Címlapon

Biztonságban lenni

Míg néhány éve egy informatikai rendszer biztonsága azon múlt, hogy a rendszerfelügyelõk milyen sikerrel játszottak rabló-pandúrt a tûzfal mögé bekukucskálni szándékozó hackerrel, ma már nem annyira a behatoláselhárító guruk felkészültsége számít, hanem a célba vett vállalat informatikai biztonsági szervezetének minõsége, mûködése.

 

A biztonsági sérülékenységek – azaz a hackerek által kihasználható potenciális hibák – száma az elmúlt három esztendõben megtízszerezõdött, s a jelentett biztonsági incidensek – támadások – mennyisége is több mint nyolcszorosára emelkedett – mutat rá az idõk változásaira Danyi Pál, az Ernst & Young budapesti irodájának senior menedzsere, az informatikai kockázatkezelési csoport vezetõje. Minthogy naponta 10-12 új sérülékenységet jelentenek, elengedhetetlen, hogy egy vállalat naprakész legyen ez ügyben, mert ellenkezõ esetben könynyû prédájává válik a hackereknek.


Passzív és aktív elhárítás
Mivel a sérülékenységek állandó keresése sok idõt vesz igénybe – a hálózati adminisztrátorok idejének 75 százaléka megy el erre adatbázisháttér nélkül –, célszerû szakosodott online szolgáltatót igénybe venni. Egy már meglévõ, elõfizetéses online adatbázisból ugyanis mintegy 70 százalékkal kevesebb idõbe kerül megkeresni, letölteni és alkalmazni a javításokat, ráadásul a hamis riasztásokkal sem kell foglalkozni, s a naprakészség elve is érvényesül. Az online szolgáltató munkatársai, úgymond hivatásszerûen, egész nap a neten „lógnak” s hackerlistákat böngésznek, illetve az intenetbiztonsággal foglalkozó nyilvános honlapok közleményeit nézik egy viszonylag teljes adatbázis öszszeállítása érdekében. Fontos ugyanakkor, hogy a talált dolgokat ki is próbálják, ugyanis egy hackerlistán talált új sérülékenység nem feltétlenül igaz, irányulhat éppen egy nem tetszõ gyártó lejáratására is – mutat rá Danyi Pál. Meg kell tudni mondani azt is, hogy a felfedezett hibák, biztonsági rések mekkora kockázatot jelentenek egy cég számára. Ennek során három szempontra kell figyelni: mekkora lehet az okozott kár, milyen egyszerû kiaknázni a hibát, illetve mennyire népszerû az adott szoftver. A szakértõk ezek alapján számolják ki a kockázatot minden egyes sérülékenységre. A hibaelhárításnak van aktív, értéknövelt formája is, ilyenkor nem az elõfizetõnek kell letöltenie a hibajegyzékeket, hanem maga a szolgáltató jelez veszély esetén. Ez a gyakorlatban úgy mûködik, hogy az elõfizetõ közli a szolgáltatóval legsérülékenyebb erõforrásainak listáját, a szolgáltató pedig a napi frissítés során ezt a listát összeveti az új hibák jegyzékével, s ha „helyzet van”, elektronikus értesítést küld az ügyfélnek. Létezik olyan hardvereszköz is (lényegében egy speciális számítógép), amely egy hálózatra telepítve végigszkenneli a hálózati erõforrásokat, majd katalógust készít ezekrõl verziószám szerint. Azután a kockázat szerinti sérülékenységi leltárt rávetíti az erõforrásokra, s kilistázza a veszélyeztetett erõforrásokat. Arra is van lehetõség, hogy igény szerint, óránként, naponta, hetente stb. automatikusan letöltse az aktuális hibajegyzéket. Ha veszélyt érez, riasztja a rendszeradminisztrátort, sõt, kockázat szerint súlyozott teendõlistát készít.

 

Guruk helyett felügyelõrendszert!
Az IT-biztonsági szakembernek már csak azt kell eldöntenie, miként küszöbölje ki a hibát. A kockázatkerülõ megoldás az, hogy néhány napra kiiktatják a szóban forgó folyamatot, de ennél finomabb eljárás patchek és fixek letöltése. Ekkor azonban tisztázni kell, hogy ezek a javítások használhatók-e; ezt adott esetben sérülékenységelhárító online szolgáltatónk megmondja. A fentiekbõl következik, hogy a cégeknek biztonsági guruk helyett napra kész, jól kezelhetõ biztonsági felügyeleti rendszerre van szükségük. A „magányos harcosok” kora a vége felé közeledik, már csak azért is, mert kevés az igazán új típusú fenyegetés, s a biztonsági kockázatokat jobbára az informatikai rendszerek egyre bonyolultabbá válása növeli. A lényeges kihívás a mennyiségben rejlik: egyre több az adat, a rendszerkomponens, s ezek maguk után vonják a sérülékenységek és a biztonsági incidensek számának emelkedését.

Amikor az „a priori paradox” rulez
Tudjuk, hogy a biztonság költség és haszon kérdése. Van azonban egy alapvetõ, úgynevezett a priori paradox helyzet. Ugyanis míg az üzlet tudja, hogy mit jelentenek számára a védendõ adatok, miközben az informatikát kéri meg az adatok védelmére, addig az informatikának csak a legritkább esetben van fogalma arról, hogy mit is véd. Bonyolítja a helyzetet, hogy – fõleg Európa eme szegletében – sok esetben még maguk a felelõs üzleti vezetõk sincsenek tisztában az adatok értékével. Mert mi határozza meg az adat értékét? Annak jelentése, forrása, kontextusa, bizalmassága, bizonytalansága, pontossága, elõállíthatósága, elõhívhatósága, idõbelisége, reprodukálhatósága stb. – adja meg rögtön a választ Danyi Pál. Mivel a legtöbb hazai cég háza táján nincs meg az adatérték-ismeret kultúrája, az informatikai vezetõ, ha ilyen kérés érkezik hozzá, minden adatot maximális védelemmel lát el, csak hogy ne érje szó a ház elejét. Ebben az esetben máris megsérült a költség–haszon elve, mert nem tudni, hogy mi a haszon, viszont a költségek tetemesek. Az adatok védelmének ésszerûsítése hatással van a jogosultságokra is: minél értékesebb egy adat, annál kevesebb embernek szabadna hozzáférnie. Akadhatnak olyan érzékeny adatok, amelyekben intézményen belül is csak bizonyos szint fölött lenne szabad „turkálni”…

Folytonosságban az üzlet
Meglehetõs káosz tapasztalható az informatikai biztonsági szabályozás körül is, amit csak bonyolít a különféle szabványok megjelenése. Az Ernst & Young menedzsere szerint addig nem is lesz rend a szabályozás körül, amíg ennek – világos struktúrában – el nem készül a térképe. Legelõször az üzleti stratégiából kiindulva el kell készíteni az informatikai és a biztonsági stratégiát, majd ebbõl a kettõbõl ki kell alakítani az informatikai biztonsági politikát. Különös gondot kell fordítani az üzletmenet folytonosságának biztosítására. Danyi Pál szerint az ISO erre vonatkozó, 17799-es szabványát sokan félreértelmezik, s megelégszenek néhány oldalas üzletmenet-folytonossági tervvel (ÜFT) az IT-biztonsági szabályzat keretében. Ez a néhány oldal azonban nem segít nagyobb rendszerleállás esetén, az ÜFT-t legalább olyan alaposan kell kidolgozni (több száz oldalon), mint ahogy a teljes informatikai biztonságot megszervezni. Elõregyártott forgatókönyveket, terveket kell készíteni – s azokat tesztelni, oktatni, karbantartani – az informatikai és az üzleti katasztrófákra, valamint az incidensmenedzselésre, így a cég katasztrófa vagy incidens bekövetkezésekor nem áll tanácstalanul, és nem kezd kapkodni, még nagyobb kárt okozva. Sok cég azonban nagy dilemma elé kerül az üzletfolytonosság-menedzsment kapcsán. Azt kérdezik ugyanis, hogy hol térül meg nekik az az 50 millió forint, amit egy ilyen megoldásra kifizettek s az a 2 millió, amit az éves karbantartásra fordítottak, ha az ehhez „szükséges” katasztrófa, mondjuk, csak fél évszázadonként következik be? A válasz: okosan kell tervezni. A tervezés alapjának pedig egy gondos üzletikockázat- és hatáselemzésen kell nyugodnia. Ha ez megvan, nap mint nap használható incidensmenedzselõ tervet lehet készíteni, amely nemcsak nagyobb katasztrófákra, hanem kisebb problémákra is jól alkalmazható. Így könnyebben hozható létre a nagyobb katasztrófák kezelési terve is.