Kezdőlap
Jogos aggodalmak a fő repülőterek kiberbiztonsága okán
Az ImmuniWeb biztonsági társaság által végzett új kutatás szerint a világ 97 vizsgált nagy repülőterei közül mindegyiknél van biztonsági kockázat a kiszolgáltatott webes és mobil alkalmazásokkal, a roszszul konfigurált nyilvános felhővel, a Dark Web expozícióval vagy a kódtárokkal kapcsolatos szivárgásokkal. Olvassunk néhányat a legfontosabb megállapításokból.
■ A 3 legbiztonságosabb repülőtér – A kutatás során a jelentés három olyan nemzetközi repülőteret azonosított, amelyek sikeresen teljesítették az összes tesztet anélkül, hogy akárcsak egyetlen jelentősebb probléma tapasztalható lett volna: 1. Amszterdami repülőtér, Schiphol (EU) • 2. Helsinki-Vantaa repülőtér (EU) • 3. Dublini repülőtér (EU)
■ A fő weboldalak biztonsága – Az alkalmazás gyengeségei és a szoftver sebezhetőségei továbbra is a leggyakoribb eszközök a számítógépes bűnözői külső támadások végrehajtására – mondja a Forrester legújabb kutatásában.
Sajnos a reptereknél csak a 3 fenti reptér („www.”) weboldala kapta a lehető legjobb „A +” besorolást, 15 pedig „A” besorolást.
A fő webhelyek közül 24 kapta a hibás „F” besorolást, ami azt jelenti, hogy elavult szoftverekkel rendelkeznek, ismert és kihasználható biztonsági résekkel a CMS-ben (pl. WordPress) és / vagy webes összetevőkben (pl. JQuery). Néhány webhelynek még több további sérülékenységet lehetővé tevő összetevője is volt, az alábbiak szerint: • A webhelyek 97%-a elavult webszoftvert tartalmaz • A webhelyek 24%-a ismert és kihasználható biztonsági réseket tartalmaz • A webhelyek 76%-a, illetve 73%-a nem felel meg a GDPR, illetve a PCI DSS előírásoknak • A webhelyek 24%-ánál nincs SSL titkosítás, vagy elavult SSLv3-at használnak • A webhelyek 55%-át WAF védi.
■ Mobil alkalmazások biztonsága – E kutatás során a jelentés 36 repülőtérhez tartozó hivatalos mobilalkalmazást is tesztelt. Összesen 530 biztonsági és adatvédelmi kérdést azonosítottak, köztük 288 mobil biztonsági hibát (alkalmazásonként átlagosan 15). Egyéb megállapítások: • a mobil alkalmazások 100%-a legalább öt külső szoftverkeretet tartalmaz; • a mobil alkalmazások 100%-a legalább két sebezhetőséget tartalmaz; • alkalmazásonként átlagosan 15 biztonsági vagy adatvédelmi kérdést észlelnek; • a kimenőforgalom mobilalkalmazásainak 33,7%-a nincs titkosítva.
■ Sötét webes expozíció, kódtárok és felhő – A repülőterek 66%-a van kitéve a sötét webnek, • A 325 expozíció közül 72 kritikus vagy magas kockázatú, ami súlyos jogsértésre utal, • A repülőterek 87%-a esetén szivárognak adatok a nyilvános kódtárban. • A 3184 szivárgásból 503 olyan kritikus vagy magas kockázattal jár, amely potenciálisan lehetővé teszi a jogsértést, • A repülőterek 3%-ában nincs védett nyilvános felhő, érzékeny adatokkal.
Ilia Kolochenko, az ImmuniWeb vezérigazgatója és alapítója megjegyzi: „Tekintettel arra, hogy hány ember és szervezet bízza naponta adatait és életét a nemzetközi repülőterekre, ezek az eredmények nagyon aggasztóak. A számítógépes bűnözők fontolóra vehetik a védtelen légitársaságok megtámadását az utas és rakományforgalom blokkolása érdekében, de a repülőtereken történő támadásokat közvetlenül a kritikus nemzeti infrastruktúra megzavarására irányíthatják. Ma, amikor digitális infrastruktúránk rendkívül bonyolult és számos harmadik féllel fonódik össze, a digitális eszközök és a támadások felületének holisztikus láthatósága kulcsfontosságú a kiberbiztonsági program sikerének biztosítása szempontjából. Enélkül minden erőfeszítés és
kiadás sajnos hiábavaló.”
■ A kockázatok csökkentése – Az ImmuniWeb javaslatai a repterek IT biztonsági vezetői számára: • Vezessenek be folyamatos biztonsági figyelő rendszert, rendellenességek észlelésére. hogy mód legyen blokkolni a behatolásokat, az adathalászokat és a jelszó újrafelhasználási támadásokat. • Folyamatosan tekintse át, tartsa nyilván digitális eszközeit, jelenítse meg a külső támadási felületet és a kockázati kitettségeket egy olyan Attack Surface Management (ASM) megoldással, amelyet a Dark Web és a kódtárok megfigyelésével is továbbfejlesztettek. • Holisztikus, DevSecOps-kompatibilis alkalmazásbiztonsági program végrehajtása webes és mobil alkalmazások, API-k és OSS megfelelő időben történő tesztelésére és a hibák javítására. • Végezzenek el harmadik fél bevonásával egy kockázatkezelési programot, amely magában foglalja szállítók (beszállítók) folyamatos nyomon követését, túlmutatva a papíralapú kérdőíven. • Fektessenek be személyzet biztonsági tudatosságába,
hívják fel a figyelmet a külső forrásokból származó professzionális e-mailek használatának kockázataira, a képzések során legyenek adathalász játékok is jutalmazással.