Informatikai Biztonság Napja 2007
A mindenkit érdeklő informatikai biztonsággal kapcsolatos szakmai vitákból sokat hallhatott 2007. szeptember 26-án, az immár harmadik alkalommal megrendezett Informatikai Biztonság Napján) az a mintegy ezerkétszáz IT-biztonsági szakember, aki részt vett az idei ősz legnagyobb létszámú szakmai eseményén a MOM Parkban.
A harmadik éve megrendezett konferenciát az informatikai iparág harminc cége támogatta – köztük a Cisco Systems Magyarország Kft., az ICON Zrt. (a Magyar Telekom csoport tagjaként), a McAfee és a Symantec, továbbá 26 kiállító is fontosnak érezte, hogy az immár hagyományos eseményen megjelenjen vállalati újdonságaival.
Nem is olyan régen még elnéző mosollyal követtük a filmvásznon, ahogy Sandra Bullock színésznő digitális identitását gonosz emberek egyetlen klikkeléssel végleg kitörlik az Amerikai Egyesült Államok kormányhivatalainak nyilvántartásaiból. Ám a jelenség – azóta –, sajnos lekerült a vászonról, s betört a mi hétköznapi valóságunkba.
Az informatika az elmúlt évtizedekben – gazdasági érdekeinknek engedelmeskedve – adataink nagy tömegét tette áttekinthetővé. A vállalatirányítási rendszerek, adatbázisok, fájlkiszolgálók, excel táblák és elektronikus levelek valódi kincsesbányákká váltak a kíváncsi kémprogramok információra éhes gazdái számára.
A gazdasági információik sértetlenül, és ne más kezében éljék meg a másnapot. Erre az USA-ban törvény is kötelezi őket, jelesül az Enron-botrány nyomán keletkezett a Sarbanes-Oxley (SOX) előírásrendszer, amelynek alapján ma már Magyarországon is vizsgálnak szervezeteket. A dolgozó levelezni, csevegni szeretne, de közben félti személyes adatait a rendszergazdától, a vállalati levélszűrőtől, vagy a különféle vírusok öncélú ármánykodásaitól. Minden vállalatnak ma jogában áll biztonsági szempontból ellenőrizni a tulajdonában lévő informatikai rendszerben keletkezett vagy ott kezelt adatokat. Sőt, ilyen módszerek használatát törvények, szabványok írják elő és a felügyeleti szervek számon is kérik. Egy modern hálózat szükséges, de nem elégséges elemei a tűzfalak, a vírusirtók és a kéretlen leveleket kirostáló spam-szűrők, ezért mindezek mára kiegészültek behatolás-védelmi, naplóelemzési és incidensfigyelő rendszerekkel. A hordozható eszközök használatával és a távmunka felerősödésével az adatok is „lábra keltek”, védelmükre a munkaállomásokra telepített titkosító és kémprogram-elhárító rendszereket vetik be a legtöbben.
„– Szerencsére az ilyen informatikai biztonsági eszközök használata sem írhatja fölül a magánszféra és a személyes adatok védelmére alkotott törvényeket. Leginkább abban vagyunk sérülékenyek, hogy nem tanultunk meg egészségesen félni az informatika kínálta funkcióparadicsomban. Szolgálatkészen megadjuk személyes adatainkat, ha megtévesztő levelekkel számlavezető bankunk nem létező ügyféloldalára csalogatnak minket („phising”). De a régi barátok vagy ismerősök kedvéért a közösségi portálokon is mindenki számára hozzáférhetővé tesszük személyes adatainkat, baráti és családi kapcsolatrendszerünket, nem számolva azzal, hogy ezekkel az adatokkal sokféleképpen lehet visszaélni. A CNN hírtelevízió műsoraiban rendszeresen figyelmeztetnek minket arra, hogy gonosztevők személyes adatainkat felhasználva bűncselekményeket követhetnek el a nevünkben, és sajnos ezt ma már valós példákkal is tudják illusztrálni.” – mondta Zeev Rubinstein (CERT, Israel) az informatikai biztonság egyik nemzetközileg ismert szakértője.
Az informatikai biztonság szerepe jelentősen megnőtt az elmúlt három év során a hazai és nemzetközi gazdaság életében. Egyes külföldi becslések szerint több billió dolláros üzleti területet képvisel, a Financial Times múlt évi elemzésében az egyik legdinamikusabban fejlődődés előtt álló gazdasági szektornak tekinti az informatikai biztonság területét.
Az ITBN előadói ismét rávilágítottak arra, hogy az információ talán a legfontosabb kincsünk. Személyes adataink, személyi azonosítónk, születésünk dátuma, édesanyánk neve és más egyéb adatok azonosítanak bennünket és nyitják meg számunkra a kapukat bizonyos szolgáltatások igénybe vétele előtt. De ugyanezek a kapuk idegenek számára is megnyílhatnak, ha ismerik a személyes adatainkat. Ezért minden informatikát használó ember veszélyben lehet, ha nem tartja be a védelemmel kapcsolatos szabályokat. Vírusirtó és személyes tűzfal minden gépre, a jelszavakat vagy ne tároljuk el a gépen vagy erre kitalált programokban tároljuk titkosítva. Rendszeresen készítsünk mentést az adatainkról és személyes információkat soha ne adjunk ki olyanok számára, akik nem kérik jogosan. Ilyen információkat ne tegyünk hozzáférhetővé nyilvános helyeken (pl. kapcsolatépítő vagy társkereső oldalak).
Az otthoni felhasználók sok esetben cégek dolgozói, akik otthonról dolgoznak vagy csak szabadidejükben a neten böngésznek. Ilyenkor nagyságrendekkel nő meg az esélye annak, hogy a cég laptopokon tárolt adatai veszélybe kerülnek vagy maga a felhasználó szándékán kívül visz be rosszindulatú kórokozókat a vállalat rendszerébe. Ezért a munkaadók érdeke is, hogy saját adataik védelmében megvédjék dolgozóik otthoni erőforrásait is.
„– Az informatikai biztonság napjainkban az egyik legfontosabb üzleti érték, amely a vállalatok teljes működése során megjelenik. A napi üzletmenetet közvetlenül meghatározó információk, adatok - a termelés, a statisztikai adatok, a bérnyilvántartás, a részvényesek és tulajdonosok járandósága – mind- mind a vállalat pénzügyi eredményeit, gazdaságos működését határozzák meg, amelyek ezért különleges védelmet igényelnek. Az informatikai biztonság középpontjában tehát a vállalattal kapcsolatos valamennyi információ védelme áll. A fontos üzleti információkat kezelő különféle vállalatirányítási és számlavezető rendszereket, az adatokat tároló informatikai eszközöket, és az információkat kezelő emberi munkaerőt össze kell hangolni. A vállalatok, gazdálkodó szervezetek termelésében és fejlődésében nagy szerepet játszik az informatikai biztonság: megvédi a működéshez elengedhetetlenül szükséges információ-forrásokat, és magát az információt is.” – nyilatkozta Keleti Arthur, az ITBN főszervezője, az ICON Zrt. IT biztonsági kommunikációs és stratégiai igazgatója.
Az IT biztonság stabil vállalati légkört teremt: a vállalat vezetése biztos lehet benne, hogy működéssel kapcsolatos nyilvántartások helyesek, a tulajdonosok számára pedig azért előnyös, mivel tudják, hogy a pontos információkkal csökkentik befektetéseik kockázatát. Az IT biztonság élénkíti a gazdaságot. Az informatikai biztonságot számos veszélyforrás befolyásolja: az emberek, a vállalatok adataival dolgozó munkatársak, az informatikai fenyegetettségek, a vírusok, a hackerek, a természeti katasztrófák és a vis major helyzetek. A 2001. szeptember 11-i közismert borzalmas események Magyarországon nem közvetlen hatottak a biztonságra, hanem sokkal inkább áttételesen. A vállalatokban és az egyénekben fokozta a biztonság tudatosságot, amelynek köszönhetően új dolgok jelentek meg az információ biztonság területén: a naplóelemző projektek és az adminisztrátorok munkáját figyelő rendszerek.
Többek között ilyen alkalmazásokról beszéltek az ITBN-en az integrátorok és gyártók, a Kürt, a Balabit, az Attacmate, vagy éppen a Zuriel munkatársai. Mára ugyanis már elengedhetetlenné vált az információkra leselkedő veszélyek felmérése, a kockázatok elemzése és a védelemre használható eszközök és módszerek alkalmazása. Evvel szinte azonos időben megjelent az igény az elvégzett elemzések és bevezetett intézkedések végrehajtását bizonyító tanúsításokra is. Egyes tanúsítványokat a piac kényszerít ki (ISO17799), másokat a felügyeleti szervek követelnek (pl. Cobit), sőt van olyan is, amelyet a törvény ír elő (pl. SOX).
Az idei ITBN az ilyen tanúsíttatásokról is képet kaphattunk (pl. az SGS előadásából, aki ilyen tanúsításokat végez.
Az IT biztonságot leginkább talán a pénzintézeti szektor követi figyelemmel, amelyről részletesen beszámolt Kimer Attila a Pénzügyi Szervezetek Állami Felügyeletének (PSZÁF) főosztályvezetője. Az ITBN elsődleges feladata, hogy az informatikai biztonságot érintő törvényi, gazdasági, működési és veszélyforrások között eligazítást nyújtson, bemutassa az újdonságokat. Két nagy vonalat különböztethetünk meg: az egyik irányzat az aktuális kérdésekre szükséges – illetve igény szerinti – választ adó megoldásokra koncentrál, míg a másik irányzatban inkább a gyártók által végig gondolt, új megoldások a jellemzőek.
Az idei Informatikai Biztonság napja ismét bebizonyította, hogy – bár a gyártók szempontjai eltérőek, más-más személetet képviselnek: technológiai, üzleti, a részvényesek igényei és a külföldi nagy piacok igényei által formáltak –, mégis lehetnek és vannak is közös, iparági érdekek. A magyar vállalatok szerepe az innováció, a helyi igények kiszolgálása, nagyobb projekthez (egyedi igényekhez) kötött fejlesztési igények alapján. Ebből hazánkban testre szabott megoldások születnek, amelyek jók, de nem minden esetben kapnak megfelelő támogatást.
www.itbn.hu
Biztonság ROVAT TOVÁBBI HÍREI
Felmérés: a hollandiai szervezetek negyede nincs felkészülve kibertámadásra
Hollandiában a közepes és nagyvállalatok negyede nincs felkészülve egy esetleges kibertámadásra – jelentette hétfőn az NLTimes című holland hírportál a KPN holland távközlési vállalat megrendelésére készült felmérésre hivatkozva, amelyben kiemelik az egészségügyi szektor veszélyeztetettségét is.