 80 százaléka alacsony anyagi ráfordításokkal bizonyult javíthatónak. Itt jellemzően helytelen beállításokról, felesleges szolgáltatásokról, gyenge jelszavakról vagy nem frissített rendszerelemekről van szó. A hibák számos esetben lehetővé tették volna, hogy a hackerek teljes rendszerszintű problémákat idézzenek elő, vagyis képesek legyenek átvenni az irányítást a teljes informatikai rendszer felett – mutat rá a szakmai vezető.

Habár a vizsgálatok fő célja a számlázási rendszerek biztonsági felülvizsgálata és értékelése volt, a Hunguard átfogóbb szemlélet mellett tesztelte az energetikai cégek, vízművek és telekommunikációs szolgáltatók informatikai rendszereit. Mivel minden rendszer összefügg, egy kisebb fontosságúnak ítélt elemen keresztül is támadható az egész rendszer. Ezért ugyan nem volt cél a vizsgált vállalatoknál megtalálható összes rendszerelem teljes vizsgálata, fel kellett tárniuk minden olyan hiányosságot, amelyek lehetővé tennék, hogy egy támadó átvehesse az irányítást az adott rendszer felett, bizalmas információkat tudjon megszerezni vagy akár csak képes legyen megakadályozni a rendszer működését - idézi a közlemény Lengyel Csabát.

A közműcégek, azaz a víz-, gáz- és áramszolgáltatók, illetve a csatornázási és a telekommunikációs vállalatok IT-rendszereinek biztonsági vizsgálata során ezért a szakemberek minden esetben elvégeztek egy úgynevezett behatolás tesztelést (black-box teszt), amikor az adott szervezet előzetes jóváhagyása mellett valódi hackereszközök használatával megpróbáltak "betörni" a szervezet számlázási és egyéb rendszereibe. Az etikus hackelési folyamat során betartották a nemzetközi előírásokat.