Biztonsági körök

, 2001. szeptember 18. 14:26
A Hírközlési Főfelügyelet (Híf) háza tájáról mostanában naponta érkeznek hírek. Ez nem is csoda, hiszen a szervezet a távközlési piac liberalizációja és az elektronikus aláírás elfogadása kapcsán – mindkettő aktuális slágertéma – a nagyközönség figyelmének középpontjában áll. Esettanulmányunkban azt szeretnénk bemutatni olvasóinknak, hogy egy gyorsan fejlődő államigazgatási szervezetnek milyen biztonságtechnikai problémákkal kell szembenéznie, és egyben konkrét megoldásokat javasolunk a teljes informatikai biztonsági rendszer átvilágítására, korszerűsítésére nézve. A projektről, amelyet a Synergon Informatika Rt. és az Icon Számítástechnikai Kft. konzorciuma vezényelt le a Hírközlési Főfelügyeletnél, Szíjártó Zoltánt, a Híf Informatikai Igazgatóságának vezetőjét kérdeztük.
Megoldás: – Kezdjük a legelején! A Hírközlési Főfelügyelet kiterjedt működése eredményeképpen mekkora információs vagyon halmozódott fel a szervezetnél, illetve milyen adatok védelmét kell megoldani a közeljövőben?

Szíjártó Zoltán: – Egy kis kitérőt tennék, hiszen ismert, hogy a Híf működése több területen megváltozik a közeljövőben. Ahogy haladunk az Európai Unió felé, egyre sürgetőbb lesz az egységes, globális, liberalizált távközlési piac kialakítása. Ez a mi részünkről azt jelenti, hogy a jövőben nem az egyes termékeket és szolgáltatásokat kell majd engedélyeznünk, hanem a jogszabályok és játékszabályok globális rögzítése után ezek betartását fogjuk műszaki és jogi szempontból felügyelni. Az egységes hírközlési törvény (eht) ugyanis nem engedélyezési, hanem felügyeleti szintű jogosultságokkal ruház fel minket, ami megfelel a liberalizált piac működési elvének. A Híf feladata lesz például annak szemmel tartása, megjelennek-e a direktíváknak nem megfelelő eszközök a piacon. Most állunk át erre a működési modellre, és természetesen folyamatosan keletkeznek informatikai adatok. A közeljövő másik nagy feladata számunkra az elektronikus aláírás hitelesítésszolgáltatóinak nyilvántartásba vétele. Nehéz forintosítani, hogy ezen tevékenységi körök ellátása kapcsán milyen értékű információs vagyonról lehet majd beszélni. Természetesen nem kell pénzintézeti vagy katonai szintű biztonságról beszélnünk, de az is egyértelmű, hogy fontosságát tekintve az átlagos államigazgatási szintet jócskán meghaladó információs vagyont kezelünk. Ennek a forintosítása nehéz, és szakértelmet igényel. A pontosabb becslést és a kategóriákba sorolást a projekt második körében próbáljuk meg véglegesíteni, de azt hiszem, most nagyon előreszaladtam...

M.: – Mielőtt még a projekt konkrét fázisairól beszélnénk, elárulná, hogy milyen volt a szervezet informatikai biztonságának helyzete, amikor belefogtak a munkába?

Sz. Z.: – IT-biztonsági rendszereink nagyon le voltak maradva, informatikai gárdánknak csak a legszükségesebb, tűzoltás jellegű feladatok ellátására volt kapacitása. Egyébként a biztonságtechnika egy kicsit mindig is mostohagyerek, hiszen nagyon látványos, amikor egy új informatikai lehetőséget adunk a felhasználóknak, ám a biztonsági megoldások általában csupán korlátozásokat tartalmaznak, és csak arra készítik fel a rendszert, hogy valami ne következzen be. Amíg egy vírus nem semmisít meg néhány fontos adatot, addig egyáltalán nem látványos, hogy van-e vagy nincs biztonsági rendszer. A tűzoltás jellegű működésre jó példa, amikor évekkel ezelőtt először nyitottuk meg az internet-hozzáférést a munkatársak előtt, s még nem oldottuk meg a teljes vírusvédelmet. Talán nem szükséges elmesélnem, hogy mit képes okozni néhány, a karácsonyi "üdvözlőlapokban" meghúzódó vírus. Ezt a veszélyt szerencsére a hálózati vírusvédelemmel megszüntettük, de az internetoldali tűzfalunk is csak az után lett kialakítva, hogy több betörést regisztráltunk. Egyszer még diplomáciai bonyodalom is származott abból, hogy a rendszerünkbe bejutva valaki a mi IP-címünket használta fel, hogy egy külföldi szerverre betörjön. Jelenleg naponta 10–50 sikertelen betörési kísérletet regisztrálunk, úgyhogy elég népszerűnek mondhatjuk magunkat. Mindehhez hozzátéve még elmondható, hogy felső vezetésünk nem ismerte teljes mértékben a potenciális informatikai veszélyforrásokat.

M.: – Mit lehetett ebben a helyzetben tenni?

Sz. Z.: – Egyértelmű volt, hogy a biztonsági rendszer átvilágítására és a problémák megoldására külső segítséget is igénybe kell vennünk. Ez azonban egy nehéz helyzet, mert nem egyszerű a biztonságtechnikai problémák megoldására külső beszállítót találni. A keresés ugyanis értelemszerűen nem lehet teljesen nyílt, nem lehet világgá kürtölni, hogy milyen biztonságtechnikai lyukak vannak a cégnél. Mi a tárgyalásos eljárás mellett döntöttünk, ahol magas követelményszintet állítva rengeteg paramétert megszabtunk a pályázók számára, például azt is, hogy minimum hány fő CISA-auditorral kell rendelkezniük. Összesen három jelentkező közül választottuk ki a Synergon Informatika Rt. és az Icon Számítástechnikai Kft. által alkotott konzorciumot. Maga a döntés nem volt nehéz, azonban az eredményhirdetés tavaly augusztusi lezárása után még egy hónapos csúszás következett, mivel az egyik vesztes megtámadta az eljárást. Tapasztalataink szerint az elmúlt időben a közbeszerzési eljáráson induló és nem nyertes cégek szinte reflexszerűen torpedóztak meg minden kedvezőtlen döntést. Ez a részükről ugyan érthető, hiszen a minimális esély ellenére is kifizetődő lehet így tenni, de azért érdekes, hogy a multinacionális cégekre ez szinte egyáltalán nem jellemző. A lényeg, hogy egy hónapos csúszással, miután a Közbeszerzési Döntőbizottság nekünk adott igazat, végre elkezdhettük az érdemi munkát.

M.: – Így szinte év végén indultak. Hogyan tudtak egy új költségvetési időszak kezdete előtt ilyen nagyszabású projektet betervezni?

Sz. Z.: – A költségvetési szervek ebből a szempontból valóban különleges helyzetben vannak, mivel érthető okokból nem szerencsés olyan projekteket tervezniük, amelyek az egyéves költségvetési időszakon túlnyúlnak. Azonban már a projekt elkezdése előtt megtettük az alapvető lépéseket, így megoldottuk a hálózati vírusvédelem és a tűzfalak kérdését. Úgy döntöttünk, hogy a projektet fázisokra bontjuk, és az első körben a legszükségesebb feladatokra koncentrálunk. Ennek a költségvetési vonzatokon túl volt még egy indoka. Nem szerencsés ugyanis minden biztonságtechnikai megoldással egyszerre megterhelni a felhasználókat, akik ezt kényelmetlenként, feleslegesként élik meg. Nehéz hozzászokniuk például, hogy a biztonság érdekében rendszeresen cserélni kell a jelszavakat, hogy nem engedélyezett bizonyos weboldalak látogatása, vagy hogy a sávszélesség védelme érdekében a munkaidőben történő forgalmat limitáljuk. Mindez természetes ellenállást vált ki, amit csak a megfelelő kommunikációval lehet megszüntetni. Az első körben tehát a Synergon segítségével felmértük, hogy is áll informatikai biztonságunk helyzete, majd pedig hogy a biztonsági rendszer átalakításával párhuzamosan milyen folyamatokat kell újragondolnunk. Nehéz például egymástól elválasztani az IT-menedzsment korszerűsítését és a biztonságtechnikát, hiszen ki az, aki megmondja, hol van a határ a professzionális rendszeradminisztráció és az autentikációs rendszer között? Ebben a szakaszban különösen jól jött, hogy külső tanácsadóval dolgoztunk együtt, mivel a problémáknak legalább 50 százaléka tanácsadási, nem pedig technikai jellegű volt.

M.: – Mi lett a helyzetfelmérés eredménye?

Sz. Z.: – Felső vezetésünk megdöbbent, amikor először elolvasta a kockázatelemző jelentést. Szerencsére nem azt a következtetést vonták le, hogy a belső IT-gárda nem megfelelően végzi a dolgát. Mi is egyértelműen fogalmaztunk, és nem próbáltuk szépíteni a dolgokat. A konzorcium által elkészített jelentést változtatás nélkül tártuk a Híf vezetése elé, így sikerült elérni, hogy az elkötelezetté váljon a probléma iránt. Erre pedig óriási szükség van egy ilyen projekt esetében, hiszen a security policy kidolgozásánál a rendszerfelmérés és a dokumentumok elemzése mellett a felső vezetőkkel készített interjúk adják a harmadik pillért. Ennek elkészítése volt a következő lépés, és elmondhatom, hogy a megoldást szinte tálcán nyújtotta át a beszállítótó, a security policyhoz tartozó biztonságtechnikai szabályzatot szinte egy az egyben át lehetett emelni. Mielőtt félreértené valaki, ez távolról sem azt jelenti, hogy konzervmegoldást kaptunk, sokkal inkább azt, hogy az átadott szabályzatot nem kellett lefordítanunk a cég nyelvére, mivel az már eleve ránk volt szabva.

M.: – Milyen feladatok megoldásán jutottak túl mostanáig?

Sz. Z.: – Elkészült biztonságtechnikai szabályzatunk, amely három részből áll: a security policyból, a biztonsági szabályzatból, valamint a konkrét, adott elemekre és tevékenységekre vonatkozó utasításokból, illetve szabályzatokból. Erre egy triviális példa: a security policy meghatározza, hogy minden hálózati hozzáférés esetében loginnévre és jelszóra van szükség, a biztonsági szabályzat pedig kimondja, hogy pontosan milyen időszakonként kell cserélni ezeket a jelszavakat, és felállítja azok formai követelményrendszerét. De lefektettünk egyéb szabályokat is, például hogy mit kell tenni vírustámadás vagy betörési kísérlet esetén. Ami a konkrétabb teendőket illeti: megoldottuk a PC-kliensek biztonságossá tételét, beépítve a másodlagos biztonságtechnikai funkciókat. Domainbe szerveztük az összes kliensgépet, központosított azonosító rendszert építettünk ki, és megalkottuk a felhasználói profilokat. Mára elértük, hogy jól kezelhető és meghatározó módon lehet megállapítani a kliensgépek biztonságtechnikai szintjét. A következő lépcső vírusvédelmi rendszerünk szisztematikussá tétele volt: harmonizáltuk a hálózati vírusvédelmet és a szerver-, valamint a kliensgépek lokális védelmét, figyelve – tényleg csak példaként – arra, hogy a két rendszer ne ugyanazt a vírusmintát használja, hiszen akkor még egyszer, feleslegesen ugyanazon a szűrőn engednénk át az adatokat. Ehhez kapcsolódóan megoldottuk a tartalom- és a mennyiségi szűrést, s az utóbbira nézve azt mondhatom, hogy reális, a felhasználók igényeihez igazodó kvótát állapítottunk meg. Megoldottuk a kritikus adatokat tartalmazó munkahelyek titkosítását is. Átszerveztük az adatok mentésének rendszerét, létrehozva mind a szerver-, mind a kliensgépeken tárolt információk napi additív és havi teljes mentését. Az Icon Számítástechnikai Kft. segítségével létrehoztuk az FJKER-t (Felhasználói Jogosultságokat Karbantartó és Ellenőrző Rendszer), aminek indoka, hogy sok olyan felhasználó volt még a rendszereinkben nyilvántartva, aki az adott időpontban már nem is dolgozott nálunk. Korábban nem rendelkeztünk világos kimutatással arról, hogy egy adott dolgozónak milyen rendszerekhez milyen jogosultságai vannak, illetve hogy egy adott rendszerhez ki és milyen jogosultságokkal rendelkezik. Ezt oldja meg az FJKER egy központi, automatikus jogosultsággyűjtésen keresztül, aminek eredményét különböző szempontok szerint lehet rendezni. Most villámgyorsan lekérdezhető, hogy egy adott rendszerhez ki fér hozzá, illetve egy, a cégtől eltávozott dolgozó összes jogosultsága kiirtható.

M.: – Hogyan fogadta a változásokat a felső vezetés, és milyen volt az alkalmazottak hozzáállása?

Sz. Z.: – A felső vezetés a beszámoló elfogadása után, áprilisban elfogadta a security policyt, és teljes mellszélességgel mellénk állva támogatta a biztonsági rendszer életbe léptetését. A felhasználók már más lapra tartoznak. A tartalomszűrést ellenzik. Természetesen amikor elmondjuk, hogy milyen jellegű oldalakat szűrünk ki, akkor mindenki azt állítja, hogy ő nem szokott ilyeneket látogatni. A limitált kvóta már csak azért is stresszeli őket, mert azt hiszik, hogy azt figyeljük, mennyit használják az internetet. Ez viszont csak abban a formában igaz, hogy a rendszer a sávszélesség védelmének érdekében tartalmaz egy automatikus korlátozást. Az, hogy az egyéni felhasználó hogyan használja a rendelkezésére bocsátott kapacitást, egyáltalán nem foglalkoztat minket. Sok elégedetlenséget szült az is, hogy ártalmatlan dolgok, például aktív képernyővédők is a biztonsági intézkedések áldozatául estek. Szóval szükség volt hosszú magyarázó levelekre a belső honlapunkon. Persze aki életében legalább egyszer elveszített már valamilyen adatot egy vírus miatt, az nem tiltakozott. Összességében szerencsések voltunk, hogy a felső vezetésünk mellénk állt, és mindenben támogatott minket. Erre nagy szükség volt, mert a felhasználók hajlamosak minden problémát az általuk nem ismert tényezőknek tulajdonítani, így ha történt valami, azt rögtön ráfogták a tartalomszűrésre, és ostromolták az IT-gárda munkatársait.

M.: – Felmerült-e valamilyen váratlan esemény a projekt során?

Sz. Z.: – Négy vidéki telephellyel rendelkezünk, amelyekkel a kommunikációt bérelt vonalon oldjuk meg. Természetesen az a szolgáltató, amelytől ezt a bérelt vonalat kapjuk, szintén az általunk felügyelt szervezetek közé tartozik. Egyértelmű, hogy valamilyen titkosításra szükség van, hiszen e nélkül a szolgáltató bármikor belenézhetne a mi kommunikációnkba, amely rá nézve is tartalmaz fontos adatokat. A projekt eredeti terveiben úgy szerepelt, hogy a kommunikáció titkosítását (VPN) beszállítónk egy külföldi cég által gyártott hardvereszközzel fogja megoldani. Senki sem számított arra, hogy ez az izraeli cég megszünteti üzleti tevékenységét, és nem kevés rugalmasság kellett ahhoz, hogy a konzorcium munkatársai villámgyorsan találjanak egy alternatív megoldást. Dicséretükre legyen mondva, hogy igazán nagyvonalúan kezelték az eseményt, vállalva, hogy a projekt elszámolása során önmagukra és nem ránk terhelik a változások miatt felmerült költségeket. Magunk között szólva ez egy jó példája a hosszú távú üzleti szemléletnek, hiszen nyilvánvaló, hogy az igazi profit nem az egyszeri üzletből, hanem a hosszú távú együttműködés és a szupportszerződések eredményeképpen realizálható. Állami cég lévén pedig nekünk különösen kényes dolog lett volna leírni egy olyan eszközt, amelyet sohasem használtunk. Valaki mindig farkast kiált, és nehéz elmagyarázni, hogy egy harmadik, külföldi cég tevékenységének megszűnése okozta a galibát. Jó tanulságnak érzem a történteket, hiszen nyilvánvalóvá vált, hogy még a leglehetetlenebb eseményekre is számítani lehet, és legalább két reális alternatívát kell talonban tartani.

M.: – Most, hogy túl vannak mindezen, hogyan tovább? Milyen feladatokkal kezdik majd a második kört?

Sz. Z.: – A projekt minden fázisa külön-külön egy elméleti és egy technikai blokkból áll. Az elsőnél ez, azt hiszem, egyértelmű volt, de fontos megemlíteni, hogy a második szakasz elméleti blokkja egy visszatekintéssel fog kezdődni. Meg fogjuk vizsgálni, hogy a korábbi elméleti és gyakorlati megoldások hogyan vizsgáztak, a biztonsági kapuk közül hányat sikerült becsuknunk. A teljes objektivitás érdekében – és hozzá kell tennem, hogy ezt pont a konzorcium vetette fel – ehhez a vizsgálathoz egy másik, szintén külső auditor segítségét is igénybe fogjuk venni. Tulajdonképpen ez lesz az első kör lezárása és a második kezdete.

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Huszadik alkalommal adták át a Hégető Honorka-díjakat

2024. november 21. 16:58

Hosszabbít ’Az Év Honlapja’ pályázat!

2024. november 19. 09:54

Törj be a digitális élvonalba: Nevezz ’Az Év Honlapja’ pályázatra!

2024. november 14. 16:36

A virtuális valóság az egészségügyet is forradalmasíthatja

2024. november 12. 18:01