Jól költünk?

Kis pénz – kis foci. Nagy pénz – nagy foci?

Régi jó mondás, van is benne igazság, de az informatikai biztonság területén félrevezető. Rengeteg pénzt elköltő, mindenféle minősítésekkel büszkélkedő óriási cégeket és szervezeteket érnek nagyon komoly hatással járó támadások. Mi lehet a baj? Keressünk válaszokat!

Az IDC informatikai biztonsági konferenciáján (2019. március 28., Budapest, New York Palota) Bakk József (az IDC magyarországi vezetője) tartotta a nyitó előadást.

Jól felépített, informatív előadás volt, találtam benne fontos tényeket, állításokat. Lássunk néhányat!

Az első fontos szám: 2018-ban 1,5 billió (amerikaiul: trillion) dollár bevétel származott informatikai támadásokból. Ez nem a kár, hanem a bevétel összege! A kár ennek sokszorosa lehetett, hiszen a károsult üzleti vesztesége, a helyreállítás költsége nem jelenik meg a támadó bevételeként.

Fontos szempont, hogy új fókuszra van szükség. Ne a prevenció, a támadás megelőzése legyen az elsődleges cél, hanem az üzleti működés biztosítása. Úgy gondolom, hogy ez egy nagyon fontos megállapítás! Az informatikai biztonság – mint minden háttérterület – valódi feladata a cég üzleti céljainak támogatása, azok elérésének elősegítése. A megelőzés természetesen nagyon fontos, de tudjuk, hogy a 100%-os szintje elérhetetlen. Vagyis, számíthatunk arra, hogy lesz sikeres támadás. Ennek a hatását kell olyan szinten tartani, hogy az üzletmenet folytonos legyen. Az ezzel kapcsolatos követelmények iparáganként és üzleti területenként mások és mások, meghatározásuk az üzleti, a kockázatkezelési és az informatikai terület közös felelőssége. Nem akarom azt mondani, hogy a gyors észlelés, majd a gyors elhárítás nem nagyon fontos. DE: sajnos tény, hogy a támadások jelentős része esetében az észlelésig hónapok telnek el.

Verizon: 2018 Data Breach Investigations Report

Ebből az is következik, hogy másképp kell értékelni a célokat és az eredményeket, vagyis új üzleti mérőszámok, új KPI-ok kellenek! Üzleti szempontból nem annak van elsődleges fontossága, hogy mennyi idő alatt észlelünk és hárítunk el egy támadást, hanem a támadás és a védekezés együttes üzleti hatása számít. Természetesen, az észlelés és az elhárítás időigénye ebben szerepet játszik.

Az IDC sok kutatást végez. Ezek közül az egyikben azt is vizsgálták, hogy az informatikai biztonsági költések és az eredmények között milyen a kapcsolat. Ha többet költünk, csökken az incidensek száma? Nincs egyértelmű korreláció. Az igaz, hogy a ráfordítások növelése általában valamilyen mértékben javítja a biztonságot, de nagy a szórás (ahogy az ábrán is látható).

Most általában az előírásoknak való megfelelés az első szempont. A jogi megfelelőség (compliance) követelménye revolverezi a cég vezetőit és az informatikai biztonsági szakterületet.

Úgy gondolom, hogy ez nem tud megváltozni, amíg a büntetés az elsődleges megközelítés a hatóság részéről. A meg nem felelés majdnem biztosan üzleti kárt okoz, így el kell kerülni “minden áron”. Ez a minden ár most a GDPR (EU-s általános adatvédelmi rendelet) miatt sokkal-sokkal nagyobb lett, mert a büntetés mértéke és valószínűsége is megnőtt. A következő évek mutatják majd meg, hogy összességében javul-e a helyzet ennek hatására, vagy esetleg éppen romlik.

Az informatikai biztonságba való befektetésre mi készteti a cégeket? A kiváltó ok többnyire:

  • Külső kényszer (például hatósági előírás vagy vizsgálat)
  • Incidens történt

Mi lehet ennek az oka? Itt eszembe jutott a néhány évvel ezelőtt a bankszférából hallott megállapítás, panasz, hogy majdnem minden fejlesztési erőforrásukat elviszi az újabb és újabb előírásoknak való megfelelés (Braun Péter, CIO Hungary konferencia, 2014., és akkor még nem is volt GDPR és PSD2). Úgy vélem, hogy a helyzet mostanában is hasonló, és nem csak a pénzintézetekben. Jelentős mértékben jogszabályoknak való megfelelés a célja a fejlesztéseknek. Ezzel nem akarom azt mondani, hogy a GDPR vagy a PSD2 hibás vagy felesleges lenne, de az tény, hogy sok időt, pénzt és szakembert kötnek le. Így másra nem sok erő marad.

Amikor bekövetkezik egy súlyos probléma, hirtelen szükséges és indokolt lesz erőforrást biztosítani a helyzet kezelésére és az ismételt bekövetkezése megakadályozására. Ez jó és kötelező is. Mi vele a gond? Így mindig az események után kullogunk, valójában sose nyerhetünk.

Ideális esetben – ahogy fent írtam – a támadás előtt kell felkészülnünk arra, hogy az ne tudjon üzletileg súlyos problémát okozni. Ehhez “nyugodt” tervezési időszakok is kellenek.

Ahogy ezt tanítjuk is, az informatikai szolgáltatás biztonsága a tervezés során dől el. Utána már csak foltozgatunk, loholunk az események után. A gyakorlatban sajnos ez utóbbi történik, egyre-másra jönnek a foltozgató javítások, majd a foltokra teszünk foltokat. Ez az eredményt tekintve gyenge, a költsége viszont magas.

A való életben általában azzal a helyzettel találkozunk, hogy a cégnek meglévő, egymással bonyolult kapcsolatrendszerben lévő informatikai rendszerei vannak. Az alábbi táblázatban foglalja össze az IDC az informatikai szervezetnek szóló útmutatásait. Látszik, hogy vannak elkerülhetetlen fázisok, nem lehet a nulláról az optimális megoldásra ugrani egy lépésben. A mérőszámoknak üzleti alapon kell állniuk, és tükrözniük kell a cég kockázatvállalási hajlandóságát is. A tevékenységünk minőségének és eredményeinek megítélésénél figyelembe kell venni az iparág, az üzleti területek, igényeit, lehetőségeit és általános helyzetét is.

Megjegyzés: A cikket Bakk József előadása ösztönözte. A tőle átvett gondolatokat dőlt betűvel szedtem. Ahol az illusztráció forrását nem jelöltem meg, az is ebből az előadásból származik. Köszönöm a felhasználás lehetőségét!

Minőség = biztonság?

Autóipar és minőség – mi van, ha még a számítástechnika is belelép?

Ford-connected-car-2012-6719902507_130a4ce4cb_bAz önvezető autók balesetei kapcsán reflektorfénybe került a minőség és a biztonság, ezért elkezdett jobban érdekelni, hogy is áll ez a téma általánosságban az autóknál.

Biztos sokan emlékeznek még a General Motors két évvel ezelőtti esetére, amiről „Együttműködést vagy életet!” címmel írtam annak idején. Ott a vizsgálat szerint a rossz vállalati kultúra, a felelősségérzet hiánya és a költségek növekedésétől való félelem eredményezte több száz ember halálát a 11 év alatt, miközben nem foglalkoztak azzal a műszaki hibával.

Most elolvastam a Boston Consulting Group elemzését az autóipar minőségi problémáiról és a teendőkről. A statisztikák nem valami fényesek: az 1980-as években hétszáz visszahívás történt, ami kb. 700 ezer autót érintett; a 2000-es évtizedben már 13 milliót hívtak vissza (1300 ilyen akcióban). A 2010-es évtizedről nincs még teljes lista, de a CNN szerint csak a GM, csak 2014-ben 30 millió autót hívott vissza (többnyire súlyos) műszaki problémák miatt.

A növekedés biztos a szigorúbb szabályoknak is köszönhető, de szerintem döntő szerepe van benne annak, hogy az egyre bonyolultabb műszaki megoldások megtervezésére és alapos tesztelésére nem jutott elegendő idő.

A józan ész azt diktálná, hogy meg kell előzni ezeket az emberéleteket is követelő hibákat és a nagyon drága visszahívásokat. A gondosabb tervezés és tesztelés végül olcsóbb lesz, mint az utólagos javítások és a kártérítések és büntetések összege. Az is kérdés, hogy a vevők hogy reagálnak, ha még több autót érintenek majd súlyos hibák.

Rengeteg új technológiai megoldás kerül az autókba, és ezek egy része nem az autóiparból jön, sőt sok esetben nem is régen meglévő, megállapodott cégtől. A nem tradicionális módon fejlesztő és gyártó startup cégek nem egykönnyen illeszthetők be az autóipar magas minőségi követelményeket támasztó folyamataiba. A Tesla májusi tragédiája is részben ilyen problémára vezethető vissza. A hiba másik (és szerintem sokkal jelentősebb) része a Tesla sajátja, mert olyan alkatrészt építettek be, ami nem gyártási hibás volt, hanem tervezetten („by design”) volt alkalmatlan a feladatra.

A jelek szerint az autóipar minőségbiztosítási folyamatai nem tudnak lépést tartani a műszaki változások és az új modellek kibocsátásának sebességével. Ez mindannyiunkat súlyosan érint. Ha meg is ússzuk baleset nélkül, a sok évre tervezett autónk nem olyan lesz, mint szerettük volna.

Arra lenne szükség, hogy a kiváló minőséget minden egyes érintett ember (az autógyártónál és minden beszállítójánál) nagyon fontosnak tartsa, és magáénak érezze a felelősséget érte. Ez nem kizárólag elhatározás kérdése – a vezetőknek minden szinten személyes példával kell elől járniuk. Olyan személyes felelősségi rendszer szükséges, amelyben nem lehet a szőnyeg alá söpörni a hibákat a gyorsabb kibocsátás és az alacsonyabb költség érdekében. Ehhez, persze, kell a megfelelő vállalati kultúra és a korlátozás nélküli belső kommunikáció. Minden szinten meg kell adni az embereknek a lehetőséget arra, hogy véleményt nyilvánítsanak, és megosszák egymással a tapasztalataikat. Ha a szervizes, az ügyfélszolgálati dolgozó, a gyártósori munkás és a tervező mérnök, valamint a minőségellenőr minden információt megoszt (és minden információhoz hozzáfér), ami a minőséggel és a hibákkal kapcsolatos, jobb eséllyel derülnek ki a hibák még a tragikus balesetek előtt. (Két évvel ezelőtt morfondíroztam ezen: Megmenthetjük őket!)

Az elemzés szerint a gyenge minőség okozta költségek gyorsan nőnek: “These changes carry siginificant risks. The costs of substandard quality, already high, are rising fast.” Mik a tennivalók? Van elég sok, és az egész a tervezésben kezdődik. A minőségnek döntő szerepe kell legyen a tervezésben és a gyártás megindításában. Ez, persze, nem csak az autógyártásban van így – mindenhol a tervezés során hozzák meg azokat a jó vagy rossz döntéseket, amiktől a végeredmény jó vagy rossz, biztonságos vagy veszélyes lesz. (Ezt tanítom a főiskolai és egyetemi hallgatóimnak is az informatikai szolgáltatásokkal kapcsolatban. Elméletben tudjuk, a gyakorlati megvalósítás odébb van még.) Az előbb említett BCG elemzés elolvasását javaslom, ha valaki jobban el akar mélyedni ezen a területen.

A gyors innováció és a stabil minőség általában nem jár kéz a kézben. Pedig az innováció a vevők egyik legfontosabb szempontja, amikor márkát választanak (a Boston Consulting Group felmérése szerint). Ezen belül is elsősorban a kapcsolódásokat, a biztonságot és a fogyasztást érintő fejlesztések érdeklik őket. Mihez kell kapcsolódni? Mindenhez! Ahogy a házunk és a munkahelyünk is mindennel kapcsolatban van az interneten keresztül, az autónktól is elvárjuk ezt. Sok autóban van már beépített kommunikációs modul, amiben a SIM-kártya is gyári alkatrész. Hamarosan szinte természetes követelmény lesz a WiFi is, és az autónk végül az otthonunk és a munkahelyünk csatolt része lesz. (Persze, ez azoknak fontos, akik az autóban töltik az életük jelentős részét. Akik tömegközlekednek, a telefonjukon vihetik magukkal az otthonukat és a munkájukat.)

Várhatóan az autók esetében is egyre több hálózati biztonsági probléma derül majd ki a jövőben. Eddig még csak „bemutató” szinten láttunk olyan eseteket, amikor a támadó az interneten keresztül teljesen átvette az autó irányítását, a benne ülő vezető tehetetlen volt ellene. Ez nem önvezető, hanem „hagyományos” autóban történt. Ahogy fejlődik a technológia, egyre több és kifinomultabb lehetőségük lesz a támadóknak – és egyre inkább érdemes lesz ezzel foglalkozniuk a növekvő számú internetre kapcsolt jármű miatt. Ezen a területen még nem kezdődtek el a zsarolásos támadások, de szerintem nem kell sokáig várnunk rájuk.

Persze, ezeknek a drótnélküli kapcsolatoknak sok hasznuk is van, tehát nem kidobni, hanem normálisan megcsinálni kell őket. Az előbb említett Jeep Cherokee esetében az tette könnyűvé a támadást, hogy minden össze van kötve az autóban, és a rádión keresztül érték el a rossz fiúk a gázt és a féket. Ezekre az összeköttetésekre nincs is szükség, csak úgy volt kényelmes kialakítani az elektronikát, hogy minden egy központba van bekötve. Amíg nem volt internetre kapcsolva az autó, ez nem teremtett ilyen támadási lehetőségeket. Most már teremt, ezért várhatóan áttervezik majd a kommunikációs rendszereket.

McKinsey_2014_PNG_Connected_Car_chartA McKinsey 2014-es felmérése szerint a vevők 13%-a nem is hajlandó olyan autó vásárlásán elgondolkodni, ami nem rendelkezik ilyen kapcsolódási lehetőségekkel. A másik oldalon az a 37% van, akit a személyes információ, és az az 54%, akit az autó meghekkelése aggaszt. (Nem ok nélkül!)

Azt hiszem, hogy a világ egyértelműen halad ebbe az irányba, hiszen a kapcsolatokat sok mindenre használják az autókban: távdiagnosztika, hibaelhárítás, balesetek bejelentése. Eredetileg 2015-re tervezték ez utóbbinak a kötelező bevezetését az EU-ban, most 2018 áprilisa a céldátum, amikortól minden új autóba be kell építeni ezt a rendszert. Ha rendesen megcsinálják, sok életet menthet meg a gyorsabban érkező segítség.

Az eddig említetteket nem fogjuk naponta használni, de a dolgok internetére (IoT) való kapcsolódás végtelen lehetőségeket nyújt. Tavaly álmodoztam ezekről: Álom otthon.

Kedves Olvasó! Mit gondolsz erről az egészről? Mennyire érdekel ez a mindenhez kapcsolódó autó?

Egyelőre csak a kapcsolatokról van szó, az önmagát vezető autó még pár évvel arrébb van.

Ami engem illet, most úgy gondolom, hogy ezt a fejlődési lépést kihagyom. Amíg lehet, megmaradok a mostani technológiánál (már ebben a 8 éves autóban is több az elektronika, mint ami jól esik nekem).

Folytatás: Úri huncutság?

Digitális vezető

Mivel jár, mi kell a digitális világban való eligazodáshoz? Milyen képességek kellenek a dolgozóknak és a vezetőknek?

innovation-man-879092_1920Megindult az agyam és a billentyűzetem. Most már negyedik hete írok azokról a dolgokról, amiket a Gartner 2016-os CIO felmérése kapcsán hallottam, és ami még eszembe jutott róla. Az üzleti elvárásokat, a technológiát, a platformokat és a bimodális végrehajtást már alaposan elemeztük. Mi kell még?

Ugye megvan a válasz? Hát az emberek! A talent, ahogy mostanában mondják. A megkérdezett informatikai vezetők 22%-a számára ez a terület a legnagyobb probléma, a pénz és a kulturális változás csak utána következik. Kétharmad részük szerint a megfelelő emberek hiánya már kezd kritikus méretet ölteni. A vezérigazgatóknak – ezzel szemben – a fele úgy véli, hogy ez csak egy mítosz. Mi lehet a nagy eltérés oka? (Arról, hogy ez a hiány valódi vagy látszólagos, januárban vitatkoztunk az ITBusiness Clubban, majd utána online. Itt foglaltam össze a véleményeket.)

Milyen képességekre, milyen emberekre van szükségünk, ha be akarunk lépni a digitális világba és ott sikeresek akarunk lenni?

A Gartner korábban említett CIO felmérése szerint ezeken a területeken van a legnagyobb hiány szakemberekből az IT osztályokon belül:

  1. információkezelés, -elemzés (analytics)
  2. üzleti ismeretek és éleslátás
  3. biztonság és kockázatkezelés
  4. digitalizáció
  5. projektvezetés

Ebből az elsőt több mint kétszer annyian mondták (40%), mint a következő legfontosabbat. Ez egybevág azzal, hogy ugyanez a terület lett a győztes a technológiák versenyében. Három éve mindig ez a legfontosabb prioritás, bár csökkenő arányban (2014-ben a válaszadók felénél, idén már csak 39%-ánál).

Az igazi az lenne, ha egyre több olyan emberünk lenne, aki az első két területen is alapos ismeretekkel rendelkezik. Honnan kerülhetnek elő ezek az emberek?

Egy részük talán már meg is van a cégen belül! Egyre több ember van az üzleti osztályokon, aki IT tudással is rendelkezik. Részben ők okozzák az „árnyék IT” (shadow IT) problémát. Velük meg lehet szerezni az üzleti vonalon hiányzó szakértelmet és tapasztalatot. Hogy lehet őket átcsábítani az IT-ra? Érdekes munkával! Bár, nem is biztos, hogy át kell őket csábítani. Jó megoldás lehet az is, ha szoros együttműködés alakul ki az osztályok között, és ezek az emberek a helyükön maradva vesznek részt a saját osztályuk és az informatikai osztály közösen megvalósított digitalizációjában.

Hasznos lesz, ha együtt dolgoznak a mérnökökkel – a két megközelítés jól kiegészítheti egymást, hiszen a műszaki embereket elsősorban a „hogy működik?” érdekli, és hajlamosak elhanyagolni azt a kérdést, hogy létrejön-e új érték, míg az üzleti területeken épp ez a legfontosabb kérdés, és a működés mikéntje nem annyira izgalmas.

Én úgy érzem, hogy a biztonság és a kockázatkezelés – az a terület, ami majdnem ugyanannyi válaszadónál volt a legnagyobb probléma, mint az üzleti ismeretek hiánya (18%. ill. 17%) – nehezebben kezelhető. Az IT-biztonsági szakemberek tradicionálisan merevek szoktak lenni, keményen ragaszkodnak az általuk jónak tartott műszaki megoldásokhoz. Ha nem jó az üzletfejlesztőkkel való kommunikációjuk, akkor sok jó nem sülhet ki belőle. Vagy megakadályozza a biztonság a kreatív ötletek megvalósítását, vagy elfogadható biztonsági megoldások nélkül jönnek létre (pl.: „fű alatt”, külső szolgáltatónál, felhőben).

Ha már vannak alkalmas embereink, mi kell még ahhoz, hogy igazán nagyot alkossanak, kitalálják az új termékünket vagy szolgáltatásunkat? Hagyni kell őket dolgozni!

“… technology innovation is not achieved by management but by fully motivating the employees’ enthusiasm and potential by allowing them to work on what they want.” – mondja Jing Wang a Baidu alelnöke, az önvezető autókkal foglalkozó részleg vezetője. Ő csak tudja!

Nemrég részletesebben írtam arról, hogy mi kell ahhoz, hogy sok dolgozó vegyen részt az innovációban, erről most nem írnék többet.

Milyen javaslatokat adott még az előadó? Itt van néhány példa:

  • Az egyetemekkel való szoros kapcsolat, gyakornokok, szakdolgozók, frissen végzettek bevonása.
  • A technológiában élen járó cégek felvásárlása is behozhatja a szükséges embereket.
  • A modern munkahely és vállalati kultúra segít megtartani őket.
  • Érdemes a digitális üzletben vezető cégektől (pl.: Google, Alibaba) elcsábítani embereket.

Bár az előbbi idézet szerint nem menedzseléssel lehet az innovációt elérni, mégse feledkezzünk meg a vezetők szerepéről! A felmérés szerint a digitális átállásra dedikált vezető (Chief Digital Officer) még nagyon kevés cégnél van (10% alatt).

Az informatikai vezetők (CIO-k) közel 40%-a ezt a szerepet is betölti. Töprengtem azon, hogy ez jó, vagy nem jó. Ha úgy nézzük, hogy a CIO nagyobb megbecsülést szerez, fontosabb (kulcsfontosságú) szerepe lesz a cégen belül, akkor (CIO-ként) csak örülhetek ennek. Miért vagyok mégis bizonytalan? Ha ez azt jelenti, hogy a digitalizációt „IT-s” dolognak tekintik, akkor viszont káros. Egy darabig lehet annak tekinteni, amíg az alapvető feladatokat (költségcsökkentés, folyamatok racionalizálása) elvégezzük az új technológiák segítségével, de nem szabad itt megragadni.

A felmérés azt mutatja, hogy a CIO-k egyre közelebb érzik magukat a vezérigazgatókhoz. Két éve még csak kétharmaduk volt szövetségese vagy partnere a nagyfőnöknek, most már háromnegyedük érzi itt magát. (Azt nem vizsgálta ez a felmérés, hogy a CEO-k mit gondolnak ugyanerről.)

Gartner-2016-CIO-CEO-relationship

Az önképük jól egybecseng azzal, hogy vezető szerepet és felelősségi kört keresnek a CIO-k a digitalizációban, és az üzleti eredményekre is hatással akarnak lenni. Ez így jól is hangzik, de közben utálják a cégen belüli „politikát”, és a sok munka nyomását és a stresszt. Vajon lehet ezek nélkül üzleti hatást és változásokat elérni egy nagy cégnél? Tisztáznia kell magával az informatikai vezetőnek, hogy tudja-e mindazt vállalni, amivel a vezetői kulcsszerep jár! Ha igen, nem vonhatja ki magát a cégen belüli, sőt a cégen kívüli (partnerekkel és szabályozó hatóságokkal való) tárgyalásokból, alkudozásokból, harcokból.

A vezetőnek tisztában kell lennie azzal, hogy a forradalmian új megoldások kitalálása, megtervezése, létrehozása és üzemeltetése nem mehet a megszokott módszerekkel. Ez azt is jelenti, hogy időnként keményen ki kell állnia a szabályoknak és a hagyományos teljesítménymérési, minősítési rendszereknek meg nem felelő kreatív emberei mellett. Enélkül elfogynak…

Kedves Olvasó! Ezzel végére értem a Gartner CIO Survey által inspirált cikksorozatomnak. Remélem, adtam valami hasznosat! Úgy érzem, hogy ez a téma nem tartozik a könnyen emészthetők közé, ezért érdemes lesz még egy kicsit csócsálni…

Előzmények:
Irány a digitális világ
A túlélés nem kötelező
Egy platformon vagyunk?

 

Tanítás, tanulás felsőfokon

A félév végén leül a tanár, végiggondolja, hogy mit csinált, mit ért el – és mit csináljon másképp…

thinkingA jövő héten vége az őszi félévnek, és ezen a héten már elkezdődik a tavaszi. Nem igazán jut idő a kettő között az elmélkedésre és a tapasztalatok leszűrésére, de ma eszembe jutott, hogy mégis jó lenne megtenni.

Mit tanítottam az elmúlt félévben?

  • A Budapesti Metropolitan Főiskolán az „Executive MBA for IT” szakon a szokásos tárgyamat, az informatikai üzemeltetést. Ez diplomás, szakmai gyakorlattal rendelkező embereknek szóló kurzus. Ők érdeklődnek, tudják, hogy hasznos nekik, amit tanulnak, sokuk maga fizeti a tandíjat. Az órákra eljönnek, és aktívan részt vesznek a közös tanulásban és tanításban. A létszám mindig 20 körül alakul. Ez jó létszám, van idő az együttműködésre, mindenkinek jut lehetőség saját prezentáció tartására.
  • A Zsigmond Király Főiskolán ebben a félévben csak az infrastruktúramenedzsment tárgyat tanítottam a gazdaságinformatikus hallgatóknak (nappalin és levelezőn) kis létszám és kis óraszám mellett. Kevesen voltunk ahhoz, hogy valódi együttműködés, interakció, egymástól való tanulás jöjjön létre.
  • A CEU Business School ebben a félévben is izgalmas és érdekes feladatokat adott. Két alkalommal tarthattam az informatikai vezető (CIO) munkájáról, jelenéről és jövőjéről 3-3 órát az „IT for Managers” MSc kurzuson. Ez olyan téma, amire minden félévben lehet és kell új dolgokkal készülni, mert gyorsan változik a vállalati informatika szerepe és helyzete. Mindig lehetőségem van a friss szakirodalomban elmerülni az órák előtt.
  • Szintén a CEU-n voltam tagja a képzeletbeli bank felső vezetésének azokban a helyzetgyakorlatokban, amelyekben a bank IT-osztálya jött egy-egy kritikus fontosságú projekt általuk javasolt megoldását „eladni”, megszerezni az igazgatóság jóváhagyását és a szükséges pénzt.
  • A Wekerle Sándor Üzleti Főiskolán három társaságnak is tanítottam az őszi félévben (ott később kezdődött, és csak most ér véget a félév). Mostanában ezek jelentik számomra a legtöbb izgalmat és kihívást, ezért ezekről írok majd részletesebben.

Előtte még vissza a Metropolitan Főiskolára, ami januártól már Metropolitan Egyetem lett. Itt nagyon szeretek tanítani, mert minden félévben kb. 20 komolyan érdeklődő felnőtt emberrel találkozom, akiket nem csak tanítok, hanem tanulok is tőlük. A tananyag struktúráját az ITIL (Information Technology Infrastructure Library) adja, ami három évtized alatt rengeteg ember által összeállított és állandóan fejlesztett tudás gyűjteménye. Jó ötvözete az elméletnek és a gyakorlatnak, mert valójában a gyakorlat ismeretében létrehozott elmélet – a legjobban bevált módszerek összegzése, szintézise. Erre a struktúrára építem rá a saját közel 20 éves informatikai vezetői tapasztalatom bemutatását, és a hallgatók egy része is a saját hasonló tapasztalatát mondja el nekünk az órai prezentációjában. Mások behoznak nem informatikai témákat is, amiket ugyanennek a módszertannak a szemszögéből mutatnak meg nekünk. Ezek igazán izgalmas témák, és azt bizonyítják, hogy a jó minőségű szolgáltatások alapelvei szakterülettől függetlenek lehetnek. A cél nem csak az informatikában, hanem más területeken is az kell legyen, hogy a használónak valódi értéket nyújtsunk – és ezt előre megállapodott és mindenki számára világos szabályok szerint és megegyezett költségen belül. Ahol az informatika már magas érettségi szintet ért el, ott mostanában sokszor éppen az jelenti a problémát, hogy az informatikai területen bevezetnek jól megtervezett folyamatokat, amik nem illeszkednek az üzlet kevésbé átgondolt folyamataihoz.

MET-2015-osz-mennyire-hasznos-prezentaciok

A hallgatók szeretik ezt a tárgyat, úgy találják, hogy hasznos a számukra, tanulnak belőle. Minden félév végén megkérem őket, hogy mondjanak névtelenül véleményt. A legutóbbi félévről született vélemények összegzése itt látható. A jelek szerint az elmélet és a gyakorlat arányát sikerült jól eltalálnom a számukra, és sikerült érdekessé tennem az órákat. Majdnem mindenki elég sok újat tanult – vagy tőlem, vagy a kollégáktól. A végén azt kértem tőlük, hogy a saját tudásukat értékeljék, és nagyon reális képet festettek róla.

A Metropolitanon ebben a félévben is fogok tanítani, és örömmel teszem. A nyitott kérdésekre adott válaszok irányt is mutatnak, hogy min dolgozzak még, min változtassak, hogy még hasznosabb legyen a hallgatóknak.

Azt ígértem, hogy a Wekerléről írok részletesebben. Itt három tárgyat tanítok, mindhármat a marketing és kereskedelem szakon tanuló külföldi hallgatóknak. (Ennek megfelelően angolul.) A tárgyak a gyakorlatra fókuszálnak. Minden órán kell a hallgatóknak kisebb vagy nagyobb feladatokon dolgozniuk, néha házi feladat is van.

A posztgraduális informatika és infografika tárgyat diplomás, szakmai tapasztalattal rendelkező fiatalok tanulják, akik sokféle szakmából jöttek (jog, közgazdaságtan, geológia, bank, turizmus, oktatás), és az a céljuk, hogy azt a sok hasznos ismeretet, amit az itteni MBA képzés során megszereznek, konkrét haszonra váltsák majd. 93% volt a részvételi arány, ez kiemelkedően jó, és mutatja az érdeklődésüket. Biztos vagyok benne, hogy sok olyan dolgot tanultak meg, gyakoroltak be, aminek hasznát veszik a munkájukban. A modern marketinges technológiák közül alap szinten gyakorlatot szereztek a blogolásban, az infografikák készítésében, a közösségi együttműködésben és az email hírlevelek küldésében. Profi szakértőnek, persze, egyikben sem mondhatjuk őket – ezek a témák mind megérdemelnének egy-egy külön tanfolyamot, de ismerik, tudják használni mindegyiket. Abban maradtunk, hogy folytatják a gyakorlást ezeken a területeken, nem hagyják elkopni a megszerzett tudásukat.

Összességében csak jót tudok mondani a csapatról. Néhányan egy kicsit nehezen lendültek bele a munkába. Volt, akinek az elején elég sokat kellett segítenem, amíg belejött a majdnem folyamatos órai munkába, de a végére mindenki aktív lett és igazán akart tanulni és jó eredményt elérni. Többen is visszatértek korábbi feladatokhoz, és újra megcsinálták azt, ami először gyengén sikerült. Az volt a jellemző, hogy valóban odatették magukat a feladatok megoldása során. Nem próbálták meg “alibi”, éppen csak jó megoldással kiszúrni a szemem, hanem valódi szövegeket írtak (töltöttek le, és használtak fel), gyűjtöttek képeket, hivatkozásokat.

Tőlük is kértem névtelen kérdőíven való visszajelzést, de eddig csak nagyon kevesen válaszoltak. Mit találtak érdekesnek és hasznosnak? A Google táblázatok és az email kampány (hírlevél) vitte el eddig a pálmát, de a blogolás és a szófelhők (word clouds) készítése sem sokkal maradt le. Itt látszik a teljes kiértékelés, ami még bővül majd, ahogy többen válaszolnak. Az eddigi válaszolók szerettek volna több órát, és más témákat is tanulni. Meglátjuk, hogy lehet-e majd bővíteni a jövőben…

Az alapszakon (BA) és az előkészítő éven tanulók esetében látszott, hogy ők még fiatalabbak, alig valakinek van munkatapasztalata, most ismerkednek a felsőoktatással. Szemben az előzőekben említett csapattal, ahol a túlnyomó többség jelest kap, itt csak a hallgatók fele tudta teljesíteni a követelményeket, a többiek újra nekifuthatnak. Mit tanultak? A Microsoft Word egyes rejtelmeit, a Google dokumentumok és táblázatok használatát, az ezekkel való közös munkát, együttműködést, és hasonló alap szintű ismereteket. Nem csak ez volt – jutott időnk a marketingesek egyik fontos eszközére, a blogolásra is. Erre rendesen rácuppantak, és lelkesen írták a bejegyzéseket, gyakorolták a hozzászólásokat. Többen is túlteljesítették a követelményeket, mind darabszámban, mind minőségben (képek, hivatkozások). A következő félévben ők is hasonlóan érdekes témákat kapnak, mint most a „nagyok” – remélem, még lelkesebbek lesznek.

Kétféléves statisztika tárgyat tanítok másodéveseknek, akiket már megismertem az előző tanévben, amikor informatikát tanultak tőlem. Ez kicsit más, valamivel több benne az elmélet, de minden órán sok kisebb-nagyobb gyakorló feladatot is megoldunk együtt, vagy a hallgatók önállóan. Az első félévben sikerült lerakni az alapokat, amikre a marketing, logisztika és pénzügy területén hasznos statisztikai ismereteket építjük majd a másodikban.

A most kezdődő félévben a Wekerlén mindhárom tárgy folytatódik.

A ZSKF-en az infrastruktúramenedzsment nagyobb létszámú lesz (20 feletti), és mellette ismét lesz mobil biztonság. Ez alaposan megdolgoztat, mert a terület nem évről évre, hanem hónapról hónapra változik. Minden pillanatban megjelennek új típusú veszélyek és új válaszok is ezekre. A nagy változás pedig az, hogy a mobil eszközök használata mára már nem valami furcsaság, vagy feltörekvő terület, hanem ez lett a tipikus. Majdnem minden mobil eszközökön történik. Ez teljesen felforgatja a biztonság kezelését is. Ma van az első órám ebben a félévben, és már a felvezetést is alaposan átdolgoztam a tavalyihoz képest. Nem ülhetek a babérjaimon, hétről hétre újítanom kell a tananyagon. Ettől érdekes 🙂

Ami újdonság ebben a félévben, az Óbudai Egyetemen az ITIL-alapú szolgáltatásmenedzsment tárgy. Erre még készülök – az alapokat az ottani korábbi tanévek anyaga és a saját tapasztalataim adják. A félév után majd kiderül, hogy mennyire jól tudtam összerakni és átadni az ismereteket.

Kedves Olvasó! Ez az írás eltért a szokásostól, de remélem, nem untattalak vele. Szívesen mesélek ezekről a dolgokról, amik az időm nagy részét kitöltik – nem elsősorban a tanórák alatt, hanem a készülés, a feladatok előkészítése és kiértékelése közben is. Örülök, amikor úgy érzem, hogy sikerült értéket adnom a hallgatóknak. Nem örülök, amikor nem sikerül, hanem azt látom, hogy nem érzik hasznosnak és fontosnak a témát.

 

Okos adat

Kire tartozik, hogy mennyi por van a szobámban, és milyen gyakran takarítok? Kire tartoznak a fogmosási szokásaim és a fogaimban lévő lyukak?

Samsung-cleaning-robotElső pillanatban úgy tűnik, hogy kevesekre. Rajtam kívül a családtagjaimra és az utóbbi a fogorvosomra. Esetleg még pár emberre. Nos, nem biztos, hogy így van abban az esetben, ha „okos” fogkefém van. Ez az okos jószág szorgosan gyűjti az adatokat, és a biztonság kedvéért jól meg is őrzi – a gyártó rendszereiben. Ott örökre megmaradnak, alávetik őket mindenféle elemzéseknek, megtudnak rólam sok mindent. No, nem csak a fogkefémtől. Tele van a környezetem okosnál okosabb eszközökkel. Ezek egy részét saját magam, tudatosan kapcsolom össze egymással, mert így jobb nekem. A többiek megtalálják egymást, összekapcsolódnak. Ha nem közvetlenül, akkor a „mestereiken” keresztül.

Hoztam pár példát korábban az okos ház és a sok okos eszköz hasznos kapcsolatáról. Ilyen, például, a kellő időre beindított és bemelegített autó, az időre elkészülő vacsora, a fűtés szabályozása a napirendemtől függően (akkor is, ha hirtelen megváltozott a napi programom), a jó alvásomra optimalizált fűtés, és van még sok.

Arról nem beszéltem, hogy mi is van az adatokkal, az információval. Ezek az eszközök sok mindent tudnak rólam és a környezetemről, és mindent az én érdekemben, az én jobb kiszolgálásom érdekében használnak fel. Remélem!

Ki használja ezeket az adatokat és mire? Mennyire fontos ezt tudnom? Mekkora gond az, ha az elsődleges célon (a jó kiszolgálásomon) túl is felhasználják? Van rá joguk?

Jó kérdések! Kezdjük az utolsóval. Most olvastam, hogy jogászok álláspontja szerint ezeknek az adatoknak nem én vagyok a tulajdonosa. Nem az a tulajdonosa, akire vonatkozik az adat, hanem az, aki begyűjtötte. (Az adat azé, aki megműveli?) Engem meglepett ez a vélemény. Persze, tulajdonképpen mindegy, hiszen amúgy is megadjuk mindenhez a hozzájárulásunkat. Nem is igen olvassuk el azokat a hosszú szövegeket. Ha elolvassuk, nem nagyon értjük, hogy mi következik belőle. Az is kérdés, hogy hol lenne a fogkefén az a kijelző, ahol elolvasnánk a jogi bla-blát.

Azt mondja az érvelés, hogy az adataimat összegyűjtő cég időt és pénzt fordított az adatbázis létrehozására, feltöltésére, és az adatok elemzésére, így megszerezte az adatok feletti rendelkezés jogát. A dolgot még szebbé teszi az, hogy nem egy cégről van szó, hiszen az „okos” eszközök világában szerepel a „dolgok internete” (Internet of Things, Internet of Everything) – az a kapcsolódás közege. Nagy adattároló és –feldolgozó felhők játszanak benne szerepet. Miért fontos ez? Nem egy cég lesz tulajdonosa az adatainknak, hanem mindegyik, amelyik részt vesz ebben a folyamatban. És, hogy el ne felejtsem: kereskednek is az adatainkkal.

Összefoglalva: Kinek van köze a fogmosási szokásaimhoz? Mindenkinek, akit csak érdekel! Érdekel ez valakit? Önmagában nem fontos adat, de sok más aprósággal összefésülve, levonhatnak belőle következtetéseket a viselkedésünkre, kitartásunkra, rendszerességünkre, jellemünkre. (A következtetéseket gépek fogják levonni, a közben felhasznált algoritmusok pedig nem lesznek hibátlanok!) A sor végén valaki általános jellemzéseket árul majd, amiket számára is ismeretlen adatokból, számára is ismeretlen algoritmusok számoltak ki.

A szolgáltatás előfizetője (munkáltató, biztosító, társadalmi szervezet, bank, hatóság) kap majd egy „tudományos alapon”, a rólam több év alatt összegyűjtött rengeteg adatból létrehozott profilt. Ennek alapján dönt a jövőmről. Tetszik? Nem igazán! Nem tudom, ki ismeri az USA-beli „credit rating” vagyis hitelminősítő rendszereket. Azok valami hasonlót, de sokkal egyszerűbbet csinálnak. Ha becsúszik egy téves adat (és időnként becsúszik), akkor az érintettnek sok-sok pénzébe és sok idejébe kerül tisztára mosnia magát. Simán eltart hónapokig, ha nem évekig. Addig nem kap hitelt, vagy kiugróan magas kamatot követelnek tőle. Sőt, általában is megbízhatatlannak minősül, mert nem csak hitelintézetek lehetnek az információ felhasználói között. Hol árthat? A Forbes felsorol tíz példát, ilyeneket: lakásbérlethez jutás, munkavállalás, biztosítások megkötése, nyomozó hatóságok.

Ahogy mondtam, a hitelminősítésben lévő tévedéseket sem könnyű kijavíttatni, pedig ott viszonylag kevés forrásból származó kevés adatot dolgoznak fel. Ha már az egész életünk minden apró mozzanata tárolva lesz a nagy rendszerekben, és ott sok lépésben feldolgozzák mielőtt a végső következtetéseket levonják, azt se lehet majd tudni, hogy pontosan milyen adatokból jött ki az, hogy megbízhatatlan vagyok. „Csak úgy” köztudomású lesz. Olyasmi, mint az előítélet, de sokkal biztosabb lábakon áll, mert „tudományos alapokon” jön létre.

Jó messzire jutottam az internetre kapcsolódó „okos” fogkefétől, ugye? Bizonyos mértékig túloztam, a fogkefe nem ennyire veszélyes. Másrészt mégsem túloztam. Az egész, nagy összekapcsolt mindenség erre és ennél sokkal többre is képes. Mi, emberek, hagyni fogjuk, mert a dolog túl komplex ahhoz, hogy minden részletében megértsük, és túl sok cégnek lesz belőle sok bevétele.

Az IBM a Watson bevetését tervezi. Nem Sherlock Holmes társáról, Dr. Watsonról van szó, hanem egy különlegesen okos számítógépes algoritmusról, ami már évekkel ezelőtt képes volt legyőzni (4 perc videó) a legjobb emberi játékosokat az amerikai Jeopardy vetélkedőn. Ha a Watsont tényleg bevetik, akkor előre nem látott összefüggések és kapcsolatok kerülhetnek felszínre. Jók vagy károsak? Hasznosak lesznek nekünk, vagy ártalmasak? Ha igazak is, vajon szükségesek és helyénvalóak?

Szóval, mi legyen? Védekezzünk az „okos otthon” ellen?

Nem tudom. Sok apró kényelmességgel kezdődik a dolog, majd szépen, lassan megszokjuk a meglévő helyzetet, és az újabb nagyszerűségek is beszivárognak. Mindet meg lehet szeretni, és lassan kialakul a függőség. (Láttunk már ilyet!)

Fontolja meg mindenki, hozza meg mindenki a saját döntését!

Segítek: itt gyűjtöttem össze az eddigi írásaimat a témáról. Sokat olvastam hozzá, és megpróbáltam megérteni, amit olvastam… Jó olvasást és döntést!

 

Ki az okosabb?

Amikor már nemcsak okosabb nálunk az autónk, hanem bele is beszél mindenbe – sőt, bele is avatkozik, akár rendőrt is hív helyettünk…

20._Station_der_Zukunftsenergientour-_Energieeffizienz-Projekte_SmartHome_in_Paderborn_(12100915513)Az okos otthonoknál hagytam abba a múlt héten, és itt is folytatom. A fűtés telefonos vagy internetes távvezérlése már jó ideje nem valami távoli dolog, hanem a mai valóság része. (Azt azért megnézném, amikor a fafűtéses cserépkályhát is internetről vezéreljük majd…) Na, de komolyra fordítva. Az is régi dolog, hogy a fűtést a külső hőmérséklet és a szél függvényében is tudja vezérelni az automata. Ebben az a jó, hogy nem kell kivárni, amíg a jeges szél elkezdi lehűteni a lakást. Meg lehet előzni, be lehet indítani a fűtést. Ez még mindig a régi, hagyományos megoldás, csak néhány külső érzékelő kell hozzá.

Most jön a felhő és az együttműködés!

Remélem, már vártad Kedves Olvasó, hogy milyen együttműködést tudok beleszőni!

Ha ez az automatika egy szolgáltatáshoz (felhőhöz, ahogy mostanában hívjuk) kapcsolódik, akkor ott összejönnek sok-sok használó mérési eredményei. Így lehet tudni, hogy északnyugat felől hideg szél érkezik, és már a megérkezése előtt be lehet indítani a fűtést. Még kényelmesebb és gazdaságosabb lesz így! A sok használó együttműködése mindenki előnyére válik. Nagyon aktív együttműködést nem is igényel az emberek részéről, mindössze meg kell engednünk a készülékeknek, hogy megosszák egymás között az információt.

Van még egy következő lépés is! Ha a szolgáltatónk figyeli a meteorológiai adatokat és előrejelzéseket, akkor már egészen tökéletesen tudja szabályozni a fűtésünket. Ma én ezt manuálisan csinálom. A pillanatnyi és a várható időjárás alapján döntöm el, hogy hányszor és mennyi fával fűtsek be. Nem mindig találom el, de igyekszem…

Amit eddig írtam, abban alig fedezhető fel a közösségi együttműködés. Annyi történik, hogy megengedem a külső érzékelőknek, hogy beadják a központba az időjárási adatokat. Mi ez? Semmi! Csinálnom nem kell semmit, és nem is adok ki információt magamról.

waze eros forgalomNézzünk egy másik példát! Itt van a waze, egy útvonaltervező szolgáltatás, ami a pillanatnyi forgalmi viszonyok alapján tervezi meg az utat. Ez egy nagyon jó ötlet, és nagyon jól is működik. Nekem kevés tapasztalatom van vele, de az abszolút pozitív, és másoktól is csak jót hallottam róla. Hogy működik? Folyamatosan figyeli az úton lévők mozgását, sebességét, és így tudja a leggyorsabb útvonalat megtervezni (és változás esetén áttervezni). Már elég régen benne van a többi útvonaltervezőben is a lehetőség, hogy bejelentsem, ha valami lényegeset tapasztalok útközben (pl.: baleset, torlódás, rendőr), de ehhez tennem kell valamit. A régi módszerekkel sokkal kevesebb és pontatlanabb információ gyűlik össze, mint ezzel az automatikus megoldással. Mi ebben az együttműködés? Semmit se kell csinálnom, pusztán csak futtatnom a szoftvert, utána miden magától történik. Van itt együttműködés: fontos személyes információt adok ki, és nem is én szerzek belőle közvetlen előnyt, hanem mások. Közvetetten, persze, nekem is hasznos, ha javítom a szolgáltatás minőségét, hiszen így többen fogják használni, és nekem is segít majd legközelebb. Ezt nem szoktuk így végiggondolni – egyszerűen csak szeretünk értelmes kezdeményezésekben részt venni.

Ki emlékszik a blogom legelső írására? 2013. augusztus 8-án egy akkor tervezett (és egy évvel később beindult) hasonló szolgáltatásról írtam. Abban is erős közösségi elem van. A kulcstartómra, a pénztárcámba, a táskámba, a biciklimre tudom tenni a Tile névre hallgató kis ketyerét. Ennek nincs saját SIM kártyája vagy WiFi-je, csak egy Bluetooth van benne. Ezzel kapcsolódik a közelben lévő telefonokhoz és táblagépekhez, amik a Tile szoftverét futtatják, majd így éri el az interneten keresztül a szolgáltató központját. A Tile olyan dolog, ami sok-sok ember együttműködése nélkül értelmetlen. Mi benne az együttműködés? Akkor is futtatom a Tile szoftvert, amikor semmi szükségem rá. Ezzel segítek egy ismeretlennek, aki keresi az eltűnt kulcsát vagy tárcáját, ha az esetleg a közelemben lenne.

Nocsak, ezek tudják, hogy róluk írok?!? Épp most jött tőlük az email, hogy olcsóbb és gyorsabb lett a szállítás Magyarországra, és javítottak a terméken is. (Hangosabb lett a Tile, a párna alól és pár szobával távolabbról is hallani lehet. Fordítva is működik, vagyis a Tile is meg tudja csöngetni az elbújt telefont – némított állapotban is.) Ha többen használják itthon, hasznosabb lesz. Meggondolom, hogy frissítek-e…

Menjünk vissza egy kicsit a házba, pontosabban a munkahelyre! A mai technika mellett sokan úgy is tudnak dolgozni, ha nincs állandó kijelölt helyük az irodában, hanem ott ülnek le, ahol van éppen szabad hely. Ha sokszor dolgoznak ügyfélnél vagy otthonról az emberek, akkor egyébként sincsenek minden nap az irodában, nem érdemes fenntartani számukra egy állandó helyet. Sok papírra sincs szükségünk, a számítógépünk és a telefonunk is mobil – csak az a néhány apróság kell, amitől személyesebb, otthonosabb lesz a helyünk. Ezek elférnek egy kis gurulós szekrényben. Képzeljük el azt, hogy mindenki kap mobilt a cégtől, és reggel az épületbe belépve ezen kapja meg az üzenetet, hogy hol fog aznap ülni. Mire odaér, ég a villany, be van fűtve, és ott a kis gurulós szekrénykéje az asztala mellett. Hogy menne ez? A rendszer folyamatosan tölti az épületet, emeletről emeletre osztja ki az ülőhelyeket. Mindig megfelelő területet tart előkészítve (fűtés, hűtés, szellőzés). Mire odaérünk, odaküldi a szekrényünket és felkapcsolja a világítást. Ha nagyon kedves akar lenni hozzánk, akkor figyel, megtanulja, hogy mekkora fényben és hány fokban szeretünk dolgozni. Jól hangzik? Ízlés dolga. Annyi biztos, hogy már ez sem egy jövőbeli kép. Kinek jó ez? Nem tudom, hogy a dolgozónak jó-e. A cégnek jó lehet, ha ezzel a fűtésen és a világításon tud spórolni. Lehet egy érdekes mellékhatása is: javíthatja a cégen belüli kommunikációt és a részlegek közötti kapcsolatot, ha véletlenszerűen kerülnek egymás mellé a dolgozók.

Ezekben a nagyszerű rendszerekben az egyik közös dolog az, hogy a mozgásunkról mindent megtud a szolgáltatónk vagy a munkáltatónk. Azt is tudhatja, hogy hol vagyunk az épületen belül, hol mennyi időt töltünk. Ennek lehetnek nemszeretem következményei, ha visszaélnek vele, nem jó célra használják. Ismét itt a kérdés: megéri? Szerintem nincs rá általános válasz – esete válogatja. Valamilyen mértékben régen léteznek a dolgozók mozgását követő rendszerek. Vannak ilyenek a céges autókban (főleg a teherautókban) már évek óta. A WiFi, a Bluetooth és a navigációs szolgáltatások újabb lehetőségeket teremtettek.

Ha már szóba jöttek az autók: hírek szerint 2018-tól az EU-ban is minden új autóban kötelező lesz a balesetet automatikusan jelentő rendszer. Ez sok ember életét mentheti meg, ha azonnal értesíti a rendőröket és a mentőket egy ütközés után. Azt is meg tudja (talán) mondani, hogy mennyire súlyos a baleset. Mostanában történt egy érdekes eset az USA-ban: egy autó egymás után két balesetet is bejelentett a rendőrségnek, de a vezető tagadta, hogy bármi is történt volna. Lebukott két cserbenhagyás miatt. Érdekes, ugye, hogy a saját autója jelentette fel? Az ember sok pénzért megveszi, fenntartja, és ez a hála?

Egy ideje töprengenek az érdeklődők egy fontos etikai kérdésen az önmagukat vezető autókkal kapcsolatban: Elkerülhetetlen baleset esetében, hogyan dönt majd az autó, ki sérüljön meg, ki haljon meg? A kérdést így szokták feltenni: Ha abból lehet választani, hogy négy gyalogos haljon meg, vagy az autóban egy ember, hogyan vezet majd az automata? Súlyos kérdés, és egyelőre csak kérdés, de majd válasz is kell…

Az önmagukat vezető autók elterjedéséig még sok víz lefolyik a Dunán, és sok műszaki és jogi problémát kell megoldani. Az internetre kapcsolódó autók viszont már itt vannak, és éppen elég sok gond van velük. Mi a baj? Csak annyi, hogy az egész autó felett át lehet venni az irányítást az interneten keresztül – annyi tervezési hiba van ezekben a rendszerekben. Hogyan? Ma már szinte semmi se mechanikus az autókban, a féket, a gázt és a kormányt is csak áttételesen kezeljük. Mi egy elektronikus szerkezetnek adunk utasítást a pedálok és a kormánykerék révén, és az elektronika ad gázt, fékez vagy kormányoz. Ebbe a folyamatba pedig bele lehet nyúlni kívülről. Sajnos ezekből a rendszerekből csúnyán kihagyták az illetéktelen beavatkozások elleni védelmet az autógyártók. Megindult a védelmi rendszerek fejlesztése is, például az IBM is foglalkozik ezzel. Furcsa világ lesz, amikor majd az autónkba is internetes tűzfalat és vírusellenes rendszert kell tennünk, és azt állandóan frissítenünk. Kezd már számítógép lenni az autó is…

Szeretjük, nem szeretjük – ezt kapjuk! Folyt. köv.

A mindenség…

Mindent rákötünk mindenre, és tele van az életünk számítógépekkel, amikről nem is tudjuk, hogy számítógépek.  Amikor az „okos” eszközökre gondolunk, többnyire eszünkbe jut, hogy azok valójában számítógépek, csak éppen, mondjuk, telefonnak látszanak.

Smart_Home_Control_PanelAzt hiszem, hogy a telefonokról nagyjából mindenki tudja, hogy azok kis számítógépek. Élvezzük is azt a sok kényelmességet, amit nyújtanak. Ezek közül mindenki mást tart a legfontosabbnak, és használ a legtöbbet. Én, például, nem használom zenehallgatásra vagy videó nézésre. Annál többet levelezésre (inkább olvasásra, mint írásra). A naptáramat és a teendőim listáját sokszor a telefonon kezelem – ezekre nagyon jó. A naptárban különösen szeretem, hogy útba is igazít, megmondja, hogy jutok el a címre. Itt jön az, amit a legtöbbet használok: az útvonaltervezés, amiben csodálatos, hogy azt is megmondja, hogy a busz egy-két perccel előbb vagy később érkezik.

Fényképezőgépnek is használható, bár „elkapni” nem tudok vele pillanatokat, mert nagyon lassú. Kevés fényben alig használható – szóval nem fényképezőgép, de vannak pozitívumai. A képeket automatikusan feltölti a „felhőbe” (Dropbox, Google Drive, vagy ahova csak akarom), ahonnan az otthoni számítógépem letölti. Minden fénykép megvan itt is, ott is. Nehéz lenne bármit is elveszteni!

Apropó, elvesztés. Hányszor hallom azt, hogy valaki elvesztette a telefonszámokat, amikor elromlott vagy elveszett a telefonja! Velem ez nem fordult még elő, és nem azért, mert rendszeresen mentéseket készítek a telefonom tartalmáról. Hanem? Ez is automatikusan történik a felhőben! A Gmail címlistámban tartom a telefonszámokat is, és az szinkronban van a telefonommal. (Ha Outlook, Office365, Apple, vagy bármi más levelezőt használunk, azzal is simán megy.) Extra előny: nem kell a telefonon beírnom az adatokat, hanem csinálhatom a számítógépen is – minden szinkronban van a telefonnal.

Ha ilyen szép és jó, mi a hátránya ennek a sok felhőnek? Ha valamit titokban akarunk tartani, vagy végleg meg akarunk semmisíteni, akkor erre alig van esélyünk. Mekkora baj ez? Mennyire zavar? Engem nem igazán zavar. Tudok róla, elég jól értem a helyzetet és a kockázatot, és együtt tudok élni vele. Úgy tekintem, hogy ez az ára szolgáltatásnak. Miért kellene nagyon hasznos és kényelmes szolgáltatást ingyen kapnom? Nincs rá semmi ok…

Biztos sokan hallották már a mondást, hogy ha nem fizetünk valamiért, akkor mi magunk vagyunk az áru. Kerestem az eredetét, és a legrégebbi előfordulását 2010-ben fedeztem fel: „If you are not paying for it, you’re not the customer; you’re the product being sold”. Baj ez? Ki-ki döntse el magának!

Ugorjunk, ennyi elég is a telefonokból! Mit kötünk még hálózatba? Már jó néhány éve tudnak telefonálni a riasztók (az otthoni és az autóban lévő is), és az se új dolog, hogy mobilról szabályozzuk az otthoni fűtést. Hosszú ideig lassította az elterjedésüket az, hogy kellett egy SIM kártya is ezekbe az eszközökbe. Az otthoni dolgokat már rákapcsolhatjuk az internetre, nincs semmi extra költség, és fel is gyorsult a terjedésük.

A „smart home”, az „okos otthon” nem valami új találmány, már több mint egy évtizedes története van. Az újdonság az, amikor a lakásban lévő sok-sok okosság összekapcsolódik egymással, és még a nagyvilággal is. A lehetőségek tárháza végtelen. Már most is sok minden létezik ezen a területen, de sokkal több érdekes lehetőség áll előttünk. Nézzük az előbb említett fűtést! Az régi dolog, hogy a termosztátot előre be tudjuk programozni, hogy a reggeli ébredésre befűtse a nappalit; napközben, amikor nem vagyunk otthon, levegye a hőmérsékletet, de ismét meleg szobával várjon a munka után. Ezt fejlesztették tovább, amikor már haza is lehetett telefonálni a termosztátnak, hogy ma nem a szokott időben megyünk haza, előbb vagy később kell a meleg szoba. De miért is kell ehhez telefonálni? Amikor hazaindulok, a telefonom magától haza tud szólni, nem? Azt is tudja, hogy másnap van egy szokatlanul kora reggeli megbeszélésem, ezért korábban kell az ébredéshez befűteni, de utána le is lehet venni a meleget. Kényelmes, ugye? Mi kell ehhez? Nem olyan sok: össze kell kapcsolni a naptárat, a navigációt, a helyzetérzékelést és a fűtést. Ezek különböző szolgáltatások, de a telefonunk mindegyikkel tud beszélni, tudja koordinálni az egészet. Sőt, valójában nem is a telefonba kell ezt beépíteni: elég, ha minden kapcsolódik egy szolgáltatóhoz a felhőben. Ott van lehetőségünk mindent beállítani. Ez most még bonyolultnak hangzik, de hamarosan megjelennek az abszolút kényelmes megoldások is.

IoT If Then

Lehet még fokozni! A sport és fitnesz alkalmazások azt is tudják figyelni, hogy mennyire jól alszunk. A fűtési rendszerünk rajtuk keresztül megtanulhatja, hogy hány fokban alszunk a legjobban, és magától be tudja állítani. Akárcsak egy gondos anya, ugye? Kell ennél több? 🙂 Talán be is tud majd takarni az ágynemű, ha lerúgtuk a takarót és kezd hűlni a testünk. Ha ezt még nem oldották meg, akkor a fűtés lép közbe.

Bevásárlás, sütés-főzés, takarítás. Itt is sok lehetőségük van a gépeknek. Mi lenne, ha a hűtő megrendelné a tejet, amikor kibontottuk az utolsó dobozzal? A kávéfőző friss a kávé illatával ébresztene? (És, persze, megrendelné a kedvenc kávénkat, mielőtt kifogyna.) Reggel bekészítettük a sütőbe a vacsorát, hogy frissen sülve várjon minket. Az semmi, hogy beállítottuk előre a hőmérsékletet és az időtartamot – ilyen már régen van. Ott jön az újdonság, amikor majd figyeli a sütő, hogy meddig tart az utolsó megbeszélésünk, mikor indulunk haza, és módosítja a programot, hogy nekünk még jobb legyen. A tévé akkor is felveszi a kedvenc sorozatunkat, ha nem programoztuk be előre, mert azt hittük, hogy addigra hazaérünk.

A lehetőségek tárháza, mint mondtam, kimeríthetetlen. Gyűjtöttem néhány érdekes olvasnivalót a témában:

Az utolsó cikk a biztonsággal foglalkozik, de nem bonyolult módon, hanem nagyon is egyszerűen és kézzel foghatóan. Biztonság? Már megint ezzel jönnek! Állandóan fenyegetnek a vírusokkal és mindenféle veszélyekkel, de vajon mennyire valóságosak ezek a veszélyek?

Az a helyzet, hogy ebben a sok új dologban, ami az internetre kapcsolódik, tipikusan olyan szoftverek vannak, amiknek a megírásánál nem sok gondot fordítottak a biztonságra. Keveset tudunk még, mert kevés incidens történt, de az eddigiek egyáltalán nem biztatóak. Szinte minden gyártó internetre kapcsolódó autójáról kiderült már, hogy teljesen át lehet venni az irányítását kívülről – bizony, akár a féket, a sebességváltót és a gázpedált is tudják kívülről kezelni. Még senki sem halt meg emiatt… Más dolgoknál, pl., orvosi eszközöknél, már nem ilyen jó a helyzet – ott haltak meg emberek internetes beavatkozás miatt. Jó, ez egyik se az „okos otthon” területe. Ott mi történhet? Egy beteg embert vagy egy kisbabát nagyon súlyosan érintene, ha valaki durván felemelné vagy lecsökkentené a szoba hőmérsékletét. Egy elektromos tűzhely tud tüzet okozni, ha túlhevítik. Nem is keresem a példákat. Sajnos lesznek majd ilyen tragédiák…

Mit csináljunk? Azt szokták mondani, hogy legyünk óvatosak, körültekintőek, és így tovább. Ez igaz, óvatosnak kell lennünk. A szokásos tanácsok itt is érvényesek: milyen jelszavakat használunk, kinek mit árulunk el, stb. Azt hiszem, ez egy olyan terület, ahol nagyon ki vagyunk szolgáltatva a szolgáltatónknak. Az autókat sem azért érték el a rossz fiúk, mert a vezető gondatlan volt. A vezető azt se tudta, hogy van ilyen rendszer az autójában.

Ha tőlem kér tanácsot valaki, csak a kivárást tudom javasolni. Itt most jönne az a rész, amiben leírtam néhány tanácsot, majd kitöröltem. Még jobban utánajárok a témának, mielőtt elkezdek tanácsokat osztogatni.

 

Bizalom, együttműködés, bűnözés – jövőkép?

A múlt keddi ITBusiness Club reggelin (téma: kiberbűnözés) a bizalom, a mentalitás és az attitűd fontos szerepet játszott a téma elemzésében. Valószínűleg ezért is kapott meg ennyire, hiszen ezek rímelnek a kedvenc témámra, ami az együttműködés.

Hogyan változik meg a viselkedésünk az egyre szélesebb kapcsolati és együttműködési lehetőségek hatására? Hogyan lenne jó? Egyáltalán: mi a “jó”? Ahogy Mérő László többször is hangsúlyozta: még nagyon kevés ideje élünk ebben az online világban, és nem tudunk róla eleget ahhoz, hogy felfogjuk a hatásait.  A jövő még homályosabb…

Ha az informatika területén a jövőre vagyunk kíváncsiak, érdemes a Gartner elemzéseit elolvasni. Ők sem rendelkeznek a jövőbelátás képességével, de a jóslataik képesek alakítani a jövőt.

Ők négy lehetséges kimenetet látnak, és azok közül a “szabályozott kockázat” (“Regulated Risk“) a legvalószínűbb. Ezt a következők jellemzik:

  • a vállalkozások lesznek a támadók célkeresztjében,
  • még több kormányzati szabályozás jön,
  • kiberháborúk,
  • kritikus infrastruktúra fokozott védelme,
  • növekvő költségek,
  • ugyanakkor a kockázatok csökkenése kérdéses.

A második legvalószínűbb a koalíciók uralma (“Coalition Rule“), ahol hadurak és kartellek uralkodnak, céges  kiberbirodalmak jönnek létre, nem teljesen követik a hatástalan szabályokat, és növekszik a kémkedés, egyre nagyobbak lesznek az üzleti károk.

Érdemes elolvasni az egészet: http://my.gartner.com/webinardetail/resId=2479415?srcId=1-2949089475target=  (ingyenes regisztráció szükséges).

 

Változzon meg a mentalitásunk? Mit gondolunk a kiberbűnözésről?

Bizalom és biztonság – kéz a kézben járnak, vagy ellenfelek?
Bizalom és gazdasági érték – mérhető a kapcsolatuk?
Új technológia és régi gondolkodás – változó mentalitás?

maze searchAz ITBusiness Club novemberi összejövetelének nagyon izgalmas és aktuális témája volt: a kiberbűnözés jelene és jövője. Két meghívottunk volt: Mérő László matematikus professzor, aki hosszú ideje kutatja és elemzi az emberi viselkedést; és Makay Kálmán a Symantec vezető rendszermérnöke. Már a bevezető is élő párbeszéddé alakult, majd a közönség bevonása után igazán pezsgő lett a hangulat.

Az egyik kiinduló pont a bizalom volt (Fukuyama könyve alapján). Az alaptétel az, hogy minél magasabb a bizalom szintje, annál fejlettebb az ország. A bizalom hiánya egy tipikus holtteher-költség, és veszteséget okoz. (Mi ez a holtteher-költség? Mérő példái: A túl nagy raktárkészlet költség az eladónak, de nem nyereség a vevőnek. A hiány költség a vevőnek, de nem haszon az eladónak. Hasonlóképpen, a bizalom hiánya is olyan költséget generál, pl.: a szerződés megírásakor, ami sem a vevőnek, sem az eladónak nem hoz extra bevételt.)

A bizalomra rímelt az a kérdés, hogy milyen beépített kiskapuk és szivárgások vannak az eszközeinkben, és azokat ki és mire használja. A gyártók és szolgáltatók hogyan használják fel azokat az információkat, amiket a „feleslegesen” beépített hardver és szoftver elemek segítségével összegyűjtenek? Csak üzletszerzésre használják a magunk és ismerőseink adatait, vagy másoknak is értékesítik? Az állami intézmények csak a terrorizmus elleni harcban használják, vagy gazdasági célokra is? Szét lehet ezeket egyáltalán választani? Hogy ítéljük meg Snowdent, a modern Rózsa Sándort?

Mi jut erről eszembe? A nagy IT-biztonsági cégek rengeteg információt tudnak összegyűjteni a támadásokról és az ügyfeleik rendszereiről. Ezek felhasználásával tudnak nekünk segíteni a védekezésben. Hogyan? Például statisztikákkal, amikből kijön, hogy mik a gyakori támadások és a legfontosabb elemei a védekezésnek. Ennél sokkal tovább is tudnak menni, ha mélyebbre ásnak az adatokban és azonnal felhasználják a rendelkezésre álló információt. Ha egy helyen összegyűlik sok-sok cég összes biztonsági rendszerének (tűzfal, vírusirtó, behatolás érzékelő) információja, azonnal és hatásosan tudnak segíteni a védekezésben (még mielőtt minket is elérnének a támadások). Hogy viszonyul ehhez az ügyfél? Szívesen adja ki sok-sok információját a „nagyobb jó” érdekében?

Mi a helyzet a védelem vs. támadás fronton? Itt is ugyanaz, mint a széfgyártók és a mackósok harcában: egyre jobb és erősebb a védelem, és előbb-utóbb feltörik. Amit ember titkosított, azt ember meg is fogja fejteni. Minden kód feltörhető, csak idő kérdése, és azt nevezzük feltörhetetlennek, amiről még nem tudjuk, hogyan – mondta Mérő. A Kasperskynek tulajdonított mondás szerint ez az egész csak azért működik, mert a vírusokat kontárok írják. Mi lesz, ha ügyesebbek lesznek?!?

Mennyire aggódjunk amiatt, hogy a hardver és a szoftver adatokat, információkat gyűjt rólunk és arról, amit használunk és csinálunk? Mennyire zavar ez minket? Mérő szerint túlzottan zavar minket, sokkal jobban, mint indokolt. A lehallgatás és megfigyelés nem csak a diktatúrák sajátossága – valójában az egész világ így működik. Az a legjobb, ha megtanulunk együtt élni vele! Szerinte most még nagyon korai következtetéseket levonnunk, mert még fiatal a technológia, nincs elegendő tapasztalatunk. Rajtunk múlik, hogy mi lesz belőle! Szemléletes volt a nagyvárosi mentalitásra hivatkozó példája (ami szintén hosszú idő alatt alakult ki). Ellentétben a kis településekkel, a nagy városban kevésbé követik egymás mozgását és cselekvését az emberek. Míg faluhelyen 50-60 kilométert is kell menni ahhoz, hogy ne legyen „szem előtt” az ember, a városban elég lehet két villamosmegállónyi utazás is.

Ehhez kapcsolódóan szóba került a mentalitás más vonatkozásban is: a nyugati, az orosz és a keleti mentalitás különbözősége. Egyik szemléletes példája a „szto gramm” elfogyasztásához kapcsolódott. (Szóvá tették orosz ismerősei, hogy ő apránként kortyolgatta, és nem egyszerre húzta le. Mérő azt válaszolta, hogy Európában mindenki úgy iszik, ahogy akar – amivel azt állította szembe, hogy Oroszországban viszont úgy, ahogy kell. Ha arra gondolok, hogy szóltak már rám azért, mert apránként kortyolgattam a felest, akkor érezzem magam Európa határvidékén ebben az értelemben? Nem lett belőle harag, megmagyaráztam, hogy szeretem kiélvezni a finom pálinka ízét.)

Visszatérve a mentalitások és gondolkodásmódok különbözőségére. Szintén Mérő említette, hogy a Pentagonban sok sakkmestert cseréltek le go mesterre. Miért? Egyre inkább a kínaiak lesznek az ellenfelek, és az ő gondolkozásukat nem a sakk, hanem a go játék alapján lehet megérteni. Az aji (味) fogalmával szemléltette a nagy különbséget. Az aji egy olyan jellegű előre gondolkodás, ami nem algoritmikus, nem stratégiát alakít ki, nem lépéseket tervez meg. Inkább a dolog ízét vagy utóízét jelenti, egy lehetséges kimenetet, ami vagy bejön, vagy nem – de gondolunk rá. Figyelni kell ezekre a mentalitásbeli különbségekre, hiszen egyre nagyobbak a kiberhadseregek (akár százezres is lehet a létszámuk)!

Mit lehet ellopni? Ellophatják az adatainkat, és felhasználhatják, még akár vissza is élhetnek velük (bár ez nálunk kevésbé működik, mint Amerikában). Ellophatják a cég információit, terveit, az ügyfelek adatait. Ellophatják az újság megjelenési formáját és a híreit. Ezeket meg kell szoknunk, mert megtörténnek, akármit is teszünk ellenük. (Ez nem azt jelenti, hogy ne védekezzünk, ne csökkentsük a kockázatot és a veszélyt! Csak arra ne számítsunk, hogy létezik a tökéletes védelem.) Mit nem tudnak ilyen egyszerűen ellopni? Azt, ami az agyunkban van, amitől az adatok és információk értelmet nyernek, ami nélkül nem lehet annyira hatékonyan felhasználni az adatokat, mint ahogy mi magunk tesszük. Az a miénk marad! Mérő szerint a cég adatainak megszerzése csak a probléma 5%-át jelenti, a maradék 95% a fontosabb.

Makay felvetette azt a kérdést, hogy vajon kire bízzuk az adatainkat. Nagyon sok új felhő szolgáltatás jelenik meg nap mint nap. Ezek gyakran kis, új cégek, startupok, múlt nélkül – és az esetek egy részében jövő nélkül. Amikor a cég eltűnik a süllyesztőben, az adataink hova kerülnek? Nem tudjuk. Arra számíthatunk, hogy nem fogják gondosan kezelni a megszűnt cég által tárolt adatokat…

Kedves Olvasó! Megpróbáltad már összeszedni, hogy mit tárolnak rólad és hány helyen? Nekem nehéz lenne egy tuti teljes listát összeállítanom…

Mérő szerint nem a kódok versenyfutásában van a lényeg, nem ezen múlnak a dolgok, hanem az attitűdjeinken, amik nem kiszámíthatók. Meg fog változni, hogy mi zavar minket és mi nem. Szerintem a változás már meg is kezdődött – nézzünk csak körül, hogy mennyi személyes információt teszünk közzé magunkról önként! (Azt jó lenne tudatosítanunk, hogy ezzel milyen veszélyeknek tesszük ki magunkat – mondom én, de mit gondolnak erről a nálam fiatalabb generációk? Én, mindenesetre, folytatom ezt a tudatosítási tevékenységemet. Valami pici haszna csak van…)

Nos, mi van a kockázattal? Megpróbáljuk megérteni, majd mérlegeljük. Meg tudjuk valóban érteni ezeket a kockázatokat? Általában nem tudjuk az IT-biztonsági kockázatokat kezelni, mert nem is vagyunk tisztában velük – merült fel a vita során. Mérő azzal lepett meg minket, hogy nem is kell ismernünk a rendszerek működését (példának olyan mindennapi berendezéseket hozott fel, amiket használunk, pedig nem értjük a működésüket, mint pl.: wc-lehúzó és karburátor).

Makay az autók legújabb kockázatait kapcsolta ide. Az újakban már mindent elektronika vezérel, nincs mechanikus kapcsolat a kormánykerék és a kormánymű között sem. Vajon hogy működnek a szoftverfrissítések? Tudjuk ellenőrizni őket? Tehetünk vírusvédelmet az autóba? Nem, az egy teljesen zárt rendszer, nem tudunk extra védelmet telepíteni – teljesen meg kell bíznunk a gyártóban és a karbantartókban, valamint az informatikai rendszereikben (amik nem feltörhetetlenek).

Hozzászólók feszegették a kritikus rendszerek (pl.: energia és egyéb közművek) biztonságát, valamint az adatainkat tároló állami rendszerek védelmét. Ezeknek a témáknak a részletei nem fértek bele az összejövetel megszabott időkeretébe. Hasonló sorsra jutott a kémkedés „jogának” témája és a „ki őrzi az őrzőt?” kérdés is. Mi van akkor, amikor a szabályok ellentmondanak egymásnak?

Ha mindenki elmondta volna az összes kérdését, és mind megvitattuk volna, még órákig tartott volna az összejövetel. Nem lennék meglepve, ha hamarosan újra terítékre kerülne a biztonság témája…

Megértve a hozzáállás és a mentalitás fontosságát, továbbra is azt gondolom, hogy az odafigyelés is fontos, és érdemes ésszerű védelmi intézkedéseket tennünk. Mi az ésszerű? Ha ezt így egyből meg tudnám mondani, akkor nagyon okos lennék. Inkább csak keresem

Mit gondolsz erről az egészről Kedves Olvasó? Zavar, hogy mindenki gyűjti az adatainkat?

Mi jön a dinók, a vezérigazgatók és a munkahelyi krimi után?

A múlt héten ismét a tanulásról, a munkáról és a játékról írtam. Az indító lökést az adta, hogy olvastam a krimivé feldolgozott unalmas oktatásokról és egy felmérésről, ami a munkahelyi tanulási preferenciáinkat vizsgálta. Nagy örömömre, ott is az együttműködéssel kapcsolt tanulás volt az élen. (Miért látok én mindenütt együttműködési lehetőségeket?)

Az előző hetekben a dinók, a vezérigazgatók és a nagyvállalatok tanulási képességei is terítékre kerültek. Most jön egy kis váltás…

Egy tegnapi esemény helyez most egy kicsit más vágányra: az ITBusiness Club témája a kiberbűnözés volt, és ehhez kapcsolódóan a biztonság, bizalom és a gazdasági eredmény. Számomra nagyon érdekes volt, és ezzel nem voltam egyedül. Igazán pezsgő vita és eszmecsere alakult ki.

Csütörtökön ezzel jövök…

Kalandozások kora?

Rendszeres olvasóim tudják, hogy az együttműködés és azzal kapcsolatban a közösségi eszközök használata, valamint a fiatalokkal való munka foglalkoztat leginkább, főleg ezekről írok, és sok esetben ezeknél lyukadok ki, amikor máshol kezdem. (Akinek kalapácsa van…)

Emellett szoktam írni az informatikai biztonságról, de nem az IT-vezető vagy az IT biztonsági szakember szemszögéből, hanem az „átlagember” számára érthető és hasznos módon. Remélem, sikerül! Nagyon fontosnak tartom, hogy az elmélet művelése és okos implementálása mellett a napi aprópénzre váltás is megtörténjék. Ez utóbbiban igyekszem segíteni.

Úgy döntöttem, hogy a biztonsággal kapcsolatos sok-sok mondanivalómat nem itt a blogomban, hanem egy külön hírlevélben írom le. A biztonság amúgy is olyan téma, amiben sok a napi aktualitás (a közelmúlt felkapott eseménye a hírességek privát fotóinak közzététele volt – ebből is többféle tanulságot lehet levonni).

Így a múlt heti írásom a jelszavakról egy időre az utolsó biztonsági téma itt, a folytatás a hírlevélben lesz. Azt csak „megrendelésre” küldöm, nem akarok senkit se kéretlen levelekkel bosszantani. Itt lehet feliratkozni – ígérem, hogy nem öntök nyakon senkit a sok levéllel, legfeljebb heti egy lesz belőlük. Még egy ígéret: nem adom tovább a neveket és címeket. (Még jó hogy nem!)

Mi várható ezen a héten? Vállalati érték vs. strukturálatlan együttműködés és tudásmegosztás. Nekem tetszik a téma, és még sok mondanivalóm van…

Várlak itt csütörtökön, Kedves Olvasó, és örömmel veszem, ha megrendeled a hírlevelemet is! Holnap jön ki az első száma.

Szolgálati közlemény: a levelező rendszerek nyűgösek szoktak lenni, amikor hírlevelek érkeznek, és első felindulásukban kiselejtezik őket. Ha holnap (szerda) estig nem érkezne meg, akkor valószínűleg beesett a többi szemét (spam) közé. Kérlek, keresd meg ott, és magyarázd el a kézbesítődnek, hogy ezeket meg akarod kapni. Köszönöm!

És még egy közlemény: Holnap, a zártkörű CIO Budapest konferencián beszélek egy más témáról, a tanácsadók hadra fogásáról. Aki jön a konferenciára, ne késsen el, mert az eleje felé leszek.

Jelszó – szakszerű tanácsok vs. a realitás

Mit kezdünk a jelszavainkkal? Nehezen kitalálhatókat választunk? Mennyire és hogyan kell vigyáznunk? Tényleg akkora tragédia, ha megtudja valaki egyiket-másikat?

biztonság, adathalászat

Azt ígértem júniusban, hogy visszatérek a biztonság témájára, és további gyakorlati tanácsokkal is jövök. Nem felejtettem el, most folytatom a témát.  Akkor leírtam egy érdekes, a valóságban megtörtént esetet, amikor valaki (fogadásból) megszerezte egy távoli ismerőse rengeteg személyes adatát – annyit, amennyi már valószínűleg elég lett volna egy banki telefonos ügyintéző félrevezetésére.

Az egy olyan eset volt, amikor konkrétan az adott ember volt a célszemély.  Az „átlagemberek” esetében, ahova magamat is sorolom, ez nagyon ritka. Mi inkább egy-egy szélesebb merítés áldozatai leszünk, mintegy „véletlenül” kerülhetnek fontos és érzékeny adataink illetéktelen kezekbe. Hogyan? A legegyszerűbbet éppen csak megemlítem: mi magunk adjuk ki az adatainkat – és nem is könnyelműségből. Milyen adatokat? Név, cím, telefonszám, email cím – ezeket ráírjuk a névjegykártyánkra, megírjuk email-ben, felhasználjuk a webshopokban és más helyeken való regisztráció során. A júniusban leírt támadás is a célszemély által megadott információkat használta fel.

Kedves Olvasó! Van kedved egy kicsit játszani? Megszámolod, hogy hány helyen adtál meg legalább hármat ezekből az adatokból: név, cím, telefonszám, email cím? (Ha külön, csak arra a regisztrációra hoztál létre egy új email címet, és azt másra nem használod, azt ne számold bele. Ha viszont a nevedet, címedet és a telefonszámodat is megadtad mellé, akkor az már három adat, és így számít.)

Nekem nagyon sok jött össze, jóval 50 felett – főleg azért, mert részt veszek konferenciákon és sok helyről vásárolok az interneten.

Az első dolog, amivel szembesültem a feladat végrehajtása során, az volt, hogy elő tudom-e állítani a komplett, hiánytalan listát. Nem vagyok 100%-ig biztos abban, hogy a lista teljes, bár van egy hely, ahol a regisztrációval kapcsolatos leveleimet gyűjtöm. Aki nem gyűjti alaposan, könnyedén elfelejthet párat, amikkel nincs rendszeresen dolga, vagy már évek óta nem használta.

Kedves Olvasó! Vajon tudod mindazokat a helyeket, ahol megadtad az adataidat?

Miért javasoltam ezt a gyűjtögetést? Mindannyiunknak van sok-sok fiókunk, account-unk, online személyiségünk, és ezekre igyekszünk vigyázni. Ebben segítenek is minket tanácsokkal, leginkább a jelszavak kezelésében. Biztos mindenki hallotta már elégszer ezeket:

  • a jelszó legyen hosszú (legalább 15 karakteres) és bonyolult (betűk, számok, jelek), ne lehessen könnyen kitalálni (ne legyen értelmes szó vagy mondat, még a triviális helyettesítésekkel sem, pl.: nulla az „o” betű helyett, @ az „a” betű helyett);
  • mindenhol más jelszót használjunk;
  • gyakran cseréljük a jelszavakat (vannak, akik három hónapot javasolnak, mások szerint havonta kell változtatni);
  • ha a fenti tanácsokat betartjuk, akkor reménytelen az összes jelszó megjegyzése, ezért tároljuk őket biztos helyen leírva (pl.: egy jelszóval védett file-ban, vagy erre szolgáló programban).

A legtöbb IT biztonsági tanácsadótól lehet ezeket hallani, olvasni. Hadd mondjam el én is a véleményemet! Ezek elméleti, tudományos alapon megalkotott tanácsok, és ilyen szempontból jók is. Mégsem szeretem azt, amikor ilyen tanácsokat kapnak az emberek. Miért? Szerintem, ezek nem praktikusak és nem a lényegre koncentrálnak.

Miért nem praktikusak ezek a tanácsok? Gondoljuk el, hogy az összes helyre más és más jelszavunk van! Hány jelszó lesz ez, 20, 30, 50, vagy több? Ki fogja azokat mind megjegyezni – sőt azt is, hogy melyik hova tartozik? Adjuk hozzá a gyakori változtatást is, és akkor már elég reménytelen a helyzet. Nem tudom, ki hogy van ezzel, de számomra reménytelen feladat sok és gyakran változó bonyolult jelsorozat megjegyzése. Szóval: fel kell írni. Ok, rendben, hova és hogyan? Nem csak otthon van rájuk szükségem, tehát olyan helyre írom, ami mindig nálam van. Sőt, nem csak egy helyre, mert biztosan nem akarom elveszíteni a listát. Ha több helyre írom fel, vajon nem fogom elfelejteni mindnek a frissítését minden változtatáskor? Jobb lesz egy olyan megoldás, amivel a több helyet szinkronban is tudom tartani! Szóval, végül beírom egy Google dokumentumba, vagy valami hasonlóba. Esetleg beszerzek egy jelszó tároló programot, amit el tudok érni akár a telefonomról is. Hol tartunk most? Van egy nehezen karbantartható listánk, ezt nagyon biztonságosan tároljuk, szuper biztos, gyakran változtatott jelszava van. Na, ezt nagyon nem akarjuk elfelejteni! Hova írjuk fel? Hogy védjük azt a helyet? Nem tudom, ki hogy van vele, de ez nekem iszonyúan bonyolult – kétlem, hogy az átlagember számára követhető és kezelhető. Mi az eredménye? Feladjuk! Megértjük, hogy a jelszavak biztonsága ésszerű erőfeszítéssel megvalósíthatatlan – így nem is érdemes törnünk magunkat… El is ment a kedvem az egésztől!

De nem ez az egyetlen bajom az extrém jelszóvédelmi tanácsokkal. Mi a másik bajom? Nem a lényegre koncentrálnak! Nem az a lényeg, hogy az összes jelszavunk mindenki számára megszerezhetetlen és megfejthetetlen legyen. A lényeg az, hogy a fontos dolgainkhoz ne férjenek hozzá illetéktelenek. Ez nem ugyanaz! Sőt, még az sem ugyanaz, ha szűkítem a jelszavakkal kapcsolatos feladatot a fontos helyekre. Ott sem az a célom, hogy a jelszavamat ne tudják meg, hanem az adataim, az email fiókom, stb. biztonsága foglalkoztat. Mi itt a különbség???

Kétfaktoros azonosítás – mond ez valamit? Bankok már régen használják, amikor egy átutalás jóváhagyásához még egy további kódot kérnek, amit vagy egy kis ketyere (token) ad, vagy sms-ben küldik el. Jó hírem van: ilyen megoldást már majdnem minden komoly szolgáltató használ (pl.: Google, Microsoft, Facebook, Evernote, Twitter, Apple – de nem minden országban). Hogy működik ez? A bejelentkezéshez nem elég az azonosító és a jelszó, hanem kell még egy kód, amit általában sms-ben kapok meg. Ezt nagyon nehéz kijátszania egy támadónak – lényegében lehetetlen. Nem elég megtudnia a jelszavamat, még a kódot is meg kell szereznie. Van ennek a módszernek egy további eredménye: ha valaki megtudta a jelszavamat, azonnal kapok egy sms-t!

Na, most hagyom abba, mert félek, hogy kezdek bonyolult lenni. A maihoz hasonló hosszú fejtegetések és magyarázatok helyett szeretnék egyszerű, tömör, néhány mondatos gyakorlati tanácsokat adni, amiket az „átlagember” (például én is) jól tud hasznosítani. Ezeket email-ben küldöm el azoknak, akiket érdekel. Itt lehet feliratkozni: Kerékfy Pál hírlevele

Úgy gondolom, hogy ez fontos téma, és szeretnék minél több embernek segíteni a konkrét tanácsaimmal.

Kedves Olvasó! Ha érdekel, kérlek, itt jelezd: feliratkozás

Néhány várható téma:

  • Milyen a jó jelszó? Miért?
  • Hogyan szerzik meg a rossz fiúk a jelszavainkat? (Nem a vállunk fölött lesve, és nem is találgatással!)
  • Kire bízhatjuk rá a jelszavainkat? És miért nem?
  • Mikor gyanakodjunk a szolgáltatóra?
  • A kétfaktoros azonosítás használata.

Szívesen veszem a javaslatokat további témákra:

Veszélyes változások, kockázatos lépések?

A változások jönnek, akár akarjuk, akár nem, és manapság sokan érzik úgy, hogy az emberi viselkedés (az új technológiák hatására) túl gyorsan és drámaian változik.

Gond ez otthon, a családban a gyerekekkel, az iskolában, és a munkahelyen is a fiatal dolgozókkal való kapcsolatban. Ehhez jön még az, hogy a vevőink is megváltoznak – nem csak az újak, a fiatalok mások, mint a korábbi generációk, de még az idősebbek is új szokásokat vesznek fel, új igényeik vannak. Nem átallanak az interneten utánanézni a dolgainknak, kikérik ismerősök és ismeretlenek véleményét, hagyják magukat befolyásolni… Milyen idők járnak! 😦

Ellenségünk vagy szövetségesünk az új technológia? Ellenünk vagy velünk vannak a megváltozott viselkedésű emberek, diákok, dolgozók, vevők? Mitől függ ez? Vagy inkább kitől? Tőlünk magunktól!

Használjuk az új lehetőségeket a saját javunkra, vonjuk be az együttműködésbe azokat, akik az új, friss levegőt hozzák! Lehetséges? Igen! Hogyan? Erről írok már mióta… A múlt héten éppen “Fantazmagória vagy valóság?” címmel.

A változások mindig újfajta kockázatokat is teremtenek, és fel kell adnunk valamennyit a biztonságukból. Anélkül nem megy! Az, persze, rajtunk is múlik, hogy mekkora a veszély, mennyit veszítünk a biztonságból és milyen területen.

Holnapután – folytatva a korábban elkezdett internetes biztonság és adathalászat témáját – belefogok a jelszavak cseppet sem egyszerű témájába. Az a célom, hogy eloszlassak néhány tévhitet, és egyszerű tanácsokat adjak az “átlagembernek”. Tervezem egy hírlevél beindítását is – ebben röviden fogok egy-egy konkrét, gyakorlati kérdésről írni. A csütörtöki írásomban lesz feliratkozási lehetőség.

Kedves Olvasó! Várlak holnapután! Addig esetleg elolvashatod az előző biztonsági cikkemet, és megírhatod, hogy miről szeretnél olvasni a hírlevelemben.

Létezik egyáltalán az Y és a Z generáció?

dupla-cica-Web

Már a létezés kérdése is felmerült a beszélgetések (viták) során, amiket az oktatásról szóló írásaim indítottak el.

Az is felmerült, hogy egyáltalán újak-e a problémák.

Hogy sikerült ezt elérnem?

Írtam két szubjektív beszámolót az Információs Társadalom Parlamentje második napjáról:

Ezek előtt pedig a saját főiskolai oktatási tapasztalataimat és terveimet írtam le:

Továbbra is keresem a kérdéseket és a válaszokat ebben a témában. Szeretnék hasznosabb oktatójuk lenni a 22-23 éves fiataloknak.

Ezen a héten is a fiatalokról írok: a cégen belüli fiatalos lendületről. Érdekel, hogy elég lendületes leszek-e…

 

Biztonság, mobil, főiskola

Két hete írtam az infrastruktúramenedzsment órák tapasztalatairól és a további terveimről. Ma a mobil biztonság tantárgy lesz a téma. Ebből is tanítottam nappali és levelező tagozaton is, a két csoport létszáma hasonló volt (31, illetve 24 fő), de a levelezős órák korai időpontban voltak, így közülük többen nem, vagy csak alig tudtak eljönni a munkahelyi elfoglaltságaik miatt.

phone-chain

A féléves jegyekben itt nem volt különbség a két csoport között, egyformán 3,5 lett az átlag. Ez nem volt kötelező tárgy senkinek sem, és így főleg olyanok vették fel, akiket valóban érdekelt, ezért az “érdektelenség faktor” (kevés kivételtől eltekintve) nem játszott be. A levelezőn hátrányt jelentett az, hogy sok órát mulasztottak.

A felmérésre itt is nagyobb arányban válaszoltak a levelező hallgatók, és ők találták hasznosabbnak és érdekesebbnek az órákat, és ők írtak jobb házi dolgozatokat. Lehet, hogy nekik jobban kapcsolódott a téma a már meglévő ismereteikhez, és így jobban megérintette őket.

A kérdőívek összegzése: levelező és nappali

Annak nagyon örültem, hogy mindkét tagozaton néhány hallgató (12% és 21%) többet kapott, mint amit várt. Ezt mindig jó olvasni! Sajnos a nappalin volt három hallgató, akiknek csak félig valósult meg a várakozása, ők több gyakorlati ismeretet szerettek volna kapni. Közülük ketten igazából valami más tárgyat szerettek volna tanulni, és a megosztott anyagokat sem találták valami hasznosnak.

A házi dolgozatokat olvasva, meglepett, hogy a téma iránt érdeklődők egy részének is ugyanazok a tévképzetei vannak a biztonság egyes kérdéseiben, mint amiket a nagyvilágban tapasztalok. Ez az egyik oka annak az elhatározásomnak, hogy írok erről a témáról.

A nagy összkép (mobil stratégia, szabályzatok, oktatás, műszaki megoldások, MDM és társai) mellett összegyűjtöttem sok valódi incidenst és problémát. Ezekkel jól be tudtam mutatni, hogy mi minden történik nap mint nap a világban. (Az egyik ilyenről írtam a múlt héten.) Elmeséltem más érdekes és tanulságos eseteket is, például a Forbes és az AP (Associated Press) Twitter fiókjának megszerzését, amiket álhírek terjesztésére használtak fel. Ezeknek végül nem volt súlyos következményük, mert igazából csak erőfitogtatás és fenyegetés volt a támadók (a Syrian Electronic Army) célja. Az egyik ilyen álhír arról szólt, hogy robbanás volt a Fehér Házban és Obama elnök megsérült. Ettől kb. 200 milliárd dollárral esett a tőzsdeindex arra a néhány percre, amíg a cáfolat meg nem érkezett. Ha egyszerre több hírügynökséget tudnának pontosan időzítve elfoglalni, akkor egy ilyen akcióval akár keresni is lehetne rengeteg pénzt. (De itt nem ez volt a cél.)

Mindkét említett támadás alapja az adathalászat (phishing) volt, amiről a múlt héten írtam. Emellett kihasználták a megtámadott cégek gyenge IT biztonságát is. (Néhány jól kitalált és precízen betartott szabály útját állta volna ezeknek a támadásoknak!) Az ilyen támadásokhoz általában elég egy gyenge láncszem (jobbára egy kis emberi figyelmetlenség), és utána már csak jönnek, jönnek a lépések egymás után. Itt is alkalmazható Archimédesz mondása: „Adjatok egy szilárd pontot, és kiforgatom sarkaiból a világot!”.

Az incidensek keresése és feldolgozása nagyon érdekessé tette az órákra való felkészülést. És, persze, többszöröse volt a készülés ideje az előadásénak. Ez valószínűleg hasonló lesz a következő félévben is, hiszen akkor is lesznek új incidensek.

A keresésben segítettek a Cisco konferenciák és a LinkedIn-en megosztott friss hírek is. Volt alkalmam az IVSZ és a Gartner által szervezett biztonsági eseményre is eljutni, és ott sok érdekes információt gyűjtöttem össze az IT biztonság helyzetéről, és főleg a várakozásokról. Így arról is frissiben értesülhettek a hallgatók, hogy merre megy a világ ezen a területen. Újdonság volt számomra is az „Identity as a Service” (IDaaS), ami várhatóan egyre inkább tért nyer a nagyvállalati körben, egymás közötti és belső felhasználásra is. (Egyes más körökben a terjedése valójában már el is kezdődött egy jó ideje. Ez történik, például, amikor a Facebook azonosítóval jelentkezünk be egy internetes áruházba.)

Nem maradtak ki az új felhasználó igények sem – ezek meghatározzák a fejlesztési irányokat, és a vállalati belső rendszerek sem tudják függetleníteni magukat. Feldolgoztam több felmérés és kutatás eredményeit. Ezek nem elsősorban a technikai részletekkel foglalkoztak, hanem stratégiával, fejlődési irányokkal. Még a „Mobile Backend as a Service” (azaz MBaaS) is téma volt. Ez a mobilra való fejlesztés eszköze lehet, és különösen jól tudja segíteni a minőséget és a biztonságot (amit, BTW, bele kell tervezni a szoftverbe, nem utólag köré építeni).

Remélem, hogy a „kötelező” anyagon felül is tudtam nekik valami hasznosat adni! Ezt jobbára megerősítette a hallgatók véleménye, tetszettek nekik a friss információk és a gyakorlatban előfordult esetek.

Hogyan tervezem a következő félévet?

  • Ennél a tárgynál is bevezetem az órai feladatokat, amikkel a jegybe beszámító pontokat lehet majd szerezni. Nem a látogatottság növelése a célom (ellentétben az infrastruktúra tárggyal), hanem az aktívan érdeklődő hallgatóknak könnyebbé akarom tenni a jó jegy megszerzését.
  • Megmaradnak a valóságból vett példák (persze, újakkal), sőt megpróbálok még többet megmutatni. A nappalin ez viszonylag könnyen belefér az időbe.
  • A levelezőn az elméleti részt majd tömörítem, így jut idő több eset megbeszélésére.
  • Igyekszem több gyakorlati ismeretet bepréselni az időbe, mert ezt kevesellték (21% és 29%). Azt még nem tudom, hogy tényleges szoftveres gyakorlat lesz-e. Ezt is javasolta egy hallgató.
  • Szeretném bevonni a hallgatókat online együttműködésbe. Ez természetes azoknak, akik már használnak egy-két közösségi fórumot – nem lesz nehéz, ha sikerül az érdeklődésüket felkeltenem. Na, ez a feladat! Még nincs meg a pontos terv, ennek a kitalálása az egyik programom a nyárra.

Várom minden olvasóm hozzászólását és tanácsait.

Kedves Hallgatók! Örömmel veszek minden hozzászólást, kiegészítést, további javaslatot!

Kedves Oktatók! Örülnék minden jó tanácsnak és javaslatnak!