Csizmazia-Darab István

Csizmazia3
Forrás: ITB

Biztonságtudatosság új utakon

Egy közkeletű mondás szerint a jövő azért jövő, mert nem ismerhetjük előre. A korábbi generációról generációra szálló átadott tudás bizonyos témakörökben valóban pótolhatatlan és hasznos, viszont vannak olyan területek, ahol manapság ez a fajta ismeretátadás ebben a formában már abszolút nem működik.

Sőt, ha a számítástechnikát vesszük alapul, sokszor éppen az ellenkezője igaz, az idősebbek idegenkednek az újdonságoktól, míg a fogékonyabb gyerekek, fiatalok tanítják szüleiket, nagyszüleiket az apróbb-nagyobb fogásokra, tudnivalókra. Mindenesetre rohamsebességű a mai műszaki fejlődés – emlékezzünk eleinte mennyi év telt el egy 286 és egy 386-os processzor között, vagy 3.1 utáni Windows 95 verzió megjelenése között. Most viszont akár hardverről, akár szoftverről van szó, rettentő gyorsan változik minden, az egyre újabb típusok, verziók áradata szinte követhetetlen, az eligazodás mind több ismeretet igényel. Ha a grafikus kártyákat, az okostelefonokat vagy a tableteket nézzük, vagy azok operációs rendszerét, az a gyártó, amelyik nem tud néhány havonta, de maximum évente ütős újdonsággal előrukkolni, kimarad, lemarad, háttérbe szorul vagy akár csődbe megy.

Az informatikában főként az internetről, a Linus Torvalds, Bill Gates, Mark Russinovich, és hasonló formátumú zseniktől, pár évvel előttünk lediplomázott megszállottaktól, egyetemi oktatóktól, kutatóktól, de nem ritkán autodidakta huszonévesektől is tanulhatunk bőségesen. Hihetetlen mennyiségű könyv, dokumentáció, leírás, útmutató, podcast, hacker konferencia videó áll a neten rendelkezésre, csak győzzük szabad idővel.

Amellett, hogy a szükséges tudás más fajta csatornákból származik, mint a korábbi generációknál, még az is újdonság, hogy egy életpálya alatt már nem elég egyszer megtanulni egyvalamit, mint régen – tapétázni, gyors és gépírni vagy szövegszerkeszteni, de programozni sem – hanem ma már valóban közhelymentesen igaz, sőt munkavállalás szempontjából elengedhetetlen az élethosszig tanulás fontossága.

Gyerekkorunk óta vadonatúj szakmák jelennek meg, ma már senki nem lepődik meg, ha valaki informatikus akar lenni – jelentsen ez manapság bármit is. És még akit beszippantott ez a közeg, az is folyamatos átalakulás szemlélője, részese. A hetvenes évek végén a szobányi számítógépek világában a biztonság szó nagyjából csak annyit jelentett, hogy idegenek nem jöhetnek a gépterembe, dohányozni bent tilos, a programozó pedig a kódjában ne osszon nullával. Manapság viszont a kihasználható sebezhetőségekről, be nem foltozott hibákról, zeroday-ekről, botnetekről szól minden. És nem meglepő módon az etikus hacker, a behatolás tesztelő, a vírus analizáló épp olyan elfogadott és keresett munkalehetőségnek számítanak, mint korábban bármilyen más hagyományosabb műszaki pálya.

Nem tudjuk, a mai szakmai ismereteink milyen sebességgel fognak elavulni, meddig lesznek jók, ám egyet biztosan tudunk: muszáj folyamatosan tanulnunk, követnünk az eseményeket, szervezett tanfolyamokon meg azokon kívül is. És hogy a biztonságtudatosság mennyire fontos képlet az egyenletünkben, mi sem bizonyítja jobban, hogy a vírusok, kártevők jelentős része úgy tudja a sebezhető állományt a felhasználó gépén célba juttatni, hogy valamilyen social engineering trükköt, magyarán megtévesztést, átverést alkalmaz.

De a biztonságtudatosság része az is, hogy az ESET amerikai felnőttek körében 2011-ben elvégzett kutatása szerint például a közösségi oldalakon jelszavukat soha nem változtatók aránya 33 százalék volt, magyarán a felhasználók harmada egyszer megadta, aztán soha többet nem foglalkozott vele. Érdekes lenne tudni, vajon most, két évvel később milyen ugyanez az arány. Ám ha csak a jelent nézzük, láthatjuk, hogy szinte minden hétre jut jelszó incidens: LinkedIn, Wordpress, Drupal. Most éppen az Ubisoftnál történt egy támadás, ahol a támadók hozzáfértek a felhasználói adatbázishoz, amelyben neveket, e-mail-címeket és titkosított jelszavakat tároltak. Remélhetőleg sokan vannak már olyanok, akik tudják, hogy ilyenkor azonnali jelszó csere szükséges, ezért már maguktól is megváltoztatják, és sokkal kevesebben vannak azok, akik pusztán csak a figyelmeztető e-mail miatt teszik meg ezt. De persze sok egyesnek és nullának kell még lefolyni az RJ-45 kábeleken, amíg ezeket, a biztonságunkat szolgáló lépéseket, tudnivalókat mindenki a maga érdekében már készség szinten is elsajátítja. Szóval ezen a területen van és lesz is feladat bőségesen, ezért csak annyit mondhatunk, folyamatosan dolgozunk rajta, de emellett mindenkinek magának is tenni kell érte.