Elkerülni a nagyobb bajt - Információbiztonság: a legtöbb problémát emberi hibák okozzák

Rose a vituális szekcióban

A magam részéről a virtuális tér szekcióban időztem, ahol az adatbiztonsági problémakörét boncolgatták. Így aztán kémekkel vagy kémelhárítókkal nem, csak érdekes dolgokat mondó, öltönyös IT-szakemberekkel találkoztam.

A legtöbb baj az emberekkel van

Krasznay Csaba, a HP információ- és adatbiztonsági szakértője első körben azt firtatta, hogyan lehetséges egyáltalán az, hogy a bankok és pénzintézetek 0-24 órában működnek a virtuális térben, miközben folyamatosan újabb és újabb támadási típusok jelenek meg (hiszen nagy zsákmányra nem fegyverrel, hanem informatikával lehet szert tenni), még sincsenek különösebben nagy botrányok, adatlopások. Alapvetően ugyanis a legtöbb gondot a belső támadók okozzák, magyarul: egy munkatárs saját magának is készít másolatot az adatsorokról. Persze ott vannak azért a hackerek, a szoftverhibák, a hardver- és egyéb katasztrófák, az üzemeltetési hibák, mint biztonsági kockázatok is.

Krasznay az információbiztonságra alkotott egy elméletet is - „tegnap találtam ki”, mondta -, és ez pedig az 5E (szeretik az ilyet a menedzserek nagyon): elmélet, előírások, eszközök, emberek és ellenfelek. Ha ezt az 5E-t harmóniába tudja hozni és megfelelően kezelni egy szervezet, akkor elkerülheti a nagyobb bajt. (Ez később még fontos lesz!)

Ehhez hozzátartozik, hogy nem kell teljes védelemre törekedni, hanem kockázatarányosan. Ideje leszámolni a tűzfalmániával, hiszen több tűzfal nem jelent automatikusan nagyobb védelmet. Egy mai átlagos IT fejlesztés 10-15 százaléka megy el a biztonságra, ami Krasznay szerint nagyon jó, mert „ebből meg tudunk élni”.

A legtöbb probléma az emberekkel van. A legritkább esetben okoz problémát más, mint emberi hiba. Ráadásul, ahol pénz van, ott nagyon hamar megjelenik valaki, aki azt a pénzt meg akarja szerezni. A szakemberek számára az egyik legfontosabb inspiráció, hogy mielőbb felnőjenek a támadókhoz, mert azok mindig egy lépéssel előbbre járnak.

Száz százalékos biztonság nem létezik, jelentette ki az előadó, ezért reálisan az várható el, hogy ne legyen nagyobb baj. Azt meg, hogy mi számít nagyobb bajnak, mindig az adott szervezet határozza meg.

Rose ízlelgeti a naplóelemzést

Keleti Arthur, a KFKI Zrt. IT biztonsági stratégája azt a témát járta körül, hogy honnan lehet tudni, hogy mikor van szükséges naplóelemzésre. Ezen a ponton e sorok írója kezdett kissé feszengeni, mert hát… Hiába érzem magam az átlagosnál fejlettebb usernek, azért a naplóelemzés tárgyköre valahogy eddig kiesett az érdeklődési körömből. Ízlelgetem is az olyan kifejezéseket hosszasan, mint a „trend analízis komponens”…

Szerencsére az előadásnak vannak értelmezhetőbb és közérdekűbb részei is, mint például annak az örök problematikája, hogy mennyit tudhat a biztonsági ember a bevitt adatokról. Talán az legmegfelelőbb, ha nem egy kézben összpontosul minden, illetve, hogy nagyon meg kell válogatni, ki lehet biztonsági ember.

Most nem a floppyt, hanem a pandrive-ot hurcoljuk

Fóti Marcell, a NetAcademia Oktatóközpont ügyvezetője előadását saját bevallása szerint Steve Riley nyomán készítette el, aki egy trendmeghatározó figura. Fótiról amúgy azt kell tudni, hogy rendelkezik némi hackermúlttal. Egyszer például ellopta az Elender boltok adatait. Ez még abban az időszakban történt, amikor különösebb macera nélkül megtalálta a neten az Elender boltok adatai.xls nevű fájlt…

Azóta persze minden megváltozott, a fejlesztők először igyekeztek betömködni minden lyukat, amit csak tudtak, az adatlopások ellen. Jött tehát a bezárkózás időszaka, majd, a 2000-es években a kitárulkozásé, persze egy egészen más formában, wikipediástul, 3G mobilostul.

Bár viccesen hangzik, némely vírusok mégis ugyanúgy terjednek, mint annak idején. Például tavaly év végén a Conficker nevű féreg, pendrive-on. Ugyanis ma ugyanúgy hozzuk-visszük ezeket az eszközöket, mint régen a floppykat… (Vagyis megint csak az emberi hiba.)

Hiába van mindenhol tűzfal, ha befoltozol egy lyukat itt, kilyukad ott, mondta Fóti. (Ez olyannyira általános, hogy már konkrétan „adatszivárgás konferenciákat” rendeznek.)

Megoldás az lehet, hogy nem a adatszivárgást kell megállítani, hanem valamelyest kontrolláljuk, hogy ilyen adat szivárog.

A rendszerek biztonsága érdekében egészen triviálisnak tűnő dolgokat kell egyébként első körben ellenőrizni. Nem ritka az olyan cég, ahol 2000 alkalmazott van, 4000 accounttal… Vagyis: egészen egyszerűen elfelejtik megszüntetni a korábbi alkalmazottak hozzáféréseit…
A jelszólopások ellen jó megoldás lehet a SmartCard használata. Az ujjlenyomattal induló gép is jó lehet, feltéve, hogy az oprendszer is hozzá van rendelve, mert ha csak az indításhoz kell, akkor nem történik más, mint a beszkennelt ujjlenyomat alapján a gép maga küldi el a jelszót. Vagyis nem kell magunkat a jelszó begépelésével fárasztani, de attól az még ott van, ergo feltörhető.

Érdekes adatokat mondott Fóti a böngészők és az oprendszerek elterjedtségéről is. Míg ma Magyarországon a Firefox már népszerűbb, mint az IE, mégis, a felhasználók 97 százaléka továbbra is Windows-t használ, a linuxosok aránya nem éri el a 2 százalékot, aminél már csak Macintosh 1 százaléka kevesebb.

A következő jelenség várhatóan a hálózatok ismételt megnyitása lesz. Amúgy is kinyílnának. Az adatvédelmet pedig a forrásra kell koncentrálni. A jövő az, hogy lebontjuk a tűzfalakat, hiszen például az is cél, hogy otthonról éppúgy lehessen dolgozni, mint az irodából. A Direct Access lényege, hogy VPN nélküli távoli hozzáférést biztosítson, alapvetően http-n, hadd melózzon az alkalmazott még otthonról is, túlórapénz nélkül. Az adatok védelmét pedig nem annak, nem úgy és nem ott kell ellátnia, ahogy ma történik, jellemzően a rendszergazdára testálva a problémakört, hanem a usereknek kell tudatos userekké válniuk.