Az idei SecWorld konferencia előadói azzal az alapkérdéssel foglalkoztak leginkább, hogy a különféle szervezetek működésében egyre fontosabb szerepet játszó informatikai rendszerek hogyan tarthatóak biztonságban, ha egyre nagyobb mennyiségű és egyre értékesebb adatot, információt kell megvédeni a növekvő volumenű, színvonalú és színesedő fenyegetésektől. A konferencia kerekasztal-beszélgetéseinek tanúsága szerint ehhez a legjobb módszer a biztonságtudatosság kialakítása – a szervezetek minden szintjén.
A bevezető előadást Muha Lajos, a Nemzeti Közszolgálati Egyetem tanára tartotta az informatikai és biztonsági trendek változásairól. Kifejtette, hogy az IT biztonságát alapvetően az informatikai trendek változásai határozzák meg, de a potenciális támadók is, akik állandó újdonságokat eszelnek ki.
A Gartner előrejelzései alapján a BYOD a következő években egyre fontosabb lesz, s a felhők biztonságossá tétele és megvédésének módszerei is hangsúlyosabbá válnak. A magán, a céges és kormányzati felhasználók is másfajta védelemre szorulnak, s ebben a felhők jellege, elhelyezkedése és kezelése is fontos kérdés. Az azonosítás és hitelesítés területén a felhők miatt is új feladatok jelennek meg. Úgy vélte, az intelligens eszközök megjelenése, a dolgok internete is veszélyes terep lehet.
Elmondta, hogy az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény feldolgozása folyamatban van. Azaz elindult az előírt kockázatelemzések, osztályba sorolások, oktatás és képzés előkészítése többek között a közigazgatásban. El kell végezni a biztonsági szintbesorolásokat is a következő másfél évben. Az oktatási rendszernek biztosítania kell, hogy a vezetők megszerezhessék az előírt és szükséges képesítéseket, és szervezett képzést kell létrehozni az érintett szervezeteknél az informatikai biztonsági ismeretek átadására.
A vállalatok szemszögéből elemezte az IT-biztonsági trendeket Krasznay Csaba, a HP informatikai biztonsági tanácsadója. Az általa bemutatott statisztikák szerint a kibertámadásoknak a vállalatok 56 százaléka már valamilyen módon áldozata volt. A kiterjedt ellátási láncokban a cégek 44 százaléka élt át harmadik fél miatti adatvesztést. A pénzügyi veszteség 8,6 milliárd dollár egy év alatt az adatvesztések miatt.
A reputációs veszteség az érintett cégeknél: az incidensek 30 százalékkal visszavetették a piaci kapitalizációt. A védelmi költségek a teljes IT-büdzsé 8 százalékát emésztik fel. A cégek 60 százalékkal költenek több pénzt a reaktív védekezésre, mint a proaktív kockázatkezelésre. Az információbiztonság a felsővezetők felelőssége. A biztonságirányításon sohasem volt ekkora nyomás, mint manapság, s ez nemcsak műszaki probléma, annál összetettebb és kiterjedtebb.
Minden arrafelé hat, hogy komplexebb és olcsóbb rendszerek alakuljanak ki, amelyekbe a biztonságot bele kell tervezni. Ezzel az igénnyel azonban nem mindig tudnak a nagyvállalatok lépést tartani. Az okok sokrétűek. Az örökölt alkalmazások az átalakulás előtti világból származnak. Hiány van megfelelő szakértőkből, mert a visszaeső beruházások eddig nem tudták volna őket eltartani. Ugyanakkor a szabályozás 2015 végére elvben kikényszeríti az igénybevételüket, de félő, hogy nem lesz addigra sem elég szakember. Az IT új stílusa is hatással van. A szállítók megmondják, hogy mennyit tud spórolni a cég, ha azokra a technológiákra vált, amelyekbe bele van építve a biztonság. Kérdés, hogy megfizetik-e azt a szakértelmet, amely az eszközökből elő tudja csalogatni a biztonságot.
Az amerikai vállalatok 43 százaléka állítja, hogy az IT-biztonsági kihívások miatt nem képesek elég gyorsan reagálni az üzleti kihívásokra. Ez az arány nálunk biztosan sokkal magasabb, de a szükséges lépések a tapasztalatok alapján mégis hiányoznak.
A Ponemon intézet felmérésének ismertetésével kezdte előadását Bakos Zoltán, a BalaBit IT Security rendszermérnöke, aki a felhasználói tevékenységfelügyelet problémakörét elemezte. Az emberekhez köthető informatikai zavarok aránya 60 százalékos, a felhasználók közrehatása pedig a biztonsági események 54 százalékánál volt megfigyelhető. Mit kezdhet ezzel a helyzettel egy informatikai rendszert működtető szervezet? Három területen léphet, s naplóelemzést, forgalomelemzést és tevékenységmonitorozást végezhet.
A naplók rengeteg adatot adnak. A rendszer életjelei (hogyan működnek az alkalmazások és mit művelnek a felhasználók), illetve a hibaüzenetek a hozzáértőknek sok hasznos információt szolgáltatnak. A rendszerekből azonban nem rögtön és nem egyértelműen derülnek ki, hogy az egyes log-adatok mit jelentenek. Az értelmezés nehéz, pénzbe és időbe telik. A tömegben könnyű megbújni a rosszindulatú kommunikációnak. A hatékony védelemhez a rendszer megfigyelését újra kell gondolni, ez pedig az IT-biztonsági hozzáállás felülvizsgálatát kívánja meg.
A Balabit szerint az a jó megoldás, ha a vizsgálatok a munkatársak tevékenységét nem zavarják. A cég Shell Controll Box technológiája egy éppen ilyen végpontoktól független megoldás, amely értékes adatokat szolgáltat, s olyan információkat rögzít, amelyekre a különféle szakembereknek szükségük van. Az adatokból mindenkinek érthető és minőségi információt szolgáltat a technikai és üzleti oldalon egyaránt. Megtörténik a hálózati forgalom rögzítése a folyamatok mélyrétegeit elemző guruknak, de a rögtön kézzelfogható információt igénylő embereknek videóként rögzítve számol be a változásokról. Ha például egy felhasználó változtatásokat hoz létre egy rendszerben, az még akkor is visszajátszható, ha a művelet egy elfedett vagy titkos felületen történt.
Pető Gábor, a MultiContact ügyvezető partnere és Saád Tamás, az AAM üzletágvezetője a mobiltechnológiák hátán érkező biztonsági kihívásokról beszélt.
Kifejtették, hogy a fejlett országok lakosságának több mint fele rendelkezik okostelefonnal, s 60-70 százalékuk ezeket munkára is használja, így a munkaadóknak e készülékek biztonságával is törődniük kell. Az elmúlt tíz évben a cégek sokat költöttek a notebookok védelmére, de a folyamatosan online üzemelő okostelefonokat nem védik ilyen intenzíven. Ezek védelmével stratégiailag tudatosan foglalkozni kell, hiszen a Kaspersky kutatásai szerint a biztonsági incidensek 10 százaléka már a mobileszközöket érinti.
A védelmet segíti a vállalati információmobilitási keretrendszer kialakítása, amelynek legfontosabb része az ide vonatkozó stratégia, a mobileszközök (MDM) és a hozzáférések (MAM) menedzsmentje.
A vezetők mobileszközükről minden rendszert a nap minden órájában el akarnak érni, s ezt nehéz visszautasítani, ugyanakkor értelmetlen is. Meg kell teremteni annak a lehetőségét, hogy a menedzsment tagjai biztonságban használhassák az eszközöket, hiszen ez a cég versenyképességét is befolyásolja.
A többi szinten leghelyesebb, ha kezdetben néhány, a cégen kívülről is ellátható munkakört tesznek mobillá. Ez a kör lassan bővülhet, viszont ennek megvannak a korlátai, hiszen nyilvánvaló, hogy kritikus információkkal foglalkozó munkatársak nem dolgozhatnak teljesen felügyelet nélküli környezetben.
Az IP videomegfigyelés-piacáról Bata Miklós, az Aspectis ügyvezető igazgatója elmondta, hogy azt a biztonságérzet iránti kereslet teremtette meg. Azóta kialakult egy még nagyobb trend az üzleti intelligenciának köszönhetően, s a hatékonyabb, profitábilisabb működés esélyét értékesítik videomegfigyelés formájában.
Manapság elektronikus eszközökre nagyságrenddel többet költenek, mint élő védelemre. Ennek az az oka, hogy nehéz rávenni az embereket, hogy megállás nélkül fókuszálva figyeljenek valamire. Ráadásul, ahogy az analóg eszközöket felváltották az IP kamerák, azzal minden megváltozott. A képminőségre, felbontásra és az analitikára is igaz Moore törvénye, amit azonban a környezet, a szabványok, a telepítés és optika nem követtek.
Az üzleti felhasználáshoz azonban nagy megbízhatóság kell. A processzortechnológia nagyon fontos abban, hogy mit lát a kamera, milyen a memóriája, mit tárolnak a felvételekből és milyen intelligencia kapcsolódik hozzá. A monoton statikus feladatokat a kamera jobban elvégzi (például rendszámfelismerés), de a kamerarendszerek általában nem helyettesítik, hanem megkönnyítik az emberek munkáját.
A nagy adat vagy big data a vállalatok életében egyre fontosabb szerepet játszó technológiai trend, amelynek modern kezeléséről Balogh György, a LogDrill vezető fejlesztője tartott előadást.
A tárolókapacitás húsz év alatt százezerszeresére nőtt, de az adatelérés sebessége alig emelkedett. Ezért a big data fogalom megjelenése párhuzamosan történt egy technológiai paradigmaváltással. Régen az összes tárolt adatot végigolvasták az elkülönült tárolókban, és szűk hálózati keresztmetszeteken áteresztették őket a feldolgozó gépekhez. Ez egy igen lassú folyamat volt az adatmozgatásban megjelenő szűk keresztmetszet miatt. A Google 1998-ban aztán elkezdte az elosztott adattárolást és feldolgozást. Az új rendszerben minden gépben van tárolás és feldolgozás. Az összes diszk egyszerre kezdi el a feldolgozást lokálisan, és csak a találat megy ki a hálózati kommunikációba, így az eredmény órák helyett másodpercek alatt elérhető.
A Hadoop elosztott fájlrendszere a Google kezdeményezésein alapult, amelyeket az Open Source világban továbbfejlesztettek. Ma már biztonságosan lehet nagy mennyiségű adatot tárolni és feldolgozni. Megfelelően skálázott rendszernél igen gyorsan elérhetők az eredmények. Nem csoda, hogy a Fortune 50 cég fele Hadoopot használ.
A legnagyobb fejlődés abban mutatkozik, hogy a korszerű technológiák olyan adatfeldolgozási feladatok elvégzését teszik lehetővé, amelyek során az egész klaszter teljes kapacitását képesek úgy kihasználni, mintha az egy gép volna.
A cégvezetők biztonsági szempontjairól beszélt előadásában Lengré Tamás, az ASC ügyvezető igazgatója. Alapvetően háromféle hibás gyakorlat vezethet el a rossz információbiztonsági helyzethez. Ha nincs IT-stratégia, akkor az annak a jele lehet, hogy üzleti stratégia sincs. Előfordulhat, hogy az informatikai és az üzleti stratégia nincs összhangban. Végül az IT-beszerzések ad hoc módon történnek, gyakran csak a biztonsági események után.
Az informatika hagyományosan a fizikai elhelyezést, a kiszolgáló csapatot, illetve az eszközöket és szoftvereket foglalja magába egy helyen. Ám az IT-környezet gyakran nem átgondolt, szigetmegoldások jönnek létre az integráció helyett. Ez pedig sérülékennyé teszi a vállalati rendszereket.
A védelemnek szabványokon alapulónak, a kockázatokkal arányosnak és teljes körűnek kellene lennie. Ekkor az IT kiszolgálja az üzleti igényeket, költséghatékony, ellenőrizhető és megfelel a vállalat információbiztonsággal kapcsolatos előírásainak.
A vállalatvezetés megalkotja a stratégiát, amit az üzleti kockázatelemzés követ a működésben, a technológiában, a felhasználók és partnerek szintjén, valamint számol a hackerekkel és a többi veszéllyel is.
A szükséges menedzsmenttevékenység több területre is kiterjed. Az IT-üzemeltetési eljárásokra (például ne vigye el a régi rendszergazda a jelszót), az üzleti hatáselemzésre (BIA – business impact analysis), amely a várható és váratlan események kezelését vizsgálja, az üzletmenetfolytonosság-menedzsmentre és a kockázatmenedzsmentre.
Ha a kockázatelemzési módszertanok jók is, meg kell találni a speciálisan megfelelőt, s a kockázatelemzés nem érhet véget az IT-terület határán. A kockázatokat vezető szinten kell tudatosítani, elfogadni.
A kategorizálás is fontos, mert az információk osztályba sorolásából lehet tudni, hogy bizonyos adatok illetéktelenekhez kerülése mivel járhat. Szükséges az adatgazdák kinevezése és kiképzése is.
Amióta kipattantak a nemzetközi lehallgatási botrányok, a telefonbeszélgetések titkosítása sokkal nagyobb figyelmet kap. Megyeri Attila, az Arenim Technologies CTO-ja a mobilkörnyezetben alkalmazott valós idejű biztonsági megoldásokról beszélt. A cég VoIP technológiákat fejleszt, túl vannak már 50 ezer VoIP végpont telepítésén, s a rendszereik pedig a 100 millió híváson. A tapasztalataik szerint az üzleti és a személyes titkok védelme, a titkosítás és azonosítás iránti igény az, amely a különféle szervezeteket az általuk fejlesztett CryptTalk rendszer beszerzésére ösztönzik.
A VoIP kapcsolatokon keresztüli titkosítás P2P működéssel (két végpont között) minimális késleltetéssel és jó hangminőséggel megoldható, s bárhol igénybe vehető, ahol internetkapcsolat van. A lényeg, hogy a használhatóság és biztonság egyensúlyban legyen, de a vásárlóknak fontos a termék európai származása (mert megrendült a bizalom az amerikai szoftverekben) s a jogszabályi megfelelőség is.
Az okostelefonra beérkező mobil- és VoIP-hívásokat együtt kell kezelni, s alacsony sávszélesség mellett is hifi-minőségű hangra van szükség. A rendszer a hálózatváltást wifiről 3G-re pár másodperc alatt megoldja.
A vagyonbiztonság trendjei szerepeltek Papp Róbert, a Magyar Biztonsági Fórum főtitkára előadásának középpontjában. Megállapította, hogy a vállalati biztonság két oldalát kezelő „kockafejűek” (az információbiztonsággal foglalkozó) és „izomagyú” (a vagyonbiztonságért felelős) szakemberek egyik fő problémája közös: hogy az üzleti menedzsment nem mindig tekinti őket partnernek. Ha lenne a vállalati szervezetben egy olyan tolmács, amely minden szereplő szempontjait érti, akkor talán az összehangoló munka is könnyebben menne, de ezekből a szakemberekből van a legnagyobb hiány.
A veszélyek sokfélék, s ott válik belőlük biztonsági esemény, ahol a folyamatokat rosszul alakították ki, a szabályokat nem tartják be, a szabályozási környezet nem egyértelmű, vagy a szabályok nem életszerűek. Példaként a közúti szállításban rejlő veszélyeket emelte ki.
Bizonyos elektronikai cikkek értéke nagyobb lehet, mint az azonos súlyú aranyé. Mégis úgy szállítják őket, mintha közönséges termékek lennének.
Szerte Európában megtalálhatók bűnbandák, amelyek arra szakosodtak, hogy az ilyen termékeket (akár menet közben) ellopják a kamionokról. A kár talán sohasem térül meg, hiszen a fuvarozó felelősségbiztosítása alapján légi szállításnál a kártérítés nem lehet több 17 SDR-nél kilogrammonként, közúton pedig 8,33 SDR-nél. És igen sok incidens van, az EU-ban összesen 200 ezer, amelyeknek 68 százalékban kimutatható a belső érintettség, azaz valaki tippet adott.