A kihívás

Az Egyesült Államok hadserege mellett a Microsoft számít a hackerek és crackerek legkedveltebb célpontjának. Óriási hőstett a szoftveróriás ellen intézett sikeres támadás, nem is beszélve az esetleges üzleti következményekről. Ennek ellenére a Microsoftnál mind a mai napig nem történt olyan behatolás, ami adatszerzéssel járt volna. A számtalan támadás ellenére sem engedheti meg magának a cég, hogy bezárkózzon, hiszen világszerte a multihozzáféréses felhasználás szélsőséges példája a társaság. Munkatársai SmartPhone-okon, PocketPC-ken, notebookokon, otthoni PC-ken keresztül férnek hozzá a cég összes erőforrásához. Az alapvető probléma tehát az arany középút megtalálása: a funkcionalitás, a hozzáférhetőség és kényelem maximalizálása, ugyanakkor a megfelelő szintű biztonság fenntartása.

Hálózaton

A Microsoftnál a szóbeli kommunikáció szinte teljesen háttérbe szorult, átadta helyét az elektronikus levelezésnek. Óriási e-mail-forgalom van, a 60-70 ezer Microsoft alkalmazott világszerte mintegy 4,5 millió üzenetet vált nap mint nap. Így kiemelkedő jelentősége van annak, hogy mindenki - a világ bármely pontjáról – elérhesse a rendszert, ami viszont a másik oldalon komoly biztonsági kockázattal jár. A hatékonysághoz a belső erőforrásokat publikus hálózatok felé ki kell nyitni, de ezzel párhuzamosan egyre több potenciális támadással kell számolni.

Tűzfalak és jelszavak

Természetesen a Microsoftnál is tűzfalak szolgálnak a hálózat legkülső védelmeként. A közvetlen bérelt vonali kapcsolatokon túl mára már a Microsoft teljes hálózata elérhető tetszőleges helyszínről, ehhez az internetet is igénybe kell venni. A létrehozott virtuális privát hálózaton (virtual private network, VPN) keresztül valósul meg az, hogy a világ minden táján biztonságosan lehessen fogadni a bejelentkező felhasználókat, a valódi címtár-integrációnak köszönhetően egyénenként korlátozott hozzáférési jogok érvényesek a hálózat egészében. Ez a gyakran félremagyarázott fogalom nem azt jelenti, hogy mindenhol ugyanazt az azonosítót és jelszót kapja a felhasználó, hanem, hogy a különböző rendszerekre bejelentkezve fizikailag ugyanaz a címtár végzi az azonosítást. Ez – egyéb előnyei mellett – megoldást kínál arra a gyakori, és szinte kivédhetetlen problémára is, hogy a felhasználók nem birkóznak meg túl sok bonyolult jelszóval. Ilyenkor menekülnek olyan megoldásokba, mint a monitorra ragasztott cetli a jelszóval. Ennek a gyakorlatnak talán nem szükséges ecsetelni a veszélyeit.

Ugyanez a tűzfalrendszer végzi a terhelésmegosztás kényes feladatát is, hiszen ilyen mennyiségű felhasználónál nem mindegy, hogyan oszlik el az óriási adatforgalom. Kiemelkedően fontos még a forgalomelemzésen alapuló biztonsági megoldás, illetve a cég által ismert legjobb alkalmazásszintű szűrők, melyek egy esetleges biztonsági incidens bekövetkezésekor valósidejű riasztást tesznek lehetővé a legkülönbözőbb módokon, az e-mailtől az SMS-ig. Természetesen a tapasztalatok feldolgozása is megoldott, a részletes naplózás segítségével visszakereshetők az események legapróbb részletei is. Így feltárhatók az okok, és levonhatók a jövőre vonatkozó megfelelő következtetések.

Belső biztonság

A magyarországi leányvállalatnál szinte nem is találunk már fali csatlakozókat, helyette a mobil eszközöket látják el wireless-kártyákkal. Kényelme és egyéb előnyei mellett persze ez is biztonsági aggályokat vet fel, így itt is szükség van az illegálisan behatolni szándékozók megnyugtató megfékezésére. Óriási kockázat merül fel a drótnélküli hálózatok (WLAN) használatakor, hiszen ezek hatóköre az épületen kívülre is kiterjed, így könnyű felületet nyújt a közelben tartózkodó támadók részére. Amikor a WLAN rendszer biztonsági hiányosságára fény derült, a cég inkább leállította a rendszert, és előbb kifejlesztett egy tanúsítványok segítségével biztonságosan működő megoldást, mielőtt ismét használatba vette volna a WLAN-t.

Külső biztonság

Távoli kapcsolódás esetén a megbízható, smart cardon és PIN kódon alapuló autentikáción túl nagy jelentősége van annak is, hogy a nem a cég gépparkjába tartozó számítógépektől is védeni kell a belső hálózatot, hiszen nem lehet tudni, hogy használója milyen gondosan tartja távol például a vírusokat. Ennek érdekében a távoli kliensek csak a Connection Manager alkalmazás segítségével kapcsolódhatnak a hálózathoz. A Connection Manager leellenőrzi, hogy a PC megfelel-e a biztonsági előírásoknak (víruskereső, szoftverfrissítések telepítve vannak-e) és ennek függvényében engedélyezi vagy tagadja meg a kapcsolat felépülését.

Vörös riadó

Mintha nem lenne elég a külső fenyegetés, a cégen belül működik egy titokzatos Red Alert Team, amely hacker-módszerekkel próbálja felderíteni a belső hálózat és az egyes számítógépek biztonságtechnikai hiányosságait, gyenge pontjait és a csoport ténykedését sikerrel leleplezők komoly presztízst élveznek a cégben. Egy másik csoport pedig kívülről próbálkozik ugyanezzel. Az így felfedezett hibákra felhívják a figyelmet.

Felhasználók

Nagyon fontos biztonságtechnikai tény, hogy önmagában a technológia soha nem nyújt elegendő védelmet, kiemelkedő jelentősége van az emberi faktornak. Hiába a legkorszerűbb hardver és szoftver, ha a felhasználók nincsenek kellőképpen felkészítve, vagy nem tartják be a biztonsági előírásokat. Bizonyára mindenki ismer néhány horrortörténetet, a bizalmas céges, vagy magánjellegű adatok rossz kezekbe kerüléséről. Ilyenkor nem segít, ha például az email alján szereplő figyelmeztetésben felszólítják a „becsületes megtalálót” a követendő viselkedésre. Forradalmi megoldásnak számít a belső információk szándékos, vagy hanyagságból bekövetkező kiszivárogtatásának megelőzésére létrehozott jogosultság menedzselő (Windows Rights Management Services) rendszer: egy-egy dokumentummal kapcsolatos jogosultságok pontosan szabályozhatók, így akár megnyitás után bizonyos idővel „önmegsemmisítő” mechanizmus indítható be, vagy megtiltható adott felhasználók számára a másolás, továbbítás.

Belső alkalmazások

Tovább bonyolítja a helyzetet, hogy nem csupán saját szoftverrendszereket használ a Microsoft, bár általában jellemző a cégre, hogy amire szükség van, azt legszívesebben saját fejlesztéssel oldja meg. A külső szállítók rendszereit is szorosan integrálja a rendszerbe, például webes kapcsolódó felületet létesített az SAP vállalatirányító rendszeréhez, így egy átlagos felhasználónak nem is kell tudnia, hogy az SAP-hez kapcsolódik például egy taxi-számla elszámolásakor. Ezeket a rendszereket különösen jól le kell védeni, hogy mindenki csak a rá tartozó adatokat láthassa. Ez az említett 60-70 ezer felhasználónál kizárólag automatizálva végezhető, hiszen nem létezik akkora adminisztratív erőforrás, ami például a cégen belüli levelezőlistákra fel- és leiratkozásokat, a különböző szerverekhez való hozzáférések engedélyezését elvégezhetné. Így ezek a folyamatok is önkiszolgáló rendszerben, önműködően dolgoznak. Ahol szükséges, ott a rendszer engedélyezést kér az adott szolgáltatás, erőforrás tulajdonosától.

Megéri?

A számítástechnikai biztonság jelentős költségekkel jár, és rengeteg idő szükséges hozzá, de ugyanakkor megfizethetetlen előnyökkel járnak a fáradozások. Minden döntéshozónak érdemes lenne kiszámolni, hogy mennyibe kerülne a cégnek egy órányi leállás, és ennek a konkrét adatnak a fényében mérlegelni a biztonsági kiadások megtérülését. És akkor még nem is beszéltünk a további következményekről, például a bekövetkező presztízsveszteségről.