Éppen Zala Misi hívott - mint később kiderült, ötödször -, aki néhány másodpercben közölte, hogy meghív, üljek be a hamarosan kezdődő kerekasztal-beszélgetésbe, amelyet ő vezet majd.
Megkaptam tehát a SAS-behívót (más kulturális körben jártasaknak: simán draftoltak), mese nem volt, mennem kellett. Illusztris társaságot gyűjtött össze Mihály barátom, és a beszélgetés is érdekes volt az Anna Grand Hotel Vivamus I-es termében. Én részletesebben a sérülékenységi vizsgálatról fejtettem ott ki álláspontomat.
Úgy hozta a véletlen, hogy előző este Keleti Arthurral csevegtünk mindenféléről, a most megjelent könyvéről és nem meglepő módon a kiberbiztonság néhány égető szakmai kérdéséről. Kiveséztük a sérülékenységi vizsgálat körüli anomáliákat is. Azzal vezettem be Arthurnak a témát, hogy nemrég alkalmam volt az egyik jeles magyar kiberbiztonsági cég első emberével beszélgetni, aki elmondta, hogy egyre kevesebb sérülékenységi audit elkészítésére nyernek el megbízást. Vagy inkább mondjuk így: egyre kevesebb sérülékenységi vizsgálat elkészítését éri meg elvállalni.
Az IT-biztonsági piac e szegmensében is megjelentek az ügyeletes aláígérők, azok a szolgáltatók, akik azt állítják, hogy ugyanazt olcsóbban nyújtják. A valóság azonban az, hogy az olcsóbb egyben kevésbé alaposat jelent, aminek azonban - ahelyett, hogy elégedetlenkedne - kifejezetten örvend a megbízó. A kevésbé alapos audit ugyanis csupán néhány hibára, javítandó körülményre hívhatja fel a megbízó figyelmét. A kijavítás gyorsan megtörténhet, ami minden bizonnyal kisebb költséggel jár, mint egy oldalakon át sorolt hibalistáé.
Mindenki jól jár, a szolgáltató teljesíti a megbízást, árbevételhez jut, a megbízó (az IT-rendszerek biztonságos működtetéséért közvetlenül felelős vezető és annak összes főnöke, tehát a menedzsment) pedig megnyugszik, mert van egy jó kis papírja arról, hogy elvégeztette az auditot, majd az audit alapján kijavította a vizsgálat során feltárt hibákat. És ha netán később történik valami kellemetlen, azt elemi csapásnak lehet tekinteni. Az illetékesek széttárhatják a kezüket: márpedig ők mindent megtettek, még sérülékenységi vizsgálatot is csináltattak.
Most persze megkérdezheti a nyájas olvasó, hogy akkor miként is kell korrekten árazni az ilyen auditokat, mikor olcsó, és mikor drága egy ilyen szolgáltatás. Íme, az első válaszom: az árakat mindig a piac határozza meg, ami azonban nem feltétlenül jelenti azt, hogy az árak változása helyes irányt vesz. A másik válaszom pedig így hangzik: a sérülékenységi vizsgálat kiterjedtsége és erőforrásigénye arányos az audit fókuszába állított szervezet és infokommunikációs rendszereinek kiterjedtségével és bonyolultságával.
Más szavakkal és leegyszerűsítve azt mondhatjuk, hogy nagyobb munka egy több tucat hazai és külföldi telephellyel rendelkező pénzintézet rendszereit átvizsgálni, mint mondjuk egy mégoly digitalizált sertéshizlaldáét - egyáltalán nem lebecsülve az utóbbi társadalmi fontosságát.
Nincsenek bevett szabályok, esetleg szabványok, iparági előírások arra, milyen elvárásoknak kell megfelelniük az ilyen vizsgálatoknak, ami egyrészt érthető (minden rendszer más), másrészt viszont sajnálatos.
Mint ahogyan igen sajnálatos, hogy a sérülékenységi vizsgálat is azon dolgok közé tartozik, amit a szakemberek és döntéshozók egyaránt hajlamosak félreérteni és túlértékelni.
Még a legalaposabban elvégzett vulnerabilitási audit is mindössze egy pillanatfelvétel - és akként is ajánlott értékelni, tekinteni rá. Természetükből és működésükből fakadóan az infokommunikációs rendszerek viszont folyamatosan változnak, mint ahogyan változnak a hibáikat kihasználó támadók eszközei és módszerei is.
Az idő fontos tényező, amire így, az év utolsó napjaiban különösen illik figyelmeztetni.
