- Milyen szemlélettel kell a problémát kezelni?
- A legtöbb problémát a gyökerénél kellene orvosolni, melyben csak a rendszerszerű megközelítés lehet eredményes. Korábban ezt a megközelítés az informatikai kontroll és audit környezetből indult ki, ma ezt az általános módszertani keretet ITGovernance-nek nevezik Az IT Governance, amelyet leginkább az IT üzleti szemléletű irányításának értelmezhetünk, az IT megváltozott szerepének leginkább megfelelő új modellt kínál. Ma nem tudunk egy adott szervezetben olyan helyre menni, hogy nem találkoznánk valamilyen formában az IT-val, azaz az IT nem egy elkülönített funkció, hanem átszövi az üzleti folyamatokat, melyeknél elsősorban a hatékonyság és a produktivitás a fő cél. Emellé kell beemelni a megbízhatóságot, a rendelkezésre állást és mindenekelőtt a biztonságot. Mindig az adott szervezetre kell keresni a megoldásokat, amely csak az ott dolgozók együttműködésével lehetséges.
- Mik a nemzetközi tapasztalatok?
- Az informatikai auditorok nemzetközi szervezete, az ISACA (http://www.isaca.org) kidolgozott nemzetközi szabványokat, melyeket folyamatosan naprakészen tartanak. Ezeket a keretstandard-eket a COBIT (Control Objectives for IT Related Environments) módszertana fedi le, mely üzleti szemlélettel közelíti meg az IT működtetését, szabályozását és ellenőrzését. A COBIT előnye, hogy az átfogó irányelveket lebontja részletes célkitűzések halmazára, ugyanakkor ennek alkalmazása és adaptálása egy adott szervezetre nagyon magas szintű feladat. Szintén rendelkezésre áll a British Standards 7799-es informatikai biztonsági szabványa, melyet az ISO 17799-es jelzéssel emelt be a nemzetközi szabványok körébe. Ez a módszertan 10 nagy csoportra osztja azokat a területeket, melyeket figyelembe kell venni a céges biztonsági stratégia elkészítésénél. A HP módszertana ettől nem tér el, a szakértő tapasztalatain múlik, melyik az a „best practice”, melyet az ügyfeleknek ajánlunk. Természetesnek látszik nemzetközi szinten, hogy a biztonsággal kapcsolatos problémákat nem belső erőforrásokkal, hanem külső tanácsadókkal próbálják megoldani.
- Mi a magyarországi gyakorlat?
- Egyre csökken azoknak a száma, akik nincsenek tudatában a rendszereik biztonságának fontosságával. Ennél gyakrabban fordul elő, hogy tisztában vannak a kitettséggel, esetleg létezik is valamilyen elképzelés ennek a megoldására, de amikor arra kerül a sor, hogy mit kellene tenni, mire van pénz, akkor szinte mindig kizárólag az üzleti (funcionális) szempontokat rangsorolják előbbre.
A biztonsági stratégia kialakítása még mindig személyi vagy szervezeti változásokhoz kötődik, azaz például csak akkor kerül előtérbe, amikor elindítanak egy műszaki projektet, ami beleütközik egy biztonsági problémába. Ekkor derül ki, hogy nincs megfelelő támpont a probléma megnyugtató rendezésére. A biztonság mindig csak a kockázat csökkentését, nem pedig az eliminálását jelenti. Abszolút biztonság nem érhető el, és ha elérhető lenne, az valószínűleg olyan sokba kerülne, hogy megvalósítása üzletileg nem érné meg. Nagyjából azt mondhatjuk, hogy megfelelő a biztonsági szint, ha az információ illetéktelen megszerzésének költsége meghaladja az információból származó hasznot.
- Miket kell céges szinten figyelembe venni?
Az első lépés a megfelelő vezetői szintű célkitűzés, és az üzleti stratégia pontos definiálása, ezt követi a legfontosabb üzleti területek biztonsági kockázatelemzése. Ennek eredményére épül a biztonsági politika és az annak megvalósítását célzó biztonsági stratégia. Ennek az elkészítésére léteznek részletes útmutatások, szabályzatajánlások és mintaeljárások (pl. Cresson-Wood: Security Policies Made Easy), amelyek a legismertebb nemzetközi ajánlások és szabványok figyelembevételével készültek
A cégnek egyrészt kintről kell védeni magát, hogy ne történjen illetéktelen behatolás, de a másik oldalt sem szabad elfelejteni, azaz hogy garanciát kell nyújtani az ügyfelek felé, hogy az általuk létrehozott adatok biztonságban vannak. Ez két különböző dolog, akár konfliktusba is kerülhetnek egymással, melyre az üzleti stratégiának kell választ adni.
Azoknál a cégeknél, amelyek internetet vesznek igénybe az ügyfelekkel való kapcsolattartás során, a működési kockázat magasabb, mivel az IT mind a belső, mind a külső folyamatokban megjelenik. A biztonsági kockázatba az is beletartozik, hogy a szóban kimondott információ védve van-e. Ha egy információt védenek az internet felől valamilyen technikai megoldással, de nincs szabályozás arra, hogy azt az alkalmazott kinek és hogyan adhatja ki, akkor, aki ezt meg akarja szerezni, nem azon fog gondolkodni, hogyan törjön be a rendszerbe, hanem egyszerűen megkeres valakit, aki elmondja neki.
- Mit lehet tenni a szóbeli információk védelmére?
- Fontos, hogy a dolgozók a megfelelő képzést megkapják, akár folyamatosan is, ha új szolgáltatások jelennek meg, vagy akár új szereplő kerül be a csapatba. Egy példa: mit szabad, mit nem szabad mondani, kihez kell irányítani, vagy mikor kell megtagadni a választ, ha olyat kérdeznek tőle a telefonon, ami számára teljesen váratlan. Ezt szokták a social engineering-et alkalmazó behatolók kihasználni. Még mindig igaz, amit általában idéznek, hogy valamilyen emberi hiba, vagy belső közreműködés okozza a legtöbb visszaélést, vagy legalábbis elősegíti azt. Másrészt, aki elég szofisztikált és ismeri a belső jellemzőket, attitűdöket, mindig a leggyengébb láncszemet veszi célba. Azaz, ha például tudja, hogy tíz telefonhívásból nagyobb eséllyel akad bizonytalan munkatárs, aki olyat is elmond, amit nem kellene, akkor nem fog lesben állni az interneten, hogy behatolhasson kódok feltörésével. A sikeres és nagy értékű behatolásoknál nagy szerepe van a social engineeringnek
- A biztonsági politika mekkora része vonatkozik technológiára és az emberi tényezőre?
- A valóságban az emberi tényezőre mindig kevesebb, mint amire szükség lenne. A technológiai eljárások, automatizált kontrollok esetében tisztább a helyzet. Amit látszólag meg lehet ideiglenesen spórolni, az a szabályozás és a biztonsági politika, amelyek ha nem működnek, attól még rövid távon nem feltétlenül történik valami nagy visszaélés vagy katasztrófa.
Hosszú távon derül ki, hogy a legtöbb probléma arra vezethető vissza, hogy vagy nem gondoltak rá, vagy nem dolgozták ki a megfelelő eljárásokat, vagy ha kidolgozták, nincs eszköz, vagy szabályozás arra, hogy hogyan kényszerítik ki és ellenőrzik a végrehajtást.
- Mik a HP kínálta megoldások ezekre a problémákra?
- Léteznek termékszintű és tanácsadás jellegű HP megoldások. A termékeknél megkülönböztetjük a termékekbe beépített, és a kiegészítő partnertermékeket, melyek meglévő termékek biztonságát fokozzák. Egy példa a termékszintű megoldásra: kb. 7-8 éve a HP-UX-ból deriváltak egy trusted jellegű operációs rendszert és egy azon futó biztonságos front-end megoldást, a HP Virtualvault-ot. Ennek pl. egy web-es környezetben abban az esetben van szerepe, ha valaki a tűzfalakon legálisan átjut, és a web-szerver valamelyik gyengeségét próbálja kihasználni. Amerikában ma is stratégiai helyeken használják a HP Virtualvault-ot, mely B1 szinten valósítja meg a Mandatory Acces Controlt (MAC). Ezt és a hasonló termékmegoldásokat egészítik ki azok a megoldások, melyeket a HP és/vagy partnerei kínálnak – például a tűzfalak, VPN-ek vagy az autentikációs megoldások területén.
A tanácsadás kapcsolódik mindahhoz, amiről szó volt. A HP új szervezetében a HP Services-en belül működik a Consulting & Integration divízió, amelyben helyet kapott a biztonsági szolgáltatások mind az üzleti-szabályozási, mind pedig a műszaki területét lefedő szakmai csapat.
Hídvégi Zoltán névjegye
1982-ben matematikus, 1983-ban általános és alkalmazott nyelvészet szakon végzett
10 évig szoftverfejlesztő a Videotonnál
Konzultáns a Coopers & Lybrand-nél, megszerzi a Certified Information Systems Auditor (CISA) vizsgát
Az Y2K projekt kapcsán kerül a HP-hez 1998-ban, minta Közép –és Kelet-Európa, Közel-Kelet és Afrika régióért felelős program manager
Megszerzi Magyarországon másodikként a Certified Information Systems Security Professional (CISSP) minősítést
Néhány nagyobb HP-s projektje:
Biztonsági projekt a libanoni nemzeti bankban
Biztonsági architektúra kialakítása Ausztriában a max.mobil és a jet2web szolgáltatóknál
Bolgár Telekom: kockázatelemzés és biztonsági politikával kapcsolatos tanácsadás
A kimondott szót is védeni kell
Öt-hat évvel ezelőtt alacsony tudatosság és tájékozottság fémjelezte a magyar cégek információs biztonsággal kapcsolatos ismereteit. Az azóta bekövetkezett gyors fejlődés és a felmerült problémák következtében sok termék és megoldás került bevezetésre főleg a webes technológiában (tűzfalak, proxy szerverek stb). Sajnálatos módon a rendszerek komplexitása ennél a görbénél jóval meredekebben növekedett, így a biztonság szintje még mindig gyakran elmarad az elfogadhatótól.
Tudni szeretné, mi vár Önre 2025-ben?
Mit okoz, hogy ingatlancélra is elkölthetőek a nyugdíjmegtakarítások?
Hogyan érinti ez a piacokat, merre mennek az ingatlanárak és az épitőipari árak?
Pogátsa Zoltán, Farkas András, Nagygyörgy Tibor
és sok más kíváló szakértő ezúttal élőben osztja meg nézeteit!
Találkozzunk személyesen!
2024. november 21. 16:00 Budapest
Véleményvezér
Ünnepélyes keretek között adtak át 200 méter felújított járdát
Nagy az erőlködés a Fidesznél a sikerélményekért.
A Jobbik volt elnöke megerősítette Magyar Péter állítását, hogy a Fidesz titkosszolgálati eszközöket is használ az ellenzék lejáratására
Régi-új szereplő jelent meg a belpolitikai porondon.
Közeli nagyvárosok, ahol másfélszer többet kereshetsz, mint Budapesten
Van-e még lejjebb, vagy már a gödör fenekén vagyunk?
Magyar Péter kiosztotta Orbán Viktort a nyugdíjasok helyzete miatt
A miniszterelnök magára hagyta a magyar idős embereket.
Szégyen: már afrikai országok is megelőznek minket egy rangsorban
Megjelent a World Justice Project 2024-es jogállamiság rangsora.
