2005. október 3., hétfő

Biztonsági helyzet 2005-ben

Az elsõ hasonló témájú riport után 2005 végén újra megkérdeztem Kürti Sándort mit gondol az informatika és az internet biztonsági kérdéseirõl. Kürti Sándor az egyik legismertebb európai biztonsággal és adatmentéssel foglalkozó cég vezetõje. Elõzõ riportom ami öt évvel korábban készült az Internetmarketing magyar szemmel c. könyvemben jelent meg ami már nyomtatva nem kapható de letölthetõ .PDF forátumban errõl a webhelyerõl.

Körülbelül öt éve optimistán nyilatkozott az informatika biztonsági kérdéseirõl. Ma is optimista?
Kürti Sándor: Igen. Azóta igen jelentõs elõrelépések történtek az iparágban. Persze felhasználói oldalról a pozitív események természetesnek tûnnek, és csak a jelenlegi hiányosságok irritáló jellege az, ami ma megjelenik a felhasználói oldalon.
Ma már természetesnek vesszük, hogy nem az informatikai eszközök köré épített biztonságra kell helyezni a fõ hangsúlyt (azaz nem az informatikai biztonságra), hanem az információ biztonságára, tudva, hogy az információ legnagyobb részben az informatikai eszközökön létezik, de a biztonság szempontjából sokkal-sokkal tágabb értelmezésû az információbiztonság, mint az informatikai biztonság.
A legjelentõsebb elõrelépés a globális információbiztonsági fogalmak meghatározásában és nemzetközi szabvány formájában való megjelenésében történt.

Szétválasztható-e a számítógépekkel és az internettel kapcsolatos biztonság ma?
K.S.: Igen. Az internettel kapcsolatos biztonság ma az internetet használó bármely két végpont hálózati biztonságáról szól, ami a biztonságnak egy része, de messze nem a teljes biztonság.
Ha valaki rátekint a saját gépére, meglepõdik, hogy mennyi „lyuk" van rajta, ahol adatot lehet kivinni, és ezek közül csak az egyik a hálózati kapcsolat. Más megközelítésbõl, az információ eltulajdonításának klasszikus módszere a lopás. A lopás klasszikus értelemben a helyszínre való bejutás és a helyszíni eltulajdonítás elemeibõl épül fel, amelyek a statisztikák szerint ma is a biztonsági rések több mint 70%-át jelentik. Ez a biztonsági rés a számítógép oldalán jelentkezik egyértelmûen, és az Internet ebbõl a szempontból nem okolható.

Hogyan lehetne összefoglalni az informatikai biztonsággal kapcsolatos változásokat az elmúlt idõszakban, vannak-e tendenciák ezügyben?
K.S.: Ma már információ biztonságról beszélnek a hozzáértõk, és nem informatikai biztonságról.
A) A bevezetõben említettem a nemzetközi szabványok megjelenését, amelyeket megelõzött egy sor nemzeti szabvány. Ezek a nemzetközi szabványok több szempontból specializálódtak:
mit jelent a biztonságos eszköz?
mit jelent a biztonságos szolgáltatás?
melyek a legjobb gyakorlat példái?
melyek a pénzügyi szektor legfontosabb biztonsági szempontjai?
B) Az információ védelme megjelent a jogban. Ez óriási elõrelépés. Büntethetõ az, aki elektronikus információt lop, illetve egyéb jellegû kárt okoz a digitális világban.
C) Nem csak a jogban jelent meg az információ védelme, hanem a joggyakorlatban is. Nehezen, kín-keservvel, de már megjelent. A bûnüldözõknek sikerült már azonosítaniuk a cyber tér néhány bûnözõjét, és ezek már eljutottak a büntetés-végrehajtó intézményekig.

Melyek lennének a legjobb gyakorlat példái?
K.S.: ITIL-nek hívják azt a ma már nemzetközi szabvány rendszert, amely a legjobb gyakorlat példáit gyûjti össze. Pillanatnyilag 49 könyvben.

A biztonsági problémák kérdéskörében ma mekkora szerepe van az internetnek?
K.S.: Hatalmas és egyre növekvõ. Arról van szó, hogy az interneten, mint a jelenlegi legolcsóbb kommunikációs csatornán, egyre több értékes információcsomag halad át. Mivel ezt a csatornát nem az értékek továbbítására találták ki, így utólag történik a csatorna foltozása. Meg a csatorna környezetének a foltozása. Ma az egyik legizgalmasabb kérdés éppen így szól:
tegyük biztonságossá az internetet, vagy
hozzunk létre a meglévõ mellett egy biztonságos internetet.

E kettõ közül Ön szerint melyik fog teljesülni, és ennek milyen „ára" lesz, a felhasználókat ez hogyan fogja érinteni?
K.S.: Bár tudnám erre a kérdésre a választ, minden anyagi gondom megoldódna. A lényeg: bármely megoldás megvalósulása hatalmas összegeket fog felemészteni, hiszen a magas biztonsági szinthez a jelenlegi eszközök nem használhatók.
Nekem tetszik az e témával foglalkozóknak az evolúcióval összehasonlító megközelítése. Ez arról szól, hogy az élõvilágban nagyszámú életképes faj és egyed létezik, és ez a számosság éppen az, ami az élõvilágnak a túlélési képességét maximalizálja. Lefordítva mindezt az informatika nyelvére, a biztonsági szintet bizonyára nagyban emelné az eszközök (hardverek és szoftverek) különbözõsége és nagyszámú variációja.
A felhasználók már leszámoltak azzal az illúzióval, hogy az informatika területén minden olcsó. A biztonság e területen is, mind mindenhol máshol, sokba kerül. Szelektíven sokba. Minél nagyobb a biztonsági igényünk, annál többe.

Az Eurostat jelentése szerint ebben az évben nem súlyosabb a helyzet vírusok/trójaik/kémprogramok terjedése terén mint a tavalyi év hasonló idõszakában volt. Lehetségesnek tartja-e hogy javul, vagy legalább nem romlik tovább az internettel/informatikával kapcsolatos biztonsági helyzet?
K.S.: A vírus jellegû problémák szoftver és hardver eszközeink rossz minõségének rosszindulatú kihasználásából adódnak. Ennek megfelelõen az az állítás, hogy „a helyzet nem súlyosbodott jelentõsen", az csak annyit jelent, hogy
a szoftver és hardver eszközök minõsége nem romlott jelentõsen, és/vagy
a rossz minõségû szoftver és hardver eszközök köré épített szabályozásokba több pénzt és energiát fektettek a felhasználók, és/vagy
a jogi szabályozásnak a visszatartó ereje érvényesült.

Ön szerint a vállalatok ma helyesen védekeznek-e az internetrõl érkezõ támadásokkal szemben, és mit javasol nekik?
K.S.: Nincs semmilyen javaslatom, mert:
- akik felismerték, hogy milyen kockázatokat hozott az üzletmenetükben az internet, azok megtették az elsõ lépést a kockázat menedzselésének irányába. Remélhetõen nem álltak meg az elsõ lépésnél, és e szempontból is szabályozottá tették mûködésüket azzal, hogy figyelembe vették e mûködési kockázatukat is. A „helyes védekezés" az én szemszögembõl azt jelenti, hogy csak annyi erõforrást szánjunk a védekezésre, amennyit a kockázat menedzselésünk szükségesnek és elégségesnek tart;
- akik nem ismerték fel az Internet kockázatát, azok vakon vezetnek, és nem hiszem, hogy az én tanácsomra várnak azért, hogy megvilágosodjanak.

A magánfelhasználóktól nem várható el, hogy vállalati szinten védekezzenek. Õk mit tehetnek annak érdekében, hogy javuljon a helyzet?
K.S.: A magánfelhasználók biztonsági problémáinak egy részét az internetszolgáltatók átvállalják. Itt a vírus típusú védelmekre gondolok. Ezek a védelmek általában elérik a megfelelõ, vagy inkább a minimálisan megfelelõ szintet. Hogy egy példával rávilágítsak a probléma bonyolultságára, a szolgáltató a spam szûrésekor nagy kockázatot vállal, hogy akár egy fontos dokumentumot is kidob, és valószínûleg meg is teszi, de a több ezer nem kívánatos levél kiszûrése arányban lehet az okozott kárral.
A magánfelhasználók biztonsági problémáik nagyobb részével önmagukra vannak hagyva, vagy hagyatkozva (ez csak nézõpont kérdése). És a biztonságnak (vagy inkább bizonytalanságnak) ez a területe rettentõ ingoványos. A számítógép használatához nem tartozik kötelezõ számítógép „KRESZ" és „alkalmassági" vizsga. Azok a jelenségek, amelyek ezeken a vizsgákon kiszûrhetõek lennének, szûrés hiányában nemcsak az adott felhasználónak okoznak kárt, hanem mindazoknak, akik e felhasználóval kapcsolatba kerülnek. Ebbõl a megközelítésbõl adódóan a magánfelhasználó, ha nem is jogi, de etikai kötelessége a védekezõ eszközök és szabályozások saját magára nézve kötelezõ betartása.

Mennyiben felelõs a vállalati és magánfelhasználói szféra a vírusok/trójaik/kémprogramok terjedésének mértékében, és mennyit lehet elvárni annak érdekében e két csoporttól, hogy tegyenek a probléma ellen?
K.S.: A fentiekben már utaltam rá, hogy ez a probléma a
rossz minõségû hardver és szoftver eszközöknek, valamint a nem megfelelõ biztonsági szabályozásoknak a következménye. Tudva mindezt, a felhasználói oldal etikai felelõssége is egyenlõen nagy. A különbség mindössze annyi, hogy a vállalati oldalnak (talán) nagyobb források állnak a rendelkezésére a biztonsági szint elfogadható mértékének megtartásához.

Mennyire tartja veszélyesnek azokat a webhelyeket, amelyeken keresztül ma vírust/trójait/kémprogramot szerezhet be a felhasználó, és Ön szerint vannak-e elkülöníthetõ témacsoportok, amelyek kiemelt veszélyforrások? Elvárható-e, hogy aki ilyen témájú webhelyeket látogat, az tudjon is a problémáról, és védekezzen ellene? (Gondolok itt fájlcserélõkre, hacker, mp3-filmes, és pornográf webhelyekre.)
K.S.: Errõl a problémáról már tettem említést, noha nem jelöltem meg a webhely típusát. Persze, hogy elvárható az internet használójától, hogy tájékozott legyen az internet veszélyeirõl. Ahogy elvárható egy felnõtt személytõl, hogy tájékozott legyen a HIV fertõzésrõl. Az más kérdés, hogy nagymértékû a tudatlanság, a nemtörõdömség ezeken a területeken, így a megelõzés mellett jó sok dolga marad a gyógyítással foglalkozóknak.

Vannak-e még a kérdésben felsoroltakon kívül potenciális veszélyforrások? A válaszban szereplõ „felnõtt személy"-rõl most az jut eszembe, hogy a kiskorúak is használnak sok olyan internetes szolgáltatást, filecserélõt, mp3 és klippes webhelyeket, online játékokat, böngészõbe vagy rendszerbe integrálódó plugineket, amelyek csupán „színesítik" a környezetet, kifejezetten az õ kedvükre készült, de amelyek eközben biztonságra veszélyes elemeket telepítenek a gépekre. Náluk a szülõ vigyázzon az ilyesmire, vagy felelõsségre vonható a gyártó is, netán a kiskorútól elvárható az, hogy ne dõljön be a látványelemeknek?
K.S.: A veszélyforrások száma közel végtelen. Miért? Mert az internet köré (ezernyi okból) nem raktak korlátozásokat. Mire lehet használni, és mire nem? Milyen elõképzettségek kellenek hozzá, esetleg milyen jogosítványok? Milyen korhatárokon belül érvényesek a jogosítványok? Más szavakkal az internet nincs, vagy alig van skálázva. A közlekedési rendszerben például gyerekként légi utas lehetsz, megkapod hozzá az utasnak járó biztonságot, de pilóta nem lehetsz. A légitársaság vigyáz az utas biztonságára, ha gyerekrõl van szó, akkor együttmûködve a szülõvel. Az internetnek nincs (vagy alig van) arca, itt az okozott károkért bárkit felelõsségre vonni szinte lehetetlen. A legtöbb, amit tehet a szülõ, hogy a gyereknek önálló számítógépet ad (az internettõl való eltiltásról nem beszélve).

Mekkora a jelentõsége annak, hogy vállalatok is alkalmaznak másolásvédelmi célból biztonságra veszélyes programokat, amelyek kihasználható biztonsági réseket nyitnak? Gondolok itt a Sony másolásvédelmi eljárására. Ön szerint a jogvédett anyagok (zenék, filmek, szoftverek) védelmére a jövõben elterjedhetnek-e hasonlóan veszélyes módszerek, és ezek valódi veszélyt jelentenek-e?
K.S.: Ma törvénytelennek számít mind a biztonsági rések nyitása, mind az azon való illetéktelen behatolás. Ebbõl adódóan e jelenségnek nagy a jelentõsége, hiszen a jog is foglalkozik vele.

Ennek ellenére lehetségesnek tartja hogy a módszer elterjed, vagy ez az eset csupán egy próbálkozás volt?
K.S.: A biztonsági rések kiépítése és használata a gyártók ismert gyakorlata.

Ön szerint lehetséges-e, hogy a felhasználók tudása egyszer eléri azt a szintet amikor már nem lesz értelme mai módszerekkel támadni az internetre kapcsolt gépeket?
K.S.: Igen. Mindez akkor lesz, amikor vagy szétválik az internet, és lesz egy biztonságos ága, vagy akkor következik be, amikor az internetnek csak biztonságos ága lesz. Arról már van fogalma az emberiségnek, hogy mit jelent a biztonság például a közlekedésben, például az egészségügyben. Jószerivel az itt említett területeken bevezetett eszközök és szabályozások keltik azt az érzetünket, hogy biztonságosak. Analógiájában ugyanezekre van szükség az információbiztonság területén. A felhasználók tudásszintjében is, meg az összes egyéb területen is.

Tekintsünk el az egyéni felhasználóktól, hiszen az õ felelõsségük ezügyben kétséges. Kiknek és hol kellene védekezni vagy tenni a ma divatos internetes csalások és támadások ellen?
K.S.: Ne tekintsünk el az egyéni felhasználóktól, mert az õ felelõsségük (károkozó képességük) pont akkora, mint a vállalati felhasználóknak.
A társadalmunkban létezõ, tömegesen használt, azaz nagy rendszerek biztonságos mûködésének kialakulása és mûködtetése össztársadalmi „játék". Így van ez az információbiztonsággal is, vagy legalábbis így kéne lenni. Ami látható, hogy a gyártók, a saját jól felfogott érdekükben, átvettek egy sor szerepet, amely a társadalom többi szereplõje számára keserûvé, de legalábbis nem könnyen elfogadhatóvá tette a biztonság jelenlegi szintjét. A gyártók ebben az esetben azért vannak kiemelt helyzetben, mert olyan (elsõsorban tõke és az ehhez tartozó lobby) erõkkel rendelkeznek, amellyel az emberiség történetében még soha semmilyen érdekcsoport sem rendelkezett. Mindezt azért mondom, hogy nem illendõ a döglött lovat teljes egészében a felhasználók oldalára tolni, van itt még jó néhány szereplõ, aki részese e probléma létezésének.

Technikailag kivitelezhetõ-e egy olyan rendszer, amely megvédi a gépeket mindazoktól, amik manapság az adatbiztonságot veszélyeztetik?
K.S.: Igen. Efelõl semmi kétségem. Az informatikai problémáknak nem elrendeltetésszerû a megléte, hanem ok-okozati kapcsolatban vannak a rossz minõségû termék-elõállítással és a gyenge színvonalú szabályozottsággal.

Van-e a ma kialakult helyzetben felelõssége az internetszolgáltatóknak, és ha van, micsoda, illetve mit tehetnének õk?
K.S.: Nem õk fújják a passzátszelet, biztonsági szempontból a tevékenységük szerintem marginális.

Ön szerint hogyan fog alakulni/változni a jövõben az internetes biztonsági helyzetkép?
K.S.: Optimista vagyok abban a tekintetben, hogy az elvárható és szükséges biztonsági szint növekedni fog. Ennek megfelelõen a gyártók túlsúlya a biztonság területén csökken majd. De ettõl nem kell majd õket nagyon sajnálnunk.