A Computerworld által, 2023. december 7-én megszervezett eseményt Svájger Árpád lapigazgató nyitotta meg, szakmai előadást tartott Reto Scagnetti, a DigiCert regionális alelnöke, Németh Zsolt közép-kelet-európai régióvezető, Julien Chappuis ügyfélkapcsolati igazgató és dr. Pataki-Vízi Linda, a PR-Audit Kft. ügyvezető igazgatója. Az előadások révén a résztvevők megismerkedhettek a digitális bizalmi ökoszisztémával, a legfontosabb kihívásokkal, a legjobb gyakorlatokkal és stratégiákkal. A rendezvény technológiai bemutatóval és kötetlen beszélgetéssel zárult, amely során első kézből lehetett megismerkedni a termékekkel és szolgáltatásokkal.
Svájger Árpád, a Computerworld lapigazgatója
Mi az a digitális bizalom?
Miért is kell digitális bizalomról beszélnünk - tette fel a kérdést Reto Scagnetti. A válasz nagyon egyszerű, olyan "internetfüggő" világban élünk, ahol minden eszközünk csatlakoztatva van a hálózatra, ezért alapkövetelmény, hogy biztonságosak legyenek ezek a kapcsolatok.
A bizalom tehát a digitális világ működésének alapja, ugyanis ha nem tudunk megbízhatóan azonosítani egy weblapot, a kapott email küldőjét vagy egy szoftver kiadóját, akkor hiába a legtöbb bevált digitális szolgáltatás, mind kihasználatlanná válik.
A szakember a digitális bizalom három fő célját határozta meg előadásában:
- Üzleti kockázatok csökkentése
- üzleti kiesések és zavarok megelőzése
- betörések és sikertelen auditok elkerülése
- IT komplexitás csökkentése
- Támadási felületek csökkentése
- szigorúbb és racionalizált hitelesítés és azonosítás
- biztonságos szoftverbeszállítói-lánc
- IT/OT termékek hamisítás-ellenállóságának javítása
- Agilitás növelése
- szabványváltozások követése
- sebezhetőségek és betörések elhárítása
- kvantumszámítástechnika titkosításokra gyakorolt hatásának gyors követése
Reto Scagnetti, a DigiCert regionális alelnöke
Reto Scagnetti számos érdekes adatot is megosztott a hallgatósággal saját felmérésük alapján, miszerint a cégek közel fele (47%) bizalomvesztés miatt váltott szolgáltatót, míg a lejárt tanúsítványok okozta veszteség eléri a 11 millió amerikai dollárt. Partnereik 75%-a szenvedett már el biztonsági incidenst ellátási lánc sérülékenysége miatt, a kritikus infrastruktúrát üzemeltető eszközök háromnegyede pedig súlyos sebezhetőséggel rendelkezik. A szakember szerint ha csak az elmúlt pár évre tekintünk vissza, döbbenetes változás tanúi lehetünk az IT-szektorban. Ezt a trendet nézve a jelenlegi informatikai osztályokra pár év múlva már kétszer-háromszor több IT-specialista kell, akiket azonban már most nem lehet elérni a munkaerőpiacon. Ráadásul a teljes biztonság megvalósításához szükséges, de nem elégséges a technológia.
PKI-tól az ökoszisztémáig
A DigiCert építőkockái rugalmasan használhatók fel - lehetőség van kihelyezett, on-prem, felhő és hibrid megoldásokra. Németh Zsolt, a DigiCert közép-kelet-európai régióvezetője bemutatta a modulokból felépülő DigiCert ONE megoldást, amely magában foglalja a DigiCert Trust Lifecycle Manager, az IoT Trust Manager és a Software Trust Manager eszközöket.
A főbb felhasználási területek a következők:
- üzlet: PKI, felhasználó és szerver azonosítás, biztonságos email
- eszköz: IoT trust manager, update-ek aláírása, akár már fejlesztési fázisban
- szoftver: biztonsági kulcsok, kód aláírás (megváltoztathatatlanság, szerző és időpont azonosítás), SBOM: szoftver ellátási lánc hitelesítés
- dokumentumhitelesítés: a már jól ismert időbélyeg és digitális aláírás
- az úgynevezett Content Provenance tartalmak kezelése
- DNS: megbízható, szűrt DNS-szolgáltatás
Németh Zsolt szerint a tanúsítványok egyik nagy problémája azonban a lejáratok/megújítások kezelése. A DigiCert menedzsmentfelületén automatizálva van a teljes folyamat, kiváló felhasználói felülettel, a megoldásra a jövőben igen komoly szükség lesz. Mint elmondta, a Trust Lifecycle Manager több mint egy tanúsítvány-életciklus-kezelő eszköz. A teljes körű megoldás támogatja a vállalkozások központosított digitális bizalmi igényeit. Lebontja a PKI-silókat, és egységes áttekintést biztosít az erőforrásokról, zökkenőmentes integrációt valósítva meg a vállalati ökoszisztémákkal. Segítségével a teljes PKI (nyilvános kulcsú infrastruktúra) működtetése automatizálható. A felügyeleti rendszer felderíti és nyilvántartja nemcsak a DigiCert, de a mások által kiadott kulcsokat is. Figyeli a lejárati dátumokat, főként automatizmust kínál, de minimum időben figyelmeztet - részletezte a szakember.
Németh Zsolt, a DigiCert közép-kelet-európai régióvezetője
Digital Trust felhasználási példák
Reto Scagnetti szerint a digitális bizalom nem csak a kibervédelemről vagy a biztonságról szól. A digitális dokumentumok és az elektronikus aláírás világszerte segít felgyorsítani az üzletmenetet, bár sok szervezet még mindig a digitális átalakulás e formájából származó értékek kiaknázásának korai szakaszában van. Pedig jól látható, hogy a digitális innováció hogyan hajtja a valós eredményeket, és hogyan használhatják a vállalatok a digitális bizalmat a termék- és szolgáltatásinnováció részeként. Ehhez a szakember számos érdekes felhasználási területet mutatott be az élet szinte minden réséről. A kormányzati szektorból egy biztonságos elektronikus választási példát láthattunk, míg a közüzemi szektorból a vészeseti kommunikációt biztosította a DigiCert megoldása. Az egészségügyben lehetőség van arra, hogy a beteg saját okostelefonjával tudja biztonságosan kezelni az inzulinpumpát, míg banki területen személyes megjelenés nélküli azonosítást tesz lehetővé.
Esettanulmányaikból kiemelték egyik legnagyobb ügyfelüket, az IBM-nél a dolgozók Wi-Fi berendezések és VPN-ek azonosításához használnak digital trust eszközöket. Ezen túl természetesen a szerverek azonosítása és a programkód aláírására is alkalmazzák a DigiCert PKI eszközeit.
Az üzleti reggeli résztvevői megismerhették az ST Micro chipgyártó rendszerét is, ahol a DigiCert megoldásával biztosították, hogy az IC-kbe juttatott firmware - és a későbbi firmware-frissitések - csakis megbízható, eredeti forrásból származók lehetnek.
Julien Chappuis ügyfélkapcsolati vezető szerint a kelet-európai piac, és azon belül is a magyar partnerek igencsak igénylik a DigiCert megoldásait. Előadásában felsorolta azokat az okokat, amelyek indokolják az elektronikus aláírás bevezetését. Ide tartozik a költségcsökkentés, a hatékonyságnövelés, a fokozott biztonság, az időmegtakarítás és a gyorsaság. A dokumentumok digitális aláírásával, hiteles időbélyeg alkalmazásával, és ha kell, titkosításával kiváltható a papíralapú iratkezelés, ezzel jelentősen gyorsítva a folyamatokat, és nem mellesleg csökkentve a karbonlábnyomot. Ehhez nélkülözhetetlen a "digitális bizalom operációs rendszerének" nevezett DigiCert ONE egységes platform, amely minimalizálja a biztonság kezeléséhez szükséges időt és erőforrásokat, miközben maximalizálja az előnyöket.
Julien Chappuis, a DigiCert ügyfélkapcsolati igazgatója
Cyber Resilience Act
A PR-Audit tevékenységének rövid bemutatása után napjaink egyik legégetőbb témáját, a Cyber Resilience Act (CRA) kiberrezilienciáról szóló EU-jogszabályt boncolgatta dr. Pataki-Vízi Linda. Mint azt elmondta, a CRA fő célja, hogy javítsa az Európai Unió kiberbiztonsági helyzetét, aminek nem csak gazdasági érdekei vannak, hiszen kihat a demokráciára, a polgárok egészségére és biztonságára is. A fő probléma ugyanis az, hogy a kibertámadások egyre nagyobb mértékű kárt okoznak, amelynek egyik oka az alacsony kiberbiztonsági szint, miután a felhasználók nagyon kevés megbízható információval rendelkeznek arról, hogy mely eszközök, megoldások biztonságosak.
A kiberrezilienciáról szóló jogszabály így kötelező kiberbiztonsági követelményeket vezet be a hardver- és szoftvertermékekre vonatkozóan azok teljes életciklusa során. Fő célja egyrészt annak biztosítása, hogy az uniós piacon forgalomba hozott, digitális elemeket tartalmazó termékek kevesebb sebezhetőséggel rendelkezzenek és hogy a gyártók továbbra is felelősek legyenek a kiberbiztonságért a termék teljes életciklusa során; másrészt a hardver- és szoftvertermékek biztonságával kapcsolatos átláthatóság javítása; harmadrészt az üzleti felhasználók és a fogyasztók jobb védelmének biztosítása.
dr. Pataki-Vízi Linda, a PR-Audit Kft. ügyvezető igazgatója
A törvény hatálya nem csak a gyártókra terjed ki, de a kapcsolódó hardver- és szoftvertermékekre egyaránt, továbbá a teljes beszállítói láncra is. Várhatóan 2024 áprilisában lép hatályba, innentől 36 hónapja van a gyártóknak a teljes alkalmazásig, tehát 2027-től lesz kötelező érvényű. Ezt követően az EU Bizottság aktívan felügyeli törvényt, mely várhatóan hatással lesz az iparágra, megnövekedik az igény a penetrációs tesztekre, a forráskód átvizsgálásokra és visszafejtésekre.
Az iparág vezető vállalata a DigiCert
Évente több, mint 33 auditon esnek át, és a legtöbbet költik kutatás-fejlesztésre. Számos iparági szervezetnek tagjai, például a Cloud Signiture Consorcium, vagy a viszonylag friss otthonautomatizálási nyílt szabványt támogató projektcsoport, a Matter.
A DigiCert világ vezető cégeinek nyújt szolgáltatásokat, ilyen például az IBM, a Siemens, a Bosch, Walmart, az E-On, illetve számos autógyártó. A céget 2003-ban alapították, világszerte 16 telephellyel rendelkezik. Bevétele meghaladja a 700 millió dollárt és több, mint 1700 alkalmazottal dolgozik. Ügyfeleik a világ 180 országában találhatók meg, akik közé a top 100 pénzügyi szolgáltatók 93%-a, a Fortune 500 cégek 83%-a, és a 10 legnagyobb kiberbiztonsági cégek tartoznak.
Különösen kiemelten kezelik az auditokat és megfelelőségeket (compliance). Ezért számos globális és regionális tanúsítvánnyal rendelkeznek minden kontinensen.
Akvizíciók - 2016: Verizon - 2017: Symantec (Web-Security) - 2019: QuoVadis - 2022: Mocana - 2022: DNS made easy
Mit tartalmaz a DigiCert portfólió?
A DigiCert minden építőkockával rendelkezik, ami a teljes digitális bizalom felépítéséhez szükséges:
- az elérhető legnagyobb tanúsítványportfólió
- átfogó validálási megoldások
- automatizálás és API
- kiterjedt globális szolgáltatások
Miért érdemes a DigiCertet választani?
- Stabil, megbízható és agilis partner
- A kiberbiztonság az ügyfél vállalat növekedésének szerves része lesz
- Időt és pénzt lehet megtakarítani a rugalmas adminisztrációval
- nemcsak vezető CA (Certificate authority) szolgáltató, hanem:
- Hosszútávú bizalmi partnerséget kínál
- Globális tapasztalattal, kiváló szakembergárdával és kimagasló támogatással
- Zökkenőmentes integráció a vállalati ökoszisztémákkal
- Helyi szerződések, a helyi szabályoknak megfelelően
Ez a cikkünk a Computerworld magazin 2023. december 20-ai nyomtatott számában jelent meg. A teljes lapszámot itt tudja elolvasni >>>