Bizalom és biztonság – kéz a kézben járnak, vagy ellenfelek?
Bizalom és gazdasági érték – mérhető a kapcsolatuk?
Új technológia és régi gondolkodás – változó mentalitás?
Az ITBusiness Club novemberi összejövetelének nagyon izgalmas és aktuális témája volt: a kiberbűnözés jelene és jövője. Két meghívottunk volt: Mérő László matematikus professzor, aki hosszú ideje kutatja és elemzi az emberi viselkedést; és Makay Kálmán a Symantec vezető rendszermérnöke. Már a bevezető is élő párbeszéddé alakult, majd a közönség bevonása után igazán pezsgő lett a hangulat.
Az egyik kiinduló pont a bizalom volt (Fukuyama könyve alapján). Az alaptétel az, hogy minél magasabb a bizalom szintje, annál fejlettebb az ország. A bizalom hiánya egy tipikus holtteher-költség, és veszteséget okoz. (Mi ez a holtteher-költség? Mérő példái: A túl nagy raktárkészlet költség az eladónak, de nem nyereség a vevőnek. A hiány költség a vevőnek, de nem haszon az eladónak. Hasonlóképpen, a bizalom hiánya is olyan költséget generál, pl.: a szerződés megírásakor, ami sem a vevőnek, sem az eladónak nem hoz extra bevételt.)
A bizalomra rímelt az a kérdés, hogy milyen beépített kiskapuk és szivárgások vannak az eszközeinkben, és azokat ki és mire használja. A gyártók és szolgáltatók hogyan használják fel azokat az információkat, amiket a „feleslegesen” beépített hardver és szoftver elemek segítségével összegyűjtenek? Csak üzletszerzésre használják a magunk és ismerőseink adatait, vagy másoknak is értékesítik? Az állami intézmények csak a terrorizmus elleni harcban használják, vagy gazdasági célokra is? Szét lehet ezeket egyáltalán választani? Hogy ítéljük meg Snowdent, a modern Rózsa Sándort?
Mi jut erről eszembe? A nagy IT-biztonsági cégek rengeteg információt tudnak összegyűjteni a támadásokról és az ügyfeleik rendszereiről. Ezek felhasználásával tudnak nekünk segíteni a védekezésben. Hogyan? Például statisztikákkal, amikből kijön, hogy mik a gyakori támadások és a legfontosabb elemei a védekezésnek. Ennél sokkal tovább is tudnak menni, ha mélyebbre ásnak az adatokban és azonnal felhasználják a rendelkezésre álló információt. Ha egy helyen összegyűlik sok-sok cég összes biztonsági rendszerének (tűzfal, vírusirtó, behatolás érzékelő) információja, azonnal és hatásosan tudnak segíteni a védekezésben (még mielőtt minket is elérnének a támadások). Hogy viszonyul ehhez az ügyfél? Szívesen adja ki sok-sok információját a „nagyobb jó” érdekében?
Mi a helyzet a védelem vs. támadás fronton? Itt is ugyanaz, mint a széfgyártók és a mackósok harcában: egyre jobb és erősebb a védelem, és előbb-utóbb feltörik. Amit ember titkosított, azt ember meg is fogja fejteni. Minden kód feltörhető, csak idő kérdése, és azt nevezzük feltörhetetlennek, amiről még nem tudjuk, hogyan – mondta Mérő. A Kasperskynek tulajdonított mondás szerint ez az egész csak azért működik, mert a vírusokat kontárok írják. Mi lesz, ha ügyesebbek lesznek?!?
Mennyire aggódjunk amiatt, hogy a hardver és a szoftver adatokat, információkat gyűjt rólunk és arról, amit használunk és csinálunk? Mennyire zavar ez minket? Mérő szerint túlzottan zavar minket, sokkal jobban, mint indokolt. A lehallgatás és megfigyelés nem csak a diktatúrák sajátossága – valójában az egész világ így működik. Az a legjobb, ha megtanulunk együtt élni vele! Szerinte most még nagyon korai következtetéseket levonnunk, mert még fiatal a technológia, nincs elegendő tapasztalatunk. Rajtunk múlik, hogy mi lesz belőle! Szemléletes volt a nagyvárosi mentalitásra hivatkozó példája (ami szintén hosszú idő alatt alakult ki). Ellentétben a kis településekkel, a nagy városban kevésbé követik egymás mozgását és cselekvését az emberek. Míg faluhelyen 50-60 kilométert is kell menni ahhoz, hogy ne legyen „szem előtt” az ember, a városban elég lehet két villamosmegállónyi utazás is.
Ehhez kapcsolódóan szóba került a mentalitás más vonatkozásban is: a nyugati, az orosz és a keleti mentalitás különbözősége. Egyik szemléletes példája a „szto gramm” elfogyasztásához kapcsolódott. (Szóvá tették orosz ismerősei, hogy ő apránként kortyolgatta, és nem egyszerre húzta le. Mérő azt válaszolta, hogy Európában mindenki úgy iszik, ahogy akar – amivel azt állította szembe, hogy Oroszországban viszont úgy, ahogy kell. Ha arra gondolok, hogy szóltak már rám azért, mert apránként kortyolgattam a felest, akkor érezzem magam Európa határvidékén ebben az értelemben? Nem lett belőle harag, megmagyaráztam, hogy szeretem kiélvezni a finom pálinka ízét.)
Visszatérve a mentalitások és gondolkodásmódok különbözőségére. Szintén Mérő említette, hogy a Pentagonban sok sakkmestert cseréltek le go mesterre. Miért? Egyre inkább a kínaiak lesznek az ellenfelek, és az ő gondolkozásukat nem a sakk, hanem a go játék alapján lehet megérteni. Az aji (味) fogalmával szemléltette a nagy különbséget. Az aji egy olyan jellegű előre gondolkodás, ami nem algoritmikus, nem stratégiát alakít ki, nem lépéseket tervez meg. Inkább a dolog ízét vagy utóízét jelenti, egy lehetséges kimenetet, ami vagy bejön, vagy nem – de gondolunk rá. Figyelni kell ezekre a mentalitásbeli különbségekre, hiszen egyre nagyobbak a kiberhadseregek (akár százezres is lehet a létszámuk)!
Mit lehet ellopni? Ellophatják az adatainkat, és felhasználhatják, még akár vissza is élhetnek velük (bár ez nálunk kevésbé működik, mint Amerikában). Ellophatják a cég információit, terveit, az ügyfelek adatait. Ellophatják az újság megjelenési formáját és a híreit. Ezeket meg kell szoknunk, mert megtörténnek, akármit is teszünk ellenük. (Ez nem azt jelenti, hogy ne védekezzünk, ne csökkentsük a kockázatot és a veszélyt! Csak arra ne számítsunk, hogy létezik a tökéletes védelem.) Mit nem tudnak ilyen egyszerűen ellopni? Azt, ami az agyunkban van, amitől az adatok és információk értelmet nyernek, ami nélkül nem lehet annyira hatékonyan felhasználni az adatokat, mint ahogy mi magunk tesszük. Az a miénk marad! Mérő szerint a cég adatainak megszerzése csak a probléma 5%-át jelenti, a maradék 95% a fontosabb.
Makay felvetette azt a kérdést, hogy vajon kire bízzuk az adatainkat. Nagyon sok új felhő szolgáltatás jelenik meg nap mint nap. Ezek gyakran kis, új cégek, startupok, múlt nélkül – és az esetek egy részében jövő nélkül. Amikor a cég eltűnik a süllyesztőben, az adataink hova kerülnek? Nem tudjuk. Arra számíthatunk, hogy nem fogják gondosan kezelni a megszűnt cég által tárolt adatokat…
Kedves Olvasó! Megpróbáltad már összeszedni, hogy mit tárolnak rólad és hány helyen? Nekem nehéz lenne egy tuti teljes listát összeállítanom…
Mérő szerint nem a kódok versenyfutásában van a lényeg, nem ezen múlnak a dolgok, hanem az attitűdjeinken, amik nem kiszámíthatók. Meg fog változni, hogy mi zavar minket és mi nem. Szerintem a változás már meg is kezdődött – nézzünk csak körül, hogy mennyi személyes információt teszünk közzé magunkról önként! (Azt jó lenne tudatosítanunk, hogy ezzel milyen veszélyeknek tesszük ki magunkat – mondom én, de mit gondolnak erről a nálam fiatalabb generációk? Én, mindenesetre, folytatom ezt a tudatosítási tevékenységemet. Valami pici haszna csak van…)
Nos, mi van a kockázattal? Megpróbáljuk megérteni, majd mérlegeljük. Meg tudjuk valóban érteni ezeket a kockázatokat? Általában nem tudjuk az IT-biztonsági kockázatokat kezelni, mert nem is vagyunk tisztában velük – merült fel a vita során. Mérő azzal lepett meg minket, hogy nem is kell ismernünk a rendszerek működését (példának olyan mindennapi berendezéseket hozott fel, amiket használunk, pedig nem értjük a működésüket, mint pl.: wc-lehúzó és karburátor).
Makay az autók legújabb kockázatait kapcsolta ide. Az újakban már mindent elektronika vezérel, nincs mechanikus kapcsolat a kormánykerék és a kormánymű között sem. Vajon hogy működnek a szoftverfrissítések? Tudjuk ellenőrizni őket? Tehetünk vírusvédelmet az autóba? Nem, az egy teljesen zárt rendszer, nem tudunk extra védelmet telepíteni – teljesen meg kell bíznunk a gyártóban és a karbantartókban, valamint az informatikai rendszereikben (amik nem feltörhetetlenek).
Hozzászólók feszegették a kritikus rendszerek (pl.: energia és egyéb közművek) biztonságát, valamint az adatainkat tároló állami rendszerek védelmét. Ezeknek a témáknak a részletei nem fértek bele az összejövetel megszabott időkeretébe. Hasonló sorsra jutott a kémkedés „jogának” témája és a „ki őrzi az őrzőt?” kérdés is. Mi van akkor, amikor a szabályok ellentmondanak egymásnak?
Ha mindenki elmondta volna az összes kérdését, és mind megvitattuk volna, még órákig tartott volna az összejövetel. Nem lennék meglepve, ha hamarosan újra terítékre kerülne a biztonság témája…
Megértve a hozzáállás és a mentalitás fontosságát, továbbra is azt gondolom, hogy az odafigyelés is fontos, és érdemes ésszerű védelmi intézkedéseket tennünk. Mi az ésszerű? Ha ezt így egyből meg tudnám mondani, akkor nagyon okos lennék. Inkább csak keresem…
Mit gondolsz erről az egészről Kedves Olvasó? Zavar, hogy mindenki gyűjti az adatainkat?
Kerékfy Pál 
Nagyon jó összefoglaló, köszönöm 🙂
KedvelésKedvelik 1 személy
Örülök, hogy jó lett! Köszönöm.
KedvelésKedvelés