Változnak-e, illetve mennyiben változnak egy cég informatikai biztonsággal kapcsolatos tennivalói, ha felhőalapú szolgáltatásokat vesz igénybe? Részben változnak, részben nem, kezdi válaszát Hirsch Gábor, az IVSZ IT Biztonság munkacsoportjának vezetője. Ha például egy cég adatbázisszerverét házon belül tartja, az üzemeltetésért felelős rendszergazda nem férhet hozzá az adatbázis tartalmi részéhez. Gondoskodni kell tehát a tárolt adatok titkosításáról és a hozzáférések szabályozásáról. Ebből a szempontból a felhőszolgáltatás nem jelent eltérő biztonsági koncepciót. Más szempontból – elsősorban a kialakulatlan szabályozás miatt – azonban igen.
„Az információbiztonság-menedzsmentre vonatkozó ISO 27000-es családnak már vannak a felhőalapú szolgáltatások biztonságával foglalkozó tanúsítványai, de ezek még nem terjedtek el. A folyamat természetes, a technológia mindig megelőzi a szabályozást. Akárcsak annak idején a banki rendszernél. Kezdetben az emberek egyfajta hideg távolságtartással viseltettek a bankok iránt, ma viszont már senkinek sem jut eszébe, hogy megvizsgálja egy bank páncélszekrényét vagy számítógépes rendszerét. Az apró részletekre is kiterjedő nemzetközi és hazai szabályozás betölti a szerepét, meghozta a bizalmat. A felhőszolgáltatók jelenleg az első bankokhoz hasonló helyzetben vannak. Létezik egyfajta bizalmi deficit, amit át kell hidalni. Ehhez elengedhetetlen, hogy a szabályozás beérje a technológiát. Hogy ez pontosan mikor és hogy zajlik majd le, azt nehéz megjósolni” – fogalmaz Hirsch Gábor.
Akár a konfekcióméret
A szabályozás hiányából, illetve anomáliáiból eredő problémák korántsem csak Magyarországra jellemzőek. Az Európai Unióban például van egy meglehetősen irreális kikötés, miszerint az EU-n belül keletkezett adat nem hagyhatja el az Uniót.
Magyarországon vannak egyéb korlátozó tényezők is. Az egyik a nemzeti adatvagyon körébe tartozó állami nyilvántartások fokozottabb védelméről szóló 2010. évi CLVII. törvény, amelynek értelmében a személyekhez köthető adatok nem kerülhetnek ki az állami cégek hatóköréből, azaz nem adhatók át felhőszolgáltatónak (kivéve, ha a szolgáltató állami tulajdonban van). A másik az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény. Eszerint egy állami szervezet vezetője át nem ruházható felelősséggel bír a szervezet elektronikus információvédelmére vonatkozóan (függetlenül attól, hogy hova telepíti az informatikát), illetve meglévő és jövőbeli szerződéseit úgy kell alakítania, hogy azok megfeleljenek e passzusnak.
„Ez utóbbi kitétel azért nehezíti meg a felhőszolgáltatások terjedését, mert a felhőből nagy tételben, adott paraméterek szerint lehet szolgáltatásokat vásárolni, és a változtatások lehetősége csekély. Olyasmi ez, mint a konfekcióméret. Aligha van lehetőség rá, hogy valaki egyéni igényekkel álljon elő, illetve egyéni szerződéseket kössön” – mutat rá a szakember.
Legalább egy felelős házon belül
Jellemzően nem a cég mérete, hanem tevékenységi köre határozza meg az információ- és az informatikai biztonság mikéntjét és szintjét. Lehet, hogy egy egészen kis, értékes szellemi terméket előállító vállalkozásnak fajlagosan lényegesen többet kell áldoznia a védelemre, mint például egy általános dolgokkal foglalkozó nagyvállalatnak. Azt is csak az összes szempont figyelembe vételével lehet eldönteni, hogy a cég házon belül gondoskodik a biztonságról, netán saját igényeit érvényesítve kiszervezi azt, vagy a felhőből veszi igénybe a konfekcióárut.
„Jóllehet a versenyszférára nem vonatkozik a felelősség át nem ruházhatóságát előíró törvény, és az sem biztos, hogy sok cég rövid távú céljai között szerepel az ide tartozó ISO tanúsítvány megszerzése, én egy cégvezető helyében akkor is tartanék legalább egy információbiztonsági felelőst házon belül, ha kiszervezem az IT-biztonsági szolgáltatást vagy felhőszolgáltatóhoz fordulok. Az információbiztonság egyébként nem merül ki az informatikai biztonságban, azt a fizikai, a logikai és az adminisztratív kontrollok összessége adja. Elengedhetetlen tehát, hogy valaki házon belül is átlássa a teljes információbiztonsági mechanizmust” – hangsúlyozza Hirsch Gábor.
Kurrens szakma
Jelenleg Magyarországon 2-3 ezer informatikai biztonsághoz értő szakember hiányzik. A felsőoktatási képzésben vannak ugyan kifejezetten IT-biztonsági szakirányok, de az ott végzők létszáma csekély. A többi leendő informatikus alig-alig hall tanulmányai során erről a területről, és ez – az IVSZ munkacsoport-vezetője szerint – komoly hiba.
Az IT-biztonság iránt érdeklődők jellemzően menet közben próbálják megszerezni a szükséges ismereteket. Az ISACA-nak és az ISC2-nek például vannak olyan, gyártófüggetlen kurzusai, amelyek – a vizsga sikeres letétele után – minősítést adnak. Ezek a tanfolyamok (nem online kurzusok!) Magyarországon is elérhetőek. Időtartamuk jellemzően néhány hónap, a képzés nyelve magyar vagy angol, a vizsgát angolul kell letenni. Felvételi nincs, a bejutásnak nem előfeltétele az informatikus diploma, de a sikerhez elengedhetetlen az erős informatikai háttér. A tanfolyamok ára 200-300 ezer forintnál indul. Mivel ezen a szakterületen rendkívül gyors a fejlődés, a tudás fenntartása, illetve a minősítés megőrzése érdekében időről időre továbbképzéseken kell részt venni.
Az említett kurzusokon kívül, az L. törvényhez kapcsolódóan, a Nemzeti Közszolgálati Egyetemen információbiztonsági felelős képzés indult. Egészen más, az IT-biztonsággal kapcsolatos tevékenységet végeznek az etikus hekkerek, akik részben nemzetközi alapokon nyugvó, részben helyi kezdeményezésű különleges képzéseken sajátítják el a szükséges tudnivalókat.
„Az IVSZ – oktatási munkacsoportján keresztül – együttműködik a kormányzattal a szakemberképzés kiterjesztésében, átalakításában. Javaslatokat teszünk, hogy miként kellene az érintett mérnökszakok képzési és kimeneti követelményeibe beépíteni az IT-biztonsági ismeretanyagot. A folyamat azonban meglehetősen nehéz és lassú. Hatékonyabbnak gondoljuk a felsőoktatási intézményekkel folytatott közvetlen együttműködést. Mindig örülünk a főiskolák és egyetemek megkeresésének, szívesen részt veszünk a tantervek, tanmenetek elkészítésében, illetve magában az oktatásban is” – hangsúlyozza Hirsch Gábor.
Menedzselt biztonsági szolgáltatások
„Magyarországon sok szervezet nem bízik a felhőszolgáltatásokban, és úgy gondolja, hogy informatikai rendszerei házon belül nagyobb biztonságban vannak, mint a felhőben. A helyzet azonban éppen fordított, hiszen manapság egy felhőszolgáltatás szerves részei az alapvető üzembiztonsági, információvédelmi, informatikai és kiberbiztonsági elemek. Ezen túlmenően minden felhőszolgáltatás egységes szabályzatok alapján működik, amelyek betartását folyamatosan ellenőrzik. Fontos érv a felhőszolgáltatások mellett az események naplózása.
Ez a vállalatoknál nem általános gyakorlat. Nem utolsó szempont az üzembiztonság sem, amelyet a felhőszolgáltatók tartalékrendszerekkel, biztonsági mentésekkel garantálnak. Felhőszolgáltatásainkban tehát az adatok nagyobb biztonságban vannak, mint egy átlagos vállalatnál házon belül – fogalmaz Keleti Arthur, a T-Systems Magyarország IT-biztonsági stratégája.
Mivel egy felhőszolgáltató hatalmas adatmennyiségeket dolgoz fel, illetve nagyszámú rendszerrel dolgozik, jellemzően világszínvonalú gyártókkal áll kapcsolatban. Fizikai és logikai környezete tehát magas színvonalú. Emellett olyan biztonsági szakértelmet tud felvonultatni, ami egy vállalatnak nem mindig áll módjában, és ami egy incidens helyes kezeléséhez vagy a megfelelő biztonsági intézkedések meghozatalához nélkülözhetetlen.
„Napi probléma, hogy az alulfinanszírozott, néhány emberrel működő informatikai rendszereket támadások érik. Ilyenkor gyakran hívnak minket a biztonsági incidensek elhárításához. Az egyedi hibaelhárítás azonban nem hatékony. Azt is észrevettük, hogy az informatikai hálózat kiberbiztonsági elemeit a cégek rendszerint nem dokumentálják, és ellenőrzéskor rengeteg hibát találunk. Ezek alapján döntöttünk úgy, hogy kiépítünk egy saját, robosztus, rendszeresen ellenőrzött rendszert, amin felhőalapú IT-biztonsági szolgáltatásokat nyújtunk” – mutat rá Keleti Arthur.
Az InstantSecurity három elemből épül fel, amelyeket külön-külön is igénybe lehet venni. A Menedzselt anti-DDoS jellemzően azon cégeket érdekelheti, amelyek napi működése weboldaluk zökkenőmentes üzemelésén múlik. A Menedzselt Határvédelemhez úgynevezett következő generációs védelmi rendszert választottak, amely egyszerre látja el a tűzfal, a behatolás- és vírusvédelem, a tartalom- és spamszűrés stb. funkciókat. A Menedzselt Log naplóelemzést végez; célközönségét elsősorban olyan szervezetek alkotják, amelyek már rendelkeznek naplóelemzési kapacitással, vagy ha nem, akkor legalább naplóadatokkal.
