Egy feltört Google- vagy Meta-fiók ma akár csődbe is vihet egy céget

A kiberbűnözés 2024-ben 41,9 milliárd forint kárt okozott Magyarországon. Ebben a feltört hirdetési és marketing fiókok veszteségei is megjelennek, mutat rá a Mastercard: A kiberbűnözés kora 2025 című riportja. Egy havi több százezer vagy milliós hirdetési költéssel dolgozó KKV számára már egy rövid ideig tartó fiók feltörés is likviditási válságot okozhat.

Ma a Google- és Meta-fiókok tehát messze túlmutatnak a marketingosztály eszköztárán: ezekhez kapcsolódik a hirdetési költések jelentős része, az ügyfélszerzés, sok esetben a teljes online bevételtermelés. Amennyiben ezekhez illetéktelenek hozzáférnek, a támadók korlátlan költést indíthatnak, leállíthatják a kampányokat, vagy akár teljesen elveszítheti a cég a kontrollt a digitális jelenléte felett. „A probléma súlyát sok vállalkozás csak akkor érti meg, amikor már megtörtént a baj. Egy hirdetési fiók kompromittálódása nem IT-incidens, hanem üzleti krízis” – hangsúlyozza Geiger Tamás, a JabJab operatív vezetője.

Nem elméleti kockázat, valós tapasztalat

A JabJab közel 20 éve foglalkozik online marketinggel, ez idő alatt pedig számos olyan esettel találkozott, ahol adathalász támadások, rosszul kezelt hozzáférések vagy hiányos biztonsági beállítások vezettek súlyos anyagi veszteségekhez. 

A soron következő AI traffic index kiadvány után a cég hamarosan közzéteszi részletes elemzését. Az új anyag nem elméleti veszélyeket sorol, hanem az elmúlt két évtized során azonosított leggyakoribb hibákat, kockázatokat és az ezekre adott, a gyakorlatban bevált válaszokat foglalja össze. Az elemzés mögött több száz munkaóra és valós ügyféloldali tapasztalat áll, KKV-któl egészen nagyvállalati környezetig. „Sok esetben nem kifinomult hackertámadásról van szó, hanem emberi hibákról: túl sok admin jogosultság, közös e-mail fiókok, hiányzó kétfaktoros azonosítás. Ezek együtt olyan rést nyitnak, amit a támadók rutinszerűen kihasználnak” – emeli ki Geiger Tamás.

A KKV-k a legveszélyeztetettebbek

Míg egy nagyvállalatnál egy több milliós veszteség akár „kezelhető probléma”, addig egy kisebb vállalkozásnál ugyanez a tétel könnyen végzetes lehet. A JabJab tapasztalatai szerint a KKV-k gyakran azért sérülékenyebbek, mert nincs dedikált IT- vagy biztonsági csapatuk, a marketingeszközök pedig sokszor felügyelet nélküli fiókokhoz kapcsolódnak. 100%-os védelem ugyan nem létezik, de a kockázat drasztikusan csökkenthető tudatos hozzáférés-kezeléssel, költési limitekkel, erős hitelesítéssel és világos vészhelyzeti protokollokkal.

A digitális biztonság alapja: ki, mihez és milyen mértékben fér hozzá

A vállalati digitális biztonság alapja nem technológiai trükkökben, hanem következetes hozzáférés-kezelésben és üzleti szemléletben rejlik. A leggyakoribb kockázatot a közös vagy felügyelet nélküli e-mail fiókok, a túl sok admin jogosultság, valamint a rendszertelen jogosultság-auditok jelentik. „A legjobb megoldás a „legkisebb jogosultság elvének” alkalmazása. Ez annyit jelent, hogy minden munkatárs csak olyan szintű hozzáférést kapjon, amely a napi feladataihoz feltétlenül szükséges, a ritkán igényelt magasabb jogokat pedig csak ideiglenesen” – javasolja a szakértő. Hozzáteszi: kritikus védelmi elem a kötelező, alkalmazásalapú kétfaktoros hitelesítés, illetve egyre inkább a jelszómentes Passkey vagy hardveres biztonsági kulcs használata. 

Üzleti kockázatkezelési szempontból kiemelt ajánlás a dedikált bankkártyák és alszámlák alkalmazása a hirdetési költésekhez, amelyek egy esetleges feltörés során előre limitálják a pénzügyi veszteséget. Mindezt világos vészhelyzeti protokollnak, rendszeres belső edukációnak és – különösen KKV-k esetében – kiszervezett IT-biztonsági felügyeletnek kell kiegészítenie ahhoz, hogy egy esetleges hiba ne üzleti katasztrófává váljon. „Miközben egy feltört hirdetési fiók akár milliós kárt okoz, a legerősebb védelmi eszközök költsége néhány tízezer forint” – hangsúlyozza Geiger Tamás.

Felügyelet nélkül a Google-fiók üzleti aknamező

A Google Ads, Analytics és Tag Manager fiókok biztonsági és működési auditja nemcsak adatvédelmi, hanem közvetlen pénzügyi kérdés is. A tapasztalatok szerint sok vállalkozásnál a problémát nem a kampánystratégia, hanem a nem felügyelt Google-fiókok, a hibás jogosultsági szintek és a nem megfelelő számlázási hozzáférések okozzák. „Gyakorlati megoldásként mi a Google Workspace vagy Google Cloud Identity használatát javasoljuk. Ezek lehetővé teszik a központi felügyeletet, a kötelező 2FA kikényszerítését és a hozzáférések azonnali visszavonását kilépéskor. A Google Ads fiókoknál különösen fontos a szerepkörök tudatos szétválasztása (kampánykezelés, felhasználókezelés, számlázás), valamint az, hogy csak előre meghatározott domainhez tartozó fiókok kaphassanak hozzáférést” – mutat rá Geiger Tamás. Kiemeli: a PPC audit része továbbá a fizetési profilok elkülönített kezelése, a külső alkalmazások és eszközök rendszeres felülvizsgálata, illetve a Google Marketing Platform Home használata a nagyobb átláthatóság és rendszeres audit érdekében. Ezek együtt nemcsak a feltörések esélyét csökkentik drasztikusan, hanem a napi kampányműködés stabilitását és átláthatóságát is jelentősen javítják. De nem csak a hiányos biztonsági beállítások, hanem a rosszul üzemelő kampányok is napi szinten okozhatnak veszteséget. 

Üzleti túlélési kérdés lett a digitális biztonság

Ma már nem az a kérdés, hogy egy cég fontos-e egy támadónak, hanem az, mennyire könnyű célpont. A digitális hirdetési fiókok biztonsága így nem technikai részlet, hanem üzleti túlélési kérdés, amelyet ugyanazzal a komolysággal kell kezelni, mint a pénzügyi vagy jogi kockázatokat. A JabJab célja az anyaggal nem a riogatás, hanem az, hogy felhívja a figyelmet: a megelőzés nagyságrendekkel olcsóbb és fájdalommentesebb, mint egy már bekövetkezett incidens kezelése. A nagyobb cégeknek tevékenységtől függően havonta, negyedévente, félévente érdemes teljes jogosultsági auditot végezni, és ez a KKV-knál is kiemelten fontos lenne minimum félévente.