Harc a szél ellen

A média postaládáiba nap mint nap „fúj be a szél” az állami intézmények, hivatalok vagy politikai szervezetek működésével kapcsolatos, kiszivárgott belső információkat. A legutóbbi - a BKV-vel kapcsolatos – ilyen hírt elemezve, több IT biztonsági szakértő is arra a következtetésre jutott, hogy az esetek döntő többségében nem hackertámadást vagy „kémprogramok” célzott adatgyűjtését kell az események hátterében keresnünk, hanem magát az esendő embert. Például azokat a „politikai önkénteseket”, akiknél a munkájuk során tudomásukra jutott információk kezelése során, a közérdek mély politikai meggyőződésen alapuló szolgálata iránti igény, esetenként háttérbe szorítja a munkáltató iránti elvárható lojalitást. Úgy tűnik, hogy a társadalom egyébként üdvözlendő informatizálódása azok malmára hajtja a vizet, akik észrevétlenül és a felelősségre vonás elkerülésének biztos tudatában, hajlamosak visszaélni a munkakörükhöz kapcsolódó belső jogosítványokkal és lehetőségekkel. A védekezést nehezíti, hogy a mai, felhasználóbarát operációs rendszerek egyre nagyobb szabadságot engednek az új technológiát képviselő adathordozók és kommunikációs eszközök használatában. Ez a sok szempontból nagyon hasznos lehetőség azonban, egy néhány száz munkaállomást üzemeltető hivatal esetében már nagy kockázatot is jelent. A plug-and-play támogatást kihasználva ugyanis kontrollálatlan módon csatlakoztathatóak a hivatali számítógépekhez digitális fényképezőgépek, palm- és Ipaq kéziszámítógépek, illetve pen drive-ok, amelyek "célirányos felhasználással" kitűnő eszközök lehetnek a többnyire csak jelszavas védelem észrevétlen kijátszására. A Lumension Security cég által fejlesztett SanctuaryŽ elnevezésű szoftverrendszer egyedülálló lehetőségeket biztosít a fent jelzett problémák megoldására. Alkalmazása segítségével az informatikai rendszer valamennyi felhasználója és adatkapuja tekintetében egyedi biztonsági rendszabályok érvényesíthetők, és egy speciális megoldás segítségével - szükség esetén - az egyes adatkapukon keresztül megvalósult adatforgalom akár tartalmilag is vizsgálható. Az ún. „fehér lista” elven működő szoftver segítségével elérhető, hogy az egyes munkaállomásokon keresztül csak a Biztonsági Felügyelet által előzetesen hitelesített és engedélyezett eszközök, ill. adathordozók felhasználásával lehessen a rendszerben tárolt információkhoz hozzájutni. A szoftverrendszer kizárólagos magyarországi forgalmazója az Atigris Zrt. több sikeres államigazgatási és banki projekt tapasztalatai alapján javasolja a SanctuaryŽ bevezetését mindazon intézményeknek, akik az információszivárgás megelőzése érdekében eddig tett intézkedéseiket még teljesebbé kívánják tenni.