A dolgok internetének sérülékenységére figyelmeztető hírek uralták a tavalyi ITBN óta eltelt évet. Egyik gyártó okosautója után a másik, legutóbb a Chrysler Jeep és a Chevrolet Corvette esett áldozatul hackertámadásnak, de feltörtek már hálózatra csatlakozó termosztátot, hűtőszekrényt, sőt pacemakert, inzulinadagoló pumpát és személyszállító repülőgépet is. A Samsung hanggal vezérelhető okostévéjéről is kiderült, hogy nem csupán a parancsszavakra fülel, hanem a nappaliban elhangzó beszélgetéseket egészükben továbbítja a gyártó felhőjébe. A tíz legnépszerűbb, szintén a dolgok internetén (internet of things, IoT) kommunikáló lakásbiztonsági rendszert tesztelő HP pedig az eszközök és a hozzájuk tartozó mobilalkalmazások, felhőszolgáltatások mindegyikében talált komoly biztonsági réseket.
Computerworld: Hozzátartozik a teljes képhez, hogy a dolgok internetét célba vevő hackertámadásokat eddig jellemzően IT-biztonsági szakemberek hajtották végre, hogy felhívják a figyelmet a veszélyre. Egyes elemzők éppen ezért úgy vélik, hogy a dolgok internetének biztonsági kockázatait a hisztériakeltők túlméretezik. Mások azonban nem így látják. A Gartner rámutat, hogy a dolgok internete fizikai dimenziót kölcsönöz az IT-biztonságnak - ha egy repülőgépet a levegőben vagy egy autópályán száguldó okosautót törnek fel a hackerek, akkor az könnyen emberéleteket követelő balesethez vezethet -, ezért a sérülékenységekből fakadó veszélyeket nagyon is komolyan kell vennünk. A piacelemző szerint emiatt 2020-ra sokat javulhat a fizikai és a digitális biztonsággal összefüggő tervezés, a kockázatkezelés és a védekezés gyakorlata. Bár 2017-re még csupán a szervezetek 20 százaléka indít majd kimondottan a dolgok internetének biztonságával foglalkozó programot, tette hozzá a Gartner. IT-biztonság szempontjából most akkor áldás vagy átok a dolgok internete?
Keleti Arthur: Valódibb már nem is lehetne a problémája, minden hangulatkeltés nélkül okkal aggódhatunk az IoT-biztonság miatt. A Gartner előrejelzése szerint az évtized végére 26 milliárd dolog csatlakozik az internetre. Nagyon találó az elnevezés, mert nem számítógépekről, hanem eszközök, készülékek, kütyük és szenzorokkal ellátott tárgyak rendkívül változatos halmazáról beszélünk. Ezek a dolgok ugyanakkor a legérzékenyebb adatokat, például a napi rutinunkról, a tartózkodási helyünkről vagy az egészségügyi állapotunkról szóló információkat gyűjtik rólunk, és azokat megosztják egymással, illetve különböző szolgáltatókkal. Könnyen kiszivároghatnak, illetéktelen kezekbe kerülhetnek ezek az adatok a dolgok internetén, önmagában ez elegendő ok arra, hogy komolyan vegyük az IoT sérülékenységét, és akkor a veszély Gartner által említett, fizikai dimenziójáról még nem is beszéltünk.
Nem elég biztonságosak ugyanis az internetre csatlakozó dolgok, és az a mód sem, ahogyan kommunikálnak egymás között, minden emberi közreműködés nélkül. Legtöbbször nincs is fogalmuk a fogyasztóknak arról, hogy dolgaik milyen adatokat osztanak meg róluk, nem értik, milyen beállításokat kellene megváltoztatniuk ahhoz, hogy áttekinthessék, ellenőrizhessék ezt a folyamatot. A szállítók közötti egyetértés és együttműködés hiánya okolható ezért, bár próbálkozásokat is látunk. A számos gyártót tömörítő Online Trust Alliance augusztusban tette közzé szabványosító javaslatát, amelyben pontokba szedte az internetre csatlakozó dolgokra vonatkozó biztonsági követelményeket. Többek között a magánélet védelmét szolgáló, átlátható és közérthető felhasználói szerződés, szabályok és beállítási lehetőségek, titkosított adatkapcsolat vagy például a gyári jelszó helyett erős, egyéni jelszó használatának kikényszerítése szerepel a listán. Bár ez utóbbi nagyon kézenfekvő és egyszerűen kivitelezhető, a helyzet az, hogy a gyártók általában az internetre csatlakozó komolyabb rendszerek esetében sem teszik meg.
Üdvözlöm az OTA-ajánlást, de attól tartok, hogy a dolgok internete esetében sem számíthatunk nagyobb biztonságra, mint amekkorát a hálózatot elérő számítógépeknél tapasztalunk. A szabványosítás kezdeményezése csak az első lépés, de hogy az IoT-ben érintett iparágak mikor jutnak el a tényleges megvalósításához, hány balesetnek, tragédiának kell majd ehhez bekövetkeznie, az megjósolhatatlan.
CW: A szakma egyik alaptétele, hogy nincs feltörhetetlen rendszer. Bizonyította ezt legutóbb az Ashley Madison-botrány is. A félrelépők randioldala a személyes adatok fokozott védelmét ígérte ügyfeleinek, mégis több tízmillió felhasználó adatai kerültek nyilvánosságra, roppant kínos módon. Pikantériája miatt ez az eset nagyobb sajtóvisszhangot kapott, mint a nyár eleji incidens, amelyben az Egyesült Államok hadseregének személyzeti osztályát érte hackertámadás és az állomány több millió tagjának - közöttük titkosügynököknek - az adatai kerültek illetéktelen kezekbe. Ehhez a támadáshoz persze egy másik állam által szponzorált hackercsoportra lehetett szükség, mint ahogyan az iráni atomtárgyalásokra kémkedő és a Kaspersky Lab rendszereibe is beférkőző Duqu 2 is minden bizonnyal állami megbízásból lendült akcióba. Az ilyen súlyos esetekből ítélve adatainkat csak ott nem érik el a hackerek, ahol nem akarják.
KA: A Kasperskyt a közelmúltban ráadásul azzal gyanúsították meg, hogy a termékeit állítólag másoló versenytársak ellehetetlenítése érdekében etikátlan módszerekhez folyamodott, amit a biztonsági cég persze tagad. A mind bonyolultabbá váló rendszerek, a kifinomult és szervezett támadások világméretű mátrixa sejlik fel előttünk, amelyben már senki nem tudja, hogy kit, honnét, milyen támadás ért, és milyen biztonsági rést kellene betömnie ahhoz, hogy az ne ismétlődhessen meg. Az IT-biztonsági szakemberek már két évtizede hangoztatják, hogy a megoldást nem a gyengén megírt alkalmazásokat körbebástyázó védelemben kell keresni, magukat a rendszereket kell alapjaiktól biztonságosabbá, mégis könnyen használhatóvá tenni. Üzleti okokból erre nem került sor, a szállítók csak elvétve írnak újra kódot, inkább toldozgatnak-foldozgatnak, kockázatokat csökkentenek. Lehet, hogy ez így is marad. Valamiért kevéssé hajlunk a megelőzésre. Hiába tudja az ember, hogy rétegesen kellene öltözködnie, inkább kimegy a hidegbe egy szál pólóban, majd miután meghűlt, drága gyógyszerekre költ.
CW: Valamikor mégis a védekezés hathatósabb formái után kellene néznünk, mert tavaly már a 80 százalékot is meghaladta azon szervezetek aránya, amelyeket kibertámadás ért vagy más IT-biztonsági esemény sújtott, erre a megállapításra jutott a Symantec ITSR 2015 jelentése és a témában felmérést készítő PriceWaterhouseCoopers nagy-britanniai leányvállalata is. Mi több, a PWC bontásában ez az arány idén tovább nőtt a nagyvállalatok körében, ahol meghaladja a 90 százalékot, míg a kis- és középvállalatok esetében a tavalyi 60-ról 74 százalékra emelkedett. Rövidesen nem lesz szervezet, amelyet elkerülnének a kibertámadások. Mit lépnek erre az IT-biztonsági piac szereplői? A kiberbiztonság legfrissebb trendjei hogyan formálták az idei ITBN programkínálatát?
KA: Megküzdeni az ismeretlennel, ez konferenciánk idei mottója, amely jól érzékelteti az IT-biztonsági szakma és a felhasználók helyzetét. Ma már minden jelentős gyártó, rendszerintegrátor és tanácsadó egyetért abban, hogy a kibervédelem hagyományos technológiái, bár továbbra is fontos a szerepük, önmagukban kevésnek bizonyulnak a gyorsan fejlődő fenyegetésekkel szemben. Olyan támadások ellen is fel kell vennünk a küzdelmet, amelyeket a meglévő IT-biztonsági eszközök nem, vagy csak nyomokban észlelnek. A szervezeteknek képessé kell válniuk arra, hogy a korábban ismeretlen behatolók megjelenését is észleljék rendszereikben, megértsék viselkedésüket, izolálják és hatástalanítsák őket, majd a kárfelmérés és -elhárítás után az egész folyamatot visszacsatolják kibervédelmükbe, és mindezzel szüntelenül foglalkozzanak.
Az adott problémát kezelő, kész megoldások kora lejárt. Idei konferenciaprogramunk több mint 80 előadása - amelyek közül többre a kiállítási területen, interaktív formában kerül sor - ezt üzeni. A két nap nyitóelőadását mindenképp kiemelném. A második napon a thaiföldi igazságügyi minisztérium kibervédelmi szakértője, Prinya Hom-anek a több száz milliós dél-kelet-ázsiai régió IT-biztonsági tapasztalatait fogja megosztani, míg az első nap nyitóelőadásában Donald Good, az FBI kibervédelmi igazgatója a kiberbűnözők elleni küzdelem gyakorlatáról és a szervezetek közötti együttműködés lehetőségeiről tart beszámolót. A Palo Alto Networks előadója, Tim Treat az amerikai légierőnél foglalkozott biztonsággal, nálunk arról fog beszélni, hogy a modern biztonságnak hogyan kell organikusan beépülnie a védelmi rendszerekbe. A magyar CrySys Lab a Duqu 2-ről tart előadást, a Magyar Biztonsági Civil Akadémia a magánélet védelmét járja körül a lehallgatási botrányok fényében, a Balabit képviseletében Krasznay Csaba a SCADA és az ipari rendszerek biztonságáról fog beszélni. Tervezünk egy kerekasztalt az államigazgatásban használt, központi, felhőalapú rendszerek kliensoldali védelméről, a CDSys pedig adatszivárgás témakörében végzett kutatásának eredményeiről számol be, a T-Systems pedig a biztonsági esemény észlelését követő feladatokat, folyamatokat fogja áttekinteni, és lesznek termékbejelentések is.
Idén új helyszínen, a Groupama Aréna konferenciaközpontjában várjuk a résztvevőket. A részvétel továbbra is ingyenes, de a megrendelői oldalról érkező látogatóktól a frissített regisztrációs feltételek értelmében egy referenciaszemély nevének megadását kérjük, akit a rendezvényünket támogató szakmai partnerek szakemberei közül választhatnak ki. Magyarán azokat várjuk az ITBN CONF-ECPO 2015-re, akik bárkit ismernek az IT-biztonsági szakmában.