A kiberfenyegetések, amelyek szervezetek adatvagyonát, működését veszélyeztetik, olyan összetetté váltak, hogy pusztán egyetlen technológia eszközeire támaszkodva ma már lehetetlen elhárítani őket. A hatékony védelem körültekintő IT-biztonsági stratégia mentén megvalósított fejlesztésekkel – beruházásokkal, szabályozással és folyamatokkal – építhető ki. Az IT-biztonság témakörében érintett, hazai szakemberek nyitottságára utal, hogy az ITBN 2013 résztvevői – a szervezők által készített felmérés szerint – a kiberhadviseléssel, a megfigyeléssel és az adatszivárgással, valamint a nulladik napi sérülékenységekkel kapcsolatos előadásokat és műhelyfoglalkozásokat tartották a legérdekesebbnek.
A Kaspersky Lab közel háromezer cég bevonásával készült, szintén idei felmérése (Global IT Risks Survey: IT Security – Fighting the Silent Threat) azonban arra is rávilágított, hogy a vállalatok 54 százaléka úgy véli, a kibertámadások száma csökken, aminek persze éppen az ellenkezője igaz. A tanulmány megállapítja, hogy a vállalatok biztonságérzete nem azért erősödött, mert jobban felkészültek a védekezésre és magabiztosabbá váltak, hanem azért, mert a kifinomult támadásokat nem is észlelik – így azok minden eddiginél nagyobb károkat okozhatnak.
Computerworld: IT-biztonsági szakembereink valóban olyan támadásoktól tartanak, amelyektől a leginkább kellene, vagy éppen a lényegen siklanak át, amikor napjaink kiberfenyegetéseivel szemben védekeznének?
Keleti Arthur: A szervezetek azért nem alkothatnak pontosabb képet mindenkori fenyegetettségükről, mert – az IT-biztonsági szakembereket is beleértve – kevesen merjük beismerni, hogy csupán a jéghegy csúcsát látjuk. Tudjuk, hogy az ennél lényegesen nagyobb, az összetételével is tisztában vagyunk, és ez hamis biztonságérzetet ad: az évekkel korábban megjelent vírusok és férgek ellen a vírusirtónk, a tűzfalunk nyilván megvéd bennünket. Az így gondolkodó biztonsági szakemberek azonban naivak, a nem megfelelően kialakított védelmi rendszereken valójában sok minden átcsúszik. A jéghegy csúcsával, az aktuális fenyegetésekkel, mobil sérülékenységekkel, adatszivárgási és kiberkémkedési botrányok tanulságaival is foglalkozni kell. De fúrjunk mélyebbre a jéghegy gyomrába, és egyre kevésbé érezzük majd magunkat biztonságban.
Mit kezdjünk ezzel a bizonytalansággal? Ne ijedezzünk, ne rettegjünk fűtől-fától, hanem féljünk módszeresen. Tartsunk a veszélyektől, legyünk résen, de tisztázzuk, hogy mely kockázatokat kell megszüntetnünk, és milyeneket vállalhatunk. Kézenfekvő megközelítésnek tűnik, de az IT-biztonságot valóban erősíteni akaró szervezetek helyzete korántsem egyszerű. Sokféle fenyegetéssel nézünk szembe, ezért fontos, hogy a veszélytényezőket számba vegyük és mérlegeljük, mitől kell tartanunk valójában.
Hiába készülnek fel a szervezetek a legkülönfélébb fenyegetések kivédésére, adataikat kiszivárogtathatja egy olyan támadás is, mint a Flame, amely legalább 2005 óta megbújt a rendszereikben, de erre csak 2012-ben derült fény. Érdemes-e aggódnunk amiatt, hogy az iPhone 5 ujjlenyomat-olvasóját feltörték? Zsebtolvajok, rablók ellen továbbra is megfelelő védelmet ad, mivel a zsákmányolt okostelefont nem tudják értékesíteni a feketepiacon. A szofisztikált támadók viszont, akik az eszköz tulajdonosától vagy annak munkáltatójától akarnak adatokat lopni, már egyáltalán nem biztos, hogy az ujjlenyomat-olvasóval fognak vesződni, hiszen más, például titkosszolgálati módszerek is a rendelkezésükre állhatnak.
Örömmel tapasztalom, hogy ez a strukturált megközelítés megjelent az IT-biztonsági szakemberek, valamint a biztonság kérdésével komolyan foglalkozó felhasználók és informatikusok körében. Módszeresség hiányában a szervezetek aligha láthatnának hozzá, hogy a kockázatokat saját gyakorlatukból vett, konkrét példák mentén, az üzemeltetés és az üzleti területek bevonásával kielemezzék. Az IT-biztonságért felelő és az üzemeltetés területén dolgozó szakemberek együttműködése kulcsfontosságú, mert csak közös kockázatelemzéssel erősíthetik érdemben a szervezeti adatvagyon védelmét, biztosíthatják az üzletmenet folytonosságát.
Tisztázni kell persze azt is, hogy mely adatok mekkora értéket képviselnek az adott szervezet számára, és azok milyen védelmet kapnak. Más szóval szabályozott információmenedzsment-környezetet kell kialakítani, amelyben a különböző érzékenységű adatokat a felhasználói csoportok jogosultságaiknak megfelelően érhetik el és kezelhetik.
Kevés tehát, ha az IT-biztonsági szakember felismeri, hogy a szervezet adatvagyonának féltett része kockázatoknak van kitéve. Az üzemeltetőkkel, a felhasználókkal és a vezetőkkel is meg kell értetnie ezt, különben nem kap erőforrásokat a szükséges fejlesztésekhez.
CW: Menyire elterjedt a területek biztonságot erősítő együttműködése a hazai szervezeteknél?
KA: A biztonság kérdésével komolyan, mélységeiben foglalkozó szervezetekről beszélhetünk csupán. A vállalatok, intézmények túlnyomó többségénél ma még sem az üzemeltetési, sem a termelési, gazdasági, sem a vezér- vagy ügyvezető igazgató nem érzi olyan jelentősnek és összetettnek a problémát, hogy azzal foglalkozzon. A kibertérben a fenyegetettség ugyanis kevésbé látványos formában jelentkezik, legalábbis amíg nem történik baj, mint egy áramszünet, a gépsor meghibásodása vagy egy beszállító határidő-túllépése. A vezetők ezekre a kézzelfogható kockázatokra összpontosítanak.
Az ITBN egyik célja, hogy fórumot teremtsen a területek közötti együttműködés erősítéséhez, de ez önmagában kevés. Tapasztaljuk, hogy a vállalati IT-biztonsági szakemberek gyakran magukra maradnak a szervezeten belül, és nem tudják, mihez is fogjanak: incidenseket kezeljenek, naplófájlokat elemezzenek vagy biztonsági auditra készítsék fel a szervezetet, új technológiákkal ismerkedjenek vagy fejlesztésekhez kérjenek erőforrásokat, miközben az új fenyegetések felől is folyamatosan tájékozódniuk kellene.
Mindez egy átlagos méretű szervezetnél is legalább 3-4 szakember munkáját igényelné a nap 24 órájában, a hét minden napján. A legtöbb vállalat, intézmény azonban nem engedhet meg magának ekkora létszámot, az IT-biztonsági „csoport” egy-két fős. Az erőforrás-hiány krónikus, ezért ahol erre egyáltalán sor kerül, a kockázatelemzéssel feltárt problémák közül sok megoldhatatlannak tűnik, és az is marad.
CW: Túlléphet-e ezen a helyzeten egy hazai vállalat anélkül, hogy erejét meghaladó mértékben költene IT-biztonsági eszközök bevezetésére, szakemberek foglalkoztatására?
KA: IT-biztonsági eszközökre mindenképp szükség lesz a védekezéssel kapcsolatos feladatok automatizálása érdekében. Nélkülük a szervezet teljesen kiszolgáltatott lenne, ezzel ma már mindenki tisztában van. Sokan figyelmen kívül hagyják azonban, hogy a biztonsági eszközök nemcsak riasztani, szűrni és ártalmatlanítani képesek, hanem beszélni is tudnak, mivel folyamatosan figyelik és naplózzák az adatforgalmat, a hálózati eseményeket. Az erőforráshiánnyal küszködő, egy-két fős IT-biztonsági csoportok nem elemzik ezeket az információkat, és ma a legtöbb szervezetnél ez az egyik legnagyobb akadálya a védekezés hathatós továbbfejlesztésének.
További nehézség, hogy az IT-biztonságot el kell adni a szervezeten belül. Az IT-biztonsági szakember ezen a téren jóval nehezebb helyzetben van, mint az IT-vezető. Az új szolgáltatások bevezetéséhez vagy a meglévők javításához szükséges informatikai beruházások megtérülését, üzleti értékét sokkal könnyebb bemutatni, mint például a vállalati adatforgalom titkosításáét. Mi több, a felhasználók, akár az üzemeltetésért felelő rendszergazdák is hajlanak arra, hogy a biztonsági intézkedések hátrányait lássák, körülményesebbé váló hozzáférést, teljesítménycsökkenést kiáltsanak. Kétségtelen, hogy a biztonság nem járul hozzá közvetlenül a bevételek növekedéséhez, de segít elkerülni a bevételkiesést egy olyan környezetben, amelyben a vállalat, ha ez első pillantásra nem is tűnik így, komoly és valós fenyegetéseknek van kitéve. Ennek értékét kell felismertetni a döntéshozókkal.
Könyv szerint az IT-biztonsági szakember előtt a vezérigazgató, de legalább a gazdasági igazgató ajtaja mindig nyitva áll. Ehhez képest a gyakorlatban a legtöbb szervezetnél az IT-biztonság területét az IT-vezető alá rendelik, és ami még rosszabb, az informatikai osztály költségvetéséből kell megoldania a védekezést, magyarán abból, ami az üzlet által kért beruházások megvalósítása és az üzemeltetési költségek fedezése után marad.
Az IT-biztonsági szakembereknek ezért meg kell tanulniuk, hogy kicsit a többi terület vezetőinek, felhasználóinak fejével is gondolkodjanak. A vezérigazgató, az üzletágvezető a magánéletben is használ digitális eszközöket, miként családjának, baráti körének tagjai is. Mindegyikük tapasztalta már, hogy milyen következményekkel jár egy számítógép leejtése, telefon vagy memóriakártya elvesztése, egy olyan fotó feltöltése az internetre, amelyet nem kellett volna megosztani, vagy ha a gyereket csúfolják a közösségi hálón.
Személyesen átélt biztonsági események megidézésével, konkrét incidensek példáiból levezetett érveléssel sikerülhet kimozdítani a vezetőket komfortzónájukból, ráébreszteni őket arra, hogy aminek a létéről nem tudnak, az még nagyon is valós veszélyt jelent az üzletre, az adatokra és a működésre nézve. Ezzel a módszerrel fokozható a biztonságtudatosság, a jó értelemben vett paranoia a szervezeten belül.
Emellett arra bátorítanám az IT-biztonsági szakembereket, hogy a már meglévő biztonsági eszközök által begyűjtött információkat elemezzék. Ha nem naplóznák a hálózati eseményeket – amivel még ma is gyakran találkozunk –, akkor azt kezdjék meg. A logelemzéssel nyert betekintés több szempontból is értékes: segít a tényleges kockázatok azonosításában, a védelem erősítését célzó fejlesztés irányának meghatározásában, a beruházás szükségességének alátámasztásában, és ha már megtörtént a baj, az incidens körülményeinek feltárásában. Ez az információ az esetleges jogi kérdések, perek rendezéséhez és a hasonló biztonsági események jövőbeni megelőzéséhez egyaránt hatékony muníciót ad.
Azon szervezeteknek, amelyeknél a rendszerekből kinyerhető biztonsági adatok elemzésére nincs erőforrás, tanácsolnám, hogy vegyenek igénybe piaci szolgáltatásokat (pl. felügyelet, külső naplóelemzés és riasztás), mert azokat kimondottan számukra fejlesztették ki. Ezzel a döntéssel a vállalatok, intézmények havidíjas szolgáltatással válthatják ki az IT-biztonsági beruházásokat, amely gyakran arra is alkalmat ad, hogy védelmük erősítésébe mélyebb, külső szakértelmet is bevonjanak.