TheFence: a jogosultság mindent visz!
Mérföldkő az informatikai biztonság területén elismert amerikai-magyar tulajdonú XS Matrix életében, hogy az IBM és az Oracle után Vágvölgyi Zoltán kereskedelmi igazgatóként a kiberbiztonsági startuphoz igazolt. Feladata többek között, hogy a vállalati hozzáférések felderítésére, felülvizsgálatára, elemzésére fejlesztett THEFENCE megoldás hazai és nemzetközi piaci jelenlétét tovább erősítse.
– A világ legnagyobb informatikai és szoftvermegoldásokat szállító multinacionális vállalatai után egy kiberbiztonsági megoldásokat fejlesztő induló vállalkozás mellett döntött. Milyen kihívások motiválták a váltásban?
– A multinacionális létnek megvannak a maga sajátosságai, viszont azt gondolom, hogy az embernek időszakosan új kihívások elé kell néznie, ha nyomot szeretne hagyni a világban. A folyamatosan változó globalizált világban állandóan új hatások érik a szervezeteket, ilyen volt példának okáért a pandémia is. A korábban ismert trendek megváltoztak: a COVID felgyorsította a digitalizációt, gondolok itt arra, hogy például az üzleti folyamatok automatizálttá váltak, a felhőmegoldások kiváltottak bizonyos infrastrukturális elemeket. Továbbá elfogadottabbá váltak a digitális tranzakciós megoldások, megjelent az AI és nem utolsó sorban olyan szervezeti kultúrákban is beengedték a távmunkát, ahová eddig nem, például a bankok és pénzügyi szervezetek életébe is. Az otthonról végezhető munka növekvő elterjedtsége és a geopolitikai változások következtében mára a vállalati hozzáférés-kezelési rendszerek a védelmi stratégia frontvonalába kerültek.
A mai trendeknek megfelelően minden vállalat adatot gyűjt különböző rendszereken keresztül, és ezeket próbálják értelmezni, valamint értékké teremteni. Miután az adat vált a legfontosabb tényezővé, a mai világban mindenkit az érdekel, mihez kezdjen az összegyűjtött adathalmazával vagy know-how-jával és hogyan védje azt meg. A mesterséges intelligencia térhódításával egyre kifinomultabb és sikeresebb kibertámadásokkal kell megbirkózniuk a szervezeteknek az online térben.
Számomra izgalmas kihívást jelent, hogy a startup világra jellemző agilis módon, nagy mozgásszabadsággal és szinte korlátok nélkül mi építhetjük meg az autópályát: az XS Matrix egyedi megoldást kínál arra a globális problémára, hogyan keríthető védelmi vonallal körbe a vállalatok és a vállalkozások legdrágább kincse, az adat.
– Kiktől kell megvédeni az adatainkat?
– Például a piaci versenytársainktól, az adathalászoktól, de – számtalan példát láttunk már erre is – akár a saját munkavállalóinktól vagy rendszereinkhez hozzáférést kapott harmadik felektől, beszállítóktól vagy egyéb külsősöktől. Tehát mi arra fókuszálunk, hogyan tudjuk megóvni azt, hogy egy vállalaton belül, mindenki csak ahhoz férjen hozzá, ami feltétlenül szükséges a munkájához, ezzel megakadályozva egy esetleges adatszivárgást.
– Hogyan védik meg?
– Először megvizsgáljuk egy szervezeten belül ki milyen munkakörrel rendelkezik, ahhoz milyen szerepkör kapcsolódik és milyen jogosultság társul. Ezeket a jogosultságokat mi beskálázzuk, bekategorizáljuk, és megnézzük melyek azok a legveszélyesebb munkakörök, amelyek potenciálisan a legkritikusabbnak számítanak adatszivárgás szempontjából.
Elsősorban arra koncentrálunk, hogyan csökkenthetők az emberi hibák okozta kockázatok, tehát nemcsak egy technológiai megoldásról beszélhetünk, hanem arról is, hogy kezeljük a humán faktor okozta rizikót is.
– 2024. évben az Európai Unió tagállamaiban kötelező lesz alkalmazni a NIS2 irányelvet, amely szigorítja a követelményeket, olyan területeken is, mint a jogosultságkezelés. Mit kell erről tudni?
– 2024-től a NIS2, az Európai Unió új irányelve még szigorúbb követelményeket támaszt az információs rendszerek biztonságával kapcsolatban. Az irányelv célja, hogy az olyan kritikus infrastruktúrák, mint a pénzügyi intézmények, energiahálózatok, közlekedés, banki szolgáltatások, pénzügyi piaci infrastruktúrák vagy az egészségügyi szektor digitális védelmet kapjanak.
További érdekesség a Digitális operatív reziliencia törvény (Digital Operational Resilience Act), közismertebb nevén DORA, amely a pénzügyi szektor operatív reziliencia képességére összpontosít. Szabályokat és előírásokat határoz meg az ICT-vel kapcsolatos események védelmére, észlelésére, lokalizálására, helyreállítására és javítására a pénzintézeteken belül.
Ezek az irányelvek is azt erősítik, hogy mindent meg kell tennünk azért, hogy minimalizáljuk a szükségtelen jogosultságokkal járó működési kockázatokat.
– Mondana konkrét példákat, amik jól szemléltetik, hogy milyen problémákat okozhat, ha nincsenek a jogosultságok megfelelően kezelve?
– Csaknem 22 év börtönbüntetésre ítélték az Egyesült Államok Nemzetbiztonsági Ügynökségének (NSA) egykori alkalmazottját, mert megkísérelt titkos dokumentumokat továbbítani Oroszországba. Az alkalmazott információs rendszerek biztonsági tervezőjeként dolgozott, s munkája során érzékeny információkhoz férhetett hozzá. Ebben a példában is láthatjuk azt, hogy az, ki milyen adathoz, információhoz fér hozzá piaci előnyökhöz, adott esetben háborús előnyökhöz is vezethet. Érdemes kétszer átgondolni, hogy kinek adunk jogosultságot titkos, szenzitív dokumentumokhoz.
Egy másik példa, amikor a Bank of America beszállítóján keresztül fértek hozzá az ügyfelek adataihoz. Ebben az esetben mintegy 57 000 fő volt érintett, akiktől személyes azonosítókat, társadalombiztosítási számokat loptak el, hasonlóan nem megfelelő jogosultságkezelés miatt.
Persze, ez csak néhány példa és nem is hazánkban történt, de elég beszédes információ az, hogy az ISACA 2023-as információbiztonsági felmérése alapján, az IT auditok során feltárt hiányosságok között az első helyen a túlzott jogosultságok szerepelnek. Ami pedig tetőzi a helyzetet, hogy már két éve növekvő tendenciát mutat. Egyszerűen azért, mert a vállalatok, szervezetek a megszokások, a bevett gyakorlatok alapján állapítják meg, hogy ki mit érhet el a céges adatbázisokban. Ezt a biztonsági rést pedig az egyre szofisztikáltabb módszerekkel dolgozó kiberbűnözők ki is használják.
Vágvölgyi Zoltán
Június közepétől az XS Matrix Security Solutions kereskedelmi igazgatójaként feladatai közé tartozik az európai és ázsiai piaci jelenlét erősítése. Az elmúlt közel 20 évben hosszabb időt töltött az IBM és az Oracle multinacionális nagyvállalatoknál, ahol többek között a pénzügyi és államigazgatási, illetve az egészségügyi szektor B2B értékesítésért felelt. Angol, orosz és olasz nyelven beszél.
Fotó: Gaál Attila
Kapcsolódó cikkek
- Végleges döntés született az OXO Technologies hollandiai székhelyáthelyezéséről
- Az OMV kiskereskedelmi hálózatának arculata új megjelenést kap Közép-Kelet-Európában
- K&H: Adatvédelem szintjén csak kevesen értenek az AI-hoz
- Több minőségi időre vágynak az apák a gyerekeikkel
- Újra bizalmat kapott a DIMSZ elnöksége
- A nyaralás információbiztonsági és adatvédelmi veszélyei – Social média megosztások
- A kiberbűnözők piszkos játéka: 9+1 kibertámadás a sport világából
- Ez védheti meg a magyar cégek adatvagyonát a kiberbűnözőktől
- K&H: 5 aranyszabály a telefonos csalók kiszűrésére
- Akár szabadnapot is „vehetnek” a Schneider Electric munkatársai