Röviddel az ITBN előtt Hirsch Gáborral, a Fortinet értékesítési vezetőjével az IT-biztonság égető kérdéseiről beszélgettünk.
Computerworld: Nem lehet, hogy a digitalizáció kissé előreszaladt, felkészületlenül hagyva az IT-biztonsági szakmát?
Hirsch Gábor: Az egyik legnagyobb veszélynek a legrégebbi, évtizedek óta nem bolygatott ipari rendszerek vannak kitéve, amelyek tervezése idején senki sem gondolt még a maihoz hasonló kitettségekre. Csak Magyarországon százával lehet olyan PLC-ket találni, amelyek gyakorlatilag védtelenül lógnak a világhálón: nincs autentikáció, titkosítás, jogosultságkezelés stb., és a Stuxnet óta tudjuk, hogy a légrés sem jelent védelmet. Az ipari folyamatirányítási rendszerek működését felügyelő szakemberek - tisztelet a kivételnek - az informatikai kockázatoknál jóval előkelőbb helyre sorolják a természeti katasztrófákat és más, fizikai veszélyeket, noha a digitális technológia felhasználásával okozott gondok legalább olyan számottevőek, például Budapest teljes közlekedése három csomópont jelzőlámpáinak kompromittálásával teljesen megbénítható, az adminisztrátor pedig - a rendszerek tulajdonságai miatt - azt sem tudná, mi történik.
CW: Hogyan érhető el nagyobb biztonságtudatosság olyan körökben, amelyekben az informatika költséghely, nem pedig a jövőbe való befektetetés?
HG: Nem feltétlenül technokrata eszközökkel, de a biztonságtudatosságot mind a vállalati, mind a fogyasztói piacon erősíteni kell. Az "ami működik, ahhoz nem nyúlunk" szemlélet ideje lejárt. A döntéshozók nem feltétlenül vannak tisztában azzal, milyen veszélyeknek vannak kitéve, holott például a ipari irányítási rendszerek IT-rendszerei könnyedén átugorhatnák azokat az evolúciós lépcsőket, amelyeket az informatikai hálózatok végigjártak. A VPN-ek, jogosultsági szintek, szerepköralapú jogosultságok bevezetése nem ördöngösség.
A RoSI (Return of Security Investment) fogalma a biztosításhoz teszi hasonlóvá a biztonsági befektetést: a kárenyhítés fogalmát hozza be a képbe, és bár a biztosítók százéves előnnyel indultak az informatikához képest, ma is vannak, akik nem rendelkeznek felelősség-, élet- vagy lakásbiztosítással. Viszont ha nem csupán a biztonságot, hanem az informatikát tesszük mérhetővé, láthatóvá válik az IT hozzáadott értéke, az, hogy általa a profittermelő vállalkozások gyorsabban, nagyobb hatásfokkal végezhetik termelőtevékenységüket. Amennyiben a döntéshozó így tekint az informatikára, rá kell jönnie, hogy az informatikai kérdések nem technológiai, hanem maximálisan üzleti kérdések, s ezáltal a védelmük is az.
CW: Miközben például az adattárolók ára csökken, az adatforgalom szűrése, elemzése, veszélyes kódoktól való megtisztítása egyre több pénzt emészt el. Mi kell a költségek ésszerű keretek között tartásához?
HG: A kockázatarányos védelem normál körülmények között megfelelő válasz. Bizonyos ügyfelekre kötelező szabályok, ajánlások érvényesek. Más ágazatokban az adott szervezet tevékenységi köre és kitettsége adja meg, milyen típusú megoldásra van szükség. A legkisebb vállalkozásoknál esetleg csak vírusvédelmi és tűzfalmegoldás kell, de egy kicsivel nagyobb szervezetnél már szükség lehet a védelmi stratégia írásba foglalására, szabályozására is. Bizonyos szint fölött pedig már a folyamatokat és azok adminisztrációját is technikai eszközökkel kell kezelni, szakértőkre kell bízni.
CW: Becslések szerint négy éven belül már több mint 25 milliárd IoT-eszköz működik majd világszerte. Hagyományos módszerekkel ennyi végpont védelme megoldhatatlannak tűnik. Milyen újszerű stratégiák jöhetnek szóba?
HG: A hordozható számítógépek vagy a wifi megjelenésekor azokat különállóan kezelték a vállalatok, nem voltak szerves részei sem a biztonsági rendszernek, sem a hálózatnak. Az IoT-eszközök az esetek többségében vezeték nélküli technológiát alkalmaznak, védelmük tehát nem oldható meg úgy, hogy szigetekként tekintünk rájuk. A Fortinet biztonsági megoldása az egész rendszert egységes biztonsági megoldással látja el, amennyire lehet, egységes szabályokkal. Például integrált vezeték nélküli megoldásunkban eszközszinten sem válik szét a vezetékes és vezeték nélküli technológia; egyetlen szabályrendszer és közös szolgáltatáskészlet vonatkozik minden elemre, legyen az IoT-eszköz, adatközpont, campus vagy fiókiroda része.
Ezt nevezzük security fabricnek, amin egységes, rugalmasan kezelhető biztonsági keretrendszert értünk. Van olyan megoldásunk, amely a virtuális switch szintjén épül be a virtualizált környezetbe, az egész infrastruktúrát védve, de vannak általánosabb célú és specializált berendezéseink is, például DDoS-támadások kivédésére vagy levelezésvédelmet megvalósító készülékeink, megint mások kifejezetten a wifi-biztonságot szolgálják. A teljes szövet vagy keret részét kell képeznie az APT-támadások elleni védelemnek - erre vannak a sandboxing-technológiát alkalmazó megoldásaink.