Jól költünk?

Kis pénz – kis foci. Nagy pénz – nagy foci?

Régi jó mondás, van is benne igazság, de az informatikai biztonság területén félrevezető. Rengeteg pénzt elköltő, mindenféle minősítésekkel büszkélkedő óriási cégeket és szervezeteket érnek nagyon komoly hatással járó támadások. Mi lehet a baj? Keressünk válaszokat!

Az IDC informatikai biztonsági konferenciáján (2019. március 28., Budapest, New York Palota) Bakk József (az IDC magyarországi vezetője) tartotta a nyitó előadást.

Jól felépített, informatív előadás volt, találtam benne fontos tényeket, állításokat. Lássunk néhányat!

Az első fontos szám: 2018-ban 1,5 billió (amerikaiul: trillion) dollár bevétel származott informatikai támadásokból. Ez nem a kár, hanem a bevétel összege! A kár ennek sokszorosa lehetett, hiszen a károsult üzleti vesztesége, a helyreállítás költsége nem jelenik meg a támadó bevételeként.

Fontos szempont, hogy új fókuszra van szükség. Ne a prevenció, a támadás megelőzése legyen az elsődleges cél, hanem az üzleti működés biztosítása. Úgy gondolom, hogy ez egy nagyon fontos megállapítás! Az informatikai biztonság – mint minden háttérterület – valódi feladata a cég üzleti céljainak támogatása, azok elérésének elősegítése. A megelőzés természetesen nagyon fontos, de tudjuk, hogy a 100%-os szintje elérhetetlen. Vagyis, számíthatunk arra, hogy lesz sikeres támadás. Ennek a hatását kell olyan szinten tartani, hogy az üzletmenet folytonos legyen. Az ezzel kapcsolatos követelmények iparáganként és üzleti területenként mások és mások, meghatározásuk az üzleti, a kockázatkezelési és az informatikai terület közös felelőssége. Nem akarom azt mondani, hogy a gyors észlelés, majd a gyors elhárítás nem nagyon fontos. DE: sajnos tény, hogy a támadások jelentős része esetében az észlelésig hónapok telnek el.

Verizon: 2018 Data Breach Investigations Report

Ebből az is következik, hogy másképp kell értékelni a célokat és az eredményeket, vagyis új üzleti mérőszámok, új KPI-ok kellenek! Üzleti szempontból nem annak van elsődleges fontossága, hogy mennyi idő alatt észlelünk és hárítunk el egy támadást, hanem a támadás és a védekezés együttes üzleti hatása számít. Természetesen, az észlelés és az elhárítás időigénye ebben szerepet játszik.

Az IDC sok kutatást végez. Ezek közül az egyikben azt is vizsgálták, hogy az informatikai biztonsági költések és az eredmények között milyen a kapcsolat. Ha többet költünk, csökken az incidensek száma? Nincs egyértelmű korreláció. Az igaz, hogy a ráfordítások növelése általában valamilyen mértékben javítja a biztonságot, de nagy a szórás (ahogy az ábrán is látható).

Most általában az előírásoknak való megfelelés az első szempont. A jogi megfelelőség (compliance) követelménye revolverezi a cég vezetőit és az informatikai biztonsági szakterületet.

Úgy gondolom, hogy ez nem tud megváltozni, amíg a büntetés az elsődleges megközelítés a hatóság részéről. A meg nem felelés majdnem biztosan üzleti kárt okoz, így el kell kerülni “minden áron”. Ez a minden ár most a GDPR (EU-s általános adatvédelmi rendelet) miatt sokkal-sokkal nagyobb lett, mert a büntetés mértéke és valószínűsége is megnőtt. A következő évek mutatják majd meg, hogy összességében javul-e a helyzet ennek hatására, vagy esetleg éppen romlik.

Az informatikai biztonságba való befektetésre mi készteti a cégeket? A kiváltó ok többnyire:

  • Külső kényszer (például hatósági előírás vagy vizsgálat)
  • Incidens történt

Mi lehet ennek az oka? Itt eszembe jutott a néhány évvel ezelőtt a bankszférából hallott megállapítás, panasz, hogy majdnem minden fejlesztési erőforrásukat elviszi az újabb és újabb előírásoknak való megfelelés (Braun Péter, CIO Hungary konferencia, 2014., és akkor még nem is volt GDPR és PSD2). Úgy vélem, hogy a helyzet mostanában is hasonló, és nem csak a pénzintézetekben. Jelentős mértékben jogszabályoknak való megfelelés a célja a fejlesztéseknek. Ezzel nem akarom azt mondani, hogy a GDPR vagy a PSD2 hibás vagy felesleges lenne, de az tény, hogy sok időt, pénzt és szakembert kötnek le. Így másra nem sok erő marad.

Amikor bekövetkezik egy súlyos probléma, hirtelen szükséges és indokolt lesz erőforrást biztosítani a helyzet kezelésére és az ismételt bekövetkezése megakadályozására. Ez jó és kötelező is. Mi vele a gond? Így mindig az események után kullogunk, valójában sose nyerhetünk.

Ideális esetben – ahogy fent írtam – a támadás előtt kell felkészülnünk arra, hogy az ne tudjon üzletileg súlyos problémát okozni. Ehhez “nyugodt” tervezési időszakok is kellenek.

Ahogy ezt tanítjuk is, az informatikai szolgáltatás biztonsága a tervezés során dől el. Utána már csak foltozgatunk, loholunk az események után. A gyakorlatban sajnos ez utóbbi történik, egyre-másra jönnek a foltozgató javítások, majd a foltokra teszünk foltokat. Ez az eredményt tekintve gyenge, a költsége viszont magas.

A való életben általában azzal a helyzettel találkozunk, hogy a cégnek meglévő, egymással bonyolult kapcsolatrendszerben lévő informatikai rendszerei vannak. Az alábbi táblázatban foglalja össze az IDC az informatikai szervezetnek szóló útmutatásait. Látszik, hogy vannak elkerülhetetlen fázisok, nem lehet a nulláról az optimális megoldásra ugrani egy lépésben. A mérőszámoknak üzleti alapon kell állniuk, és tükrözniük kell a cég kockázatvállalási hajlandóságát is. A tevékenységünk minőségének és eredményeinek megítélésénél figyelembe kell venni az iparág, az üzleti területek, igényeit, lehetőségeit és általános helyzetét is.

Megjegyzés: A cikket Bakk József előadása ösztönözte. A tőle átvett gondolatokat dőlt betűvel szedtem. Ahol az illusztráció forrását nem jelöltem meg, az is ebből az előadásból származik. Köszönöm a felhasználás lehetőségét!

Barát vagy ellenség?

Beszippant magába és elnyel, nincs menekvés! Választhatunk, hogy a felhő vagy az örvény áldozatai legyünk?

cloud whirpoolMit gondol az informatikai vezető a felhőről? Nem arról, amiből a nyári zápor jön, hanem arról, amibe a céges adat megy. Az általános vélekedés szerint a CIO és a felhő többé-kevésbé ellenfelek, főleg a nyilvános felhővel.

Sok szó esik a felhőről informatikus körökben és üzleti vezetők között is. Én is szóba hoztam már néhányszor, legutóbb  május végén írtam egy háromrészes cikksorozatban a magyar CIO konferenciáról, aminek ez volt a témája (itt az első cikk: Behálózva?). A felhő szóba került már a tudáskezelés és az online együttműködés kapcsán is, hiszen ezek szinte kiáltanak a felhőért.

Nemrég olvastam egy cikket, ami nagyon megtetszett, mert azt a tévképzetet cáfolja konkrét felmérések és számok tükrében, hogy az informatikusok és a CIO-k a felhő vállalati használatának kerékkötői.

A cikk azt állítja, hogy a felhő nemhogy a CIO ellensége lenne, hanem éppen ellenkezőleg, arra ad lehetőséget neki, hogy közelebb kerüljön az üzleti vezetéshez, és mélyebb párbeszéd alakuljon ki közöttük.

Nézzünk néhány számot a 2014-es felmérésből, amiben közel ezer cég vett részt (tegyük hozzá, nem Európa, hanem az USA volt a helyszín).

A felhővel kapcsolatos kiadásoknak kb. 80%-a az informatikai osztályokon keresztül történik, és 62%-ában a CIO közvetlenül benne van.

Mit jelent ez? Nem tipikus, hogy az üzleti osztályok megkerülnék az IT-t – csak a pénzek egy ötöde megy az IT nélkül a szolgáltatókhoz. Feltételezem, hogy ennek egy része szintén az informatikai osztály tudtával és beleegyezésével. Az informatikai vezető személyesen is benne van ennek jelentős részében, tehát odafigyel a felhőre. Ez fontos is, hiszen sok integrációs probléma merülhet fel, ha nem olyan ember irányítja a kiválasztást és a bevezetést, aki töviről-hegyire ismeri a cég folyamatait és azok informatikai vonatkozásait. Éppen az integráción szokott elcsúszni sok projekt, ha hiányzik ez a globális látásmód.

A fenti százalékok fényében aligha hihető, hogy az informatikusok aktívan ellenállnának a felhő céges használatának. Amikor nem állnak teljes mellszélességgel egy ilyen projekt mellé, akkor a kockázatokat akarják előbb kezelni (biztonság, megfelelés a jogszabályoknak és a vevőkkel kötött szerződéseknek, licencelés, szellemi tulajdon védelme, a szolgáltató váratlan lépései vagy csődje, stb.).

A felhővel kapcsolatos döntések esetében (is) nagyon fontos, hogy a felső vezetés mellett bevonjuk a következő vezetői szintet is, akik közelebb vannak a dolgozókhoz, akiknek az új vagy megújított rendszerek majd segítenek a munkájukban. Nem jó ezeket a döntéseket az elefántcsonttoronyban meghozni! Támaszkodhatunk akár a belső online együttműködés tagjaira is, vagyis bevonhatjuk az egész céget a követelmények, lehetőségek és következmények megvitatásába. (Korábban már sok előnyét felsoroltam ennek az együttműködésnek, de ez nem volt közöttük.)

Mi viheti az informatikai vezetőt arra, hogy (a kockázatok ellenére) a külső felhő mellett tegye le a voksát?

  • Az egyik legfontosabb szempont az, hogy a hosszadalmas és bonyolult technológiai beszerzésektől meg lehet szabadulni. Nem csak az a gond ezekkel, hogy pénzbe és időbe kerülnek. A gyorsan változó technológiát alaposan, belülről kell ismerni ahhoz, hogy optimális döntést hozzunk, jól válasszunk. Az ilyen döntések tipikusan sok évre szólnak, ki kell képezni a dolgozókat az üzemeltetésre és a hibaelhárításra. Sok területen olyan gyors a technológia fejlődése, hogy még alig vezettük be az optimális választottunkat, már mást választanánk. A nagy, világméretű szolgáltatóknál ez sokkal kisebb probléma – és általában nem a mi problémánk.
  • Ehhez kapcsolódik egy másik szempont, nevezetesen az, hogy csökken a CIO kiszolgáltatottsága a saját szakemberei felé. Mi értelme van ennek? Hiszen a legtöbb informatikai vezető maga is érti és ismeri a technológiát, szívesen tanul újat, és megbecsüli a kollégái szakértelmét. Még ebben az esetben is eszébe juthat, hogy speciális kockázata van ezen a területen. Nem csak arról van szó, hogy egy specifikus technológiát jól ismerő embere esetleg elmegy (vagy azzal fenyegetőzik). Olyan értelemben is kiszolgáltatott a CIO és az egész csapata, hogy a műszaki megoldások alapos ismerete kell az üzemeltetéshez és a problémák gyors megoldásához. Hiába szerzi meg a legjobb szakembert, annak is elkopik a tudása (mert ritkán van rá szüksége), és sokba kerülne lépést tartani a technológia gyors változásaival.
  • Szaktudás: nem csak az előbb említett kiszolgáltatottság és a tudás elkopása lehet fontos szempont. Egy jól működő partneri kapcsolatban a felhőszolgáltató szakértelme olyan területeken is rendelkezésre áll, ahol a belső szakértelem hiányzik (pl., mert teljesen új terület, vagy korábban nem volt rá szükségünk). A sok ügyféllel dolgozó szakemberek elhozzák nekünk azt a tapasztalatot és tudást, amit a többieknél szereztek meg. Nem kell a saját kárunkon tanulnunk!
  • Rugalmasság: ha üzleti célra, új projekthez, új szolgáltatáshoz új szerverre vagy más erőforrásra van szükség, sokat számít az idő – ha előbb indulunk el vele, előbb lesz bevétel, sőt a konkurencia megelőzésével extra nyereségre tehetünk szert. Ezt az előnyt részben megszerezzük már akkor is, ha elkezdünk virtualizálni, de ott hamarabb ütközünk méretkorlátokba. Szerintem az az egyik legfontosabb tulajdonsága a nyilvános felhőnek, hogy felfelé és lefelé is gyorsan és fájdalommentesen skálázható. Ha pár hónap múlva kiderül, hogy az új projekt vagy szolgáltatás mégsem akkora üzlet, hipp-hopp, visszaadjuk, és kész, tovább nem kerül semmibe.
  • Költségek: Ez egy bizonytalanabb terület. Az biztos, hogy az ajánlatban alacsonyabb költségek lesznek, mint a hagyományos infrastruktúra amortizációja és fenntartása. Enélkül nem is kezdenénk foglalkozni az ajánlattal! Miért vagyok mégis bizonytalan a költségeket illetően? A legtöbb felhőszolgáltatás nem a levegőben lóg, hanem illeszkedik a cég többi üzleti folyamatába, és integrálni kell azokkal. Ez az integráció nem csak egyszeri költségeket jelent, hanem folyamatosakat is. Ahogy Braun Péter mondta a legutóbbi CIO Hungary konferencián: ezeket a költségeket alul szoktuk becsülni.

Jól felsoroltam, hogy miért szerethetik az informatikai vezetők a nyilvános felhőt, de az árnyoldalairól nem beszéltem – alig említettem meg őket. Most nem is fogok írni róluk, mert már írtam, nem is egyszer, pl., az előbb hivatkozott „Behálózva?”, illetve a „Záporozik az innováció! Csak kapkodjuk a fejünket…” és az „Egy felhőnyi bizalom” című írásaimban.

Az írásom elején az I-CIO nagyon pozitív és optimista cikkére hivatkoztam. Jöjjön most az ellenpont, a CIO.COM cikke, ami a Cisco felmérésére hivatkozva állítja, hogy a cégek durván alulbecsülik az „árnyék IT” (shadow IT) szerepét és méretét. Nem apró kis tévedésről van szó! Átlagosan tizenötször annyi felhőbeli szolgáltatást használnak a dolgozók, mint amennyit a CIO becsült. Nagy számok ezek, és az erősen szabályozott szolgáltatóknál (egészségügy és pénzügy) még nagyobb, 17-20-szoros arányt találtak! Az abszolút számok is érdekesek: az átlag 730 volt. Ennyi nem engedélyezett felhőszolgáltatást használnak a dolgozók. Döbbenetes szám! Van is bennem kétkedés…

Kedves Olvasó! Hány szolgáltatást használsz a felhőből? Össze tudod számolni? Nekem eltartana egy darabig… Amit a munkádban használsz, rendelkezik céges jóváhagyással?

Mit mondjak erre? Csak azt mondhatom, amit eddig is. A felhasználó a király, és az informatikusoknak tudniuk kell azt nyújtani, amire az üzletnek valóban szüksége van. Abban az esetben is lesznek eltévelyedők, de sokkal könnyebb őket a helyes útra téríteni, ha az az út jól járható és az üzleti eredmények felé vezet. A kockázatokkal való ijesztgetés akkor sem igazán eredményes, amikor valós a veszély.

Változzon meg a mentalitásunk? Mit gondolunk a kiberbűnözésről?

Bizalom és biztonság – kéz a kézben járnak, vagy ellenfelek?
Bizalom és gazdasági érték – mérhető a kapcsolatuk?
Új technológia és régi gondolkodás – változó mentalitás?

maze searchAz ITBusiness Club novemberi összejövetelének nagyon izgalmas és aktuális témája volt: a kiberbűnözés jelene és jövője. Két meghívottunk volt: Mérő László matematikus professzor, aki hosszú ideje kutatja és elemzi az emberi viselkedést; és Makay Kálmán a Symantec vezető rendszermérnöke. Már a bevezető is élő párbeszéddé alakult, majd a közönség bevonása után igazán pezsgő lett a hangulat.

Az egyik kiinduló pont a bizalom volt (Fukuyama könyve alapján). Az alaptétel az, hogy minél magasabb a bizalom szintje, annál fejlettebb az ország. A bizalom hiánya egy tipikus holtteher-költség, és veszteséget okoz. (Mi ez a holtteher-költség? Mérő példái: A túl nagy raktárkészlet költség az eladónak, de nem nyereség a vevőnek. A hiány költség a vevőnek, de nem haszon az eladónak. Hasonlóképpen, a bizalom hiánya is olyan költséget generál, pl.: a szerződés megírásakor, ami sem a vevőnek, sem az eladónak nem hoz extra bevételt.)

A bizalomra rímelt az a kérdés, hogy milyen beépített kiskapuk és szivárgások vannak az eszközeinkben, és azokat ki és mire használja. A gyártók és szolgáltatók hogyan használják fel azokat az információkat, amiket a „feleslegesen” beépített hardver és szoftver elemek segítségével összegyűjtenek? Csak üzletszerzésre használják a magunk és ismerőseink adatait, vagy másoknak is értékesítik? Az állami intézmények csak a terrorizmus elleni harcban használják, vagy gazdasági célokra is? Szét lehet ezeket egyáltalán választani? Hogy ítéljük meg Snowdent, a modern Rózsa Sándort?

Mi jut erről eszembe? A nagy IT-biztonsági cégek rengeteg információt tudnak összegyűjteni a támadásokról és az ügyfeleik rendszereiről. Ezek felhasználásával tudnak nekünk segíteni a védekezésben. Hogyan? Például statisztikákkal, amikből kijön, hogy mik a gyakori támadások és a legfontosabb elemei a védekezésnek. Ennél sokkal tovább is tudnak menni, ha mélyebbre ásnak az adatokban és azonnal felhasználják a rendelkezésre álló információt. Ha egy helyen összegyűlik sok-sok cég összes biztonsági rendszerének (tűzfal, vírusirtó, behatolás érzékelő) információja, azonnal és hatásosan tudnak segíteni a védekezésben (még mielőtt minket is elérnének a támadások). Hogy viszonyul ehhez az ügyfél? Szívesen adja ki sok-sok információját a „nagyobb jó” érdekében?

Mi a helyzet a védelem vs. támadás fronton? Itt is ugyanaz, mint a széfgyártók és a mackósok harcában: egyre jobb és erősebb a védelem, és előbb-utóbb feltörik. Amit ember titkosított, azt ember meg is fogja fejteni. Minden kód feltörhető, csak idő kérdése, és azt nevezzük feltörhetetlennek, amiről még nem tudjuk, hogyan – mondta Mérő. A Kasperskynek tulajdonított mondás szerint ez az egész csak azért működik, mert a vírusokat kontárok írják. Mi lesz, ha ügyesebbek lesznek?!?

Mennyire aggódjunk amiatt, hogy a hardver és a szoftver adatokat, információkat gyűjt rólunk és arról, amit használunk és csinálunk? Mennyire zavar ez minket? Mérő szerint túlzottan zavar minket, sokkal jobban, mint indokolt. A lehallgatás és megfigyelés nem csak a diktatúrák sajátossága – valójában az egész világ így működik. Az a legjobb, ha megtanulunk együtt élni vele! Szerinte most még nagyon korai következtetéseket levonnunk, mert még fiatal a technológia, nincs elegendő tapasztalatunk. Rajtunk múlik, hogy mi lesz belőle! Szemléletes volt a nagyvárosi mentalitásra hivatkozó példája (ami szintén hosszú idő alatt alakult ki). Ellentétben a kis településekkel, a nagy városban kevésbé követik egymás mozgását és cselekvését az emberek. Míg faluhelyen 50-60 kilométert is kell menni ahhoz, hogy ne legyen „szem előtt” az ember, a városban elég lehet két villamosmegállónyi utazás is.

Ehhez kapcsolódóan szóba került a mentalitás más vonatkozásban is: a nyugati, az orosz és a keleti mentalitás különbözősége. Egyik szemléletes példája a „szto gramm” elfogyasztásához kapcsolódott. (Szóvá tették orosz ismerősei, hogy ő apránként kortyolgatta, és nem egyszerre húzta le. Mérő azt válaszolta, hogy Európában mindenki úgy iszik, ahogy akar – amivel azt állította szembe, hogy Oroszországban viszont úgy, ahogy kell. Ha arra gondolok, hogy szóltak már rám azért, mert apránként kortyolgattam a felest, akkor érezzem magam Európa határvidékén ebben az értelemben? Nem lett belőle harag, megmagyaráztam, hogy szeretem kiélvezni a finom pálinka ízét.)

Visszatérve a mentalitások és gondolkodásmódok különbözőségére. Szintén Mérő említette, hogy a Pentagonban sok sakkmestert cseréltek le go mesterre. Miért? Egyre inkább a kínaiak lesznek az ellenfelek, és az ő gondolkozásukat nem a sakk, hanem a go játék alapján lehet megérteni. Az aji (味) fogalmával szemléltette a nagy különbséget. Az aji egy olyan jellegű előre gondolkodás, ami nem algoritmikus, nem stratégiát alakít ki, nem lépéseket tervez meg. Inkább a dolog ízét vagy utóízét jelenti, egy lehetséges kimenetet, ami vagy bejön, vagy nem – de gondolunk rá. Figyelni kell ezekre a mentalitásbeli különbségekre, hiszen egyre nagyobbak a kiberhadseregek (akár százezres is lehet a létszámuk)!

Mit lehet ellopni? Ellophatják az adatainkat, és felhasználhatják, még akár vissza is élhetnek velük (bár ez nálunk kevésbé működik, mint Amerikában). Ellophatják a cég információit, terveit, az ügyfelek adatait. Ellophatják az újság megjelenési formáját és a híreit. Ezeket meg kell szoknunk, mert megtörténnek, akármit is teszünk ellenük. (Ez nem azt jelenti, hogy ne védekezzünk, ne csökkentsük a kockázatot és a veszélyt! Csak arra ne számítsunk, hogy létezik a tökéletes védelem.) Mit nem tudnak ilyen egyszerűen ellopni? Azt, ami az agyunkban van, amitől az adatok és információk értelmet nyernek, ami nélkül nem lehet annyira hatékonyan felhasználni az adatokat, mint ahogy mi magunk tesszük. Az a miénk marad! Mérő szerint a cég adatainak megszerzése csak a probléma 5%-át jelenti, a maradék 95% a fontosabb.

Makay felvetette azt a kérdést, hogy vajon kire bízzuk az adatainkat. Nagyon sok új felhő szolgáltatás jelenik meg nap mint nap. Ezek gyakran kis, új cégek, startupok, múlt nélkül – és az esetek egy részében jövő nélkül. Amikor a cég eltűnik a süllyesztőben, az adataink hova kerülnek? Nem tudjuk. Arra számíthatunk, hogy nem fogják gondosan kezelni a megszűnt cég által tárolt adatokat…

Kedves Olvasó! Megpróbáltad már összeszedni, hogy mit tárolnak rólad és hány helyen? Nekem nehéz lenne egy tuti teljes listát összeállítanom…

Mérő szerint nem a kódok versenyfutásában van a lényeg, nem ezen múlnak a dolgok, hanem az attitűdjeinken, amik nem kiszámíthatók. Meg fog változni, hogy mi zavar minket és mi nem. Szerintem a változás már meg is kezdődött – nézzünk csak körül, hogy mennyi személyes információt teszünk közzé magunkról önként! (Azt jó lenne tudatosítanunk, hogy ezzel milyen veszélyeknek tesszük ki magunkat – mondom én, de mit gondolnak erről a nálam fiatalabb generációk? Én, mindenesetre, folytatom ezt a tudatosítási tevékenységemet. Valami pici haszna csak van…)

Nos, mi van a kockázattal? Megpróbáljuk megérteni, majd mérlegeljük. Meg tudjuk valóban érteni ezeket a kockázatokat? Általában nem tudjuk az IT-biztonsági kockázatokat kezelni, mert nem is vagyunk tisztában velük – merült fel a vita során. Mérő azzal lepett meg minket, hogy nem is kell ismernünk a rendszerek működését (példának olyan mindennapi berendezéseket hozott fel, amiket használunk, pedig nem értjük a működésüket, mint pl.: wc-lehúzó és karburátor).

Makay az autók legújabb kockázatait kapcsolta ide. Az újakban már mindent elektronika vezérel, nincs mechanikus kapcsolat a kormánykerék és a kormánymű között sem. Vajon hogy működnek a szoftverfrissítések? Tudjuk ellenőrizni őket? Tehetünk vírusvédelmet az autóba? Nem, az egy teljesen zárt rendszer, nem tudunk extra védelmet telepíteni – teljesen meg kell bíznunk a gyártóban és a karbantartókban, valamint az informatikai rendszereikben (amik nem feltörhetetlenek).

Hozzászólók feszegették a kritikus rendszerek (pl.: energia és egyéb közművek) biztonságát, valamint az adatainkat tároló állami rendszerek védelmét. Ezeknek a témáknak a részletei nem fértek bele az összejövetel megszabott időkeretébe. Hasonló sorsra jutott a kémkedés „jogának” témája és a „ki őrzi az őrzőt?” kérdés is. Mi van akkor, amikor a szabályok ellentmondanak egymásnak?

Ha mindenki elmondta volna az összes kérdését, és mind megvitattuk volna, még órákig tartott volna az összejövetel. Nem lennék meglepve, ha hamarosan újra terítékre kerülne a biztonság témája…

Megértve a hozzáállás és a mentalitás fontosságát, továbbra is azt gondolom, hogy az odafigyelés is fontos, és érdemes ésszerű védelmi intézkedéseket tennünk. Mi az ésszerű? Ha ezt így egyből meg tudnám mondani, akkor nagyon okos lennék. Inkább csak keresem

Mit gondolsz erről az egészről Kedves Olvasó? Zavar, hogy mindenki gyűjti az adatainkat?

Jelszó – szakszerű tanácsok vs. a realitás

Mit kezdünk a jelszavainkkal? Nehezen kitalálhatókat választunk? Mennyire és hogyan kell vigyáznunk? Tényleg akkora tragédia, ha megtudja valaki egyiket-másikat?

biztonság, adathalászat

Azt ígértem júniusban, hogy visszatérek a biztonság témájára, és további gyakorlati tanácsokkal is jövök. Nem felejtettem el, most folytatom a témát.  Akkor leírtam egy érdekes, a valóságban megtörtént esetet, amikor valaki (fogadásból) megszerezte egy távoli ismerőse rengeteg személyes adatát – annyit, amennyi már valószínűleg elég lett volna egy banki telefonos ügyintéző félrevezetésére.

Az egy olyan eset volt, amikor konkrétan az adott ember volt a célszemély.  Az „átlagemberek” esetében, ahova magamat is sorolom, ez nagyon ritka. Mi inkább egy-egy szélesebb merítés áldozatai leszünk, mintegy „véletlenül” kerülhetnek fontos és érzékeny adataink illetéktelen kezekbe. Hogyan? A legegyszerűbbet éppen csak megemlítem: mi magunk adjuk ki az adatainkat – és nem is könnyelműségből. Milyen adatokat? Név, cím, telefonszám, email cím – ezeket ráírjuk a névjegykártyánkra, megírjuk email-ben, felhasználjuk a webshopokban és más helyeken való regisztráció során. A júniusban leírt támadás is a célszemély által megadott információkat használta fel.

Kedves Olvasó! Van kedved egy kicsit játszani? Megszámolod, hogy hány helyen adtál meg legalább hármat ezekből az adatokból: név, cím, telefonszám, email cím? (Ha külön, csak arra a regisztrációra hoztál létre egy új email címet, és azt másra nem használod, azt ne számold bele. Ha viszont a nevedet, címedet és a telefonszámodat is megadtad mellé, akkor az már három adat, és így számít.)

Nekem nagyon sok jött össze, jóval 50 felett – főleg azért, mert részt veszek konferenciákon és sok helyről vásárolok az interneten.

Az első dolog, amivel szembesültem a feladat végrehajtása során, az volt, hogy elő tudom-e állítani a komplett, hiánytalan listát. Nem vagyok 100%-ig biztos abban, hogy a lista teljes, bár van egy hely, ahol a regisztrációval kapcsolatos leveleimet gyűjtöm. Aki nem gyűjti alaposan, könnyedén elfelejthet párat, amikkel nincs rendszeresen dolga, vagy már évek óta nem használta.

Kedves Olvasó! Vajon tudod mindazokat a helyeket, ahol megadtad az adataidat?

Miért javasoltam ezt a gyűjtögetést? Mindannyiunknak van sok-sok fiókunk, account-unk, online személyiségünk, és ezekre igyekszünk vigyázni. Ebben segítenek is minket tanácsokkal, leginkább a jelszavak kezelésében. Biztos mindenki hallotta már elégszer ezeket:

  • a jelszó legyen hosszú (legalább 15 karakteres) és bonyolult (betűk, számok, jelek), ne lehessen könnyen kitalálni (ne legyen értelmes szó vagy mondat, még a triviális helyettesítésekkel sem, pl.: nulla az „o” betű helyett, @ az „a” betű helyett);
  • mindenhol más jelszót használjunk;
  • gyakran cseréljük a jelszavakat (vannak, akik három hónapot javasolnak, mások szerint havonta kell változtatni);
  • ha a fenti tanácsokat betartjuk, akkor reménytelen az összes jelszó megjegyzése, ezért tároljuk őket biztos helyen leírva (pl.: egy jelszóval védett file-ban, vagy erre szolgáló programban).

A legtöbb IT biztonsági tanácsadótól lehet ezeket hallani, olvasni. Hadd mondjam el én is a véleményemet! Ezek elméleti, tudományos alapon megalkotott tanácsok, és ilyen szempontból jók is. Mégsem szeretem azt, amikor ilyen tanácsokat kapnak az emberek. Miért? Szerintem, ezek nem praktikusak és nem a lényegre koncentrálnak.

Miért nem praktikusak ezek a tanácsok? Gondoljuk el, hogy az összes helyre más és más jelszavunk van! Hány jelszó lesz ez, 20, 30, 50, vagy több? Ki fogja azokat mind megjegyezni – sőt azt is, hogy melyik hova tartozik? Adjuk hozzá a gyakori változtatást is, és akkor már elég reménytelen a helyzet. Nem tudom, ki hogy van ezzel, de számomra reménytelen feladat sok és gyakran változó bonyolult jelsorozat megjegyzése. Szóval: fel kell írni. Ok, rendben, hova és hogyan? Nem csak otthon van rájuk szükségem, tehát olyan helyre írom, ami mindig nálam van. Sőt, nem csak egy helyre, mert biztosan nem akarom elveszíteni a listát. Ha több helyre írom fel, vajon nem fogom elfelejteni mindnek a frissítését minden változtatáskor? Jobb lesz egy olyan megoldás, amivel a több helyet szinkronban is tudom tartani! Szóval, végül beírom egy Google dokumentumba, vagy valami hasonlóba. Esetleg beszerzek egy jelszó tároló programot, amit el tudok érni akár a telefonomról is. Hol tartunk most? Van egy nehezen karbantartható listánk, ezt nagyon biztonságosan tároljuk, szuper biztos, gyakran változtatott jelszava van. Na, ezt nagyon nem akarjuk elfelejteni! Hova írjuk fel? Hogy védjük azt a helyet? Nem tudom, ki hogy van vele, de ez nekem iszonyúan bonyolult – kétlem, hogy az átlagember számára követhető és kezelhető. Mi az eredménye? Feladjuk! Megértjük, hogy a jelszavak biztonsága ésszerű erőfeszítéssel megvalósíthatatlan – így nem is érdemes törnünk magunkat… El is ment a kedvem az egésztől!

De nem ez az egyetlen bajom az extrém jelszóvédelmi tanácsokkal. Mi a másik bajom? Nem a lényegre koncentrálnak! Nem az a lényeg, hogy az összes jelszavunk mindenki számára megszerezhetetlen és megfejthetetlen legyen. A lényeg az, hogy a fontos dolgainkhoz ne férjenek hozzá illetéktelenek. Ez nem ugyanaz! Sőt, még az sem ugyanaz, ha szűkítem a jelszavakkal kapcsolatos feladatot a fontos helyekre. Ott sem az a célom, hogy a jelszavamat ne tudják meg, hanem az adataim, az email fiókom, stb. biztonsága foglalkoztat. Mi itt a különbség???

Kétfaktoros azonosítás – mond ez valamit? Bankok már régen használják, amikor egy átutalás jóváhagyásához még egy további kódot kérnek, amit vagy egy kis ketyere (token) ad, vagy sms-ben küldik el. Jó hírem van: ilyen megoldást már majdnem minden komoly szolgáltató használ (pl.: Google, Microsoft, Facebook, Evernote, Twitter, Apple – de nem minden országban). Hogy működik ez? A bejelentkezéshez nem elég az azonosító és a jelszó, hanem kell még egy kód, amit általában sms-ben kapok meg. Ezt nagyon nehéz kijátszania egy támadónak – lényegében lehetetlen. Nem elég megtudnia a jelszavamat, még a kódot is meg kell szereznie. Van ennek a módszernek egy további eredménye: ha valaki megtudta a jelszavamat, azonnal kapok egy sms-t!

Na, most hagyom abba, mert félek, hogy kezdek bonyolult lenni. A maihoz hasonló hosszú fejtegetések és magyarázatok helyett szeretnék egyszerű, tömör, néhány mondatos gyakorlati tanácsokat adni, amiket az „átlagember” (például én is) jól tud hasznosítani. Ezeket email-ben küldöm el azoknak, akiket érdekel. Itt lehet feliratkozni: Kerékfy Pál hírlevele

Úgy gondolom, hogy ez fontos téma, és szeretnék minél több embernek segíteni a konkrét tanácsaimmal.

Kedves Olvasó! Ha érdekel, kérlek, itt jelezd: feliratkozás

Néhány várható téma:

  • Milyen a jó jelszó? Miért?
  • Hogyan szerzik meg a rossz fiúk a jelszavainkat? (Nem a vállunk fölött lesve, és nem is találgatással!)
  • Kire bízhatjuk rá a jelszavainkat? És miért nem?
  • Mikor gyanakodjunk a szolgáltatóra?
  • A kétfaktoros azonosítás használata.

Szívesen veszem a javaslatokat további témákra:

Halászgatunk? Horogra akadunk?

Itt a nyár, ugye mindenki észrevette már? Most kicsit hűvösebb, de így is tökéletes a vízparti pihenésre, időtöltésre – közte a horgászatra. Nos: nem a horgászatról fogok írni, pontosabban: nem arról a formájáról, amihez horgászbot, csali, víz és hal kell.

yay-4852596

Ismerős az „adathalászat” (angolul phishing) kifejezés? Tömören megfogalmazva, arról van szó, hogy kisebb-nagyobb átverések és megtévesztések útján a rossz fiúk megszerzik fontos adatainkat. Ezt nem kíváncsiságból teszik, hanem haszonszerzés reményében. Többnyire a bankszámlánkhoz igyekeznek hozzáférni.

Ha mélyebben érdekel, javaslom az angol nyelvű Wikipédia cikk elolvasását (a magyar nyelvű hiányos és pontatlan). Az angol viszont nagyon szakszerű, hosszú és nehezen olvasható.

Miről akarok írni? Az adathalászatról, az ellene való védekezésről – kifejezetten nem szakembereknek. Remélem, sikerül, mert szerintem fontos a téma és kevés a közérthető információ.

Kezdjük egy nagyon rövid összefoglalóval arról, hogy mi is történik, hogyan halásszák az adatainkat. A tipikus és triviális módszer egy email, ami hasonlít egy bank, biztosító, üzlet vagy hatóság leveléhez, van benne egy-két link, de azok nem az eredeti helyre visznek el, hanem egy ahhoz hasonlóra. Ott, azután, adatokat kérnek, pl.: jelszót, számlaszámot. Ez ellen a legegyszerűbb védekezés az, ha nem klikkelünk semmire, ami levélben jött. Írjuk be szépen a bank, a biztosító, stb. weblapjának a címét! Apró kényelmetlenség, de megéri.

Adathalászat lehet a háttérben akkor is, amikor nagyszerű és érdekes képeket és videókat ajánlanak, és csak egy FB like-ot kérnek cserébe. Hipp-hopp, máris tudnak rólam egy keveset, és indulhatnak további adatokért. A legtöbb esetben nem csak a like kell, hanem még kattintani kell egyet a lejátszásért. Na, akkor fut le valami a gépemen. Ó, biztos nincs benne semmi rossz, csak egy kis adatgyűjtés. Sose tudjuk meg, hogy mire és hogyan használták fel! A legtöbb esetben tényleg csak marketing céljára kell, vagy egyszerűen eladják. Minden személyes adat pénzt ér!

Nemrégiben olvastam egy érdekes esetről, amiben az adatgyűjtés több módszere jelent meg. A teljes leírás (hosszú és angolul van) a ZDNet-en található. Leírom tömörítve, mert érdekes és tanulságos.

Két brit, akik az USA-ban élnek és felületesen ismerik egymást fogadott (hiszen britek). Az egyiknek hozzá kellett jutnia a másik bankszámlájához. Mit tudott kiindulásul? A keresztnevét, a cégcsoportot, ahol dolgozik és az államot, ahol él. Nem valami sok, de gyorsan több lett. Hogyan?

  • A szokásos indulás: Google keresés. Eredménye: a LinkedIn profilja, ebből meglett a vezetékneve, munkahelye, a beosztása, sok egyéb adata és a Twitter profilja.
  • Twitter nézelődés: itt helyeket keresett, hogy megtudja a címét. A célszemély sokat utazott, fényképezett, a feltöltött fényképekben ott volt a GPS információ. Végül talált egyet abból az államból, ahol lakik, és ez éppen a háza volt. Google segítségével meglett a pontos címe, sőt egy utcaképen a bejárati ajtó is látszott.
  • Ez eddig fél óra volt, és már lehetett is sokkolni az illetőt a pontos címével és az ajtaja színével.
  • Egy kis további keresgélés után, amiben a Twitter mellett a Facebook is segített (sok információ nyilvános volt), megvolt a felesége és a gyereke neve, a saját születésnapja és a gyereküké, a házassági évfordulójuk napja. Ezek hasznos adatok lehetnek, hiszen előfordulhatnak a telefonos banki azonosítás kérdései között.
  • Kellett még a születési éve, ezt háromórányi próbálgatással megszerezte, mert a személyes email címe a keresztneve + a vezetéknév első betűje + az év utolsó két számjegye volt. Csak találgatni kellett… Na, meg kellett hozzá az, hogy a Facebooktól megtudja az email cím hosszát és pár betűjét.
  • Ha már megvolt a gmail címe, bejutott a postafiókjába is, mert az ellenőrző kérdésre korábban megszerezte a választ a sok személyes adat között.
  • Következő célpont: telefonszám. Hogyan? Na, itt jött egy kis klasszikus adathalászat. Létrehozott egy jól hangzó email címet, és ajánlatkérő levelet írt a céges email címére. Hamarosan kapott is választ, és a levél végén ott volt az áldozat mobil száma is (ezt tipikusan beleírjuk a szabványos céges aláírásunkba).

Hol tartunk most? Teljes neve, születési dátuma, feleség és gyerek neve, gyerek születésnapja, házassági évforduló, pontos lakcím, céges és személyes email, Facebook és Google adatok tömkelege, munkahelyi adatok a LinkedIn-ről, telefonszám. Ez már könnyen elég lehet egy telefonos banki ügyintézővel való beszélgetés során.

Ezen a ponton beszélték meg, hogy abbahagyja.

Tegyük hozzá, hogy nem hacker, nem IT biztonsági szakember, hanem egy IT-s újságíró volt a „tettes”, és nem használt semmilyen különleges eszközt, újságírói információs csatornáit sem. Egyszerűen csak keresgélt, próbálgatott, gondolkozott, kombinált és írt egy megtévesztő levelet. Azok, akik ebből élnek, sokkal gyorsabban és sokkal több adatot tudnak begyűjteni.

A történetből látszik, hogy a célszemélynek nagyon fontos szerepe van egy ilyen adatgyűjtésben, és egy-két apró kis figyelmetlenség is sikerre segítheti a célzott támadást. Ne gondoljuk azt, hogy reménytelen a helyzetünk! Nem kell nagy trükköket bevetni annak érdekében, hogy az itt leírt módszerek ne működjenek!

Megnyugtatásul: ritka a célzott támadás, általában csak „halászgatnak” a nagyvilágban, és igyekeznek sok halat fogni. Az ilyen halászok ellen viszonylag jól lehet védekezni. Azt nem állítom, hogy a teljes védelem lehetséges, de sokat tehetünk a saját érdekünkben.

Folytatom majd egyszerűen követhető tanácsokkal…

Addig is: érdekel, hogy mi foglalkoztat a saját informatikai biztonságoddal kapcsolatban, Kedves Olvasó!