2019. április 10. 18:25
mfor.hu

Globális szinten a legnagyobb értékben elkövetett bűncselekmények az illegális digitális adatszerzéshez, informatikai rendszerek feltöréséhez köthetőek. Éppen ezért megkerülhetetlen a vállalatok információbiztonsági kockázattűrő képességének növelése. A cégek széles körében azonban a megoldást nyújtó kiberbiztonsági szolgáltatások és az „etikus” hackelés keretei nem tisztázottak, pedig hatósági előírások és ajánlások vannak érvényben.

Az elmúlt évben adatvédelemi kérdésben az Európai Unió Általános Adatvédelmi Rendelete, a GDPR uralta a híreket, amely többek között az informatikai területek számára is általános jogi keretet ad. A GDPR felé irányuló általános figyelem közepette azonban csaknem teljesen elsikkadt az a nem kevésbé fontos körülmény, hogy néhány nappal korábban itthon is hatályba léptek a NIS Irányelv hazai átültetését tartalmazó jogszabályok. A NIS Irányelv a hálózati és információs rendszerek biztonságára vonatkozó szabályokat tartalmazza, amelyeket az EU 2016/1148. sz. irányelve alapján a tagállamoknak át kellett emelniük a jogrendszerükbe.

Ezek alapján azon szervezeteknek például, amelyek alapvető szolgáltatást nyújtanak, többek között a közúti, légi, vízi vagy vasúti közlekedés irányítói, pénzintézetek, egészségügyi ágazatban az aktív fekvő-beteg ellátást végzők, az állami szektor egyes kiemelt szereplőinek kötelezően kell biztonsági kockázatmenedzsment keretében pl. sérülékenység elemzéseket végezniük. Így többek között adott, hogy a vállalatoknak milyen biztonsági intézkedéseket kell/kellene végrehajtani digitális rendszereikkel kapcsolatban, amelyek között végezni kell például sérülékenység teszteket is. Mindezek ellenére a kiberbiztonsági szolgáltatások kereteit illetően komoly bizonytalanság tapasztalható a cégeknél. Magyarországon sok esetben az sem feltétlenül egyértelmű, hogy informatikai biztonsági ellenőrzéseket kik és hogyan, milyen formában végeznek és végezhetnek. „Ezzel együtt az „etikus” hackelést egyre többen, és gyakrabban emlegetik, ám ahogy az információbiztonság menedzsment feladatokkal, így ezzel kapcsolatban is komoly félreértések forognak közszájon.” – mondta dr. Bereczki Tamás, a Baker McKenzie adatvédelmi és információbiztonsági tanácsadással foglalkozó ügyvédje.

Hacker manapság az, aki biztonsági rések, sérülékenységek után kutat rendszerekben vagy hálózatokban. Munkájuk során jellemzően intruzív és nem-intruzív módszereket alkalmaznak. Előbbi körbe tartozik például a már említett sérülékenység elemzés elvégzése, a hálózat gyenge pontjainak felderítése, vagy penetrációs tesztek végrehajtása. Egy ilyen jellegű vizsgálat során a rendszert kívülről és azon belül is megpróbálják "feltörni". A nem-intruzív módszerek olyan elemeket takarnak, amelyek jellemzően nem a rendszerbe történő behatolásra, hanem a rendszerrel kapcsolatos ellenőrzésekre fókuszál. Ilyen például a dokumentációk, konfigurációs beállítások ellenőrzése vagy a vonatkozó szabályrendszerek felülvizsgálata. Fontos elem, hogy a választott megközelítéssel összhangban az ellenőrzéshez szükséges hozzáféréseket és felhasználókat létre kell hozni, valamint a felülvizsgálatról szóló kommunikációt és riasztásokat is meg kell tervezni, majd végre kell hajtani.

Előzetesen tisztázni kell például, hogy egy penetrációs teszt vagy egy sérülékenység elemzés milyen hálózatot – IP cím tartomány – eszközt, rendszert és adatokat (banktitok, személyes adat, minősített adat, stb.) érint. Jellemzően rögzíteni kell az adatkezelői, adatfeldolgozói pozíciókat is, a szolgáltató milyen adatokhoz férhet hozzá. Ugyanakkor nagyon kritikus terület lehet a harmadik fél – például beszállítók – adatainak, hálózatainak, rendszereinek és üzeneteinek a vizsgálata is. Sőt, a munkavállalói magánhasználattal kapcsolatban is fokozott gondossággal kell eljárni. A leggyakoribb rendszerhiányosságok között említették egyébként a szakemberek többek között a lejárt gyártói támogatású operációs rendszereket és a biztonsági frissítések hiányát, a nem megfelelő végponti védelmet, vagy a gyenge titkosítás alkalmazását is.

A vizsgálat zárásaként a „takarítást” is meg kell tenni, azaz a kockázatok értékelése és a jelentés elkészítése után a feltárt sérülékenységeket javítani kell. A használt technikai eszközöket és behatolási pontokat pedig el kell távolítani, illetve zárni kell. Ez minden elemében érzékeny feladat, hiszen a rendszer sérülékenységi szintjének javítása csorbulhat, amennyiben ez nem történik meg tökéletesen. 

A formálódó digitális világban ugyanakkor az adatbiztonság fontossága megkérdőjelezhetetlen, hiszen ma már minden vállalatot érint. Ennek tükrében semmi meglepő nincs abban, hogy a legnagyobb értékű bűncselekmények – ami alól a kis- és közepes vállalkozások sem tudják kivonni magukat – világszerte az illegális rendszer- és hálózatfeltörésekből, valamint adatszerzésekből jön össze. Ezek tudatában pedig nem vonható kétségbe, hogy a következő években, évtizedekben a globális gazdasági kérdéseknek ez a terület lesz a központi eleme.

Április 17-i konferenciánkon az IT-biztonság kérdésének külön szekciót szentelünk, jöjjön el Ön is, olvasóinknak 25 százalékos kedvezményt biztosítunk, ha a regisztrációs lapon jelzik: VIP-MFOR. 

A témák: Kerekasztal-beszélgetés: Gyakorlati tudnivalók: Bekapok egy zsarolóvírust, belassul a weboldalom, kikerülnek az adataim, feltörik a rendszerem...

Résztvevők: 
- Gölcz Dénes,a Panda Hungary ügyvezetője 
- Csizmazia-Darab István, Sicontact, IT-biztonsági szakértő
- Schopp Attila, IT Business szekértője (Moderátor)

Nemzetközi és magyar informatikai biztonsági trendek - Előadó: Bakk József, IDC, Country Manager

Kerekasztal-beszélgetés: Mi mindent kell megvédenem? És arra mi a megoldás?
Résztvevők: 
- Csinos Tamás, a Clico Hungary ügyvezetője 
- Hargitai Zsolt, a MicroFocus üzletfejlesztési igazgatója 
- Kunos Imre, az S&T IT-biztonsági üzletágának vezetője 
- Schopp Attila, IT Business szekértője (Moderátor)

Kerekasztal-beszélgetés: Az IT-biztonság kiszervezése lehet-e járható út?
Informatikusból hiány van, információvédelmi szakemberből pedig még nagyobb hiány...

Résztvevők: 
- Gyebnár Gergő, a BackCell CEO-ja
- Schneck Zsolt, a MasterIT ügyvezetője
- Schopp Attila, IT Business szekértője (Moderátor)

Pódiumbeszélgetés: Milyen tanulságokat lehet leszűrni a GDPR hatályba lépése óta eltelt közel egy év eseményeiből?