KPMG-szeminárium az e-biztonságról

, 2001. július 18. 09:45
Az e-aláírásról szóló törvény elfogadásával elhárult az egyik legfőbb akadály az e-business és általában az e-ügyvitel elől. A jogi háttér tehát adott, és megteremthető a szükséges technológiai biztonság is. Ma a PKI tekinthető a legnagyobb fokú biztonságot nyújtó technológiának - hangzott el a KPMG ügyfél-szemináriumán, amelyen a tanácsadó cég szakemberei az e-biztonság aktuális kérdéseiről tájékoztatták banki ügyfeleiket.
A piac résztvevői közül ma még sokan elégtelennek tartják a biztonságot, azaz a félelem még mindig gátolja a fejlődést. Köztudott, hogy az informatikai biztonsággal kapcsolatban az internet a legnagyobb kihívás: a cégek szerint a veszélyforrások mintegy kétharmadát az internet jelenti - összegezte a KPMG tapasztalatait Gaidosch Tamás, a KPMG információskockázat-kezelési részlegének szenior menedzsere. Hangsúlyozta azt is, hogy a szabálytalanságok több mint fele házon belüli, azaz az információk biztonságát legtöbbször a munkatársak szándékos vagy véletlen mulasztása veszélyezteti. A védekezés számos formája és szintje létezik, a jelszavaktól kezdve a tűzfalakon, vírusvédelmen keresztül egészen a nyilvános kulcsú titkosításig. Ma ez a PKI technológia (Public Key Infrastructure, azaz nyilvános kulcsú infrastruktúra) számít a legbiztosabbnak. A PKI Magyarországon ma még kevésbé elterjedt, bár vannak jó példák: a KPMG nemrégiben ellenőrizte egy vezető hazai banknál a rendszer megbízhatóságát, és azt jónak találta - hangsúlyozta Gaidosch Tamás.

Az elektronikus aláírás ugyanakkor klasszikus, technológiától független biztonsági kérdéseket is felvet. Mi történik, ha a felhasználót például kényszerítik digitális aláírókulcsának elárulására, használatára? Hogyan bizonyítható ilyen esetben a kényszer, visszavonható-e az aláírás, érvényteleníthető-e egy szerződés? Hasonló kérdések merülnek fel, ha egy hacker hozzájut valakinek a digitális aláírókulcsához és visszaél vele. Az sem tudható, hogy mennyire felkészültek ma a bíróságok, milyen gondot okozna egy per esetén a bonyolult technológiai háttér - tette hozzá Gaidosch Tamás.

A PKI technológia az adatok védelmének egyik legbiztonságosabb módja: lényege, hogy általa az adatok titkosítva továbbíthatóak, és csak az arra jogosult címzett képes a dekódolásra - hangsúlyozta Raymond Kelly, az RSA Security munkatársa. (Az RSA név a PKI alapjául szolgáló matematikai algoritmust jelöli, és a technológiát kifejlesztő, 1978-ban először publikáló kutatók neveiből - Rivest, Shamir és Adleman - származik.) A rendszer még nem terjedt el általánosan; bár a szakmabeliek jól ismerik az elméletet és a gyakorlatot is, alkalmazása viszonylag szűk körű. Pedig erre szükség van nemcsak az e-kereskedelemben, hanem minden internetes kommunikációban. A PKI legnagyobb használói a privát felhasználók, akik például e-mailjeik vagy otthoni online vásárlásaikat tehetik biztonságossá. A PKI rendszer ugyanakkor megteremtheti a kívánt biztonságot az internetes gazdaságban és az online ügyvitelben is: megoldást kínál a kis- és közepes vállalkozásoknak, a nagyvállalatoknak, kormányzati és állami szerveknek, közhivataloknak és intézményeknek egyaránt.

Mathew Ring, a KPMG információskockázat-kezelési részlegének vezetője azt nevezte a legfőbb szempontnak, hogy a felhasználók minél strukturáltabb védelmi rendszert alakítsanak ki, amely több szinten működik. Példaként említette, hogy az egyik legsérülékenyebb pont a jelszóhasználat. Ennek védelmében ma már több szolgáltató kínál olyan tokent, amely megnehezíti a jogosulatlan rendszerbelépést. A statikus és könnyen feltörhető jelszó helyett gyorsan változó számsor-azonosítót használ. A számsort a komputer generálja, és ezzel szinkronban a felhasználónál lévő token is előállítja: ha be akarok jelentkezni számítógépembe, akkor először meg kell tudnom az éppen aktuális jelszót (számsort). A gép viszont hamar új jelszót kreál. A betolakodónak tehát a password megfejtése már nem elégséges, legfeljebb a token ellopásával kísérletezhet.