Két hete írtam az infrastruktúramenedzsment órák tapasztalatairól és a további terveimről. Ma a mobil biztonság tantárgy lesz a téma. Ebből is tanítottam nappali és levelező tagozaton is, a két csoport létszáma hasonló volt (31, illetve 24 fő), de a levelezős órák korai időpontban voltak, így közülük többen nem, vagy csak alig tudtak eljönni a munkahelyi elfoglaltságaik miatt.
A féléves jegyekben itt nem volt különbség a két csoport között, egyformán 3,5 lett az átlag. Ez nem volt kötelező tárgy senkinek sem, és így főleg olyanok vették fel, akiket valóban érdekelt, ezért az “érdektelenség faktor” (kevés kivételtől eltekintve) nem játszott be. A levelezőn hátrányt jelentett az, hogy sok órát mulasztottak.
A felmérésre itt is nagyobb arányban válaszoltak a levelező hallgatók, és ők találták hasznosabbnak és érdekesebbnek az órákat, és ők írtak jobb házi dolgozatokat. Lehet, hogy nekik jobban kapcsolódott a téma a már meglévő ismereteikhez, és így jobban megérintette őket.
A kérdőívek összegzése: levelező és nappali
Annak nagyon örültem, hogy mindkét tagozaton néhány hallgató (12% és 21%) többet kapott, mint amit várt. Ezt mindig jó olvasni! Sajnos a nappalin volt három hallgató, akiknek csak félig valósult meg a várakozása, ők több gyakorlati ismeretet szerettek volna kapni. Közülük ketten igazából valami más tárgyat szerettek volna tanulni, és a megosztott anyagokat sem találták valami hasznosnak.
A házi dolgozatokat olvasva, meglepett, hogy a téma iránt érdeklődők egy részének is ugyanazok a tévképzetei vannak a biztonság egyes kérdéseiben, mint amiket a nagyvilágban tapasztalok. Ez az egyik oka annak az elhatározásomnak, hogy írok erről a témáról.
A nagy összkép (mobil stratégia, szabályzatok, oktatás, műszaki megoldások, MDM és társai) mellett összegyűjtöttem sok valódi incidenst és problémát. Ezekkel jól be tudtam mutatni, hogy mi minden történik nap mint nap a világban. (Az egyik ilyenről írtam a múlt héten.) Elmeséltem más érdekes és tanulságos eseteket is, például a Forbes és az AP (Associated Press) Twitter fiókjának megszerzését, amiket álhírek terjesztésére használtak fel. Ezeknek végül nem volt súlyos következményük, mert igazából csak erőfitogtatás és fenyegetés volt a támadók (a Syrian Electronic Army) célja. Az egyik ilyen álhír arról szólt, hogy robbanás volt a Fehér Házban és Obama elnök megsérült. Ettől kb. 200 milliárd dollárral esett a tőzsdeindex arra a néhány percre, amíg a cáfolat meg nem érkezett. Ha egyszerre több hírügynökséget tudnának pontosan időzítve elfoglalni, akkor egy ilyen akcióval akár keresni is lehetne rengeteg pénzt. (De itt nem ez volt a cél.)
Mindkét említett támadás alapja az adathalászat (phishing) volt, amiről a múlt héten írtam. Emellett kihasználták a megtámadott cégek gyenge IT biztonságát is. (Néhány jól kitalált és precízen betartott szabály útját állta volna ezeknek a támadásoknak!) Az ilyen támadásokhoz általában elég egy gyenge láncszem (jobbára egy kis emberi figyelmetlenség), és utána már csak jönnek, jönnek a lépések egymás után. Itt is alkalmazható Archimédesz mondása: „Adjatok egy szilárd pontot, és kiforgatom sarkaiból a világot!”.
Az incidensek keresése és feldolgozása nagyon érdekessé tette az órákra való felkészülést. És, persze, többszöröse volt a készülés ideje az előadásénak. Ez valószínűleg hasonló lesz a következő félévben is, hiszen akkor is lesznek új incidensek.
A keresésben segítettek a Cisco konferenciák és a LinkedIn-en megosztott friss hírek is. Volt alkalmam az IVSZ és a Gartner által szervezett biztonsági eseményre is eljutni, és ott sok érdekes információt gyűjtöttem össze az IT biztonság helyzetéről, és főleg a várakozásokról. Így arról is frissiben értesülhettek a hallgatók, hogy merre megy a világ ezen a területen. Újdonság volt számomra is az „Identity as a Service” (IDaaS), ami várhatóan egyre inkább tért nyer a nagyvállalati körben, egymás közötti és belső felhasználásra is. (Egyes más körökben a terjedése valójában már el is kezdődött egy jó ideje. Ez történik, például, amikor a Facebook azonosítóval jelentkezünk be egy internetes áruházba.)
Nem maradtak ki az új felhasználó igények sem – ezek meghatározzák a fejlesztési irányokat, és a vállalati belső rendszerek sem tudják függetleníteni magukat. Feldolgoztam több felmérés és kutatás eredményeit. Ezek nem elsősorban a technikai részletekkel foglalkoztak, hanem stratégiával, fejlődési irányokkal. Még a „Mobile Backend as a Service” (azaz MBaaS) is téma volt. Ez a mobilra való fejlesztés eszköze lehet, és különösen jól tudja segíteni a minőséget és a biztonságot (amit, BTW, bele kell tervezni a szoftverbe, nem utólag köré építeni).
Remélem, hogy a „kötelező” anyagon felül is tudtam nekik valami hasznosat adni! Ezt jobbára megerősítette a hallgatók véleménye, tetszettek nekik a friss információk és a gyakorlatban előfordult esetek.
Hogyan tervezem a következő félévet?
- Ennél a tárgynál is bevezetem az órai feladatokat, amikkel a jegybe beszámító pontokat lehet majd szerezni. Nem a látogatottság növelése a célom (ellentétben az infrastruktúra tárggyal), hanem az aktívan érdeklődő hallgatóknak könnyebbé akarom tenni a jó jegy megszerzését.
- Megmaradnak a valóságból vett példák (persze, újakkal), sőt megpróbálok még többet megmutatni. A nappalin ez viszonylag könnyen belefér az időbe.
- A levelezőn az elméleti részt majd tömörítem, így jut idő több eset megbeszélésére.
- Igyekszem több gyakorlati ismeretet bepréselni az időbe, mert ezt kevesellték (21% és 29%). Azt még nem tudom, hogy tényleges szoftveres gyakorlat lesz-e. Ezt is javasolta egy hallgató.
- Szeretném bevonni a hallgatókat online együttműködésbe. Ez természetes azoknak, akik már használnak egy-két közösségi fórumot – nem lesz nehéz, ha sikerül az érdeklődésüket felkeltenem. Na, ez a feladat! Még nincs meg a pontos terv, ennek a kitalálása az egyik programom a nyárra.
Várom minden olvasóm hozzászólását és tanácsait.
Kedves Hallgatók! Örömmel veszek minden hozzászólást, kiegészítést, további javaslatot!
Kedves Oktatók! Örülnék minden jó tanácsnak és javaslatnak!
Kerékfy Pál 
“Biztonság, mobil, főiskola” bejegyzéshez 4 hozzászólás