7 kiberbiztonsági tipp 2025-re kisvállalkozóknak

Dátum

Megosztás

Az elmúlt évek történései, különösen a 2024-es incidensek azt bizonyítják, hogy sem a tech-óriások, sem a nagy pénzügyi vagy egészségügyi cégek nincsenek teljes biztonságban a kibertámadásokkal szemben. Az AT&T-t másodjára is hatalmas adatlopás érte, a Ticketmaster potenciálisan 560 millió rekordot veszített el a Snowflake felhős tárolója ellen indított hack során, miközben a Change Healthcare-t ért ransomware-támadás során amerikaiak millióinak érzékeny orvosi adatai kerültek ki. 

Korábban is írtunk hasonlóról: Így törik fel a kétfaktoros azonosítást a hackerek. Facebook oldal, Youtube fiók feltörés

Mindez elég ijesztően hangzik egy kisebb hazai startup számára, igaz? Mégsem kell feltétlenül ugyanebbe a hibába esned 2025-ben: néhány egyszerű, de hatékony védelmi megoldással jelentősen csökkentheted a céged kitettségét.

Egy balul elsült kattintás

A „nagy halak” példája mellett érdemes felidézni egy hazai történetet is, amely már 2021-ben megmutatta, milyen fájóan érhet egy jól időzített támadás: a Unix Auto esete remekül szemlélteti, hogy bármekkora is egy vállalat, sebezhetővé válhat, ha egy óvatlan pillanatban egy hamis linkre kattint valaki. Ez a történet húsvét előtt játszódott le, amikor egy munkatárs véletlenül egy látszólag „banki” e-mail üzenetben szereplő linkre kattintott. Ezzel elindult a lavina, mert a kártevő program fájlokat kezdett létrehozni a szervereken, a gépeken, és végül április 30-án lebénította a cég működését.

A végeredmény:

  • 2,7 millió dolláros (kb. 1 milliárd forintos) váltságdíj-követelés
  • 4 nap kényszerleállás és 1,3 milliárd forint forgalomkiesés
  • A helyreállítás költségeivel együtt közel 2 milliárd forintos kár

A cég végül nem fizetett, ehelyett a meglévő biztonsági mentések segítségével újraépítették az IT-rendszert. Ez hosszabb folyamat volt, de a vezetőség jobbnak látta ezt az utat, semmint kötélnek állni a hackereknek. Utólag azt mondják, nem bánják a döntésüket – ám a leállás így is súlyosan érintette a céget, anyagilag és a hírnév szempontjából egyaránt.

Érdekel az Unix Auto története? Óbudai panellakás kisszobájából milliárdos nagyvállalat! Sikeres céges sorozatunkban feldolgoztuk → irány a Minner!

Ez a példa jól mutatja, milyen sok múlik az előzetes tervezésen és a minimális „kiberhigiéniai” szabályok betartásán. A legtöbb adatlopás, zsarolóvírus-támadás vagy nagy vihart kavaró incidens a legegyszerűbb hiányosságokból indul ki. 

Az alábbiakban – bár ígérem, nem vég nélküli szabálygyűjtemény formájában – bemutatok néhány olyan alapvető lépést, amit minden cégvezetőnek érdemes megtennie a következő évben.

1. Vedd komolyan a jelszavak kérdését!

A legtöbb adatlopásnál visszatérő elem, hogy a cégek még mindig „gyenge láncszemként” kezelik a jelszavakat. Pedig nincs nehéz dolgunk, ha okosan csináljuk:

  • Használj jelszókezelőt: Biztosítja, hogy minden fiókhoz egyedi és erős kombinációt hozz létre, és neked vagy a munkatársaidnak ne kelljen észben tartani a „százféle” karaktersort.
  • Próbáld ki a passkey-technológiát: Egyre több cég áll át jelszómentes (passwordless) rendszerekre, amelyek „phishing-rezisztens” azonosítást tesznek lehetővé.

2. Köteleződjetek el a többfaktoros hitelesítés mellett!

A jelszó önmagában kevés, erre fájdalmas példa, hogy 2024-ben 1 milliárd személyes adat került illetéktelen kezekbe, sokszor egyszerű jelszókiszivárgások miatt. Ezt a technológiát használja az Ügyfélkapu+ is, amiről Milán fog hamarosan írni!

  • MFA (Multi-Factor Authentication): A jelszó + SMS-kód/alkalmazáskód/biometrikus azonosítás kombinációjával már sokkal nehezebb dolga lesz a hackereknek.
  • App-alapú kódok: A biztonsági szakértők a Google Authenticator, az Authy vagy más hasonló alkalmazásban generált kódokat ajánlják, mert az SMS könnyebben eltéríthető.

3. Ne halogasd a szoftverfrissítéseket!

Az egyik leggyakoribb támadási vektor: a be nem foltozott, akár évek óta ismert sebezhetőség.

  • Automatizálj, ahol csak lehet: Használd ki az operációs rendszerek és a vállalati szoftverek automatikus frissítési funkcióit.
  • Managed file transfer sebezhetőségek: A nagy fájlátviteli megoldásokat előszeretettel támadják a kiberbűnözők, mert itt gyakran nagy mennyiségű érzékeny adat halmozódik fel.

4. Legyen biztos kezedben a „B-terv”: a rendszeres biztonsági mentés

A zsarolóvírusok (ransomware) évről évre rekordot döntenek – számos cég hajlandó milliókat fizetni, csak hogy ne veszítse el az adatait.

  • Offsite és titkosított backup: A Unix Auto példája is bizonyítja, hogy ha van használható mentésed, akkor nem kell fizetned a hackereknek – bár a helyreállítás nem lesz fájdalommentes, de legalább tiéd marad az irányítás.
  • Ne tartsd egy helyen: Ha egyetlen szerveren, ugyanazon a hálózaton van a mentés, mint az éles rendszer, a zsarolóvírus könnyen azt is elérheti.

5. Tudd, kivel beszélsz: a telefonos átverések kora

Az e-mailes adathalászat régi módszer, de napjainkban a hackerek újabb trükkökhöz folyamodnak: telefonhívással próbálják megszerezni a bizalmas adatokat.

  • MGM példa: Egyetlen telefonhívás a help desk-nek, és máris megvolt a belépő a kaszinólánc rendszerébe.
  • Csapatszintű tréning: Fektess hangsúlyt arra, hogy a munkatársak megtanulják felismerni a gyanús hívásokat, és mindig ellenőrizzék, hogy valóban az hívja-e őket, akinek mondja magát.

Ehhez már komoly AI megoldások is vannak, más hangját/arcát/adatait használva fel az átveréshez, ami előfordult Friderikusz Sándorral is: AI és deepfake: új vásárlási csalások –  Mire figyeljünk? Az ilyen AI-alapú technológiák, mint például a deepfake videók, már nemcsak a közösségi médiában terjednek, hanem az online vásárlások világát is alapvetően felforgatják.

6. Kommunikálj őszintén, ha baj van!

Még a legjobb védelem sem garantál 100%-os biztonságot. Ha megtörténik a támadás, a károk minimalizálásában kulcsfontosságú a gyors, átlátható kommunikáció.

  • Jogszabályi kötelezettségek: Sokszor a hatóságok és az ügyfelek értesítése is kötelező. A titkolózás nem csupán etikai probléma, de büntethető is lehet.
  • Ügyfelek védelme: A transzparencia segíti a partnereket és a felhasználókat abban, hogy minél előbb megtegyék a szükséges lépéseket (pl. jelszócsere, kártyaletiltás).

7. Legyen incidenskezelési terved!

  • Kijelölt felelősök és folyamatok: Világos szabályokkal és gyakorlattal sok időt – és még több pénzt – spórolhatsz meg, ha beüt a baj.
  • Rendszeres tesztek: Próbáljátok ki élesben, egy szimuláció során, hogyan reagál a csapat, és derítsétek ki előre a gyenge pontokat.

Végezetül

Ne várd meg, hogy a cégvezetői életed legrosszabb napját egy „mennyibe kerül a váltságdíj?” kérdés határozza meg! 2025 kitűnő alkalom arra, hogy megfogadd: a kiberbiztonságot nem lehet a „majd ráér később” kategóriába sorolni. Indulj el az alapoktól – erős jelszók, MFA, folyamatos frissítések, rendszeres offsite mentés, valós és telefonos adathalászat elleni képzések, incidenskezelési terv és transzparens kommunikáció.

Ha ezeket a tippeket már most bevezeted, jó eséllyel elkerülheted, hogy te legyél a következő hackertámadás áldozata. És ami legalább ennyire fontos: még ha célkeresztbe is kerülnél, gyorsabban talpra tudsz majd állni.

Olvasnál még a témában?

Forrás:
TechCrunch
HVG
Minner: Sikeres cégek
Minner: Tech
Minner: AI

Kertvéllesy András
Kertvéllesy András
Négy ország felsőoktatási intézményeiben, három nyelven tanultam írni és olvasni. Hiszem, hogy a világ megismerésére az egyik legjobb módszer a színháztörténet és az önreflexió. Analitikus típus vagyok: szeretek többet gondolkozni, mint amennyi időbe kerül azt elmondani – remélem, hogy a Minneren, pont emiatt kerültök majd előnybe.