Hirdetés
. Hirdetés

"Az IT-biztonságról sokan beszélnek, de csak kevesen csinálják…"

|

Interjú Keleti Arthurral, az Informatikai Biztonság Napja (ITBN) 2013 konferencia főszervezőjével.

Hirdetés

A világsajtó egyre gyakrabban hangos a politikai indíttatású hackertámadásokról érkező hírektől. Kiderült, hogy a technológiailag kifinomult akciók némelyikét csak valamely kormány által szponzorált fejlesztőcsoport hajthatta végre, valamint az is, hogy Kína kiberkémközpontot működtet, az Egyesült Államok nemzetbiztonsági hatósága még a szövetségesek elektronikus kommunikációjába is belehallgat, legutóbb pedig a szíriai polgárháború kérdésében elfoglalt amerikai álláspont miatt érte támadás az ország legnagyobb médiacégeinek weboldalát.

Computerworld: A fokozódó kiberháborús helyzetben a kormányok többsége mintha nem készült volna még fel a támadások kivédésére, a következmények kezelésére vagy az ellencsapásra.

 

Keleti Arthur: A kibertér kétségtelenül hadszíntérré változott, de a jelenség nem új, pusztán a támadások váltak látványosabbá, így nagyobb nyilvánosságot kapnak, mint korábban. Az IT-biztonsági szakemberek azonban már bő évtizede arra próbálják felhívni a figyelmet, hogy a technológia fejlődése, az informatikai rendszerek sérülékenysége és a politikai vagy haszonszerzési szándék találkozik, a kiberfenyegetések nemcsak a gazdasági szervezetekre, hanem a kormányzati intézményekre, egész nemzetgazdaságokra nézve is mind nagyobb veszélyt jelentenek.

A világ közvéleményét formáló, nagy médiavállalatok mindegyike áldozatul esett már hasonló támadásoknak, az Al-Jazeera éppúgy, mint a New York Times vagy a Wall Street Journal. A támadások korántsem egyoldalúak, azonban ugyanazt a kérdést vetik fel: mennyire bízhatunk a hozzánk eljutó információk hitelességében? Megbízhatók-e a vállalatirányítási rendszerben kezelt adatok vagy a banki számlavezető rendszerben szereplő összegek? A szervezetek és az egész társadalom működése ma már olyan mértékben támaszkodik az informatikai rendszerekre és hálózatokra, hogy nem kétséges, az üzleti és a politikai döntéshozóknak is többet kellene tenniük az IT-biztonság növeléséért.

A védelem erősítését megnehezíti, hogy ehhez a támadások mögött meghúzódó indítékokat is meg kell érteni. Az IT-szakma önmagában kevés a feladathoz, a gazdasági, politikai, katonai és más motivációk annyira összetettek lehetnek, hogy a belőlük kinövő támadások ellen csak szélesebb körű összefogással lehet eredményesen védekezni. Az IT ehhez az eszközöket adja - vagy éppen maga válik a támadás eszközévé, gondolok itt a kiberfegyverek kereskedelmére.

Mindez megnehezíti a támadók és az indítékok megismerését. Az IT-biztonsági szakembereknek ezért szakmailag minden elvárhatót meg kell tenniük a rájuk bízott rendszerek és adatok, információk védelméért - beleértve a hálózati forgalom titkosítását, az alkalmazások biztonságos módszerrel történő fejlesztését, az adatforgalom folyamatos monitorozását, a kockázatok kezelését is. Ha emellett marad még szabad erőforrás a lehetséges támadásokat szülő indítékok feltérképezésére, akkor a szervezet megelőző védekezéssel veheti elejét annak, hogy egy új alkalmazás vagy szolgáltatás bevezetésekor, kampány indításakor mondjuk adatlopás vagy lejáratás áldozatává váljon. Ettől az átfogó, komplex IT-biztonsági gondolkodásmódtól ma még mind a gazdasági, mind a kormányzati szervezetek messze járnak Magyarországon.

CW: Változtathat-e a helyzeten az idén elfogadott információbiztonsági törvény?

KA: Mindenképp jelzésértékű, hogy több kormányzati cikluson át elhúzódó, hosszas előkészítés után a törvény megszületett, és IT-biztonsági szabványt határoz meg, amelyet a kormányzati szervezeteknek is teljesíteniük kell. Más szóval mindazt, amit a gazdasági szervezetek jól felfogott üzleti érdekből vagy auditori nyomásra már megtettek, mostantól a kormányzati szféra szereplőinek is meg kell tenniük az információbiztonság érdekében. Hosszabb folyamatot vetít ez előre, fontos azonban, hogy a törvény életbe lépésével az IT-biztonsági szakemberek könnyebben hozzájuthatnak majd a fejlesztésekhez szükséges forrásokhoz. De ez csupán az alapokat fogja megteremteni, amelyeken az említett, komplex védelem a jövőben kialakulhat.

CW: A mobilitás térhódítása, a vállalati IT-környezet konzumerizációja szintén komoly biztonsági kérdéseket vet fel. Jóllehet a felhasználók kezében az okostelefonok és tabletek gyakran helyettesítik a PC-ket, védelmük korántsem ért el arra a szintre, amit asztali és mobil számítógépek esetében tapasztalunk. Fokozott sérülékenységet jelent ez mind a magánélet, mind a munkavégzés terén, amely rést üt a mobil eszközökkel elért vállalati rendszerek pajzsán is. Miért hanyagolják a felhasználók az okostelefonok és táblagépek védelmét, és miként hozható be a lemaradás?

KA: Picit azért abban is kételkedem, hogy az emberek a magánéletben vagy munkavállalóként kellően odafigyelnek az asztali és mobil PC-k biztonságos használatára. Az IT-biztonság olyasmi, amiről sokan beszélnek, de csak kevesen csinálják, és még kevesebben csinálják jól. Megértem az embereket egyébként, hiszen nem túl vidám dolog folyamatosan résen lenni, állandóan arra figyelni, hogy éppen ki miként próbál átverni, megtámadni bennünket. Ráadásul egy csomó jó dologból is kimarad az, aki csak arra ügyel, hogy mindig mindent a legbiztonságosabb módon tegyen. Másrészt a vállalatok sem igyekeznek erősíteni a biztonságos felhasználást alkalmazottaik körében, a legtöbb szervezetnél nem alakult ki a tudásátadás gyakorlata, a saját célra vásárolt mobil eszközök és nyilvános felhőben elérhető szolgáltatások, közösségi hálók használatának szabályozása.

Okostelefonokkal és tabletekkel a felhasználók mindig és mindenütt hozzáférnek az információkhoz, ami szöges ellentétben áll az IT-biztonsági szakemberek törekvésével, akik az erősebb védelem érdekében mindezt korlátozni igyekeznek. A mobil eszközök menedzsmentjét a többféle szoftverplatform egyidejű kezelése, a hardver és az alkalmazások gyors fejlődése megnehezíti, de nem ez az egyedüli kihívás. A legtöbb vállalatnál például az információmenedzsment hiányosságai miatt eleve meghatározhatatlan, hogy mely adatok és fájlok kerülhetnek, vagy nem kerülhetnek a munkavállalók eszközeire.

Ezzel együtt az okostelefonok és tabletek biztonságosan is használhatók, ma már rendelkezésre állnak az eszközök, amelyekkel központi felügyeletük megbízhatóan ellátható, de ez komoly ráfordítást igényel minden érintett féltől. Mindenképp szem előtt kell tartani, hogy folyamatosan változó környezetről beszélünk, amelyben a bevezetett szabályok és megoldások eszközönként és alkalmazásonként más eredményre vezethetnek. A fogyasztókat vásárlásra ösztönző, vonzó funkciók mindig előbb fognak megjeleni a mobil eszközökben, mint a biztonságot javító képességek, de a továbbiakban ezen a téren is sokat várhatunk például a magáncélú és a munka jellegű felhasználást szétválasztó virtualizációs, valamint az azonosítást megbízhatóbbá tevő biometrikus technológiák fejlődésétől.

CW: A nyilvános felhőben elérhető szolgáltatásokat érintő biztonsági események szintén nagy visszhangot keltenek világszerte. A szolgáltatók, különösen a vállalati ügyfelek megnyerésére azzal érvelnek, hogy adatközpontjaik sokkal biztonságosabbak, mint amilyen egy házon belül működő informatikai környezet lehet. Tapasztaljuk azonban, hogy a kommunikációs, tárhely, csoportmunka-támogató és banki szolgáltatások, közösségi hálók megbízhatósága, védelme sem kikezdhetetlen, a leállással járó kellemetlenségen vagy veszteségen túl olykor sok ezer felhasználó adatai is illetéktelen kezekbe kerülnek. Mennyire tekinthető biztonságosnak a felhő?

KA: A felhőszolgáltatók üzleti érdeke azt diktálja, hogy a szolgáltatásokat működtető adatközpontokat a lehető legbiztonságosabbá tegyék, és a méretekből adódóan erre jóval többet áldozhatnak, mint egy saját környezetet üzemeltető vállalat. A biztonság azonban nem kérhető számon egyedül a felhőszolgáltatón, a felhasználó felelőssége attól még nem szűnik meg, hogy a felhőbe megy, továbbra is gondoskodnia kell a szolgáltatás elérésére használt eszközök, a hálózati adatforgalom, az azonosításra szolgáló információk védelméről.

A felhőszolgáltatásokat működtető adatközpontok egyik erénye, hogy egységes biztonsági profilt kínálnak nagyon sok információ védelmére, amely arányban áll a felmért kockázatokkal, tudatosság és tanúsított módszeresség áll mögötte. A szolgáltatók megközelítése és gyakorlata jelentősen meghaladja azt a biztonsági szintet, amelyet a legtöbb vállalat és intézmény az eddigiekben elért. Felhőszolgáltatás használatával a szervezetek nagyot léphetnek előre ezen a téren, a szolgáltató adatközpontja például védelmet ad a DDoS típusú támadásokkal szemben, amelyeket a vállalatok házon belüli erőforrásokkal aligha tudnának kivédeni. A hatékony üzemeltetésből, rugalmas méretezhetőségből, a költségek használatalapú elszámolásából fakadó előnyök egyébként is a felhőszolgáltatások felé terelik a vállalatokat, mind több szervezet veti el az adatközpontok biztonságosságával kapcsolatos, korábbi aggályait, és ez pozitív fejlemény.

CW: Az ITBN 2013 konferencia ismét jó alkalmat ad arra, hogy a felhasználók megismerkedjenek a legújabb biztonsági megoldásokkal, amelyekkel a szállítók az említett trendekre válaszolnak. Mely előadások teszik különlegessé az idei rendezvényt?

KA: A gyártók tudásukhoz és erejükhöz mérten reagálnak a trendekre, de hangsúlyoznám, hogy a támadások sokféle biztonsági rés kiaknázására épülnek, így nem létezik olyan IT-biztonsági megoldás sem, amely minden fenyegetés ellen védelmet adna. A paletta rendkívül széles, ezért mindenkit óva intenék attól, hogy egyetlen megközelítésre tegyen fel mindent. Az UTM (Unified Threat Management) készülékek a kockázatkezelés sok eszközét kínálják. Emellett a biztonsági problémák megoldására további technológiák is léteznek. A kockázatok felmérésével a vállalat eldöntheti, hogy mely technológiák együttes alkalmazásával növelheti a biztonságot, ehhez konferenciánk számos előadása hasznos információkkal, tanácsokkal fog szolgálni.

Az adatszivárgás - különösen a mobilitás térhódításával - egyre égetőbb problémává válik. A konferencián több szállító is felvonultatja mobileszközmenedzsment-megoldását, és olyan rendszerintegrátorok is jelen lesznek, akik segíteni tudnak az adatszivárgás forrásának azonosításában. A vállalatok így pl. egyszerűbb, olcsóbb biztonsági eszköz és kifinomultabb szabályozás, folyamatok együttesével is orvosolhatják a problémát. Több piaci szereplő termékbejelentéssel is készül a konferenciára.

A két nap gazdag programjából kiemelném még a megfigyelés és lehallgatás témakörét, amelyben Nógrádi György biztonságpolitikai szakértő is előadást fog tartani. A résztvevők megismerkedhetnek a DDoS támadások kivédésére szolgáló, fejlett technológiákkal is, amelyek szolgáltatói, illetve felhasználói oldalon alkalmazhatók. Sok szó esik majd a wifi hálózatok védelméről és a szoftverfejlesztés biztonságos módszereiről. Ott lesz a konferencián a KIBEV önkéntes kibervédelmi összefogás a SANS Top 20 biztonsági kontrolljának legfrissebb, magyar kiadásával, és kihirdetjük az ITBN Biztonsági Díj idei nyertesét is.

 

Hirdetés
Hirdetés
0 mp. múlva automatikusan bezár Tovább az oldalra »

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://www.computertrends.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.