Szerző: Bodnár Ádám

2003. május 8. 09:55

Interjú az informatikai biztonságról

Az ICON Rt. nemrégiben indította el az ICON Menedzselt Biztonsági Szolgáltatást, amely gyakorlatilag egy biztonsági távfelügyeleti rendszer. Ennek kapcsán a vállalat IT biztonsági üzletágának üzletfejlesztési igazgatójával, Keleti Arthurral beszélgettünk.

HIRDETÉS

Keleti Arthur
Keleti Arthur
Az ICON Rt. a KFKI csoport tagja, a hazai informatikai piac egyik vezetője. 2002-ben a vállalat közel 5 milliárd forintos forgalmat bonyolított. Tevékenysége a tároló- és szerverrendszerek integrációja, üzemeltetésének megszervezése és támogatása mellett kiterjed teljes IT biztonsági megoldások kialakítására és felülvizsgálatára is. Az cég nemrégiben indította el az ICON Menedzselt Biztonsági Szolgáltatást, amely gyakorlatilag egy biztonsági távfelügyeleti rendszer. Ennek kapcsán az ICON Rt. IT biztonsági üzletágának üzletfejlesztési igazgatójával, Keleti Arthurral beszélgettünk.

HWSW: Az ICON nemrégiben indította el Menedzselt Biztonsági Szolgáltatását? Kik vehetik ezt igénybe?

Keleti Arthur: Természetesen bárki igénybe veheti. Megfelelő felméréssel meg lehet állapítani, hogy kinek milyen védelemre van szüksége, egy ilyen felméréssel jelentősen csökkenthető a távfelügyelet költsége. Ezután meg kell állapítani, hogy az egyes riasztások esetén mi a teendő, milyen késleltetéssel kell reagálni, esetleg szólni kell egy rendszergazdának, vagy nekünk magunknak kell cselekedni. Alapvetően mindenki igénybe tud egy ilyen szolgáltatást venni, de el kell gondolkodnia, hogy megéri-e.

Egy ilyen szolgáltatás költsége akkor kezd megtérülni, amikor a vállalatnak nem kell például 2-3 főállású informatikai biztonsági munkatársat alkalmazni, őket oktatni, külföldi konferenciákra küldeni, és fizetni az ügyeleti díjakat, a mobiltelefont, a benzinköltséget. Ráadásul a gyakorlott és kitanított munkatársak egy idő után távoznak a cégtől, mondván hogy nem keresnek eleget. A cégek egyre inkább látják a saját erőforrásból megoldott szolgáltatásokban rejlő kockázatot és outsource-olják a tevékenységeket.

HWSW: Nem kockázatos az informatikai biztonságot outsource-olni?

Keleti Arthur: A vállalatok számára mindig nyitva áll a kapu, hogy megfelelő belső védelemmel lássák el a kritikus adatokat. A rendszergazdák vagy a külső üzemeltetők "szuper" jogosultságaik ellenére sem férnek hozzá olyan adatokhoz, amelyek nem tartoznak rájuk. Ezzel párhuzamosan természetesen fontos, hogy a külső üzemeltető a megbízó teljes bizalmát élvezze, amelyet papír formátumba öntve SLA (Service Level Agreement) segítségével megfelelő jogi formára is le lehet képezni. Tehát a távfelügyelet vagy távmenedzsment mellett döntő vállalatok nincsenek kiszolgáltatott helyzetben, ugyanakkor nyilván olyan céggel érdemes a biztonság outsource-olását megoldani, aki valódi belső bizalmat élvez.

HWSW: Pontosan milyen szolgáltatásokat tartalmaz az ICON menedzselt biztonsági szolgáltatása?

Keleti Arthur: Minden attól függ, hogy az ügyféllel hogy állapodunk meg. Alapvetően arról van szó, hogy a telepített eszközökből, azaz behatolás-érzékelőkből, tűzfalakból, vírusirtókból vagy egyéb eszközökből származó naplófájlokat elsőként egy mesterséges intelligencia elemzi, ezzel rengeteg hamis riasztás kiszűrhető. Ezután a naplót mérnök munkatársaink nézik át, ők már le tudják szűkíteni a kört azokra az eseményekre, amelyekkel érdemes és kell is foglalkozni. Ezután attól függően, hogy milyen megállapodást kötöttünk az ügyféllel, megtesszük a szükséges lépéseket, azaz szólunk a rendszergazdának, vagy akár mi magunk avatkozunk közbe.

[oldal:A magyar viszonyokról]

HWSW: Mennyire tudatosan építik fel informatikai biztonsági stratégiájukat a magyar vállalatok?

Keleti Arthur: 4-5 évvel ezelőtt a nagyobb vírusfertőzéseknél mindenki feleszmélt, és kezdődött tűzoltás, a vezetőség megnyugtatása. Amikor az ICON és más vállalatok révén megkezdődött egyfajta evangelizációs hadjárat, évről évre egyre több forint épült be az informatikai biztonságba és ezzel emelkedett a biztonsági tudatosság szintje is. Ma már a komolyabb bankok, állami cégek, minisztériumok nem engedhetik meg maguknak, hogy ne foglalkozzanak a biztonsággal, azonban hogy foglalkoznak vele, az még nem jelenti azt, hogy elég pénzt tudnak allokálni rá, illetve hogy azt megfelelően költik el.

Ha a biztonságra szánt összegek nem elegendőek, akkor csak látszatintézkedések történnek, például vesznek egy egyszerűbb tűzfalat vagy létrehoznak valamilyen szabályrendszert, amit aztán vagy használnak, vagy nem. Akik nem megfelelően költik el a pénzt, azok különösebb stratégia nélkül vásárolnak valamilyen terméket, például egy behatolás-érzékelőt vagy tűzfalat, de nem biztos, hogy a védelmet a megfelelő helyre és szinten építik be, hiszen a telepítést nem előzi meg alapos felmérés, a biztonsági kockázatok elemzése.

HWSW: Csak a legnagyobb vállalatok engedhetik meg maguknak, hogy foglalkozzanak a biztonsággal?

Keleti Arthur: Nem, ez így nem igaz. Minden vállalat foglalkozhat a biztonsággal a saját szintjén, a kis- és középvállalatok is be tudnak szerezni egy tűzfalat, amivel elég sok mindent ki lehet védeni. A maga kockázati szintjén minden vállalat tud védekezni, ha akar.

HWSW: Mik jelentik a legnagyobb fenyegetést a vállalatok adataira? A vírusok és más kártevők, vagy az adattolvajok?

Keleti Arthur: Nos, a klasszikus értelemben vett ipari kémkedés Magyarországon még nem jellemező, erről mi is keveset hallunk és a sajtó sem számol be ilyen esetekről. Leginkább a vírusok tesznek kárt, vagy a dolgozók tesznek kárt akaratlanul a rendszerben például internetről letöltött programokkal. Persze ezt nem szándékosan teszik, csak letöltenek egy képernyővédőnek látszó programot, amiről aztán kiderül, hogy mégsem az, aminek tűnik. Ami a betörést illeti, legtöbbször egy kollégiumban unatkozó diák vagy az iskola számítógépes laborjában serénykedő kisiskolás az, aki nekiáll feltörni oldalakat, de ők nem válogatnak, ezért ennek bárki áldozatul eshet, kisebb és nagyobb vállalatok egyaránt.

Ami a kockázatot jelenti, hogy az otthoni felhasználókat ugródeszkaként használják a hackerek, mert könnyű prédák, ráadásul ma már nagy sávszélességgel rendelkeznek, hiszen terjed az ADSL, vagy a kábeltévés internet. Az otthoni felhasználóknak a védelme alapvetően a saját feladatuk, de ha vállalati felhasználókról van szó, akkor a védelem a vállalat feladata. Amennyiben a vállalat megengedi, hogy a hálózatához kívülről csatlakozzanak, akkor az potenciális veszélyforrás, mert a dolgozó az otthoni gépéről egyszerre léphet fel az internetre és a vállalati hálózatra, így a hacker nem csak ugródeszkaként használja a felhasználót, hanem esetleg vállalati információkhoz is hozzájuthat. Ezért a vállalatoknál szükség van arra, hogy az egyéni felhasználókat megvédjék például személyi tűzfalakkal, vírusirtókkal, amiket akár a vállalat is terjeszthet a dolgozói között.

HWSW: Mit tehet egy egyszerű otthoni felhasználó azon túl, hogy letölti a legújabb vírusirtót és tűzfalat?

Keleti Arthur: Akinek van egészséges igénye a biztonságra, az az interneten megnézheti, hogy mit hogyan kell beállítani, de a hagyományos értelemben vett otthoni felhasználó elég védtelen.

[oldal:A vállalati adatok védelméről]

HWSW: Ön szerint mely adatok védelme a legfontosabb a vállalatok számára?

Keleti Arthur: Bár egyre több vállalat él abból, hogy az interneten publikál, a legfontosabb adatok rendszerint belső hálózaton, az intraneten találhatók, például stratégiai anyagok, bérfizetési táblák. Az internetes oldal feltörése természetesen image-vesztés, de legtöbb szervezetnél a legfontosabb a belső adatok integritása.

HWSW: Hogyan lehet a gyenge pontokat kiszűrni?

Keleti Arthur: Elsőként ahhoz a felismeréshez kell eljutnia a vállalat vezetőinek, hogy a sérülékenységek sok ponton találhatók, tehát nem csak a számítógépes infrastruktúra vagy a gépeken futó operációs rendszer lehet sérülékeny, hanem a munkatársak és eljárások, illetve a nem megfelelő szabályalkalmazások is veszélyforrást jelentenek. Ezért olyan átfogó ellenőrzésen kell keresztülvinni a céget, amely megvizsgálja, hogy a számítógépes rendszerek biztonságosak-e, hogy a munkatársak biztonságtudatosak-e, betartják-e az előírásokat, vállal-e valaki felelősséget az előírásokért, és hogy ezek megfelelnek-e a hatályos jogszabályoknak.

Ha ez megtörtént, egy sérülékenységi mátrix készíthető, amiből már lehet kockázatokat elemezni. Ezután már számszerűen leírható, hogy egyes káresemények milyen gyakorisággal jelentkezhetnek, mekkora kárértéket jelentenek és hogy mennyit kell és lehet a védekezésre fordítani.

Természetesen minden sérülékenységet másképp lehet és kell vizsgálni. A számítógépes infastruktúra esetében a sérülékenység-elemzés lehet például az etikus hackelés, azaz ha valaki kívülről megpróbál betörni a hálózatba. A munkatársak vizsgálatára jó a social engineering, ami itthon egyelőre még nem igazán terjedt el. A social engineering gyakorlatilag annyit tesz, hogy a felhasználókat mindenféle trükkökkel rá lehet bírni arra, hogy kiadjanak bizalmas információkat. Ráadásul nem is biztos, hogy itt ők hibát követnek el, hiszen lehet, hogy a szabályokat maximális körültekintéssel tartják be.

Természetesen a dokumentációk vizsgálatára is megvannak a megfelelő módszerek. Összességében nagyon fontos, hogy minden sérülékenység vizsgálatára megvannak az eszközök, és ezeket a vizsgálatokat össze kell hangolni, a különféle területeken vizsgálódó csapatoknak együtt kell dolgozni.

HWSW: Hogyan növelhető a felhasználók biztonságtudatossága?

Keleti Arthur: A felhasználók alapvetően emberek. Mivel emberek, ezért nem lehet őket úgy befolyásolni, mint a számítógépeket, vagyis nem működik az, hogy bekonfigurálok valamit és az onnantól jól működik. Egyszerűen ki kell kényszeríteni, hogy a felhasználók másképp gondolkodjanak. Ehhez nagyon sok oktatás kell, odafigyelés kell, jó HR-es kell, biztonsági felelős kell, jó projektterv kell. Emellett szükség van olyan eszközökre, mint pl. egy smart card, amihez egy jelszó párosul és mondjuk ezek nélkül a számítógép nem működik. Ez az eszköz lehet ugyanaz a kártya is, amivel az épületben az ajtókat lehet nyitni. Ha ezen a kártyán rajta van a dolgozó arcképe, amit a biztonsági őr is lát, a felhasználó azt veszi észre, hogy neki muszáj a kártyát magánál tartani és ugyanúgy, mint a bankkártyát, ezt sem adja majd senkinek kölcsön. Meg kell szokni, hogy a számítógépek használata is azonosításhoz kötött.

HWSW: Ön szerint a tárgyak használata nélkülözhetetlen a biztonságtudatosságra neveléshez?

Keleti Arthur: Igen, feltétlenül. He nem lenne kulcsom az ajtóhoz, nem tudnám bezárni. De a tárgyak önmagukban nem elegendőek, ehhez oktatás kell és meg kell szerettetni a felhasználókkal a dolgot. A dolgozóknak látniuk kell, hogy egy ilyen rendszer számukra miért hasznos. Például be lehet vezetni egy olyan kártyát, amivel be lehet jutni az épületbe, be lehet lépni a számítógépes rendszerbe és a büfében lehet vele italt venni. A jövőben az is elképzelhető, hogy a dolgozók a fizetésüket is erre a kártyára kapják. Ez egy olyan láncolat, ami messze vezet, de azzal kezdődik, hogy a kártyát be kell vezetni.

[oldal:A hackerekről]

HWSW: Törvényes dolog az etikus hackelés? Ez nem számít számítógépes bűncselekménynek?

Keleti Arthur: Az etikus hackelés akkor törvényes, ha kapunk rá felhatalmazást, és akkor erről valahol írásos megállapodás van, és a megrendelő megfelelő megbízottja tud róla. Persze a vállalatvezető dönthet úgy is, hogy senkinek nem árulja el a dolgot. Egyetlen hátulütője van a dolognak, mégpedig az, hogy hogy az etikus hacker nem lesz népszerű a dolgozók között, hiszen egyeseknek fájdalmat okozhat. Ha valahová be lehet törni, akkor ott könnyen lehet, hogy mulasztás történt, és ezt felelősségre vonás követheti. De ettől függetlenül az ellenőrzést végig kell csinálni, egy pénztári ellenőr sem szimpatikus, az orvosi vizsgálat is fájó dolog. Megpróbáljuk elmagyarázni a felhasználóknak, hogy ez a dolog mivel jár, mint ahogy az orvos is figyelmezteti a beteget, hogy a vizsgálat kicsit fájni fog.

HWSW: Vannak az etikus hackelésnek korlátai? Ilyenkor mindent szabad?

Keleti Arthur: Nem, egyelőre nem vagyunk abban a helyzetben, hogy mindent bevessünk. Ha például egy nagy szervezet kér egy biztonsági vizsgálatot, akkor rendszerint kiköti, hogy azt úgy kell végrehajtani, hogy "nem állhat meg semmi". Ezért nagyon finoman kell a kérdést kezelni és úgy kell vizsgálatot csinálni, hogy eredményes is legyen, de ne bénítsa meg a szervezet működését. Ez rendkívül nehéz feladat, de a vizsgálat fáj, ezt tudomásul kell venni.

Voltak olyan esetek, hogy a vizsgált rendszert a vizsgálat közben megváltoztatták és ekkor majdnem elölről kellett kezdeni mindent. Az orvosi vizsgálat is egyszerre nézi meg a betegségeket, az orvos nem ír fel gyógyszert egy betegségre és nem mondja azt, hogy a másik kettőre majd visszatérünk. A lényeg az, hogy mindig fel kell készíteni a felhasználókat arra, hogy mi fog történni, és aztán nekik fegyelmezetten végig kell csinálni a dolgokat.

Fontos még, hogy ha valaki betör valahova, akkor azt bizonyítani kell, illetve el kell mondania, hogy mit csinált. Szerződésben rögzíteni kell mindent, le kell írni, hogy mit várunk és mit fogunk csinálni, mi fog történni.

HWSW: Nemrég az RSA konferenciáján Kevin Mitnick azt mondta, hogy az informatikai biztonsági iparban dolgozók elég nagy része volt hacker. Létezik átjárás a sötét és a világos oldal között?

Keleti Arthur: Igen, létezik, és ez egyáltalán nem baj. De hogy mi a sötét oldal, ez nagyon relatív. Én annak idején egy cracker-csapat tagja voltam és C64 programokat törtünk fel, mert ezt akkor még szabad volt. Ilyen háttérrel sokan dolgoznak ebben a szakmában, hiszen szoftvereket feltörni, hálózatokat feltörni elég hasonló. De ezt én egyáltalán nem szégyellem.

Ha valaki 14-15 évesen feltör egy weboldalt, aztán később egyetemre megy és ebben az iparban akar elhelyezkedni, akkor nyilván nem lesz büszke az életének erre a szakaszára, de lehet hogy hasznos tapasztalatokat szerez. Én nem hiszem, hogy a hackerek csak gonoszságból követnek el dolgokat, sokan nem is pontosan tudják, hogy mit csinálnak, vagy csak a hírnév miatt hackerkednek. Az életnek ez a szakasza lezárul, az ember felnő, miért ne vállalhatna munkát ebben a szakmában?

HWSW: Mekkora veszélyt jelentenek az internetről letölthető hackerprogramok? Hogyan lehet ellenük védekezni?

Keleti Arthur: Az biztos, hogy az internetről sok mindent le lehet tölteni, ezeknek a programoknak a képessége aggasztó szinten növekszik. De ha valaki megnézni, hogy egy ilyen program mit csinál, akkor azt látja, hogy a támadó lehet eg program, de lehet akár egy felkészült hacker is. A megoldás, hogy ezek ellen a támadások ellen védekezni kell, például behatolás-védelemmel, vírusvédelemmel, tűzfalakkal. A vírusvédelmi vagy behatolásdetektáló cégek igyekeznek a fenyegetéseket minél hamarabb felfedezni és a programjukat frissíteni. De azért azt tudni kell, hogy a hackerek rendszerint előbb jutnak bizonyos információkhoz, mint a közemberek.

HWSW: Kell-e egy biztonsági szakértőnek kapcsolatot tartania a sötét oldallal, a hackerek világával?

Keleti Arthur: Kell egy kis kapcsolatot tartani, ugyanakkor azt is kell látni, hogy ami igazából fontos, az a szemlélet, a gondolkodásmód. Arra kell rájönni, hogy ha egy hacker fel akar törni valamit, akkor azt hogy teszi. Ha ezt az ember tudja, akkor nagyon könnyű dolga van, mert a többi dolog csak eszköz és idő kérdése. Egy rendőrnek nem kell kitalálnia, hogy hogyan lehet zongoralábban kábítószert csempészni, azonban amikor először meglátja a zongorában a fehér port, akkor azt dokumentálja és innentől kezdve mindenki, aki így gondolkodik, az fel tudja használni a megszerzett információt.

Hackereszközök léteznek a piacon, de nekem nem kell azzal foglalkoznom, hogy hogyan találjam meg a sérülékenységeket, mert ezen a másik oldal folyamatosan és sajnos eredményesen dolgozik. Egy vállalat dolga ezért elsősorban az, hogy gondoljon arra, hogy védekeznie kell és ebben megfelelő színvonalú szakemberek segítségét kérje. A szakember feladata pedig az, hogy kialakítsa a védelmet az ismert sérülékenységekkel szemben és készítse fel a vállalatot a változás kezelésére is.

a címlapról