F.A.Q.

Here are some common questions about
cybersecurity awareness.

Adatvédelem, adatkezelés

Mi az az adatvédelem?

Az adatvédelem a személyes adatok gyűjtésének, feldolgozásának és felhasználásának korlátozásával, az érintett személyek védelmével foglalkozik. Nevével ellentétben tehát nem elsősorban az adatokat védjük, hanem azokat a személyeket, akikkel az adatok összeköthetők. A védelem eszközei között szerepelnek jogszabályok, eljárásrendek és szabályzatok, de akár technológiai eszközök is.

Az adatok kezelésére vonatkozó, 2018. május 25 napjától az egész Európai Unió területén egységesen alkalmazandó jogszabály a mindenki által ismert általános adatvédelmi rendelet (GDPR).

Mik azok a személyes adatok?

A személyes adat minden olyan információ, amely valamely azonosított vagy azonosítható élő személlyel kapcsolatos, vele összefüggésbe hozható. Tehát személyes adat lehet valakinek a neve, a telefonszáma, az email címe, de bizonyos körülmények között akár a testmagassága, vagy a neme, amennyiben például a szobában csupán egy férfi tartózkodik, vagy egyetlen magas, vagy éppen alacsony ember.

Mik azok a különleges személyes adatok?

A személyes adatok kategóriáján belül különleges védelmet élveznek az úgynevezett különleges személyes adatok, vagyis olyan adatok, melyek kitudódása esetén az érintettet (akire vonatkozik), különösen nagy hátrány érhetné. Ezeknek az adatoknak a védelmét az általános adatvédelmi rendelet (GDPR) sokkal szigorúbban szabályozza, azok kezelése például alapesetben tilos. Ilyen adatok lehetnek a faja, nemre, vallási felekezethez-, vagy szakszervezethez való tartozásra vonatkozó adatok, az egészségügyi- vagy biometrikus adatok, valamint a szexuális orientációra vonatkozó adatok.

Adatkezelés és adatfeldolgozás. Mi a különbség?

Sokszor halljuk, látjuk, hogy az „adatkezelők” vagy az „adatfeldolgozók” kötelesek erre vagy arra. De nézzük meg mi is az az adatkezelés, mi az adatfeldolgozás és mi a különbség a kettő között.

Adatkezelésnek nevezzük a személyes adatokon végzett bármely művelet vagy műveletek összességét, így a gyűjtést, rögzítést, rendszerezést, tárolást, megváltoztatást, lekérdezést, betekintést, felhasználást, közlést, továbbítást, terjesztést, stb. Tehát gyakorlatilag minden műveletet, mely a személyes adatokhoz kötődik.

Az adatkezelő az a személy vagy szervezet, aki/amely meghatározza az adatkezelés célját és eszközeit. Tehát például a munkáltató, aki a munkaviszony létrejöttéhez szükséges adatokat (születési adatok, bankszámlaszám, stb.) elkéri a munkavállalótól és azokat tárolj, használja a munkaviszony fennállása alatt.

Az adatfeldolgozó ezzel szemben az a személy vagy szervezet, aki az adatkezelő megbízásából, az ő általa meghatározott célból végez adatkezelési műveleteket az adatokon. Tehát adatfeldolgozó lesz egy telemarketing cég, aki egy termék gyártójának vagy forgalmazójának megbízásából felhívja az érintetteket azért, hogy vásárolják meg a terméket. De adatfeldolgozó lesz az a felhőtárhely szolgáltató is, ahol a szervezetünk az adatait tárolja.

Miért fontos az adatvédelem?

Az adatvédelem számos szempontból lehet fontos, de nézzük a két legfontosabbat:

  • szervezeti szinten, ha nem tartjuk be az adatkezelésre vonatkozó szabályokat, súlyos bírságok elé nézhet a szerveztünk, mely adott esetben azzal is járhat, hogy a szervezet „le is húzhatja a rolót”;
  • egyén szintjén is fontos, mert ha a szervezet a felhasználó tevékenysége miatt sért normát, úgy munkaügyi fegyelmi felelőssége mellett más jellegű (polgári vagy büntető) felelőssége is megállapítható lehet
Mi az az adatvédelmi incidens?

Az adatvédelmi incidens akkor következik be, amikor biztonsági incidens éri az adatokat, amelyekért szervezet felel.  A biztonsági esemény eredményeképpen sérül a bizalmasság (titoktartási kötelezettség), a rendelkezésre állás (hozzáférhetőség) vagy az sértetlenség (integritás). Az incidens kiváltó okaként az általános adatvédelmi rendelet (GDPR) nem határoz meg konkrét magatartást, tehát az kvázi bárhogy bekövetkezhet. Tehát leegyszerűsítve egy olyan nem várt esemény következik be, ami miatt az adatokat vagy nem lehet elérni (például törlődtek), vagy nem az eredeti formájukban lehet elérni (például megváltoztak vagy megváltoztatták őket), esetleg olyan emberek fértek hozzá, akiknek nem lett volna szabad.

Hogyan következhet be egy adatvédelmi incidens?

Mivel az általános adatvédelmi rendelet (GDPR) nem határoz meg külön elkövetési módot, így lényegében bárhogy. Ez azt jelenti, hogy „papír alapon” is sérülhet az adatok bizalmassága (mert példásul egy HR osztályra belépő alkalmazott meglátja a kollégája fegyelmi aktáit), sértetlensége (mert például a bérfizetés alapjául szolgáló papír alapú jelenléti íven valaki beír magának +12 órát, az általa nem kedvelt kollégától pedig lehúz 10-et), vagy rendelkezésre állása (mert például a tavalyi adatvédelmi oktatáson aláírásukkal igazoltan részt vevő személyek listáját véletlenül ledarálja). Ugyanígy megtörténhet az online térben is; sérülhet az adatok bizalmassága (mert egy kolléga egy, az egyik ügyfélhez tartozó, személyes adatokat is tartalmazó listát egy másik ügyfél részére küld ki emailben), sérülhet az adatok rendelkezésre állása (mikor az egyik sértett alkalmazott az ügyfelekhez tartozó kontaktszemélyek adatait tartalmazó listát a kirúgásának napján visszaállíthatatlanul törli), vagy sértetlensége (mikor a személyes adatokat tartalmazó kontaktlistában a nevekhez tartozó címeket egy sorral eltolva rögzíti az ügyintéző).

Összegezve tehát:

  • offline (papír alapon) és
  • online (információs rendszerekben

is bekövetkezhet adatvédelmi incidens.

Bekövetkezhet:

  • szándékos cselekmény következményeképp, vagy
  • vétlen események miatt
Követhetek el én is adatvédelmi incidenst?

Természetesen mindenki, aki személyes adatokkal dolgozik, elkövethet adatvédelmi incidenst. Általában a legtriviálisabb dolgokból „jön a baj”; egy rosszul címzett email, vagy például egy továbbított email, mely olyan személyeknek kerül kiküldésre, akik nem lennének jogosultak az emailben található személyes adatok olvasására, esetleg egy rossz csatolmány, mikor egy rossz ügyféllistát csatolunk és küldünk meg más vagy esetleg teljesen ismeretlen címzettnek, mert elgépeltük az email címet.

A „hekkertámadások” során is bekövetkezhet adatvédelmi incidens?

Természetesen vannak olyan esetek is, mikor egy szervezet adatbázisait „hekkerek feltörik”, az adatbázisban található információkhoz hozzáférnek. Vannak olyan adatbázisok, melyek nem tartalmaznak személyes adatokat, például csak termelési adatokhoz férnek hozzá az elkövetők, ilyenkor nem beszélhetünk adatvédelmi incidensről. Azonban előfordulhat, hogy olyan fájlokhoz férnek hozzá a támadok, melyek tartalmaznak személyes adatokat (például nevet, címet, telefonszámot, email címet, stb.), ilyenkor egyszerre beszélünk úgynevezett biztonsági eseményről és adatvédelmi incidensről.

Adatvédelmi incidens vs. biztonsági esemény

A két fogalom eltérő, azonban lehet közös metszetük. Biztonsági eseményről beszélünk, ha információs rendszerben történik meg a baj, például oda illetéktelenek belépnek, adatokat törölnek vagy hozzáférnek ott tárolt adatokhoz. A biztonsági esemény bekövetkezéséhez nem kell feltétlenül személyes adatoknak is az érintett adatok között lenniük. Adatvédelmi incidens ellenben bekövetkezhet „offline”, tehát papír alapú dokumentumok esetén, de bekövetkezhet „online” is, tehát információs rendszerek érintettsége mellett, azonban mindenképpen szükséges, hogy személyes adatokat érintsen az eset.

Például egy nagy autói vállalat rendszereit illetéktelenek feltörik és onnan, kizárólag a termelési adatokat (például napi hány autóülés került legyártásra, milyen típusú autókba) lopnak el. Ez esetben kizárólag biztonsági eseményről beszélünk, mivel nincsen személyes adat érintettség.

Például egy nagy autói vállalat rendszereit illetéktelenek feltörik és onnan a munkavállalók adatait is tartalmazó (név, születési adatok, telefonszám, TAJ szám és fizetési adatok) listákat lopnak el. Ez esetben egyszerre biztonsági esemény és adatvédelmi incidens is bekövetkezik.

Például egy nagy autói vállalat egyik alkalmazottja véletlenól egy beszállítókra, valamint partnerekre vonatkozó kontaktlistát (név, telefonszám, titulus, partneri minősítés) csatol egy banki információkérésre válaszul. Ez esetben kizárólag adatvédelmi incidens történik, mivel személyes adatok érintettsége merül fel.

Mik a következményei egy adatvédelmi incidensnek?

Az adatvédelmi incidens bekövetkezése esetén az érintett szervezetre a hatóság (Nemzeti Adatvédelmi és Információszabadság Hatóság) közigazgatási bírásgot szabhat ki, melynek mértéke legfeljebb a vállalkozás előző éves világpiaci forgalmának 4%-a, vagy maximum 20 000 000 EUR.

Mit kell tennem, ha adatvédelmi incidens következett be?

Az adatvédelmi incidens bekövetkezése esetén azt főszabály szerint be kell jelenteni a hatóság (Nemzeti Adatvédelmi és Információszabadság Hatóság) részére a tudomásjelzéstől számított 72 órán belül.

Nem kell bejelenteni a hatóság részére, ha valószínűsíthetően nem jár negatív hatással a személyes adatok kitudódása az érintettekre (például ilyen lehet, ha az ellopott adatbázis titkosítva volt, így a kiberbűnözők csak értelmezhetetlen adatokat látnak).

Amennyiben súlyos hatása van vagy lehet az érintettekre az incidensnek, úgy magukat az érintetteket is tájékoztatni kell a hatóság (Nemzeti Adatvédelmi és Információszabadság Hatóság) mellett. Tipikusan ilyen lehet, ha például egy egészségügyi szolgáltatót törnek fel és ezzel különleges (egészségügyi) adatok kerülnek illetéktelen kezekbe.

Adatbiztonság és információbiztonság

Mi az adatbiztonság?

Sokan keverik az adatvédelemmel, ám eltérő fogalom. Az adatbiztonság az adatok védelmének megszervezése mindenféle technikai, szervezési és adminisztratív eszközzel. Az adatok biztonságát nem csak az informatikai térben, de a fizikai térben is meg kell szerveznünk, hiszen egy papír alapú szerződés eltűnése épp akkora probléma lehet, mintha az elektronikus formában kerül törlésre.

Mi az információbiztonság?

Az információbiztonság az információk bizalmasságának, sértetlenségének és rendelkezésre állásának megóvására tett intézkedések összessége.

Mi a bizalmasság?

Lényegében annak garantálása, hogy az egyes információkhoz csak a megfelelő jogosultsággal rendelkező személyek, a jogosultsági szintjüknek megfelelően férhetnek hozzá. Egy példán szemléltetve, az Ön munkaszerződéséhez csak a HR és a pénzügy férhet hozzá, de például a gyártási vagy call center területen dolgozó személyek nem.

Mi a sértetlenség?

Lényegében annak garantálása, hogy az egyes információk megegyeznek az eredeti tartalmukkal és formájukkal. Egy példán szemléltetve, az Ön munkaszerződének munkáltatónál lévő példánya megegyezik az Önnél lévő példánnyal.

Mi a rendelkezésre állás?

Lényegében annak garantálása, hogy az egyes információk és rendszerek elérhetőek, amikor kellenek. Egy példán szemléltetve, 10-én a pénzügyi rendszereknek működőképesnek kell lenniük, hogy a munkabérek kifizetése megtörténhessen.

    Miért fontos az adat- és információbiztonság a szervezeteknek?

    A szervezetek számára számtalan hátránnyal járhat, ha nem biztosítja a megfelelő szintű biztonságot. Ilyenek lehetnek az üzleti adatok kikerülése, ellopása, pénzügyi adatok kikerülése, etc. Másrészt egyes szervezetek esetén egyenesen jogszabályi kötelezettség bizonyos adat- és információbiztonsági követelmények betartása.

    Miért fontos az adat- és információbiztonság nekem?

    Az adat a XXI. század olaja, hangzik a mondás. A magánéletünk védelme mellett az anyagi javaink védelme is roppant fontos, ezért védjük meg az adatainkat, mert az azzal visszaélő kiberbűnözők komoly szociális és anyagi károkat okozhatnak nekünk. Egy gyenge jelszó miatt ellopott közösségi médiafiók a kiberbűnözőknek csak 20-40 USD-t ér, azonban nekünk ennél sokkal többet. Egy hamis weboldalon begépelt bankkártyaadatokkal pedig akár egy egész élet munkájának megtakarítását kockáztatjuk. A Magyar Nemzeti Bank adatai szerint naponta egy család teljes vagyona tűnik el a csalók miatt.

    Jó, jó, de tudok élni adat- és információbiztonság nélkül?

    Természetesen, azonban a tudatosság hiánya okán számtalan nem várt, negatív következménnyel számolhatunk. Ezek egy része kimondottan személyünkhöz kötődik; ha nem tartjuk tudatosan minimális szinten az interneten megadott adatainkat, úgy a kiadott adataink okán számtalan adathalász üzenet és hívás érkezhet, rengeteg levélszemét (spam) landolhat a levelesládánkban, valamint nagyobb eséllyel érhet minket célzott adathalász támadás is. Szervezeti szinten pedig ha nem vigyázunk könnyen milliós károkat okozhatunk a szervezetünknek, melynek akár elbocsájtás is lehet a vége.

    A tudatos felhasználói lét bonyolult és időigényes?

    Ha tudatosan használjuk az egyéni és szervezeti eszközeinket, időt fordítunk a megfelelő beállításokara, az általában valóban időigényesebb. Az elején. Azonban számtalan kellemetlen pillanattól kímélhet meg minket, mely hosszútávon nagyon sok időt és pénzt takaríthat meg nekünk.

    Social engineering (pszichológiai manipuláció)

    Mi az a social engineering (pszichológiai manipuláció)?

    A social engineering (pszichológiai manipuláció) lényege, hogy egy személyt olyasmire kell rávenni, ami lehetővé teszi a hacker számára, hogy hozzáférjen információkhoz vagy az hálózatához. Tehát a social engineering során a támadók valamilyen ürüggyel, hazugággal, fenyegetéssel, nyeremény ígéretével arra veszik rá a célszemélyt, hogy valamit tegyen vagy éppen ne tegyen annak érdekében, hogy ők a rendszerekhez, adatokhoz hozzáférjenek. Tipikusan ilyen lehet egy adathalász link mögött megbúvó csaló weboldal, melyen begépeljük a valódi weboldalhoz tartozó belépési adatainkat.

    Milyen technikákat alkalmazhatnak a támadók?

    A támadók számtalan módszert és technikát kidolgoztak az évek során. Alapvetően két megközelítés lehetséges:

    • aktív, mikor a támadók a fizikai térben is aktív módon cselekszenek (pl. bemegy egy épületbe trükkel, csalással, stb,)
    • passzív, mikor a támadók a szobájuk rejtekéből, az előre elkészített adathalász levelek és hamis weboldalak vagy kártékony kódok szétküldése után várnak, hogy valaki horogra akadjon.

    A legismertebb technikák:

    • phishing (adathalászat)
    • whaling / spare phishing (célzott adathalászat)
    • smishing (SMS adathalászat)
    • vishing (telefonos adathalászat)
    • baiting (beetetés)
    • piggybacking/tailgating (besurranás)
    • pretexting (ürügy)
    • Business Email Compromise (BEC) (vezetők megszemélyesítése)
    Kik lehetnek célpontjai ezeknek a támadásoknak?

    Alapvetően bárki áldozatul eshet ezeknek a támadásoknak. Az adathalász leveleket számtalan nyelvre (általában rosszul) lefordítva milliószámra küldik ki a támadók. Azonban vannak olyan támadások is, pl. a spare phishing, a BEC vagy baiting, mely esetben konkrét célszemélyre dolgoznak rá a támadók. Ez lehet azért, mert az anyagi helyzete vagy a pozíciója miatt potenciált látnak benne, de azért is előfordulhat, mert egy célzott szervezetnél, vállalatnál dolgozik, és a felhasználói adatait megszerezve könnyebben be tudnak lépni az adott rendszerekbe.

    Mi a célja egy ilyen támadásnak?

    A célja általában a közvetlen pénzszerzés, tehát például, hogy adjuk meg a banki adatainkat, bankkártya adatainkat a valódira megtévesztésig hasonló weboldalon, esetleg adjuk meg a belépési adatainkat egyes streaming szolgáltatásokhoz, melyeket később a támadók fillérekért értékesíthetnek tovább a dark weben. De lehetséges, hogy a hozzáférési adataink később egy nagyobb támadáshoz szükségesek. Ilyenkor nem az azonnali gyors profit a támadók célja, hanem egy nagyobb terv végrehajtásához nélkülözhetetlenek például a céges belépési adataink.

    Miért könnyű vagy éppen nehéz ezeket felismernem?

    A szokásos adathalász üzenetekkel (adathalász csomagküldős SMS, nigériai herceg email, stb.) már mind találkoztunk, ezeket könnyű is kiszúrni, mivel vagy a link hamisságából vagy már a rossz magyarsággal megírt üzenetből, esetleg a küldő címéből rájöhetünk, hogy adathalász levéllel van dolgunk. A célzott támadásokat azonban sokkal nehezebb kiszúrnunk, mivel itt a támadók akár még a küldő email címét is le tudják másolni. Itt mindig az éberségünkre vagyunk utalva, ezért fontos, hogy:

    • bizonyosodjunk meg a küldőről és a tartalomról egy másik csatornán,
    • ne engedjünk az időnyomásnak, fenyegetésnek,
    • ne dőljünk be a túl jól hangzó ajánlatoknak
    Tehát akkor vannak célzott és nem célzott támadások?

    Igen. Nem célzott támadásnak nevezzük a milliószámra szétküldött potencianövelőt reklámozó emaileket, a csomagküldős SMS-eket, melyekről már messziről látszik, hogy adathalász üzenetek. Léteznek azonban célzott támadások is, melyek esetén a támadók már ismerik a szokásainkat, a dolgokat amiket kedvelünk, netán a céget ahol dolgozunk, és ezen információk felhasználásával egy hihető történetet kreálnak, melyet már sokkal nehezebb felismerünk.

    Mi a kapcsolat az adathalászattal és a hamis weboldalakkal, kártékony kódokkal?

    Az adathalász levelekben, üzenetekben szinte mindig található egy csatolmány vagy link, hiszen az üzenet önmagában nem káros. A levél vagy üzenet szövege sugallja, hogy a linkre kell kattintanunk (mert például felfüggesztik a bankkártyánkat, nem ér ide a rendelt csomagunk, stb.) vagy le kell töltenünk a csatolmányt (mert például ebben található egy telepítendő szoftver, mely megvédi a számítógépünket, stb.). A linkek általában egy, a valódival szolgáltatóval megegyező weboldalra visznek minket, ahol általában belépési vadatokat (felhasználónév, email cím, jelszó) kérnek, vagy banki, esetleg bankkártya adatokat (kártyaszám, lejárat, CVC kód, stb.). A letölthető csatolmányok pedig általában kártékony kódot tartalmaznak, melyek megfertőzhetik a számítógépünket.

    Mik azok a dolgok, melyek közösek a legtöbb támadástípusban?

    A social engineering támadások szinte mindegyikére jellemző, legalább egy az alábbiak közül, legyen szó SMS-ben, email-ben vagy telefonon zajló támadásról:

    • időnyomás, sürgető hangnem (csak most, csak Önnek él az ajánlat, de csak 30 percig, vagy csak az első 100 vásárlónak)
    • hivatalra való hivatkozás (például rendőrség, bankbiztonság, stb. nevében keresnek meg minket)
    • érzékeny információk kérése (legyen szó banki, bankkártyás vagy bejelentkezési adatokról, még úgy is, hogy jogosnak tűnik az adatok kérése)
    • túl jól hangzó ajánlat (a legújabb csúcskészülék féláron, vagy egy hónap alatt megduplázható befektetés, stb.)
    • rossz nyelvezet (magázás és tegezés keverése, keresztnevünkön való megszólítás magázás esetén, stb.),
    • furcsa feladó (például külföldi telefonszámról a Magyar Posta nevében érkező SMS, a Microsoft nevében de a [email protected]ól érkező email, stb.)

    Adathalászat

    Hogyan kereshetnek fel a csalók?

    A kiberbűnözők több módszert használhatnak az adathalász üzenetek eljuttatására. Az általában elterjedt módszerek:

    • email (például adategyeztetésre, vagy nyereményre hivatkozva)
    • SMS (például csomagérkezésre hivatkozva)
    • telefonhívás (például különös pénzügyi tranzakciókra hivatkozva)
    • akár social média felületeken vagy üzenetküldő applikációkban

    Ezeknek a kapcsolatfelvételi módszereknek a célja minden esetben, hogy Ön adatokat adjon meg.

    Jó, jó, az emailt és az SMS-t értem, de más fórumokon is megtalálhatnak?

    Természetesen. Ma már nagyon gyakori, hogy a használt cikkek cseréjére, eladására szánt felületeken (Facebook market, Vinted, stb.) találnak meg minket a csalók. Ilyenkor általában rossz magyarsággal arra próbálnak minket rávenni, hogy adjuk meg adatainkat, illetve bankkártya számunkat egy nagy csomagküldő cég arculati elemeivel ellátott, de hamis weboldalon, mondván a csomag feladását nekünk kell intéznünk, azonban ők majd visszatérítik az árát. Amennyiben megadjuk az adatainkat, a csalók máris komolyabb összegekkel terhelhetik meg a kártyánkat, valamint a megadott személyes adatainkkal visszaélhetnek, esetleg újabb, már célzottabb támadásokat intézhetnek ellenünk.

      Milyen adatokat akarhatnak tőlem a csalók?

      Az adatok sokrétűek lehetnek, melyek a kiberbűnözők szándékától függnek, de leggyakrabban:

      • fiókadatok (email, streaming szolgáltatói adatok, etc.)
      • pénzügyi adatok (bankkártya adatok, számlaadatok, etc.)

      Mivel minden ilyen szolgáltatáshoz szükséges legalább egy felhasználónév/email cím és egy jelszó, így ezeket szeretnék kicsalni tőlünk.

      Én csak egy egyszerű állampolgár vagyok, miért lehetek célpontja ilyen típusú támadásoknak?

      Bárki és bármikor áldozatul eshet adathalász támadásoknak, mivel milliószámra küldik ki ezeket az emaileket, SMS-eket a csalók. Elég, ha az email címünk vagy telefonszámunk szerepel egy adatbázisban és azonnal potenciális áldozatokká válhatunk. A csalóknak mindegy, hogy egy nagyvállalat vezérigazgatója, vagy egy pék utalja át nekik a követelt kriptovalutát, vagy adja meg a streaming fiókjának belépési adatait. Egyes csoportokat (például gazdagabb országok lakosai, vagy bizonyos szolgáltatásra előfizetők) nagyobb eséllyel bombázhatnak az elkövetők, joggal bízva abban, hogy több adatot (például több szolgáltatás esetén ugyanaz a felhasználónév és jelszó), vagy nagyobb összeget zsákmányolhatnak.

      Csak ilyen rossz magyarsággal írt, millióknak szétküldött adathalász levelek léteznek?

      Nem, vannak úgynevezett célzott támadások, mikor az elkövetők direkt Önt, vagy az Ön szervezetét célozzák. Ez esetben komoly nyomozást folytathatnak, így az Ön érdeklődési körének megfelelő, nehezen felismerhető üzenetet tudnak készíteni, illetve olyan helyzetet teremteni, mely nem tér el az elvárttól. Ilyen esetben mindig legyünk kritikusak és próbáljunk utánajárni a megkeresésben foglaltaknak.

        Honnan tudhatom, hogy adathalász üzenet érkezett?

        A legfontosabb, hogy figyeljünk a részletekre. Tegyük fel magunknak a kérdést, hogy valóban vártunk-e ilyen üzenetet (például csomag érkezésével kapcsolatos SMS érkezik, holott nem is rendeltünk semmit, vagy nyereményről szóló email érkezik, holott nem is vettünk részt nyereményjátékban). Emellett figyeljünk a nyelvezetre, a címzésre, valamint a küldő email címére. Sokszor ezeknek az üzeneteknek a nyelvezete nem professzionális, sokszor rossz a címzés (például a vezetéknevünkön szólítva tegeznek), illetve az email címek is csupán emlékeztetnek a valódi szolgáltató email címére (például [email protected], ahol az L egy nagy I betű).

        Mi történik, ha rákattintok egy adathalász üzenetben található linkre?

        Attól függ, hogy a kiberbűnözők milyen támadást terveznek, de az alábbi kettő plusz egy típus a jellemző:

        • adathalász (hamis) weboldalra irányít minket, ahol a figyelmetlenségünket kihasználva begépeljük az adatainkat, mivel azt hisszük a valódi szolgáltató weboldalán vagyunk, vagy
        • kártékony kódot (köznapi szóhasználatban vírust) tartalmazó csatolmányt tartalmaz az üzenet, melyet figyelmetlenségünk esetén letöltünk és futtatunk,
        • tartalmazhat olyan kártékony kódot is, mely automatikusan továbbítja az üzenetet a névjegyzékünkben szereplő minden kontaktnak (SMS, email, közösségi médiás vagy egyéb üzenetküldő applikációban).
        Mit tegyünk, ha nem várt emailt vagy SMS-t kapunk (ismeretlen feladó, vagy ismert ugyan a feladó, de nem vártunk tőle emailt vagy SMS-t)?

        A kiberbűnözők tömegével küldenek adathalász leveleket, így bármelyikünk, bármikor kaphat egy kéretlen emailt vagy SMS-t. Ezek a kéretlen levelek gyakran csatolt fájlokat tartalmazhatnak, melyek rejthetnek kártékony kódokat, így azokat sohase töltsük le, ne nyissuk meg. Gyakran a levelek linkeket tartalmaznak, melyek hamis, megtévesztő weboldalakra irányíthatnak minket, ahol az adatainkat kérik (pl. bankkártya adatok). Ezért sohase kattintsunk ismeretlen feladótól érkező email-ben vagy SMS-ben található linkekre. A legjobb, ha azonnal kitöröljük ezeket a leveleket.

        Honnan tudom, hogy egy link hamis, megtévesztő weboldalra irányítana?

        Az adathalász üzenetekben rejlő linkek négy módon jelenhetnek meg:

        • teljes, az eredeti weboldalra megtévesztési hasonító linkek, pl. magyarorszag.gov.hu helyett magyarorszag.qov.hu
        • úgynevezett rövidített linkek, pl. https://t.ly/tq7K
        • kattintható, kép mögé rejtett úgynevezett hiperhivatkozások
        • valamilyen más, pl. QR kód mögé rejtett hivatkozások

        Az ilyen esetekben inkább ne kattintsunk rájuk, hiszen maga a weboldal is rejthet magában veszélyeket, nem csupán az adataink megadása. Amennyiben mégis meglátogattuk azokat, alaposan nézzük meg az URL-t, mert a kiberbűnözők sokszor az eredetire megtévesztő weboldal mellett annak elérési útvonala esetén is hasonló címet alkalmaznak. A fontos ügyintézés során felkeresendő weboldalakat mindig a böngészőből nyissuk meg, begépelve a jól megszokott és valós URL-t, sosem a linkre kattintva tegyük.

        Honnan tudom, hogy a hamis weboldal URL-je (webcíme) nem egyezik meg az igazival?

        A weboldalak tartalmát nagyon könnyű „ellopni”, így bármikor készíthető az eredetivel közel megegyező megjelenésű weboldal. A kiberbűnözők emellett gyakran nagyon hasonló elérési útvonalú domain neveket vásárolnak, hogy megtévesszék a felhasználókat.

        Az URL-ek három részből állnak, az első előtag az úgynevezett protokoll, mely lehet http vagy https. Ezt követi a domain név, mint például a blackcell.io. A harmadik rész az elérési út, mely a weboldalon lévő egyes tartalmakat választja el.

        https://blackcell.io/contact-us/

        A hamis weboldalak esetén a kiberbűnözők több módot is alkalmazhatnak, a leggyakrabban az eredetire megtévesztési hasonló weboldalt készítenek. Példánknál maradva a blackcell.io esetében lehetne a bIackcell.io. Ugyan nem tűnik fel a különbség, de a második esetben az L helyett egy nagy I betű található. A másik hasonló módszer, hogy más domain nevet használnak és ha nem vagyunk szemfülesek, bedőlhetünk neki. Ilyen lehet például a https://blackcell.io.hu/contact-us Jól látható, hogy a valós .io helyett ez egy .hu végződésű URL.

        Honnan tudok felismerni egy hamis weboldalt?

        A legfontosabb, hogy soha ne egy kapott linkről nyissuk meg a weboldalt, inkább gépeljük azt be a böngészőnk címsorába mi magunk. Amennyiben viszont már a weboldalon vagyunk, keressünk árulkodó jeleket. Ilyenek lehetnek:

        • a valóditól eltérő URL cím,
        • helytelen, nem professzionális szövegezés, szövegtördelés,
        • hiányzó adatok, például adatvédelmi nyilatkozat, ÁSZF,
        • egyes weboldali funkciók (például más aloldalra vezető gombok) nem működnek

        Amennyiben ezek közül bármelyiket tapasztaljuk, azonnal hagyjuk el az oldalt.

        Mi a célja a hamis weboldalaknak?

        A kiberbűnözők célja lehet önmagában az adatszerzés, vagy a pénzszerzés. Amennyiben „csak” adatot kívánnak szerezni, úgy általában egy regisztrációs formanyomtatványt kell kitöltenie, vagy a „streaming szolgáltatójának” fiókjába kell bejelentkeznie. Ezeket az adatokat később a kiberbűnözők pénzzé teszik. A másik tipikus csalási forma, amikor rögtön a pénzre hajtanak, így egy bankkártyás fizetésre hajazó weboldalt készítenek, ahol önnek meg kell adnia a kártya adatait, amivel a csalók már vígan rendelkezhetnek.

        Mi történik, ha egy hamis weboldalon begépelem az adataimat?

        A csalók, akik az oldalt létrehozták láthatják az általunk begépelt adatokat. Így gyakorlatilag önként és instant módon adjuk át nekik az adatainkat.

        Miért szeretnék megszerezni egyes, nem pénzügyi adataimat a csalók?

        A csalók természetesen számtalan okból akarhatják megszerezni az adatainkat, de a legáltalánosabb a pénzszerzés. Az ellopott adatainkat az úgynevezett dark neten (sötét weben) teszik pénzzé. 2022-ben egy ellopott közösségi médiás fiók ára 25-45 USD, egy zenei streaming szolgáltató fiókja 1 USD, egy 1 éves filmes streaming szolgáltató előfizetése 4-25 USD, egy new yorki jogosítvány 70 USD, 10 millió amerikai email cím 120 USD. Az árak – feltehetően az egyre nagyobb mennyiségű adat okán – évről évre csökkennek, sőt, az adatok többsége 40%-os „áresésen” ment keresztül egy év alatt.

        Na jó, itt a számtalan veszély és negatív következmény, de hogyan védekezhetek az adathalász támadások ellen?

        Az alábbiakban összeszedtünk pár technikát, mellyel könnyen védekezhetünk az adathalász emailek (phishing), az adathalász telefonok (vishing), valamint SMS-ek és egyéb üzenetek (smishing) ellen:

        Phishing elleni védekezés:

        • Legyen körültekintő: Ne kattintson gyanús e-mailekre vagy linkekre. Ellenőrizze az e-mailek és linkek hitelességét, és legyen óvatos az ismeretlen feladóktól érkező üzenetekkel szemben.
        • Ellenőrizze az URL-t: Mindig ellenőrizze az URL-t, mielőtt személyes adatokat vagy bejelentkezési információkat megadsz. Győződjön meg róla, hogy a webhely biztonságos és megbízható.

        Vishing (telefonhíváson keresztüli adathalászat) elleni védekezés:

        • Soha ne adja ki a személyes vagy pénzügyi információit telefonon keresztül, kivéve, ha Ön indította a hívást egy megbízható szolgáltatóhoz vagy bankhoz.
        • Legyen gyanakvó: Kérjen visszaigazolást a hívás eredetiségéről, például a szolgáltató vagy bank hivatalos ügyfélszolgálati számán keresztül.
        • Ne hagyjon üzeneteket: Ha valaki telefonon keresi, és kér személyes adatokat, ne hagyjon üzenetet válaszban. Ehelyett saját maga hívja vissza a hivatalos telefonszámon, hogy ellenőrizhesse a kérés valódiságát.
        • Soha ne válaszoljon külföldi, ismeretlen hívásra: A csalók sokszor külföldi számokról próbálkoznak (például: +44).

        Smishing (SMSM-en keresztüli adathalászat) elleni védekezés:

        • Legyen óvatos az SMS-ekkel: Ne kattintson a gyanús SMS-ekre/egyéb üzenetekre vagy azokban szereplő linkekre, illetve ne válaszoljon rájuk. Ellenőrizze az üzenet forrását és a tartalmát, mielőtt bármilyen információt megad.
        • Ne ossza meg személyes adatait: Sose küldjön személyes vagy pénzügyi információkat SMS-ben, hacsak nem biztos a fogadó hitelességében.

        De a legfontosabb, minden esetben legyen kétkedő. A csalók általában valami hihető, sokszor ijesztő és nyomás alá helyező történettel állnak elő, mely minden emberben hasonló reakciókat váltana ki (például veszélyben van az élete teljes megtakarítása, etc.). Ilyenkor a gondolkodásunk beszűkül, azonban ekkor is próbáljuk megőrizni a hidegvérünket és gondolkodjunk el a helyzet valódiságán, hihetőségén.

        Fizikai biztonság

        A létesítmények biztonsága a vállalatok és munkavállalók számára

        Minden vállalat számára fontos, hogy vagyontárgyait biztonságban tudhassa. Ezek közül kiemelkedő lehet az adatokat, információkat tartalmazó eszközeinek védelme, hiszen azokon olyan kényes, szenzitív adatok lehetnek, melyek nyilvánosságra jutását a vállalatok szeretnék megelőzni. Ennek érdekében az ilyen rendszereket tartalmazó létesítményekbe való bejutást ellenőrizniük kell, többek között ezért is kell kártyákat, kódokat és kulcsokat birtokolnunk a bejutáshoz. Az objektumok védelme mellett érdemes az egyes zónák megközelíthetőségét is korlátoznia a vállalatoknak, hiszen lehetnek olyan terek, melyekbe való bejutás nem minden munkavállalónak szükséges. Hasonlóan kell eljárnunk az otthonunkban is, hiszen nem célszerű, ha a vendégeink hozzáférhetnek a számítógépünkhöz, adattárolóinkhoz.

        Szállítás biztonsága

        A vállalatoknak érdemes megszervezniük a be- és kiszállítás ellenőrzését is, hiszen sok esetben a támadók álcázva próbálnak bejutni az objektumokba, ellenőrzött területekre. Tipikusan ilyen álca lehet a futár (étel, csomag, stb.), mivel ezen személyek esetében a portaszolgálatnak eszébe sem jut, hogy akár ártó szándékú hekkerek ölthetik fel az egyenruhát. Az ilyen személyek egyes adathordozókat vihetnek ki az épületből, de akár adathordozókat, kártékony kódokat tartalmazó eszközöket juttathatnak be az épületekbe. Ugyanígy érdemes eljárnunk otthoni környezetben is, hiszen támadás nélkül, csak az eszközök puszta ellopásával is komoly kár érhet minket.

          Fizikai hozzáférésvédelem

          Az eszközökhöz és rendszerekhez való hozzáférés minden esetben kritikus, hiszen aki az eszközhöz hozzáfér, az gyakorlatilag bármit véghezvihet rajta, akár egy kártékony kódot tartalmazó eszköz csatlakoztathat hozzá, akár adatot lophat, de esetleg műveleteket is végezhet a nevünkben. Nemcsak vállalati, de otthoni környezetben is fontos, hogy korlátozzuk az eszközeinkhez való hozzáférést, kiváltképp, ha munkaeszközről van szó. Nem feltétlenül ártó szándékkal, de akár a gyermekünk, testvérünk vagy barátunk is okozhat komoly galibát (például adatok vétlen törlése, beállítás megváltoztatása, stb.). A COVID alatt történt, hogy egy amerikai ügyvéd egy videokonferencián tartott tárgyalásra jelentkezett be egy gyermeke által beállított macskás filterrel, melyet nem tudott kikapcsolni, nem kevés humoros percet okozva ezzel a résztvevőknek (forrás: Telex: „Nem vagyok macska” – mondta a texasi ügyvéd, aki véletlenül macskás filterrel csatlakozott egy online bírósági tárgyaláshoz)

          Mikor kell biztosítani az eszközeink fizikai védelmét?

          A fizikai eszközeink biztonságát mindenkor biztosítanunk kell, azonban kimondottan fontos azon esetekben, mikor azok kikerülnek a birtokunkból. Különösen szükség lehet erre olyan esetekben, ha mi magunk nem tartózkodunk az eszközök közelében, például mert éppen nyaralunk, s erről számtalan posztot osztunk meg a közösségi médiában. Érdemes ezeket kerülni, valamint a megosztásokat csak később, a nyaralás végeztével megejteni, hiszen ilyen esetben konkrétan kiírjuk, hogy minden vagyontárgyunk őrizetlenül hagyva pihen otthon, miközben mi száz és ezer kilométerekre vagyunk tőlük.

          Hordozható eszközök

          Mik azok a hordozható eszközök?

          A hordozható vagy mobileszközök olyan informatikai eszközök, melyek adatok tárolására vagy adatok feldolgozására használatosak, továbbá alkalmasak arra, hogy azokat nem helyhez kötött módon használjuk (például laptopok, mobiltelefonok, tabletek stb.).

          Milyen veszélyeket hordozhatnak a mobileszközök?

          A mobileszközökben rejlő legnagyobb veszély, hogy hordozhatóságuk, valamint méretük és értékük okán azok elveszhetnek vagy azokat eltulajdoníthatják. Ez önmagában is komoly probléma, azonban, ha az azokon tárolt adatok nincsenek megfelelően védve, a bűnözők nem csak magát az eszközt szerezhetik meg, de az azokon tárolt adatokat, így fényképeket, dokumentumokat is. Ezek egy része lehet személyes felhasználású, de lehetnek köztük szervezeti információk vagy pénzügyi információk is. Emellett a kompakt funkcionalitásukban is lehetnek veszélyek, például egy okostelefon kamerájával káros kódokat tartalmazó weboldalakra mutató QR kód is beolvasható.

            Mit kezdhetnek ezekkel a bűnözők?

            A megtalálók vagy bűnözők számtalan módon visszaélhetnek az eszközön található adatokkal. Szervezeti adatok esetében azokat direkt módon felhasználva pénzügyi műveleteket végezhetek, más szervezetekkel kapcsolatban csalásokat követhetnek el. Személyes információk esetén szintén a tárolt adatokhoz kapcsolódik a lehetőség, de bizonyos információk esetén a zsarolás vagy a csalás lehetősége is felmerülhet.

            Hogyan védhetjük a mobileszközeinket?

            Amennyiben szervezeti eszközről van szó, úgy ennek technikai védelméről a szervezet gondoskodik (ez különböző programok feltelepítésével érhető el). Ön is sokat tud tenni az eszközök fizikai védelméért, mellyel meggátolhatja azok elhagyását vagy eltulajdonítását. Ilyenek lehetnek például, ha folyamatos felügyelet alatt vannak az eszközök, azokat mindig kézipoggyászban tárolva szállítja, továbbá azokat minden esetben zárolja, mikor nem használja. Emellett fontos, hogy a lehető legerősebb nyitás elleni védelemmel lássuk el, például biometrikus (ujjlenyomat vagy arcfelismerés) képernyőzárolással.

            Mi mást tehetek még a mobileszközök technikai védelme érdekében?

            Érdemes az eszközökön teljes lemeztitkosítást eszközölni, így elhagyás vagy ellopás esetén az azokon tárolt adatokhoz illetéktelenek nem tudnak hozzáférni. Emellett eszközeinket minden esetben zároljuk, ha nem használjuk őket, még a családtagjainknak se engedjük meg használni a munkahelyi laptopunkat, mert akaratunkon kívül is veszélynek tehetjük ki a szervezetünk egészét, vagy a saját eszközünket.

            Milyen veszélyek leselkedhetnek a készülékeinkre?

            A hordozható eszközeinkre napi szinten töltünk le programokat, applikációkat. Ezek nagyban megkönnyítik az életünket, azonban óvatosnak kell lennünk velük, mivel ezek a programok tartalmazhatnak úgynevezett káros kódokat, hétköznapi szóhasználatban „vírusokat”, melyek funkciója lehet az eszköz szándékos rongálása mellett adatlopás, vagy akár kripto bányászat is. Ilyen esetben az adataink rossz kezekbe kerülhetnek, akár az összes begépelt adatunkba (például a banki belépési azonosítóink, vagy a kapott banki megerősítő SMS is) bepillantást nyerhetnek a kiberbűnözők. Ezért soha ne töltsünk le programokat, applikációkat külső forrásból, kizárólag a dedikált szoftverboltot használjuk (Apple Store, Google Play, Huawei Store, Microsoft Store).  

            Honnan tudhatom, hogy egy applikáció káros?

            Alapvetően a hivatalos szoftverboltokba nagyon ritkán kerülnek káros kódot (hétköznapi nevén vírust) tartalmazó programok, mivel azokat előtte a gyártók és a szoftverbolt is teszteli. Azonban néha felröppennek hírek, hogy ilyen applikációkat találtak, melyet akár több millióan is telepítettek addigra. Érdemes átgondolnunk, hogy milyen programot telepítünk, megbízható-e a gyártó (például egy honlap nélküli külföldi gyártó), szükségünk van-e valóban a programra (például az 56. Candy Crush szerű játék), olyan funkciót tölt-e be, amit a telefonunk operációs rendszere nem tud (például zseblámpa funkciók kínáló appok százával találhatóak, pedig minden gyártó beépítette ezt a funkciót már az alapprogramba). Árulkodó lehet az applikáció neve, vagy logója (például nagyon hasonlít egy sikeres appra, bár nem az), illetve az, hogy mihez kér hozzáférést telepítés után. Ezt mi is könnyen végig gondolhatjuk, például, ha arra gondolunk miért kér hozzáférést egy zseblámpa applikáció a telefonkönyvünkhöz. Egy szó, mint száz; kizárólag a hivatalos szoftverboltból telepítsünk bármit, továbbá ne telepítsünk felesleges és megjelenésében is „gagyi” applikációkat, programokat.

            Mit tegyek, ha elvesztettem a hordozható eszközömet?

            Amennyiben szervezeti eszközről van szó, azonnal értesítse az eszközök kezeléséért felelős személyt vagy szervezeti egységet. Amennyiben saját eszközről van szó, úgy próbálja meg megkeresni a fiókjába belépve. Ezt a funkciót a legtöbb okostelefon gyártója már alapértelmezetten támogatja. Emellett, amennyiben az adatok nem voltak biztonságosan tárolva, vagy bizalmas adatokat tárolt rajta, érdemes távolról törölni a készüléket, ezzel megsemmisítve azokat. Természetesen, amennyiben bűncselekmény okán (lopás, rablás) tűnt el a készülékünk, úgy tegyünk feljelentést.

            Mit tegyek, ha elvesztettem a hordozható eszközömet?

            Amennyiben szervezeti eszközről van szó, azonnal értesítse az eszközök kezeléséért felelős személyt vagy szervezeti egységet. Amennyiben saját eszközről van szó, úgy próbálja meg megkeresni a fiókjába belépve. Ezt a funkciót a legtöbb okostelefon gyártója már alapértelmezetten támogatja. Emellett, amennyiben az adatok nem voltak biztonságosan tárolva, vagy bizalmas adatokat tárolt rajta, érdemes távolról törölni a készüléket, ezzel megsemmisítve azokat. Természetesen, amennyiben bűncselekmény okán (lopás, rablás) tűnt el a készülékünk, úgy tegyünk feljelentést.

            Biztonsági mentés

            Mi az a biztonsági mentés?

            Sokszor halljuk, hogy biztonsági mentést/mentést kell végeznünk a fontos fájljaink esetében, de honnan tudjuk melyik fájl fontos, vagy hogyan végezzük el a biztonsági mentést? A biztonsági mentések olyan, az éles rendszertől elkülönülő helyen tárolt adatmentések, melyek segíthetnek visszaállítani a mentéskori állapotot olyan esetben, ha a rendszereink sérülnének (pl. kártékony kód miatti adatvesztés vagy hardveres hiba miatti adatvesztés). Egy adóbevallás vagy egy pótolhatatlan családi emléket megörökítő fotó megőrzése nagyon fontos lehet számunkra, ezért minden esetben készítsünk biztonsági mentést azokról a fájlokról, melyeket elvesztésük esetén nem vagy nehezen tudnánk pótolni.

            Miért kell biztonsági mentéseket végeznem?

            Számtalan olyan eset lehet, mikor az eredeti adathordozó, melyen a fájlokat tároljuk elérhetetlenné (olvashatatlanná) válik. Ilyen lehet egy kártékony kód (hétköznapi olvasatban vírus) támadás, egy zsarolóvírus támadás vagy egy egyszerű hardveres hiba. A merevlemezek, kiváltképp a HDD-k bizonyos idő után kevésbé hatékonyak, ami miatt lassan, de biztosan elromlanak. Ilyen esetben a rajtuk tárolt adatokat nem tudjuk többé visszanyerni, azok elveszhetnek.

            Miért kell a cégemnek biztonsági mentéseket végeznie?

            A szervezetek, vállalkozások nap mint nap rengeteg adattal dolgoznak, melyek elvesztése beláthatatlan következményekkel járhat a vállalkozás számára.  termelési adatok, a szállítási adatok vagy a pénzügyi adatok elvesztése sokszor pótolhatatlan, kézzel később nem, vagy csak nagy nehézségek árán bevihető adatok. Ezért – hasonlóan az otthoni felhasználáshoz – érdemes ezekről minél gyakrabban biztonsági mentést készítenie a vállalatoknak. Könnyen belátható, hogy egy rendszer, melybe havonta két sort viszünk fel, könnyen feltölthető adattartalommal utólag is, azonban egy rendszer, mely automatikusan másodpercként több ezer sornyi adatot rögzít, nagyon nehezen tölthető fel adatokkal utólag. Ezeket pedig egy kártékony kód bármikor elérhetetlenné teheti.

            Mikor és hogyan kell biztonsági mentést végeznem?

            Mindenképpen olyan tárhelyet kell választanunk, mely az eredeti adathordozótól elkülönült, így egy váratlan hardveres hiba vagy kártékony kód lefutása esetén a mentésre használt tárhelyen lévő adatok nem sérülnek. Érdemes lehet otthoni felhasználóként felhő alapú tárhelyen (OneDrive, Google Drive, Dropbox, stb.) vagy külső merevlemezen (külső SSD, HDD, pendrive) tárolni az adatainkat. Könnyen belátható, ha mondjuk a C:/ meghajtón kreálunk egy biztonsági mentések mappát, akkor a C:/ meghajtót megfertőző kártékony kód természetesen a biztonsági mentés mappában is kárt okoz, ezért nem jó ötlet azonos helyen kezelni a mentéseket.

            Milyen gyakorisággal kell nekem, illetve a cégemnek biztonsági mentést végeznie?

            Az otthoni felhasználó könnyen el tudja dönteni, hogy mikor végez biztonsági mentést, hiszen például a nyaralási fotókat elég a nyaralás(oka)t követően feltöltenünk a biztonságos tárhelyre. A vállalatok esetén nem ilyen egyszerű a képlet, azonban minden vállalat a saját üzleti folyamatinak felmérését követően el tudja dönteni, hogy az egyes rendszerekben tárolt adatok visszatöltése mennyi időt, energiát vagy éppen pénzt emésztene fel. Ennek tudatában képes lehet eldönteni, hogy a mentések milyen gyakorisággal fussanak le, figyelembe véve a legrosszabb forgatókönyveket.

            Mi történik, ha az adataink elvesznek, de nem kézült biztonsági mentés róluk?

            Hardveres hiba esetén az adatokat már számtalan hazai és nemzetközi cég képes lehet teljesen vagy részlegesen visszaállítani, azonban igen borsos áron. Ezek sokszor a milliós összegeket is elérhetik, azonban ez számtalan faktortól függ. Egy zsarolóvírus támadás esetén – amennyiben nem fizetünk a feloldókulcsokért – a visszaállítás a jelenlegi technikai környezetben lehetetlen. Egy kártékony kód esetén a visszaállítás ugyan lehetséges, de kérdéses, függően a kártékony kód típusától. Egyszóval, ha biztosan biztonságban akarjuk tudni az adatainkat, úgy érdemes biztonsági mentést készíteni róluk.

            Levelezés

            Mi baj lehet az emailezéssel?

            Ma már életünk szerves részét képezik az elektronikus levelek. Ezen keresztül bonyolítjuk az üzleti megrendelések mellett az esküvői meghívók kiküldését, de akár a hétvégi grillpartyt is itt szervezzük meg. Az email azonban kiváló eszköze a kiberbűnözőknek, hogy adathalász leveleket küldjön nekünk, ahogy azt már a korábbiakban láttuk. Elektronikus levelezésünk során azonban mi is követhetünk el jogsértéseket, például adatvédelmi incidenst, vagy üzleti titok megsértését, amennyiben nem vagyunk kellően figyelmesek. Ezért minden, a levélküldés gomb megnyomása előtt gondolkodjunk, vegyük számba a lehetséges következményeket.

            Milyen veszélyeket rejthet egy egyszerű email?

            Egy email esetén három veszélyes pont lehet:

            • csatolmány, mely lehet fertőzött,
            • link, mely mutathat fertőzött weboldalra, vagy adathalász weboldalra,
            • maga a szöveg, mely lehet megtévesztő, de az is elképzelhető, hogy a szöveg maga valósíthat meg jogsértést, például adatvédelmi incidenst.
            Spam vagy más néven levélszemét

            A levélszemét (spam) mára már egy mindenki által látott és tapasztalt dolog. A világ email forgalmának fele (!) kéretlen levél, mely sok esetben adathalász eszköz is. Az adathalász kéretlen levelek jó része (mentális) egészséggel, nyereményekkel, álláslehetőségekkel kapcsolatos ajánlatokat tartalmaz, így legyünk különösen óvatosak velük. A mai modern levelező rendszerek a kéretlen levelek jó részét kiszűrik, így ma már sokkal ritkábban találkozhatunk velük. Ezeket a rendszereket spamszűrőnek nevezzük, melyek között már jó pár mesterséges intelligencián és számítógépes tanulási algoritmusokon alapuló rendszerek is fellelhetők.

            Mire figyeljek egy email érkezésekor?

            Legelőször gondoljuk át, hogy vártunk-e ilyen levelet, vagy racionális indokból érkezhetett-e ilyen levél. Ez követően mindenképp vegyük szemügyre a feladót, konkrétan a feladó email címét, mert mint láthattuk, a feladó névként bármit megadhat (például egy csomagküldő cég nevét), ám az email címből rögtön kiderül, ha csalárd levéllel állunk szemben. Ezt követően minden esetben vizsgáljuk meg a levél tárgyát, mert sok esetben a csalók, kiberbűnözők hívogató tárgymegjelöléseket használnak, melyek általában valamilyen aktuális trendi dologra utalnak (ilyen volt például a COVID válság első szakaszában az ingyenes oltás regisztrációra felhívó levél, mely már tárgyában hivatkozott a WHO-ra). Nézzük meg, hogy tartalmaz-e valamilyen csatolmányt az email. Általában itt is igaz, hogy a rosszindulatú felhasználók olyan csatolmányneveket adnak meg, mely felkelti a figyelmünket, kíváncsiságunkat (például nyertesek listája.xlsx, nyereményátvételi lap.docx, bírsághatározat.pdf). Tudnunk kell, hogy szinte minden fájlformátum veszélyes lehet, de a futtatható állományok (például a .exe, .bat, .apk) különösen kerülendőek, mivel ezek programok, melyek települhetnek a számítógépünkre vagy az okostelefonunkra, így ezeket ne futtassuk. Emellett figyelmesen olvassuk el szövegezést, nézzük meg az aláírást, s amennyiben az hibás, rossz magyarsággal íródott, azonnal töröljük a levelet.

            Hogyan figyeljek a saját, küldendő levelezésemre?

            Először is minden esetben ellenőrizzük a címzettek listáját, mivel elképzelhető, hogy az információ, amit küldeni vagy továbbítani szeretnénk, nem tartozik minden címzettre. Ügyeljünk a válasz mindenkinek gomb használatára, és küldés előtt gondoljuk át, hogy az összes címzett jogosult-e megismerni az emailünk, válaszunk tartalmát. A továbbítás során kiemelt figyelmet kell fordítanunk a kényes üzleti adatokra, személyes adatokra. Soha ne továbbítsunk ellenőrzés nélkül levelet, hiszen számtalan, akár személy adatot is tartalmazó információ juthat ki a címzettnek, ami komoly fejtörést okozhat, de akár adatvédelmi bírságot vonhat maga után.

            Jó, jó, de konkrétan milyen adatokra kell odafigyelnem?

            Ez nagyban függ az email tartalmától, de általánosságban elmondható, hogy a nevek, email címek alapvetően minden esetben személyes adatnak minősülnek, így a jogosulatlanok felé való továbbítással (például egy továbbított levélben a tartalma mellett ott vannak a főnökeink, beosztottjaink email címei, az üzenet tárgya is) adatvédelmi incidenst követhetünk el. De az is elképzelhető, hogy egy üzleti titok tárgyát képező információcsomag, lista, vagy egy fegyelmi eljárás anyaga kerül továbbításra helytelen vagy jogosulatlan személynek. Ezért mindig gondoljuk át kinek és mit küldünk, a csatolmányokat, melyek nem szükségesek, töröljük.

            Mi is minősülhet személyes adatnak?

            Személyes adat lehet bármi, amiből az érintett (természetes személy) beazonosítható. Így nem feltététlenül csak nevek, de akár rendszámok, email címek vagy egy kontextusban felmerülő jelző is beazonosíthatóvá teheti az illetőt. Például, ha hárman leveleznek, melyből kettő nő, úgy a „az a hülye, csak azért, mert kopaszodó pocakos pasi” megfogalmazás azonosíthatóvá teszi az érintettet.

            Hogyan figyeljek mindenre egyszerre?

            Nem kell mindenre egyszerre figyelnünk. Az első pár figyelmes email olvasáskor, megnyitáskor és küldéskor könnyen elsajátíthatjuk az alapvető sorrendet, a vizsgálandó részeket, melyek helyes alkalmazása után rutinszerűvé válik a folyamat.

            Levelezés

            Mi baj lehet az emailezéssel?

            Ma már életünk szerves részét képezik az elektronikus levelek. Ezen keresztül bonyolítjuk az üzleti megrendelések mellett az esküvői meghívók kiküldését, de akár a hétvégi grillpartyt is itt szervezzük meg. Az email azonban kiváló eszköze a kiberbűnözőknek, hogy adathalász leveleket küldjön nekünk, ahogy azt már a korábbiakban láttuk. Elektronikus levelezésünk során azonban mi is követhetünk el jogsértéseket, például adatvédelmi incidenst, vagy üzleti titok megsértését, amennyiben nem vagyunk kellően figyelmesek. Ezért minden, a levélküldés gomb megnyomása előtt gondolkodjunk, vegyük számba a lehetséges következményeket.

            Milyen veszélyeket rejthet egy egyszerű email?

            Egy email esetén három veszélyes pont lehet:

            • csatolmány, mely lehet fertőzött,
            • link, mely mutathat fertőzött weboldalra, vagy adathalász weboldalra,
            • maga a szöveg, mely lehet megtévesztő, de az is elképzelhető, hogy a szöveg maga valósíthat meg jogsértést, például adatvédelmi incidenst.
            Spam vagy más néven levélszemét

            A levélszemét (spam) mára már egy mindenki által látott és tapasztalt dolog. A világ email forgalmának fele (!) kéretlen levél, mely sok esetben adathalász eszköz is. Az adathalász kéretlen levelek jó része (mentális) egészséggel, nyereményekkel, álláslehetőségekkel kapcsolatos ajánlatokat tartalmaz, így legyünk különösen óvatosak velük. A mai modern levelező rendszerek a kéretlen levelek jó részét kiszűrik, így ma már sokkal ritkábban találkozhatunk velük. Ezeket a rendszereket spamszűrőnek nevezzük, melyek között már jó pár mesterséges intelligencián és számítógépes tanulási algoritmusokon alapuló rendszerek is fellelhetők.

            Mire figyeljek egy email érkezésekor?

            Legelőször gondoljuk át, hogy vártunk-e ilyen levelet, vagy racionális indokból érkezhetett-e ilyen levél. Ez követően mindenképp vegyük szemügyre a feladót, konkrétan a feladó email címét, mert mint láthattuk, a feladó névként bármit megadhat (például egy csomagküldő cég nevét), ám az email címből rögtön kiderül, ha csalárd levéllel állunk szemben. Ezt követően minden esetben vizsgáljuk meg a levél tárgyát, mert sok esetben a csalók, kiberbűnözők hívogató tárgymegjelöléseket használnak, melyek általában valamilyen aktuális trendi dologra utalnak (ilyen volt például a COVID válság első szakaszában az ingyenes oltás regisztrációra felhívó levél, mely már tárgyában hivatkozott a WHO-ra). Nézzük meg, hogy tartalmaz-e valamilyen csatolmányt az email. Általában itt is igaz, hogy a rosszindulatú felhasználók olyan csatolmányneveket adnak meg, mely felkelti a figyelmünket, kíváncsiságunkat (például nyertesek listája.xlsx, nyereményátvételi lap.docx, bírsághatározat.pdf). Tudnunk kell, hogy szinte minden fájlformátum veszélyes lehet, de a futtatható állományok (például a .exe, .bat, .apk) különösen kerülendőek, mivel ezek programok, melyek települhetnek a számítógépünkre vagy az okostelefonunkra, így ezeket ne futtassuk. Emellett figyelmesen olvassuk el szövegezést, nézzük meg az aláírást, s amennyiben az hibás, rossz magyarsággal íródott, azonnal töröljük a levelet.

            Hogyan figyeljek a saját, küldendő levelezésemre?

            Először is minden esetben ellenőrizzük a címzettek listáját, mivel elképzelhető, hogy az információ, amit küldeni vagy továbbítani szeretnénk, nem tartozik minden címzettre. Ügyeljünk a válasz mindenkinek gomb használatára, és küldés előtt gondoljuk át, hogy az összes címzett jogosult-e megismerni az emailünk, válaszunk tartalmát. A továbbítás során kiemelt figyelmet kell fordítanunk a kényes üzleti adatokra, személyes adatokra. Soha ne továbbítsunk ellenőrzés nélkül levelet, hiszen számtalan, akár személy adatot is tartalmazó információ juthat ki a címzettnek, ami komoly fejtörést okozhat, de akár adatvédelmi bírságot vonhat maga után.

            Jó, jó, de konkrétan milyen adatokra kell odafigyelnem?

            Ez nagyban függ az email tartalmától, de általánosságban elmondható, hogy a nevek, email címek alapvetően minden esetben személyes adatnak minősülnek, így a jogosulatlanok felé való továbbítással (például egy továbbított levélben a tartalma mellett ott vannak a főnökeink, beosztottjaink email címei, az üzenet tárgya is) adatvédelmi incidenst követhetünk el. De az is elképzelhető, hogy egy üzleti titok tárgyát képező információcsomag, lista, vagy egy fegyelmi eljárás anyaga kerül továbbításra helytelen vagy jogosulatlan személynek. Ezért mindig gondoljuk át kinek és mit küldünk, a csatolmányokat, melyek nem szükségesek, töröljük.

            Mi is minősülhet személyes adatnak?

            Személyes adat lehet bármi, amiből az érintett (természetes személy) beazonosítható. Így nem feltététlenül csak nevek, de akár rendszámok, email címek vagy egy kontextusban felmerülő jelző is beazonosíthatóvá teheti az illetőt. Például, ha hárman leveleznek, melyből kettő nő, úgy a „az a hülye, csak azért, mert kopaszodó pocakos pasi” megfogalmazás azonosíthatóvá teszi az érintettet.

            Hogyan figyeljek mindenre egyszerre?

            Nem kell mindenre egyszerre figyelnünk. Az első pár figyelmes email olvasáskor, megnyitáskor és küldéskor könnyen elsajátíthatjuk az alapvető sorrendet, a vizsgálandó részeket, melyek helyes alkalmazása után rutinszerűvé válik a folyamat.

            Internetezés

            Milyen veszélyek leselkedhetnek rám az interneten?

            Ez sok mindentől függ természetesen, de a legalapvetőbb veszélyek a következők:

            • kiberbűnözők, csalók és csalások,
            • veszélyes, fertőzött weboldalak vagy programok,
            • nem megfelelő használatból eredő hibák

            A fenti veszélyeknek komoly hatása lehet a szervezetünk életére, amennyiben szervezeti eszköz vagy szervezeti email cím kompromittálódik, de a saját eszközeink, illetve saját email címünk is veszélyben lehet. A fenti veszélyeknek való kitettség a felhasználói tudatosság növelésével csökkenthető. Ha tudjuk minek ne dőljünk be, milyen programokat ne telepítsünk, illetve hogyan használjuk biztonságosan az internetet, akkor sokkal kisebb veszélynek leszünk kitéve.

            Mi is az az internet?

            Az internet nagyon leegyszerűsítve hálózatba kötött számítógépeket jelent, melyhez hozzáférés (internetelőfizetés) birtokában bárki, egy egyszerű böngésző (például Edge, Chrome, Firefox, Opera, stb.) segítségével csatlakozhat. Az internet alapvetően három jól elkülöníthető részből áll:

            • nyílt internet (surface web), mely az általunk is ismert, sima böngészőkkel kereshető weboldalakat tartalmazza. Ennek része például a magyarorszag.hu weboldal
            • a mély internet (deep web), mely a nyílt internetről nem érhető el, vagy csak hozzáférés birtokában érhető el. Ilyen lehet például az EESZT kórházak és szolgáltatók által elérhető része, vagy egy szervezet VPN-en keresztül elérhető belső oldala,
            • sötét web (dark web), melyről már biztosan sokan hallottunk, általában illegális cselekményekkel kapcsolatos hírekkel összefüggésben. A sötét web egyszerű böngészőkkel nem érhető el, ehhez külön böngésző telepítése, valamint az oldalak pontos elérhetősége szükséges.
            Mik azok a webcímek (URL)?

            Az egyes weboldalak elérhetősége a valóságban egy úgynevezett IP cím, mely számok és pontok összessége. Annak érdekében, hogy ez megjegyezhető legyen, egy szolgáltatás (DNS) segítségével összekötötték őket a már könnyen megjegyezhető webcímekkel. A webcímek, vagy más néven URL-ek a weboldalak könnyebb elérhetőségét lehetővé tevő, könnyen megjegyezhető, egyedi elérési utak. Domain névnek hívjuk a weboldal nevét (a .hu-ig), míg URL-nek a weboldal címét, elérési útvonalát, mely akár a weboldalon belül is mutathat valamire (például .hu/contact). Minden domain egyedi, nem jegyezhető be belőle kettő azonos, azonban más tartományban ez már nem igaz. Tehát magyaroszag.hu-ból több nem létezhet, de magyarorszag.com már igen.

            Miért fontos nekem ezt tudnom?

            Ahogy láthattuk, nem jegyezhető be két ugyanolyan domain. Ez azért is fontos, mert az egyes domain nevekhez tartozó email címekről érkezhetnek üzenetek. Mivel egy domain név csak egyszer osztható ki, így a csalók például az otpbank.hu domainhez tartozó email címről nem tudnak keresni minket, ezért létre kell hozniuk egy ahhoz hasonlót, például [email protected]. Ugyanígy a weboldalak elérhetőségei is csak egyszer oszthatóak ki, így a hamis weboldalak esetén az elérhetőségek is legjobb esetben csak nagyon hasonlóak tudnak lenni az eredetihez, de sosem egyezhetnek meg azzal. Ilyen bevett trükk szokott lenni, mikor a csalók az eredeti weboldal arculati elemeivel hoznak létre egy csaló egy adathalász weboldalt, de annak elérhetőségét álcázzák például azzal, hogy létrehozzák az otpbank-hu.com, vagy az otpbank.hu.com domaint. Ezt azért roppant fontos megjegyeznünk, hogy egy adathalász levelet könnyen ki tudjunk szűrni.

            De most akkor, hogy van ezzel a webcímmel?

            A weboldalak elérhetőségei a négy fő részből állnak:

            • protokoll (leggyakrabban http:// vagy https://)
            • aldomain (www.)
            • domain név (például magyarorszag), valamint
            • tartomány (TLD) (például. hu vagy .com)
            • + az elérési út (például /contatct)

            tehát egy webcím (URL) név a következőképpen néz ki: https://magyarorszag.hu/szuf_szolg_lista?kategoria=OT. Itt minden, fenti URL részlet jól látható.

            Számunkra azért nagyon fontos, hogy ezt megértsük, hogy:

            • ne tévedjünk az eredeti weboldal arculati elemeivel ellátott, de hamis weboldalra, valamint
            • ne nyissunk meg az eredetihez hasonló email címről érkező leveleket
            Honnan ismerhetem fel a hamis weboldal címét és a hamis levél feladóját?

            Amennyiben a fenti felépítést megértettük, már mi sem egyszerűbb. A weboldalak elérhetősége esetében azt figyeljük, hogy mi a pontos URL, mi a pontos tartomány. A tartomány az utolsó pont utáni, bejegyzés országára jellemző, 2 vagy 3 betű (.hu, .com, .io). Az az előtti összes pont megtévesztés, mivel az magának a domain-nek a része. Tehát ha meglátjuk az elérési útban a magyarorszag.hu.co.uk.com-ot, akkor a domain, amit bejegyeztek a csalók, az a magyarorszag.hu.co.uk, míg a tartomány a .com. Hasonlóan trükkös a kötőjelek alkalmazása, például magyarorszag-hu.com, ahol a domain, amint a csalók bejegyeztek a magyarorszag-hu, a tartomány pedig a .com. Jól látható, hogy a megtévesztés igen ügyesen végbe tudna menni, ha nem figyelünk.

            Az emailek esetén is hasonló a helyzet, mivel azok a domainekhez kapcsolódnak. Amennyiben emailt kapunk az [email protected]ól, még ha a csalók az email feladójának nevét „MAGYARORSZÁG”-ra is állították, tehát a feladónál csak ennyit látunk, az email cím árulkodik majd, hiszen tudjuk, hogy a domain név magyarorszag.hu helyett magyarorszag-hu.com.

            Jó, jó, az egyszerű adathalász technikákat már felismerem, de milyen veszélyek leselkednek még rám az interneten?

            A fentieken túl a számos veszély egyike, hogy figyelmetlenségből vagy a tudatosság hiányából káros programokat telepítünk. Tudnunk kell, hogy a fájloknak van egy úgynevezett kiterjesztésük. Ilyen lehet, csak a pár legismertebbet említve a .pdf, .doc, .xlsx, .exe. Szinte bármilyen fájlba „belecsempészhető” kártékony kód (köznapi nevén vírus), legyen az egy szöveges fájl, például egy dokumentum (.doc, .docx), vagy egy táblázat (.xls, vagy .xlsx). Azonban vannak látványosan veszélyesebb fájlok, ezeket futtatható fájloknak nevezzük (például .exe vagy .bat kiterjesztéssel), melyek programok telepítésére szolgálnak. Ezeket ne nyissuk meg, ha nem vagyunk biztosak benne, hogy megbízható helyről származnak. Sokszor a csalók ezeket megpróbálják álcázni, mondjuk azzal, hogy becsomagolják őket (tömörített állomány, például .zip, .rar, .7zip), vagy hamis fájlkiterjesztésre vonatkozó nevet adnak neki (például bérkimutatás.dox.exe)

            Jelszavak

            Mi az az azonosítás és hitelesítés?

            Az azonosítás arról szól, hogy valaki vagy valami megmutatja, hogy ki vagy mi az. Amikor például egy felhasználó bejelentkezik egy számítógépes rendszerbe, megadja a nevét vagy azonosítóját. Az rendszer ezen azonosító alapján felismeri, hogy ki vagy mi próbál hozzáférni. Ilyen lehet egy felhasználónév vagy email cím.

            A hitelesítés azt jelenti, hogy a rendszer ellenőrzi, hogy az azonosított személy vagy dolog valóban az, aminek mondja magát. A hitelesítés célja, hogy megbizonyosodjunk arról, hogy az azonosított fél valóban jogosult arra, amit megpróbál elérni. Ehhez általában valamilyen bizonyítékot vagy titkos információt használnak, mint például jelszót, PIN-kódot, ujjlenyomatot vagy okostelefonra küldött kódot.

            Összefoglalva, az azonosítás arról szól, hogy megmutatjuk, kik vagyunk, míg a hitelesítés azt ellenőrzi, hogy valóban jogosultak vagyunk-e a kívánt hozzáférésre. Ezek a lépések segítenek megvédeni a rendszereket és az adatokat illetéktelen hozzáféréstől, és hozzájárulnak az információbiztonsághoz.

            Milyen a rossz jelszó?

            A rossz jelszó általában a következő okokból rossz:

            • rövid (12 karakternél rövidebb)
            • egyszerű (nem komplex) (Tehát csak kisbetűket, vagy kis- és nagybetűt, esetleg tartalmazó karaktersor)
            • jellemző a jelszó alkotójára (Vagyis olyan szavak, szórészletek alkotják, melyek a jelszó „gazdájának valamely tulajdonságára utalnak. Ilyen lehet annak neve, születési dátuma, kutyájának neve, stb.)
            • újra felhasznált (Olyan jelszó, melyet a kreálója korábban már használt)
            • könnyen kitalálható (Ezek általában olyan jelszavak, melyek megváltoztatásakor a használója kizárólag egy karaktert – például a hónapra utaló számot – változtatja meg, míg a jelszó többi része azonos marad)

            Ennek alapján egy rossz jelszó lehet a „Gabi19750301”, vagy a „jelszo202303”, esetleg a „cirmi11”

            Milyen a jó jelszó?

            A jó jelszónak legalább 5 ismérve van:

            • hosszú (Használj legalább 12 karaktert vagy még többet, ha lehet. Minél hosszabb a jelszó, annál nehezebb feltörni)
            • komplex (A jelszó tartalmazzon kis- és nagybetűket, számokat és speciális karaktereket (pl. !, @, #). Ez növeli a jelszó bonyolultságát és nehezíti a feltörést)
            • ne utaljon a jelszó birtokosára (Ne használj könnyen megtippelhető dolgokat, mint a születési dátumod vagy neved. Kerüld az egyszerű és gyakori szavakat is)
            • Ne legyen egyszerű (Vegyél olyan szavakat vagy karaktereket, amik nem követik egymást logikusan. Például ne használd a “jelszo123” típusú mintákat)
            • Ne használd újra/máshol (Minden oldalon vagy szolgáltatásnál más jelszót használj. Így ha egy jelszó kompromittálódik, más helyeken is védve maradsz)

            Ennek alapján egy jó jelszó lehet például a Jgk4+!0154_dE

            Hogy jutnak a jelszavakhoz a kiberbűnözők? Hogy lehet feltörni egy jelszót? Hogy lehet ellopni egy jelszót? Illetve hogyan szivárognak ki azok?

            Az első kérdésre a válasz, hogy több módon is hozzájuthatnak a kiberbűnözők a jelszavainkhoz:

            • kiszivárgott adatbázisokból (például korábban feltört szolgáltatók titkosítatlanul tárolt email cím és jelszó kombinációinak felhasználásával),
            • úgynevezett brute force technikával, mikor a támadók ismerik az azonosító adatokat (például email cím), majd egy számítógép segítségével roppant gyorsan, automatikusan végig próbálják az összes lehetséges kombinációt. Minél hosszabb és bonyolultabb a jelszavunk, annál több időt vesz igénybe.
            • részleges információk felhasználásával, mikor a támadók tudják például a nevünket vagy a születési dátumunkat, melyekkel célzottabban tudnak próbálkozni, akár brute force mgoldással,
            • szótár alapú támadásokkal, mikor a brute force megoldáshoz egy, már régebben mások által használt jelszavakkal próbálkoznak,
            • egyszerűen mi adjuk át őket önként, általában megtévesztés után, például egy adathalász weboldalon

            Érdekesség, hogy egy csak kisbetűkből álló 13 karakter hosszú jelszót a támadók brute force megoldással nagyjából 5 másodperc alatt tudnak feltörni, míg egy kis- és nagybetűkből, valamint számokból álló ugyanilyen hosszúságú jelszó feltöréséhez már 3000 évre lenne szükség. Amennyiben különleges karaktereket is tartalmaz az ugyanilyen hosszúságú jelszavunk, ez az idő 15000 évre hosszabbodik. Természetesen ezek a statisztikák a véletlenszerűen generált és nem a könnyen kitalálható, ránk jellemző, vagy mások által is használt jelszavak esetén értendők.

            Hol és hogyan tároljam a jelszavaimat?

            Ha csak a fejünkben tárolnánk a jelszavainkat, pláne, ha betartjuk, hogy azok legyenek hosszúak, komplexek, bonyolultak és ne legyenek szótára alapúak, valamint eltérőek legyenek mindenhol, úgy valószínűleg 2, esetleg 3 jelszót tudnánk megjegyezni. Ennek érdekében fejlesztették ki az úgynevezett jelszókezelő alkalmazásokat. Ezek a programok biztonságosan tárolják jelszavainkat egy titkosított adatbázisban. A fő előnyük az, hogy erősen titkosított környezetben tárolják a jelszavakat, így csak egy erős jelszó vagy biometrikus azonosítás segítségével férhetünk hozzá hozzájuk. Ilyen beépített funkciót minden ismertebb okostelefon gyártó, valamint az ismertebb böngésző gyártók is kínálnak ingyenesen, beépítetten. Persza vannak független, ingyenes és fizetős programok is, néhány ismert jelszókezelő: LastPass, 1Password, Bitwarden.

            Hol és hogyan ne tároljam a jelszavaimat?

            A jelszavakkal kapcsolatban fontos megjegyezni, hogy semmiképpen se:

            • írjuk fel egy papírra, füzet hátuljába, stb.,
            • számítógépen tárolt titkosítatlan jegyzetbe

            Amennyiben mégis fel akarjuk azokat írni, vagy digitálisan felmásolni egy USB-ra, mindenképpen biztosítsuk azok megfelelő titkosítását.

            Kivel oszthatom meg a jelszavaimat?

            Lehetőség szerint senkivel. A jelszavakkal könnyen vissza lehet élni, hiszen ez hitelesít minket. Amennyiben a felhasználónevünket és jelszavunkat másnak kiadjuk, aki a rendszerbe vagy szolgáltatásba belép, úgy később nehéz lesz bizonyítani, hogy nem mi voltunk. Tehát ilyenkor a nevünkben bárki, bármit csinálhat az adott rendszeren belül. Tehát ha egy kolléga a nyaralásunk előtt azzal áll elő, hogy egy cetlire írjuk ki a jelszavunkat, hátha be kell lépni a nevünkben egyes rendszerekbe, úgy ezt utasítsuk el.

            Mikor cseréljem le a jelszavaimat?

            A szervezetek (például a cég, ahol dolgozunk vagy egyes szolgáltatások (például az ügyfélkapu) előírhatnak bizonyos jelszólejárati időt, mikor mindenképpen le kell cserélnünk a jelszavainkat. Ennek oka, hogy ha azok egyszer kiszivárogtak, akkor ne lehessen azokkal visszaélni hónapok vagy akár évek múlva. Otthoni környezetben, amennyiben erős jelszót használunk elég akkor lecserélni, ha esetleg azok kiszivárogtak. Ezt könnyen tudjuk ellenőrizni a https://haveibeenpwned.com/ weboldalon az email címünk megadásával.

            Biztonságos-e a jelszó?

            A jelszó mára már nem egy biztonságos megoldás. Akkor sem, ha nagyon hosszú és bonyolult jelszavakat használunk, mivel azokat el lehet lopni, fel lehet törni, vagy ki lehet tőlünk csalni. Azokat ez után csak be kell gépelnie a kiberbűnözőknek és már bent is vannak a személyes fiókunkban, legyen az egy streaming szolgáltatás, egy email szolgáltatás vagy akár a netbankunk. Sokkal jobb, ha jelszavak helyett (és nem mellett) biometrikus azonosítási lehetőségeket használunk.

            Van-e biztonságosabb megoldás a jelszónál?

            Mint láthattuk a jelszavak kora „leáldozóban van”, mivel annál sokkal egyszerűbb és biztonságosabb megoldás a biometrikus azonosítás. Könnyen belátható, hogy az ujjlenyomatunkat, az arcunkat nem tudják csak úgy „ellopni”, azokat véletlenül, figyelmetlenségből mi sem tudjuk kiadni a csalóknak. Az Apple és a Microsoft is bevezette már a jelszómentes bejelentkezés lehetőségét. Azonban ennek világszinten, minden szolgáltatás szintjén való elterjedése még várat magára.

            Mi az a többfaktoros hitelesítés és miért biztonságosabb a jelszónál?

            A többfaktoros hitelesítés (angolul: Multi-Factor Authentication vagy MFA) egy olyan biztonsági eljárás, amely több lépésben ellenőrzi a felhasználó azonosítását egy adott rendszerben vagy szolgáltatásban. Ezzel a módszerrel a felhasználóknak nem csak egy jelszót kell megadniuk, hanem további, másodlagos azonosítási tényezőket is, amelyek hozzájárulnak a biztonsághoz.

            Amikor egy felhasználó belép egy rendszerbe vagy szolgáltatásba, a többfaktoros hitelesítés lépései a következők lehetnek:

            • Megadja a jelszavát, majd
            • kap egy SMS-t vagy egy applikációban egy kódot, vagy kéri az ujjlenyomatát vagy arcfelismeréssel hitelesít

            A többfaktoros hitelesítés biztonságosabb a hagyományos jelszónál, mert az illetékteleneknek nemcsak a jelszót, hanem a másodlagos azonosítási tényezőket is el kellene szerezniük ahhoz, hogy hozzáférjenek egy fiókhoz vagy rendszerhez. Ez nehezíti a támadók dolgát, mivel még akkor sem juthatnak hozzá a fiókhoz, ha megszerzik a jelszót. Még ha a jelszó is kompromittálódik, a többfaktoros hitelesítés segíthet megvédeni az adatokat és a fiókokat.