„Kicsik vagyunk, nem vagyunk érdekesek.”
Ez az egyik leggyakoribb mondat, amit az informatikai biztonsággal kapcsolatban hallani lehet, különösen kis- és középvállalkozások vezetőitől. Sajnos azonban ez nemcsak téves megközelítés, hanem veszélyes is. Az elmúlt évek tapasztalatai és adatai egyértelművé tették: ma már mindenki célpont, függetlenül a cég méretétől, ismertségétől vagy iparágától.
Forrás: Pixabay
Nem kell nagyvállalatnak vagy ismert márkának lenni ahhoz, hogy egy hacker vagy egy automatizált támadószoftver célba vegyen egy rendszert. Elég az, ha van internetes kapcsolat, publikus IP-cím, e-mail fiók, weboldal vagy egy nem frissített szoftver. A támadások döntő többsége ugyanis nem személyes alapon történik, hanem technikai sebezhetőségek alapján. A hackerek nem azt kérdezik, hogy „ki ez a cég?”, hanem azt, hogy „mit találunk, ami bejáratot nyit?”.
Ahogy az előző cikkünkben is bemutattuk, sok vállalatnál a láthatatlanul futó rutinok és az elhanyagolt beállítások rejtik a legnagyobb kockázatokat. Most továbbmegyünk, és megmutatjuk, hogyan működnek ezek a támadások a valóságban: kinek szólnak, hogyan azonosítják a célpontokat, milyen eszközöket használnak – és miért éppen a kisebb cégek vannak gyakran a legnagyobb veszélyben.
A cikk célja nem a pánikkeltés. A célunk az, hogy érthetővé tegyük a támadások logikáját, és ezzel segítsük a cégvezetőket abban, hogy reálisan értékeljék a kockázatokat – és ehhez mérten hozzák meg a szükséges védelmi döntéseket.
Mindenki célpont – attól függetlenül, hogy tud róla vagy sem
Amikor egy cégvezető azt gondolja, hogy „mi túl kicsik vagyunk, ránk úgysem vadásznak”, az valójában téves biztonságérzetet kelt – és ez a legnagyobb veszély. A valóság ugyanis az, hogy a legtöbb kibertámadás automatizált: nem egy hacker ül a képernyő előtt és válogat a célpontok között, hanem robotok pásztázzák az internetet nap mint nap, sebezhető rendszerek, rossz beállítások, nyitva hagyott szolgáltatások után kutatva.
Kik kerülnek célkeresztbe?
Az egyszerű válasz: bárki, aki online jelen van és nincs megfelelően védve. Ez nem csak az IT-cégek vagy a multik világa, hanem a kisboltoké, ügyvédi irodáké, fogászatoké, logisztikai cégeké és minden olyan vállalkozásé, ahol:
– van publikus weboldal vagy webshop (különösen, ha CMS-alapú, pl. WordPress),
– van e-mailes kommunikáció (gyakorlatilag mindenki),
– működik ügyfél adatbázis vagy belső fájlszerver (pl. szerződések, számlák, belső dokumentumok),
– használnak távoli hozzáférést (pl. VPN, RDP – Remote Desktop Protocol),
– futnak elavult vagy nem frissített szoftverek (akár egy 2 évvel ezelőtti plugin is lehet belépési pont),
– nincs tudatosság a shadow IT (ismeretlen IT-megoldások) jelenlétével kapcsolatban.
Ezek a tényezők önmagukban is elégségesek ahhoz, hogy egy támadó eszköz célba vegye az adott céget. A motiváció sokszor egyszerű: ha van mit zsarolni, van mit ellopni, akkor érdemes. És bizony vannak olyanok, akik célzottan botnet hálózatot építenek. Nekik nem az az első, hogy mit lehet ellopni, mivel lehet zsarolni, hanem az, hogy a botnet hálózatba bevont gép vagy infrapark jól használható legyen egy DDoS támadásnál.
Három tipikus példa – és miért pont ők?
1. A „csak e-mailezünk és számlázunk” típusú kisvállalkozás
Egy kis cég, ahol a teljes IT jelenlét annyiból áll, hogy az alkalmazottak leveleznek és elektronikus számlát állítanak ki. Nincs központi mentés, nincs biztonsági stratégia. Egy jól célzott zsarolóvírus (ransomware) mindent titkosít, és nincs miből helyreállítani. Az üzlet napokra, akár hetekre megbénul.
2. Webshop pl. elavult WooCommerce motorral
A webáruház évek óta működik, de a frissítések elmaradtak – főleg, mert „minden működik”. Az egyik elavult plugin viszont nyitva hagy például egy SQL adatbázis sebezhetőséget, amin keresztül a támadó bankkártya adatokat vagy vásárlói profilokat szerezhet meg. Az adatvédelmi incidens nemcsak jogi következményekkel járhat, hanem súlyos reputációs veszteséggel is.
3. A cég, ahol az admin jelszó: „Admin123”
A rendszergazda korábban így állította be, és „még sose volt gond”. A jelszó pedig szerepel több kiszivárgott listán is – így a támadók egy brute force (jelszótörő) támadással percek alatt bejuthatnak. A következmény lehet adatszivárgás, zsarolóvírus, vagy teljes rendszerszintű kompromittáció.
Következtetés:
Nem kell különleges célpontnak lenni ahhoz, hogy támadás érje a céget. Elég egy gyenge pont és a botok automatikusan megtalálják. A támadás nem személyes, hanem technikai. Ezért van az, hogy a biztonság alapjait minden méretű cégnek meg kell teremtenie – nem holnap, hanem ma.
A támadások logikája – hogyan zajlik a valóságban?
A kibertámadások többsége nem célzott, nem személyes és nem a filmekben látott hackerkedés. Sokkal inkább olyan, mint egy óriási, automatizált szkennelő rendszer, ami folyamatosan pásztázza az internetet, és minden gyenge láncszemet kipróbál. Ha találnak egyet, azonnal elindul a támadás – függetlenül attól, hogy mekkora vagy mennyire fontos a cég.
Forrás: Pixabay
Automatizált sebezhetőség-vadászat – nincs menekvés, csak védelem
Az internetet botnetek, automatizált szkriptek és támadási keretrendszerek (pl. Metasploit, Cobalt Strike) pásztázzák. Ezeket képzelje el úgy, mint egy tolvajt, aki végigsétál az utcán, és minden egyes autó kilincsét megpróbálja, hátha nyitható. Nem azt nézi, kinek a kocsija az, vagy mennyi idős a tulajdonos. Csak azt keresi: melyik van nyitva? A botnetek pontosan így működnek: másodpercenként több millió “kilincset” (portot, sérülékenységet) próbálnak végig.
Úgy programozták őket, hogy:
– ismert sebezhetőségek után kutassanak (pl. CVE-adatbázisok alapján),
– felismerjék a nyitott portokat, például az RDP (Remote Desktop Protocol) vagy az SSH szolgáltatást,
– elavult szoftver verziókat keressenek (pl. Apache, Exchange Server, WordPress pluginek),
– észleljék a gyenge hitelesítési megoldásokat (pl. admin/admin, jelszó nélküli bejelentkezés).
Ha a bot talál valamit, megpróbálja azt automatikusan kihasználni. És ha sikerül, már meg is történt a baj: bejutottak.
A védekezés első lépése: a rendszeres sebezhetőség-vizsgálat és frissítés. Ebben segíthet egy külső partner, ha nincs rá megfelelő belső kapacitás.
Nem az a cél, hogy érdekes legyél – hanem az, hogy védtelen ne legyél
Ez a logika minden cég számára ijesztően aktuális: nem személyes a támadás, hanem technikai. A támadó nem tudja, ki vagy. Nem érdekli a cégnév, nem kutat a tulajdonos után. Egyetlen dolog számít: sebezhető vagy-e?
Ha a válasz igen, akkor:
– zárolják az adataidat és váltságdíjat kérnek,
– adatokat lopnak és eladják a dark weben,
– vagy tovább használják a rendszeredet, hogy máshová támadjanak (pl. spamhálózat vagy crypto bányászat céljából).
Ezért mondjuk, hogy a biztonság nem a méreten múlik – hanem azon, hogy felkészült vagy-e.
A leggyakoribb támadás típusok – konkrét KKV-következményekkel
Az alábbi táblázat bemutatja, milyen típusú támadásokkal találkoznak leggyakrabban a cégek, és ezek milyen hatással vannak a mindennapi működésre – még egy „egyszerű” cég esetén is:
| Támadás típusa | Célja | Hatása a KKV-kre |
| Zsarolóvírus (ransomware) | Fájlok titkosítása, váltságdíj követelése | Működés teljes leállása, adatvesztés, fizetési kényszer, reputációs kár |
| Phishing (adathalászat) | Belépési adatok ellopása | CRM- vagy banki hozzáférés veszélybe kerülése, e-mail fiók feltörése |
| DDoS-támadás | Weboldal vagy rendszer túlterhelése | Webshop kiesik, ügyféloldali szolgáltatás elérhetetlenné válik, bevétel-kiesés |
| Adatszivárgás | Személyes vagy üzleti adatok ellopása | GDPR-bírság, bizalomvesztés, jogi következmények, ügyfél lemorzsolódás |
Ezek közül bármelyik akár 1-2 kattintással beindulhat – és sokszor hónapokkal később derül csak ki, hogy gond van. Ezért kritikus fontosságú a proaktív védelem: mentések, naplózás, hozzáférés-kezelés, és rendszeres tesztelés. Egy jól működő rendszer visszaállításakor sokszor az is jelentős időt vesz igénybe, amíg megtaláljuk azt a mentési verziót, ami még nem fertőződött.
A zsaroló vírusokról bővebben is írtunk az előző cikkben: Ami a felszín alatt van – IT-rutinok, amikre nem is gondolnál
További fontos cikkek a témában angolul:
ENISA Threat Landscape 2024 – az Európai Unió Kiberbiztonsági Ügynökségének éves jelentése a leggyakoribb támadás típusokról és technikákról:
https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024
IBM Cost of a Data Breach Report 2025 – statisztikák arról, milyen üzleti károkat okoznak a támadások világszerte. Megtudhatja többek között, hogy:
– egy átlagos adatszivárgás költsége sosem volt még ilyen magas,
– a legdrágább tétel nem a helyreállítás, hanem az ügyfél bizalom elvesztése.
További részletek:
https://www.ibm.com/reports/data-breach
Miért különösen sérülékenyek a kisebb cégek?
A támadók szemszögéből nézve a kisebb cégek ideális célpontok: elég adatuk van ahhoz, hogy értékes legyen, de nincs elég védelmük ahhoz, hogy komoly akadályt jelentsenek. Ez a kettős helyzet azt eredményezi, hogy a KKV-k a tömeges kibertámadások elsődleges áldozatai közé tartoznak, még akkor is, ha nem gondolnak magukra így.
Nincs vagy gyenge az IT-biztonsági stratégia
Sok kisvállalkozásnál nincs formalizált informatikai stratégia, nem történik kockázatelemzés, nincs IT-audit, és semmilyen rendszeres ellenőrzés. Az informatikai rendszer egyszerűen csak „működik valahogy” – amíg nem történik baj. Addig viszont nincs előrelátó tervezés, nincs incidens forgatókönyv, és a legnagyobb biztonsági lyukakról sincs tudomása a vezetésnek.
Érdemes legalább egy évente végzett IT-biztonsági felméréssel kezdeni!
Egyetlen emberre vagy külsősre van bízva minden
A kisebb cégeknél gyakori, hogy az informatikai rendszerek felügyelete egyetlen ember feladata, aki egyszerre rendszergazda, fejlesztő, supportos és karbantartó. Gyakran nem is alkalmazott, hanem külső szolgáltató – akit akkor hívnak, ha „valami nem működik”.
Ez a modell a gyors hibaelhárításra alkalmas lehet, de nem biztosít hosszú távú védelmet vagy rendszerszintű átláthatóságot. Egy tapasztalt támadó pontosan tudja, hogy az ilyen helyeken könnyebb észrevétlenül bejutni – és sokáig bent is maradni.
Nincs (használható) mentés
Meglepően sok kisvállalat egyáltalán nem készít rendszeres biztonsági mentést, vagy ha igen, akkor csak ugyanazon az eszközön vagy hálózaton belül tárolják, ahol az eredeti adatok is vannak. Így egy zsarolóvírus esetén a mentés is titkosított lesz – vagyis semmit nem lehet visszaállítani.
A megfelelő gyakorlat a 3-2-1 szabály betartása: három példány, két különböző adathordozón, egy fizikailag külön helyen. És ahogy korábban már szó volt róla, fontos az is, hogy a mentések legalább 12 hónapig megmaradjanak, hiszen a támadások gyakran hónapokkal az észlelés előtt kezdődnek.
Részletesebben: Ami a felszín alatt van – IT-rutinok, amikre nem is gondolnál
Nincs oktatás, nincs tudatosság
Az IT-rendszerek mellett a dolgozók jelentik a legnagyobb biztonsági kockázatot – különösen akkor, ha nem kapnak képzést vagy alapvető ismereteket a fenyegetésekről.
Példák:
– ismeretlen e-mailek megnyitása – phishing
– túl egyszerű jelszavak használata – brute force
– kétes linkekre kattintás – malware
– érzékeny adatok továbbítása – social engineering
Oktatás nélkül a védekezés első vonala gyakorlatilag nem létezik. Egyetlen rossz kattintás elég lehet egy láncreakció elindításához (ma már több cégnél a kiberbiztonsági tudatosság jegyében belsős phishing levelet küldenek, hogy azt mérjék, hányan klikkelnek, majd később publikálják az eredményt).
Shadow IT – láthatatlan kockázat
Sok kisebb cégben a dolgozók önállóan kezdenek el új szoftvereket vagy eszközöket használni, például jelszómenedzsert, fájlmegosztót vagy chatprogramot. Ezek nincsenek jóváhagyva, nem illeszkednek a vállalati IT-biztonsági politikába, és gyakran gyenge vagy nulla védelemmel rendelkeznek.
A dolgozók általában nem rossz szándékból telepítenek saját szoftvereket, hanem azért, mert hatékonyabban akarnak dolgozni, és a céges eszközök nem támogatják ezt.
Ez a shadow IT – és bár elsőre segít a produktivitásban, óriási biztonsági rést üt a rendszerbe. A megoldás nem feltétlenül a teljes tiltás – hanem az átláthatóság, a kontroll visszaállítása és a biztonságos alternatívák biztosítása.
Forrás: Pixabay
A támadások következményei – nem csak adatvesztés
Sokan még mindig úgy gondolnak egy kibertámadásra, mint egy „technikai malőrre”: valami nem működik, jön az informatikus, megjavítja, és megy tovább az élet. A valóság azonban ennél sokkal súlyosabb: egyetlen sikeres támadás akár hetekre, hónapokra térdre kényszeríthet egy céget – vagy örökre tönkreteheti.
Nézzük meg részletesen, milyen következményekkel kell számolni.
1. Bevételkiesés és működési leállás
Ha a rendszer nem működik, a bevétel azonnal elapad. Egy zsarolóvírus-támadás után például gyakori, hogy:
– nem lehet számlázni,
– nem működik a webáruház vagy az online időpontfoglaló,
– az ügyfélszolgálat nem fér hozzá a CRM rendszerhez,
– az értékesítés vagy termelés is leáll.
Minden nap, amit helyreállítással kell tölteni, közvetlen üzleti veszteség.
2. Bírságok és jogi következmények
Ha az adatvesztés személyes adatokat is érint, kötelező bejelenteni az esetet a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (NAIH). A GDPR alapján akár 20 millió euróig terjedő bírság is kiszabható, bár jellemzően a magyar gyakorlat ennél enyhébb – de nem elhanyagolható.
Emellett az ügyfelek, partnerek is indíthatnak kártérítési eljárást, különösen ha érzékeny vagy bizalmas információ szivárgott ki.
3. Helyreállítási költségek
Egy támadás után nem elég a rendszert újraindítani – alapos vizsgálat, audit, és sokszor teljes újratelepítés szükséges. Emellett:
– új hardverre lehet szükség,
– meg kell vásárolni vagy újra licencelni a szoftvereket,
– új biztonsági rendszert kell bevezetni,
– be kell vonni jogi tanácsadót vagy kommunikációs válságkezelőt is.
Egy átlagos zsarolóvírus-támadás utáni helyreállítás költsége több millió forintra is rúghat, még akkor is, ha a váltságdíjat nem fizetik ki.
4. Reputációs kár, bizalomvesztés
Az informatikai biztonság nemcsak technikai, hanem üzleti kérdés is. Ha kiderül, hogy egy cég nem tudja megvédeni az ügyfelei adatait, az azonnali bizalomvesztéshez vezet.
A hír gyorsan terjed – egy negatív sajtómegjelenés, egy kiszivárgott belső e-mail, vagy akár egy fórumposzt is lavinát indíthat el. A visszaszerzett rendszer nem hozza vissza automatikusan az elvesztett ügyfeleket vagy partnereket.
5. Partneri kapcsolatok megromlása – SLA-sértések
Ha egy cég egy másik vállalkozásnak nyújt szolgáltatást – legyen az logisztika, szoftverfejlesztés, tanácsadás vagy adatfeldolgozás -, akkor a megbízhatóság kulcsfontosságú. Egy kibertámadás miatti kiesés a partner üzletmenetére is hatással lehet.
Ilyenkor gyakran megszegik az SLA-t (Service Level Agreement – szolgáltatási szintmegállapodás), ami miatt kötbér, kártérítés vagy akár szerződésbontás is jöhet.
A kibertámadás nem csak adatvesztés vagy „informatikai probléma” – hanem üzletmeneti, jogi és reputációs válság is egyben. Ezért kulcsfontosságú, hogy a védekezés ne utólagos legyen.
Hogyan lehet minimális védelemmel is sokat elérni?
Nem minden cég engedheti meg magának a legkorszerűbb biztonsági rendszereket – de nem is kell nulláról azonnal high-tech védvonalat építeni. Néhány alapvető lépés már önmagában drasztikusan csökkenti a támadások sikerességét és hatását.
Íme a minimális védelem 6 alappillére:
3-2-1 mentési szabály + min. 1 év megőrzés
Legyen három példány az adatokról, két különböző típusú adathordozón, és legalább egy offsite, írásvédett másolat, amelyet legalább 12 hónapig megőrzünk. Így egy régóta lappangó zsarolóvírus sem törli a helyreállítási lehetőséget.
MFA minden kritikus rendszerre
A kétlépcsős azonosítás (MFA – Multi-Factor Authentication) ma már alap. A belépési adatok ellopása esetén is védelmet ad, ha egy második, fizikai vagy biometrikus tényező is kell a hozzáféréshez.
Automatikus frissítések
Az elavult szoftverek nyitott kaput jelentenek a támadók előtt. Állítsuk be úgy a rendszereket, hogy automatikusan telepítsék a biztonsági frissítéseket – ezzel az ismert hibák zömét kizárjuk.
Hozzáférés menedzsment
Csak az férjen hozzá, akinek tényleg szüksége van rá. Használjunk szerepkör-alapú jogosultságkezelést (RBAC – Role-Based Access Control), és naplózzunk minden belépést, módosítást (audit trail).
Phishing-teszt kampányok és edukáció
Az emberek a leggyengébb láncszemek. Rendszeres oktatással és tesztekkel (pl. szimulált adathalász e-mailek) fejleszthetjük az éberségüket – észrevehető eredménnyel.
Biztonsági audit vagy külső tanácsadás
Még egy kis cég is kérhet egyszeri auditot, vagy külső tanácsadást, hogy feltérképezze a legnagyobb kockázatokat és javaslatokat kapjon. Ez már önmagában irányt mutat, mit érdemes elsőként megerősíteni.
Ezek az intézkedések olcsók, könnyen bevezethetők, és már egy kis KKV-nál is komoly védelmet jelentenek – pont az ilyen cégeket sújtó tömeges, automatizált támadásokkal szemben.
Záró gondolatok – Nem célpont vagy, hanem célhely
A kibertámadások világában nem az számít, hogy mekkora céget vezetsz, vagy mennyire „érdekes” vagy egy támadó számára. Elég, ha sebezhető vagy. A célzás ugyanis nem személyes, hanem technikai alapon történik – gépek pásztázzák a hálózatokat hibák után kutatva, és ha találnak egy nyitott ajtót, be is lépnek.
A jó hír: a védekezéshez nem kell milliárdos IT-költségvetés. De kell egy alapstratégia. Néhány tudatos lépés – biztonsági mentések, hozzáférés kezelés, frissítések, edukáció – máris óriási különbséget jelent.
A kérdés már nem az tehát, hogy „rám miért támadnának?” – hanem az, hogy mikor, hogyan, és mekkora kárt okoznak, ha nem vagy felkészülve.
A védelem nem luxus, hanem az üzleti túlélés feltétele. A technikai támadásokra stratégiai szinten kell reagálni.
A cikksorozat következő részében egy lépéssel tovább megyünk: megnézzük, hogyan fejlődött az IT-infrastruktúra a jó öreg, különálló szerverektől a modern, integrált és felhőalapú rendszerekig – és mit jelent ez egy cég életében.
Miért nem elég ma már „csak” egy megbízható gép vagy szerver? Mi az a szemléletváltás, ami valódi üzleti rugalmasságot és skálázódást hoz?
Tarts velünk a következő részben is, ahol az IT evolúciójáról, a „vállalati szint” jelentéséről és következményeiről lesz szó!
GYIK – Miért mindenki célpont? A támadások logikája
1. Miért lennék én célpont, ha kis cégem van és nincs fontos adatunk?
Mert a támadások többsége nem személyes, hanem automatizált. Ha van sebezhetőséged (pl. nyitott port, elavult plugin), akkor célpont vagy – függetlenül a mérettől.
2. Milyen támadástípusok érinthetik a leggyakrabban a kisebb vállalkozásokat?
A leggyakoribbak: zsarolóvírusok, adathalászat (phishing), DDoS-támadások és adatszivárgás. Ezeknek komoly üzleti, jogi és reputációs következményei lehetnek.
3. Tényleg elég egy gyenge jelszó vagy elavult plugin ahhoz, hogy baj legyen?
Igen. Az automatizált támadások pont ilyen egyszerű hibákra építenek. Egyetlen sebezhető pont elég lehet a teljes rendszer kompromittálásához.
4. Mennyi idő alatt történhet meg egy kibertámadás?
Néhány perc. A botok folyamatosan pásztázzák az internetet, és ha találnak egy rést, azonnal támadnak – az emberi reakcióidő előtt.
5. Mit veszíthet egy kis cég egy sikeres támadás esetén?
Adatokat, ügyfeleket, bevételt és bizalmat. Emellett jogi következmények, bírságok, kártérítések és helyreállítási költségek is sújthatják a céget.
6. Miért különösen sérülékenyek a KKV-k?
Mert általában nincs dedikált IT-biztonsági csapat, nincs rendszeres audit, nincs oktatás – de van elég értékes adat, amit érdemes támadni.
7. Mit jelent az, hogy „shadow IT”, és miért veszélyes?
Azt, amikor dolgozók saját kezdeményezésre használnak nem engedélyezett eszközöket vagy szoftvereket. Ezek gyakran nincsenek védve, így nyitott kockázatot jelentenek a cég számára.
8. Milyen minimális védelmi lépéseket érdemes minden cégnek bevezetni?
Rendszeres mentések (3-2-1 szabály), automatikus frissítések, MFA használat, hozzáférés-kezelés, phishing oktatás, és legalább egy biztonsági audit évente.
9. Mi az a „technikai célzás”, és miért fontos érteni?
A támadások nem a cégnévre vagy méretre irányulnak, hanem a technikai gyengeségekre. Ha van hiba, a botok megtalálják – és nem kérdezik, ki vagy.
10. Hogyan kezdjem el a felkészülést, ha eddig semmit nem tettem a védelemért?
Első lépésként kérj egy IT-biztonsági felmérést (audit), nézd át a mentési és frissítési gyakorlatokat, aktiváld az MFA-t, és indíts oktatást a munkatársaknak. Már ez is hatalmas lépés.