Fókuszban a biztonság
A kockázatmenedzseléstől az elektronikus kormányzatig
Embert próbáló
Az MTA Matematikai Kutató Intézetének tudományos tanácsadója, Nemetz Tibor professzor előadásában (enyhe iróniával) "holtbiztosan elavultnak" titulálta az általuk tavaly készített, a száz legnagyobb hazai nagyvállalatra vonatkozó statisztikát. A "százak" közül 1999 elején mindössze 44 érezte fontosnak a weben való megjelenést, és a 38 hazai bank közül is csak 16-nak volt saját weboldala, közülük csupán három nyújtott internetes szolgáltatást (ez a szám a mai napig sem változott) akkor összesen 3100 ügyfélnek (mára ez 23 000-re növekedett).
A száz cég felső vezetői közül 11-et tekinthettünk az internethasználat úttörőjének, 18-an felismerték a benne rejlő lehetőségeket, de kivártak, és 50 százaléknál kevesebbnek volt e-mail címe. Saját bevallásuk alapján a cégek 73 százaléka sértette meg saját biztonsági szabályzatát - egyötödüknél pedig nem is volt mit megsérteni.
Hivatalos álláspont
Magyar Zsuzsa, a Miniszterelnöki Hivatal főosztályvezetője azt foglalta össze, hogyan is fest a titkosítás és adatvédelem problémaköre a kormányzat megközelítésében. Mint mondta, az informatika és a telekommunikációs vívmányok utat nyitottak a termelékenységet növelő és költséget csökkentő módszerek felé, amivel új fejezet nyílt a kormánynak az állampolgárokkal és az üzleti élet szereplőivel való kapcsolattartásában is. Azonban ahhoz, hogy hivatalosan, törvényi szinten is elismert legyen az ilyen irat-, illetve okmánykészítés, -kezelés és -továbbítás, a papír alapúak hitelesítési eljárásához hasonlóan az elektronikus dokumentumok törvényi szintű szabályozását is meg kell oldani. A majdani törvény, megszüntetve az elektronikus úton köthető szerződések és fizetési tranzakciók iránti bizalmatlanságot (mivel jogi megítélésük megegyezik majd a papír alapú dokumentumokéval), az elektronikus kereskedelemre éppen úgy pezsdítően hat majd, mint az elektronikus dokumentumkezelést érintő más területekre.
Az "elektronikus kormányzat" pedig tovább javíthatja az állampolgár és a hatóság kapcsolatát, és megszünteti az állam (pl. APEH, VPOP) és a gazdálkodó szervezetek közötti elektronikus elszámolások, bevallások széles körű elterjedésének akadályait. Az Európai Unió ide vonatkozó irányelveivel összhangban lévő, a fentieket általános érvénnyel elfogadó jogszabályoknak technológiafüggetlen szabályozást kell alkotniuk. A szabályozás alapelvei érintik az elektronikus formában nem érvényes iratok körét, az aláírás-hitelesítés piaciszolgáltatás-jellegét és a hitelesítési szolgáltatás önkéntes alapon való minősíttetési rendszerének megteremtését is. A készülő ITB-ajánlások többek között az elektronikus aláírással és a hitelesítésszolgáltatókkal szembeni követelményeket is tartalmazzák majd.
Pénzügyi szektor
Jakab Péter, a Magyar Külkereskedelmi Bank Rt. bankbiztonsági szolgálatának vezetője "Az adatvédelem és titkosítás stratégiai vetületei, veszélyeztetett területek, különös tekintettel a pénzügyi folyamatokra" címmel tartott előadásában elmondta, hogy a mai technológiai környezetben egyre nagyobb szerepe lesz a pénzintézetek egymás közti versengésében a megbízható azonosításnak. Mindez kiterjed az ügyfelekre, a szolgáltatásokra, az eszközökre, illetve a tranzakcióra.
A védelem feladata egyre bonyolultabb, hiszen az információk koncentráltsága és értéke is rohamosan nő, s ezért egyre komolyabb érdekek fűződnek megszerzésükhöz. A pénzintézeteknek a publikus csatornák felé való nyitása is negatívan befolyásolja az említetteket, hiszen a hálózati kapcsolatok révén nő IT-rendszereik támadási felülete, és a kockázatot csak tovább fokozzák az egyre bővülő elektronikus szolgáltatások. Ezért egyre hangsúlyosabbá válik például az elektronikus pénzügyi műveletek adatátviteli csatornáinak és kártyarendszereinek védelme, a fizikai és logikai hozzáférés-, a bankjegy-, az okmány- és a vírusvédelem. Mindezek kapcsán - mivel az információvédelem és -biztonság megteremtése komplex feladat - óva intett a csupán a kriptográfiára koncentráló lépésektől.
Globális feladatok
Nemetz Tibor professzor "Digitális aláírás, titkosítás" című előadásában a nemzetközi gyakorlatról és a szabványosításról szólt. Mint elmondta, 1997-ben Bonnban az Európai Szabadkereskedelmi Társaság és az EU miniszteri értekezlete kinyilvánította, hogy a "Global Information Society" kialakulásához az információ biztonsága létfontosságú. Már ott elhangzott, hogy az elektronikus kereskedelemhez hatékony nyilvános kulcsú rejtjelezési technológiákra lesz szükség, hiszen az információs társadalomban egymást nem ismerő partnereknek kell megbízható elektronikus kapcsolatot teremteniük és titkos üzenetet váltaniuk. A nyilvános hálózatok biztonsága pedig már nem a néhány belső végpontot tartalmazó, zárt láncokra jellemző titkos kulcsú, hanem a nyilvános kulcsú kriptográfiát alkalmazva teremthető meg. Ez esetben a felhasználók két választott kulcsuk egyikét nyilvánosságra hozzák, míg a másikat "titkosítják". A kulcsok egyikét a felhasználó rejtjelezésre, a másikat a címzett a megfejtéshez használja. Egy közös, könnyű kódolást biztosító algoritmussal élnek, amelynek dekódolása a fentiek miatt szinte lehetetlen - a titkos kulcs birtokosát kivéve, aki ezt könnyen megeheti. Az előadásban elhangzott további, a fentiekkel összefüggő fogalmakat, szabványokat, szervezeteket keretes anyagunkban foglaltuk össze.
Rizikó, az van!
A Montana-csoport tagjaként a titkosítás témakörében érintett Noreg Kft.-től dr. Körös Zsolt ügyvezető igazgató "Információ-kockázatmenedzselés" címmel tartott előadást. Az ISS termékeinek bemutatásán keresztül a fenyegetettség kérdését taglalva világított rá, mi mindennel szemben kell manapság az elektronikus üzletvitelt folytató felhasználónak felvérteznie magát. Említette a mostanában gyakori külső, szervezetlen, a website-ok feltörését, az említett tevékenység megbénítását célzó vagy információszerzés céljával indított szervezett támadásokat. A tapasztalatok azt mutatják, hogy igen gyakoriak a belülről, szervezetten (például a hozzáférési jogosultság kihasználásával) vagy egyedi indíttatásból (a "levéltitkok" megsértésére, illetve belső információk megszerzésére irányuló) kártékonykodó munkatársak. Bármelyik végeredménye a hírnevet, a szolgáltatás minőségét, a működés folyamatosságát és a megbízhatóságot negatív irányban befolyásoló veszteség lehet. Ezért olyan biztonsági szabályzatra van szükség, amellyel figyelhetők a történések, detektálhatók a negatívumok, és azokra megfelelő válasz is születik.
A továbbiakban képet kaphattak a résztvevők, hogyan tesz eleget a fenti követelményeknek az ISS komplett, adaptív biztonsági termékekből álló SAFEsuite Információ Rizikó Menedzsment programcsomagja, amellyel nemcsak létrehozható, de fenn is tartható egy megfelelően védett, IP alapú hálózat. A csomagban lévő szkennerek végzik - az eredményről részletes riportot adva - a hálózat, az operációs rendszerek, az adatbázisok és az egyes applikációk vizsgálatát, míg a real-time monitorok hálózat- és operációsrendszer-szinten is képesek a különböző támadások jellegzetességeit felismerni, illetve megtenni az ellenintézkedéseket. Az előadás az IDC 1999 augusztusában készült felmérésével zárult, amely szerint a piaci szereplők közül a hálózati betörés detektálása esetében a felhasználók 53, a betörési és sérülékenységi, illetve a hálózati sérülékenységi vizsgálatok esetében 48, valamint 49 százaléka döntött az ISS mellett.
Szerencsés meglátások
A Szerencsejáték Rt. hálózatmenedzsere, Takács István az adatbiztonság napi gyakorlatáról szólva az Ernst & Young 4322 IT-szakember körében történt felméréséből származó riasztó statisztikájával kezdett, miszerint 1996-ról 1997-re jelentősen megváltoztak a rendszerek biztonságát könnyedén kijátszó betörési "szokások". Míg korábban az alkalmazottak részéről történt a legtöbb támadás, egy évvel később - csaknem 140 százalékkal nagyobb számot regisztráltak - már csaknem ugyanannyi jött kívülről, és csaknem négyszeresre nőtt a konkurencia támadási kedve. Az ellenlépésekről szólva beszélt a biztonsági audit fontosságáról, valamint a vállalati biztonsági szabályzat meglétéről és betartásáról, s külön felhívta a figyelmet a ma szinte még sehol nem megfelelő eszközhasználatra, nem feledkezve meg olyan "apróságokról" sem, mint a megfelelő szakemberek és védelmi eszközök.
A védelem keretében az operációs rendszer és a tűzfalak oltalma mellett szóba került a hálózati eseményeket online módon elemző és a rendszergazdák felé riasztást küldő, sőt válaszlépésekre is képes IDS, valamint a víruskeresők és a szkennerek. Az előbbieknél fontos az egyszerű frissíthetőség, a több rendszeren való futás, a más szoftverekkel történő együttműködés és a "legfrissebb termés" fellelése - míg az utóbbiaknál többek között az új betörési mintákkal szembeni tettrekészség.
A biztonsági szabályzatnál kiemelte a vezetés támogatási kötelezettségét és felelősségét, s végezetül felhívta a hallgatóság figyelmét a napi aktualitásokat tartalmazó "online fórumokra", amelyek többek között biztonsággal foglalkozó levelezőlistákat és crack site-okat is tartalmaznak.
Embertelen biztonság
Fischer Erik, a Sun Microsystem Magyarország vezető rendszermérnöke az operációs rendszerekbe - a Sunról lévén szó a Solarisba - épített védelmekről beszélve nem győzte hangsúlyozni a humánfaktor szerepét, amely a hivatás- és kötelességtudaton kívül a megvesztegethetőség, a zsarolhatóság, valamint a céghez való lojalitás oldaláról egyaránt érintett. Természetesen a technikai komponensek - az operációs rendszer nyújtotta, illetve az alkalmazással kapcsolatos védelem - garanciát jelentenek, de ezek egy részét is képes az ember kijátszani. Így például, ha nem használja ki a rendszergazda a hozzáférés biztonságát garantáló jelszóvédelmi lehetőségeket, illetve ha nem tudja azok megfelelő használatát a vezetőséggel egyetemben betartatni, ha nem figyel fel az operációs rendszer által, például az algoritmusokban jelzett hibákra, igencsak hézagossá válik ez a fajta védelem. Pedig az eszközök, mint például a Solaris ASET, jelentősen segítenek a támadások megelőzésében, illetve felderítésében. Ez utóbbi például az installálás során begyűjti az operációs rendszer működése szempontjából sorsdöntő fájlok méreteit, archiválja azokat, és méretüket periodikusan ellenőrizve figyeli, nincsenek-e betörésre utaló jelek, majd ha szükséges, visszaállítja azok eredetijeit. Jelenleg olyan projekten dolgozik a Sun, amelynek eredményeként nem csupán a méretet, de a tartalmat érintő változások is felderíthetők lesznek. A titkosítás kapcsán a kulcshosszakról Fischer elmondta, hogy míg 1995-ben a nyers erő módszerével az 56 bites kulcsot 13 másodperc, a 64 bitest egy óra, addig a 128 bitest csak 1015 év alatt lehetett megfejteni (ez utóbbit természetesen elméletileg), s alig 5 év alatt a fenti időtartamok közel nagyságrendnyit csökkentek. A rendszermérnök ezután a titkosítás alapját képező kulcscserén belül az IPsec egy lehetséges megoldásaként a SKIP-ről, valamint az IETF szabvány szerepéről és megvalósításáról beszélt. Az operációs rendszer megerősítésén túli feladatokról szólva a két alapvető - a csomagszűréses és a proxy - tűzfalon túl szólt több különleges megoldásról is, amelyek egyike a titkosított, dedikált csatornájú konfigurációs rendszerrel és IP-címek nélküli interfészekkel jellemzett, SunScreen SecureNet névre keresztelt, "lopakodó" üzemmódú tűzfal.
Kulcsszavak, meghatározások
AES - a jövő adattitkosítási szabványára kiírt NIST (National Institute of Standards and Technology) pályázat követelményrendszere 128 bites blokk- és 128-256 bites kulcsméretű blokkrejtjelező algoritmust ír elő. Jelenleg hárman vannak még versenyben, a döntés 2000 őszén várható.
Betekintési, illetve hozzáférési jog - az információ elérésének, illetve az információ megváltoztatásának joga.
DES (Data Encryption Standard) - az USA 1976-ban született, 56 bites kulcsú titkosítási szabványa, amely a kimenet minden bitjét a bemenet minden bitjétől teszi függővé. Megfejthető, elsőként 1993-ban Biham és Shamir, majd 1994-ben Matsui tette meg.
Digitális okirat - ld. digitális dokumentum. Szerzője és tartalma letagadhatatlan; keletkezési ideje megállapítható (keltezésigazolás); tartalmát sem a szerzője, sem más nem tudja megváltoztatni (sértetlenség); jogtalan hozzáférő nem tudja elolvasni (bizalmasság); meg lehet győződni róla, hogy az a készítője, aki annak vallja magát (hitelesség).
Digitális aláírás - elektronikus adathordozón tárolható, valamint elektronikus csatornán továbbítható, az aláíró személyétől és az aláírt szövegtől függő titkosított digitális sorozat, amely keltezést és a küldött üzenetből képzett "lenyomatot" tartalmaz.
Időpecsét (időbélyegző) - az aláírás megtörténtének időpontját rögzítő központi nyilvántartórendszer elektronikus aláírásával ellátott igazolás.
Digitális lenyomat - dokumentumokhoz rendelt rövid string, amellyel megegyezőt nem lehet más dokumentumhoz konstruálni. Egy dokumentumban egyetlen bitet megváltoztatva az új lenyomatnak a régitől sok bitben kell különböznie. Meghatározása Hash-algoritmussal történik.
SKIP - csomagtitkosítás egy privát kulcsú, akár csomagról csomagra változó algoritmussal.
Tanúsító hatóság (Certification Authority - CA) - igazolja, hogy a felhasználó által alkalmazott, személye igazolására használt paraméterek azonosak azzal a felhasználóéval, akinek vallja magát. Biztonsági nyilvántartással kell rendelkeznie a kilétüket általa igazoltakról, amelynek alapján egy elektronikusan bejelentkező ügyfelet képes azonosítani.
Digitális aláírás - hitelesítés, törvényi szabályozás
Ismertebb külföldi hitelesítő központok:
USA: Veri Sign
Európa: BelSign
Hazai kezdeményezések:
MakSign (MAK-honlap)
RITA (előkészületben)
Digitális aláírás törvényesítése:
1997 - NSZK, Ohio
1998-99 - több USA-tagállam
1999. december 13. - az EU elfogadta a tagállamok részére az elektronikus aláírással kapcsolatos egységes irányelvet.
Az európai országok többségében a törvény előkészítés alatt áll (lásd külön táblázatunkat).
Az elektronikus biztonsággal foglalkozó online fórumok:
www.securityportal.com
www.ntbugtraq.com
www.icsa.net
www.phrack.com
www.2600.com
www.rootshell.org
A gyártók biztonsággal foglalkozó weboldalai általában a www.gyarto.com/security képlet alapján megtalálhatók.
Kapcsolódó cikkek
- Minősített vállalati rendszerfejlesztők
- Tanúsított vállalati tervezők mint könyvelők és ügyvédek - Interjú Allen Brownnal
- Vállalati tervezők: a következő információs forradalom vezetői
- Vállalati Rendszerekkel foglalkozó Szakemberek Konferenciája a Biztonságos Rendszerek kialakításáról
- The Open Group konferencia a biztonságos rendszerekről
- Informatikai Biztonság Napja 2007
- Kritikus adatok védelme veszélyeztetett környezetben
- The Open Group konferencia a biztonságos rendszerek kialakításáról
- Hacktivity: fókuszban a terrorizmus, a fájlcsere és az internetes adatvédelem
- PURE biztonsági szemlélet Check Point rendezvény fókuszában