Minőség = biztonság?

Autóipar és minőség – mi van, ha még a számítástechnika is belelép?

Ford-connected-car-2012-6719902507_130a4ce4cb_bAz önvezető autók balesetei kapcsán reflektorfénybe került a minőség és a biztonság, ezért elkezdett jobban érdekelni, hogy is áll ez a téma általánosságban az autóknál.

Biztos sokan emlékeznek még a General Motors két évvel ezelőtti esetére, amiről „Együttműködést vagy életet!” címmel írtam annak idején. Ott a vizsgálat szerint a rossz vállalati kultúra, a felelősségérzet hiánya és a költségek növekedésétől való félelem eredményezte több száz ember halálát a 11 év alatt, miközben nem foglalkoztak azzal a műszaki hibával.

Most elolvastam a Boston Consulting Group elemzését az autóipar minőségi problémáiról és a teendőkről. A statisztikák nem valami fényesek: az 1980-as években hétszáz visszahívás történt, ami kb. 700 ezer autót érintett; a 2000-es évtizedben már 13 milliót hívtak vissza (1300 ilyen akcióban). A 2010-es évtizedről nincs még teljes lista, de a CNN szerint csak a GM, csak 2014-ben 30 millió autót hívott vissza (többnyire súlyos) műszaki problémák miatt.

A növekedés biztos a szigorúbb szabályoknak is köszönhető, de szerintem döntő szerepe van benne annak, hogy az egyre bonyolultabb műszaki megoldások megtervezésére és alapos tesztelésére nem jutott elegendő idő.

A józan ész azt diktálná, hogy meg kell előzni ezeket az emberéleteket is követelő hibákat és a nagyon drága visszahívásokat. A gondosabb tervezés és tesztelés végül olcsóbb lesz, mint az utólagos javítások és a kártérítések és büntetések összege. Az is kérdés, hogy a vevők hogy reagálnak, ha még több autót érintenek majd súlyos hibák.

Rengeteg új technológiai megoldás kerül az autókba, és ezek egy része nem az autóiparból jön, sőt sok esetben nem is régen meglévő, megállapodott cégtől. A nem tradicionális módon fejlesztő és gyártó startup cégek nem egykönnyen illeszthetők be az autóipar magas minőségi követelményeket támasztó folyamataiba. A Tesla májusi tragédiája is részben ilyen problémára vezethető vissza. A hiba másik (és szerintem sokkal jelentősebb) része a Tesla sajátja, mert olyan alkatrészt építettek be, ami nem gyártási hibás volt, hanem tervezetten („by design”) volt alkalmatlan a feladatra.

A jelek szerint az autóipar minőségbiztosítási folyamatai nem tudnak lépést tartani a műszaki változások és az új modellek kibocsátásának sebességével. Ez mindannyiunkat súlyosan érint. Ha meg is ússzuk baleset nélkül, a sok évre tervezett autónk nem olyan lesz, mint szerettük volna.

Arra lenne szükség, hogy a kiváló minőséget minden egyes érintett ember (az autógyártónál és minden beszállítójánál) nagyon fontosnak tartsa, és magáénak érezze a felelősséget érte. Ez nem kizárólag elhatározás kérdése – a vezetőknek minden szinten személyes példával kell elől járniuk. Olyan személyes felelősségi rendszer szükséges, amelyben nem lehet a szőnyeg alá söpörni a hibákat a gyorsabb kibocsátás és az alacsonyabb költség érdekében. Ehhez, persze, kell a megfelelő vállalati kultúra és a korlátozás nélküli belső kommunikáció. Minden szinten meg kell adni az embereknek a lehetőséget arra, hogy véleményt nyilvánítsanak, és megosszák egymással a tapasztalataikat. Ha a szervizes, az ügyfélszolgálati dolgozó, a gyártósori munkás és a tervező mérnök, valamint a minőségellenőr minden információt megoszt (és minden információhoz hozzáfér), ami a minőséggel és a hibákkal kapcsolatos, jobb eséllyel derülnek ki a hibák még a tragikus balesetek előtt. (Két évvel ezelőtt morfondíroztam ezen: Megmenthetjük őket!)

Az elemzés szerint a gyenge minőség okozta költségek gyorsan nőnek: “These changes carry siginificant risks. The costs of substandard quality, already high, are rising fast.” Mik a tennivalók? Van elég sok, és az egész a tervezésben kezdődik. A minőségnek döntő szerepe kell legyen a tervezésben és a gyártás megindításában. Ez, persze, nem csak az autógyártásban van így – mindenhol a tervezés során hozzák meg azokat a jó vagy rossz döntéseket, amiktől a végeredmény jó vagy rossz, biztonságos vagy veszélyes lesz. (Ezt tanítom a főiskolai és egyetemi hallgatóimnak is az informatikai szolgáltatásokkal kapcsolatban. Elméletben tudjuk, a gyakorlati megvalósítás odébb van még.) Az előbb említett BCG elemzés elolvasását javaslom, ha valaki jobban el akar mélyedni ezen a területen.

A gyors innováció és a stabil minőség általában nem jár kéz a kézben. Pedig az innováció a vevők egyik legfontosabb szempontja, amikor márkát választanak (a Boston Consulting Group felmérése szerint). Ezen belül is elsősorban a kapcsolódásokat, a biztonságot és a fogyasztást érintő fejlesztések érdeklik őket. Mihez kell kapcsolódni? Mindenhez! Ahogy a házunk és a munkahelyünk is mindennel kapcsolatban van az interneten keresztül, az autónktól is elvárjuk ezt. Sok autóban van már beépített kommunikációs modul, amiben a SIM-kártya is gyári alkatrész. Hamarosan szinte természetes követelmény lesz a WiFi is, és az autónk végül az otthonunk és a munkahelyünk csatolt része lesz. (Persze, ez azoknak fontos, akik az autóban töltik az életük jelentős részét. Akik tömegközlekednek, a telefonjukon vihetik magukkal az otthonukat és a munkájukat.)

Várhatóan az autók esetében is egyre több hálózati biztonsági probléma derül majd ki a jövőben. Eddig még csak „bemutató” szinten láttunk olyan eseteket, amikor a támadó az interneten keresztül teljesen átvette az autó irányítását, a benne ülő vezető tehetetlen volt ellene. Ez nem önvezető, hanem „hagyományos” autóban történt. Ahogy fejlődik a technológia, egyre több és kifinomultabb lehetőségük lesz a támadóknak – és egyre inkább érdemes lesz ezzel foglalkozniuk a növekvő számú internetre kapcsolt jármű miatt. Ezen a területen még nem kezdődtek el a zsarolásos támadások, de szerintem nem kell sokáig várnunk rájuk.

Persze, ezeknek a drótnélküli kapcsolatoknak sok hasznuk is van, tehát nem kidobni, hanem normálisan megcsinálni kell őket. Az előbb említett Jeep Cherokee esetében az tette könnyűvé a támadást, hogy minden össze van kötve az autóban, és a rádión keresztül érték el a rossz fiúk a gázt és a féket. Ezekre az összeköttetésekre nincs is szükség, csak úgy volt kényelmes kialakítani az elektronikát, hogy minden egy központba van bekötve. Amíg nem volt internetre kapcsolva az autó, ez nem teremtett ilyen támadási lehetőségeket. Most már teremt, ezért várhatóan áttervezik majd a kommunikációs rendszereket.

McKinsey_2014_PNG_Connected_Car_chartA McKinsey 2014-es felmérése szerint a vevők 13%-a nem is hajlandó olyan autó vásárlásán elgondolkodni, ami nem rendelkezik ilyen kapcsolódási lehetőségekkel. A másik oldalon az a 37% van, akit a személyes információ, és az az 54%, akit az autó meghekkelése aggaszt. (Nem ok nélkül!)

Azt hiszem, hogy a világ egyértelműen halad ebbe az irányba, hiszen a kapcsolatokat sok mindenre használják az autókban: távdiagnosztika, hibaelhárítás, balesetek bejelentése. Eredetileg 2015-re tervezték ez utóbbinak a kötelező bevezetését az EU-ban, most 2018 áprilisa a céldátum, amikortól minden új autóba be kell építeni ezt a rendszert. Ha rendesen megcsinálják, sok életet menthet meg a gyorsabban érkező segítség.

Az eddig említetteket nem fogjuk naponta használni, de a dolgok internetére (IoT) való kapcsolódás végtelen lehetőségeket nyújt. Tavaly álmodoztam ezekről: Álom otthon.

Kedves Olvasó! Mit gondolsz erről az egészről? Mennyire érdekel ez a mindenhez kapcsolódó autó?

Egyelőre csak a kapcsolatokról van szó, az önmagát vezető autó még pár évvel arrébb van.

Ami engem illet, most úgy gondolom, hogy ezt a fejlődési lépést kihagyom. Amíg lehet, megmaradok a mostani technológiánál (már ebben a 8 éves autóban is több az elektronika, mint ami jól esik nekem).

Folytatás: Úri huncutság?

Digitális vezető

Mivel jár, mi kell a digitális világban való eligazodáshoz? Milyen képességek kellenek a dolgozóknak és a vezetőknek?

innovation-man-879092_1920Megindult az agyam és a billentyűzetem. Most már negyedik hete írok azokról a dolgokról, amiket a Gartner 2016-os CIO felmérése kapcsán hallottam, és ami még eszembe jutott róla. Az üzleti elvárásokat, a technológiát, a platformokat és a bimodális végrehajtást már alaposan elemeztük. Mi kell még?

Ugye megvan a válasz? Hát az emberek! A talent, ahogy mostanában mondják. A megkérdezett informatikai vezetők 22%-a számára ez a terület a legnagyobb probléma, a pénz és a kulturális változás csak utána következik. Kétharmad részük szerint a megfelelő emberek hiánya már kezd kritikus méretet ölteni. A vezérigazgatóknak – ezzel szemben – a fele úgy véli, hogy ez csak egy mítosz. Mi lehet a nagy eltérés oka? (Arról, hogy ez a hiány valódi vagy látszólagos, januárban vitatkoztunk az ITBusiness Clubban, majd utána online. Itt foglaltam össze a véleményeket.)

Milyen képességekre, milyen emberekre van szükségünk, ha be akarunk lépni a digitális világba és ott sikeresek akarunk lenni?

A Gartner korábban említett CIO felmérése szerint ezeken a területeken van a legnagyobb hiány szakemberekből az IT osztályokon belül:

  1. információkezelés, -elemzés (analytics)
  2. üzleti ismeretek és éleslátás
  3. biztonság és kockázatkezelés
  4. digitalizáció
  5. projektvezetés

Ebből az elsőt több mint kétszer annyian mondták (40%), mint a következő legfontosabbat. Ez egybevág azzal, hogy ugyanez a terület lett a győztes a technológiák versenyében. Három éve mindig ez a legfontosabb prioritás, bár csökkenő arányban (2014-ben a válaszadók felénél, idén már csak 39%-ánál).

Az igazi az lenne, ha egyre több olyan emberünk lenne, aki az első két területen is alapos ismeretekkel rendelkezik. Honnan kerülhetnek elő ezek az emberek?

Egy részük talán már meg is van a cégen belül! Egyre több ember van az üzleti osztályokon, aki IT tudással is rendelkezik. Részben ők okozzák az „árnyék IT” (shadow IT) problémát. Velük meg lehet szerezni az üzleti vonalon hiányzó szakértelmet és tapasztalatot. Hogy lehet őket átcsábítani az IT-ra? Érdekes munkával! Bár, nem is biztos, hogy át kell őket csábítani. Jó megoldás lehet az is, ha szoros együttműködés alakul ki az osztályok között, és ezek az emberek a helyükön maradva vesznek részt a saját osztályuk és az informatikai osztály közösen megvalósított digitalizációjában.

Hasznos lesz, ha együtt dolgoznak a mérnökökkel – a két megközelítés jól kiegészítheti egymást, hiszen a műszaki embereket elsősorban a „hogy működik?” érdekli, és hajlamosak elhanyagolni azt a kérdést, hogy létrejön-e új érték, míg az üzleti területeken épp ez a legfontosabb kérdés, és a működés mikéntje nem annyira izgalmas.

Én úgy érzem, hogy a biztonság és a kockázatkezelés – az a terület, ami majdnem ugyanannyi válaszadónál volt a legnagyobb probléma, mint az üzleti ismeretek hiánya (18%. ill. 17%) – nehezebben kezelhető. Az IT-biztonsági szakemberek tradicionálisan merevek szoktak lenni, keményen ragaszkodnak az általuk jónak tartott műszaki megoldásokhoz. Ha nem jó az üzletfejlesztőkkel való kommunikációjuk, akkor sok jó nem sülhet ki belőle. Vagy megakadályozza a biztonság a kreatív ötletek megvalósítását, vagy elfogadható biztonsági megoldások nélkül jönnek létre (pl.: „fű alatt”, külső szolgáltatónál, felhőben).

Ha már vannak alkalmas embereink, mi kell még ahhoz, hogy igazán nagyot alkossanak, kitalálják az új termékünket vagy szolgáltatásunkat? Hagyni kell őket dolgozni!

“… technology innovation is not achieved by management but by fully motivating the employees’ enthusiasm and potential by allowing them to work on what they want.” – mondja Jing Wang a Baidu alelnöke, az önvezető autókkal foglalkozó részleg vezetője. Ő csak tudja!

Nemrég részletesebben írtam arról, hogy mi kell ahhoz, hogy sok dolgozó vegyen részt az innovációban, erről most nem írnék többet.

Milyen javaslatokat adott még az előadó? Itt van néhány példa:

  • Az egyetemekkel való szoros kapcsolat, gyakornokok, szakdolgozók, frissen végzettek bevonása.
  • A technológiában élen járó cégek felvásárlása is behozhatja a szükséges embereket.
  • A modern munkahely és vállalati kultúra segít megtartani őket.
  • Érdemes a digitális üzletben vezető cégektől (pl.: Google, Alibaba) elcsábítani embereket.

Bár az előbbi idézet szerint nem menedzseléssel lehet az innovációt elérni, mégse feledkezzünk meg a vezetők szerepéről! A felmérés szerint a digitális átállásra dedikált vezető (Chief Digital Officer) még nagyon kevés cégnél van (10% alatt).

Az informatikai vezetők (CIO-k) közel 40%-a ezt a szerepet is betölti. Töprengtem azon, hogy ez jó, vagy nem jó. Ha úgy nézzük, hogy a CIO nagyobb megbecsülést szerez, fontosabb (kulcsfontosságú) szerepe lesz a cégen belül, akkor (CIO-ként) csak örülhetek ennek. Miért vagyok mégis bizonytalan? Ha ez azt jelenti, hogy a digitalizációt „IT-s” dolognak tekintik, akkor viszont káros. Egy darabig lehet annak tekinteni, amíg az alapvető feladatokat (költségcsökkentés, folyamatok racionalizálása) elvégezzük az új technológiák segítségével, de nem szabad itt megragadni.

A felmérés azt mutatja, hogy a CIO-k egyre közelebb érzik magukat a vezérigazgatókhoz. Két éve még csak kétharmaduk volt szövetségese vagy partnere a nagyfőnöknek, most már háromnegyedük érzi itt magát. (Azt nem vizsgálta ez a felmérés, hogy a CEO-k mit gondolnak ugyanerről.)

Gartner-2016-CIO-CEO-relationship

Az önképük jól egybecseng azzal, hogy vezető szerepet és felelősségi kört keresnek a CIO-k a digitalizációban, és az üzleti eredményekre is hatással akarnak lenni. Ez így jól is hangzik, de közben utálják a cégen belüli „politikát”, és a sok munka nyomását és a stresszt. Vajon lehet ezek nélkül üzleti hatást és változásokat elérni egy nagy cégnél? Tisztáznia kell magával az informatikai vezetőnek, hogy tudja-e mindazt vállalni, amivel a vezetői kulcsszerep jár! Ha igen, nem vonhatja ki magát a cégen belüli, sőt a cégen kívüli (partnerekkel és szabályozó hatóságokkal való) tárgyalásokból, alkudozásokból, harcokból.

A vezetőnek tisztában kell lennie azzal, hogy a forradalmian új megoldások kitalálása, megtervezése, létrehozása és üzemeltetése nem mehet a megszokott módszerekkel. Ez azt is jelenti, hogy időnként keményen ki kell állnia a szabályoknak és a hagyományos teljesítménymérési, minősítési rendszereknek meg nem felelő kreatív emberei mellett. Enélkül elfogynak…

Kedves Olvasó! Ezzel végére értem a Gartner CIO Survey által inspirált cikksorozatomnak. Remélem, adtam valami hasznosat! Úgy érzem, hogy ez a téma nem tartozik a könnyen emészthetők közé, ezért érdemes lesz még egy kicsit csócsálni…

Előzmények:
Irány a digitális világ
A túlélés nem kötelező
Egy platformon vagyunk?

 

Okos adat

Kire tartozik, hogy mennyi por van a szobámban, és milyen gyakran takarítok? Kire tartoznak a fogmosási szokásaim és a fogaimban lévő lyukak?

Samsung-cleaning-robotElső pillanatban úgy tűnik, hogy kevesekre. Rajtam kívül a családtagjaimra és az utóbbi a fogorvosomra. Esetleg még pár emberre. Nos, nem biztos, hogy így van abban az esetben, ha „okos” fogkefém van. Ez az okos jószág szorgosan gyűjti az adatokat, és a biztonság kedvéért jól meg is őrzi – a gyártó rendszereiben. Ott örökre megmaradnak, alávetik őket mindenféle elemzéseknek, megtudnak rólam sok mindent. No, nem csak a fogkefémtől. Tele van a környezetem okosnál okosabb eszközökkel. Ezek egy részét saját magam, tudatosan kapcsolom össze egymással, mert így jobb nekem. A többiek megtalálják egymást, összekapcsolódnak. Ha nem közvetlenül, akkor a „mestereiken” keresztül.

Hoztam pár példát korábban az okos ház és a sok okos eszköz hasznos kapcsolatáról. Ilyen, például, a kellő időre beindított és bemelegített autó, az időre elkészülő vacsora, a fűtés szabályozása a napirendemtől függően (akkor is, ha hirtelen megváltozott a napi programom), a jó alvásomra optimalizált fűtés, és van még sok.

Arról nem beszéltem, hogy mi is van az adatokkal, az információval. Ezek az eszközök sok mindent tudnak rólam és a környezetemről, és mindent az én érdekemben, az én jobb kiszolgálásom érdekében használnak fel. Remélem!

Ki használja ezeket az adatokat és mire? Mennyire fontos ezt tudnom? Mekkora gond az, ha az elsődleges célon (a jó kiszolgálásomon) túl is felhasználják? Van rá joguk?

Jó kérdések! Kezdjük az utolsóval. Most olvastam, hogy jogászok álláspontja szerint ezeknek az adatoknak nem én vagyok a tulajdonosa. Nem az a tulajdonosa, akire vonatkozik az adat, hanem az, aki begyűjtötte. (Az adat azé, aki megműveli?) Engem meglepett ez a vélemény. Persze, tulajdonképpen mindegy, hiszen amúgy is megadjuk mindenhez a hozzájárulásunkat. Nem is igen olvassuk el azokat a hosszú szövegeket. Ha elolvassuk, nem nagyon értjük, hogy mi következik belőle. Az is kérdés, hogy hol lenne a fogkefén az a kijelző, ahol elolvasnánk a jogi bla-blát.

Azt mondja az érvelés, hogy az adataimat összegyűjtő cég időt és pénzt fordított az adatbázis létrehozására, feltöltésére, és az adatok elemzésére, így megszerezte az adatok feletti rendelkezés jogát. A dolgot még szebbé teszi az, hogy nem egy cégről van szó, hiszen az „okos” eszközök világában szerepel a „dolgok internete” (Internet of Things, Internet of Everything) – az a kapcsolódás közege. Nagy adattároló és –feldolgozó felhők játszanak benne szerepet. Miért fontos ez? Nem egy cég lesz tulajdonosa az adatainknak, hanem mindegyik, amelyik részt vesz ebben a folyamatban. És, hogy el ne felejtsem: kereskednek is az adatainkkal.

Összefoglalva: Kinek van köze a fogmosási szokásaimhoz? Mindenkinek, akit csak érdekel! Érdekel ez valakit? Önmagában nem fontos adat, de sok más aprósággal összefésülve, levonhatnak belőle következtetéseket a viselkedésünkre, kitartásunkra, rendszerességünkre, jellemünkre. (A következtetéseket gépek fogják levonni, a közben felhasznált algoritmusok pedig nem lesznek hibátlanok!) A sor végén valaki általános jellemzéseket árul majd, amiket számára is ismeretlen adatokból, számára is ismeretlen algoritmusok számoltak ki.

A szolgáltatás előfizetője (munkáltató, biztosító, társadalmi szervezet, bank, hatóság) kap majd egy „tudományos alapon”, a rólam több év alatt összegyűjtött rengeteg adatból létrehozott profilt. Ennek alapján dönt a jövőmről. Tetszik? Nem igazán! Nem tudom, ki ismeri az USA-beli „credit rating” vagyis hitelminősítő rendszereket. Azok valami hasonlót, de sokkal egyszerűbbet csinálnak. Ha becsúszik egy téves adat (és időnként becsúszik), akkor az érintettnek sok-sok pénzébe és sok idejébe kerül tisztára mosnia magát. Simán eltart hónapokig, ha nem évekig. Addig nem kap hitelt, vagy kiugróan magas kamatot követelnek tőle. Sőt, általában is megbízhatatlannak minősül, mert nem csak hitelintézetek lehetnek az információ felhasználói között. Hol árthat? A Forbes felsorol tíz példát, ilyeneket: lakásbérlethez jutás, munkavállalás, biztosítások megkötése, nyomozó hatóságok.

Ahogy mondtam, a hitelminősítésben lévő tévedéseket sem könnyű kijavíttatni, pedig ott viszonylag kevés forrásból származó kevés adatot dolgoznak fel. Ha már az egész életünk minden apró mozzanata tárolva lesz a nagy rendszerekben, és ott sok lépésben feldolgozzák mielőtt a végső következtetéseket levonják, azt se lehet majd tudni, hogy pontosan milyen adatokból jött ki az, hogy megbízhatatlan vagyok. „Csak úgy” köztudomású lesz. Olyasmi, mint az előítélet, de sokkal biztosabb lábakon áll, mert „tudományos alapokon” jön létre.

Jó messzire jutottam az internetre kapcsolódó „okos” fogkefétől, ugye? Bizonyos mértékig túloztam, a fogkefe nem ennyire veszélyes. Másrészt mégsem túloztam. Az egész, nagy összekapcsolt mindenség erre és ennél sokkal többre is képes. Mi, emberek, hagyni fogjuk, mert a dolog túl komplex ahhoz, hogy minden részletében megértsük, és túl sok cégnek lesz belőle sok bevétele.

Az IBM a Watson bevetését tervezi. Nem Sherlock Holmes társáról, Dr. Watsonról van szó, hanem egy különlegesen okos számítógépes algoritmusról, ami már évekkel ezelőtt képes volt legyőzni (4 perc videó) a legjobb emberi játékosokat az amerikai Jeopardy vetélkedőn. Ha a Watsont tényleg bevetik, akkor előre nem látott összefüggések és kapcsolatok kerülhetnek felszínre. Jók vagy károsak? Hasznosak lesznek nekünk, vagy ártalmasak? Ha igazak is, vajon szükségesek és helyénvalóak?

Szóval, mi legyen? Védekezzünk az „okos otthon” ellen?

Nem tudom. Sok apró kényelmességgel kezdődik a dolog, majd szépen, lassan megszokjuk a meglévő helyzetet, és az újabb nagyszerűségek is beszivárognak. Mindet meg lehet szeretni, és lassan kialakul a függőség. (Láttunk már ilyet!)

Fontolja meg mindenki, hozza meg mindenki a saját döntését!

Segítek: itt gyűjtöttem össze az eddigi írásaimat a témáról. Sokat olvastam hozzá, és megpróbáltam megérteni, amit olvastam… Jó olvasást és döntést!

 

Ki az okosabb?

Amikor már nemcsak okosabb nálunk az autónk, hanem bele is beszél mindenbe – sőt, bele is avatkozik, akár rendőrt is hív helyettünk…

20._Station_der_Zukunftsenergientour-_Energieeffizienz-Projekte_SmartHome_in_Paderborn_(12100915513)Az okos otthonoknál hagytam abba a múlt héten, és itt is folytatom. A fűtés telefonos vagy internetes távvezérlése már jó ideje nem valami távoli dolog, hanem a mai valóság része. (Azt azért megnézném, amikor a fafűtéses cserépkályhát is internetről vezéreljük majd…) Na, de komolyra fordítva. Az is régi dolog, hogy a fűtést a külső hőmérséklet és a szél függvényében is tudja vezérelni az automata. Ebben az a jó, hogy nem kell kivárni, amíg a jeges szél elkezdi lehűteni a lakást. Meg lehet előzni, be lehet indítani a fűtést. Ez még mindig a régi, hagyományos megoldás, csak néhány külső érzékelő kell hozzá.

Most jön a felhő és az együttműködés!

Remélem, már vártad Kedves Olvasó, hogy milyen együttműködést tudok beleszőni!

Ha ez az automatika egy szolgáltatáshoz (felhőhöz, ahogy mostanában hívjuk) kapcsolódik, akkor ott összejönnek sok-sok használó mérési eredményei. Így lehet tudni, hogy északnyugat felől hideg szél érkezik, és már a megérkezése előtt be lehet indítani a fűtést. Még kényelmesebb és gazdaságosabb lesz így! A sok használó együttműködése mindenki előnyére válik. Nagyon aktív együttműködést nem is igényel az emberek részéről, mindössze meg kell engednünk a készülékeknek, hogy megosszák egymás között az információt.

Van még egy következő lépés is! Ha a szolgáltatónk figyeli a meteorológiai adatokat és előrejelzéseket, akkor már egészen tökéletesen tudja szabályozni a fűtésünket. Ma én ezt manuálisan csinálom. A pillanatnyi és a várható időjárás alapján döntöm el, hogy hányszor és mennyi fával fűtsek be. Nem mindig találom el, de igyekszem…

Amit eddig írtam, abban alig fedezhető fel a közösségi együttműködés. Annyi történik, hogy megengedem a külső érzékelőknek, hogy beadják a központba az időjárási adatokat. Mi ez? Semmi! Csinálnom nem kell semmit, és nem is adok ki információt magamról.

waze eros forgalomNézzünk egy másik példát! Itt van a waze, egy útvonaltervező szolgáltatás, ami a pillanatnyi forgalmi viszonyok alapján tervezi meg az utat. Ez egy nagyon jó ötlet, és nagyon jól is működik. Nekem kevés tapasztalatom van vele, de az abszolút pozitív, és másoktól is csak jót hallottam róla. Hogy működik? Folyamatosan figyeli az úton lévők mozgását, sebességét, és így tudja a leggyorsabb útvonalat megtervezni (és változás esetén áttervezni). Már elég régen benne van a többi útvonaltervezőben is a lehetőség, hogy bejelentsem, ha valami lényegeset tapasztalok útközben (pl.: baleset, torlódás, rendőr), de ehhez tennem kell valamit. A régi módszerekkel sokkal kevesebb és pontatlanabb információ gyűlik össze, mint ezzel az automatikus megoldással. Mi ebben az együttműködés? Semmit se kell csinálnom, pusztán csak futtatnom a szoftvert, utána miden magától történik. Van itt együttműködés: fontos személyes információt adok ki, és nem is én szerzek belőle közvetlen előnyt, hanem mások. Közvetetten, persze, nekem is hasznos, ha javítom a szolgáltatás minőségét, hiszen így többen fogják használni, és nekem is segít majd legközelebb. Ezt nem szoktuk így végiggondolni – egyszerűen csak szeretünk értelmes kezdeményezésekben részt venni.

Ki emlékszik a blogom legelső írására? 2013. augusztus 8-án egy akkor tervezett (és egy évvel később beindult) hasonló szolgáltatásról írtam. Abban is erős közösségi elem van. A kulcstartómra, a pénztárcámba, a táskámba, a biciklimre tudom tenni a Tile névre hallgató kis ketyerét. Ennek nincs saját SIM kártyája vagy WiFi-je, csak egy Bluetooth van benne. Ezzel kapcsolódik a közelben lévő telefonokhoz és táblagépekhez, amik a Tile szoftverét futtatják, majd így éri el az interneten keresztül a szolgáltató központját. A Tile olyan dolog, ami sok-sok ember együttműködése nélkül értelmetlen. Mi benne az együttműködés? Akkor is futtatom a Tile szoftvert, amikor semmi szükségem rá. Ezzel segítek egy ismeretlennek, aki keresi az eltűnt kulcsát vagy tárcáját, ha az esetleg a közelemben lenne.

Nocsak, ezek tudják, hogy róluk írok?!? Épp most jött tőlük az email, hogy olcsóbb és gyorsabb lett a szállítás Magyarországra, és javítottak a terméken is. (Hangosabb lett a Tile, a párna alól és pár szobával távolabbról is hallani lehet. Fordítva is működik, vagyis a Tile is meg tudja csöngetni az elbújt telefont – némított állapotban is.) Ha többen használják itthon, hasznosabb lesz. Meggondolom, hogy frissítek-e…

Menjünk vissza egy kicsit a házba, pontosabban a munkahelyre! A mai technika mellett sokan úgy is tudnak dolgozni, ha nincs állandó kijelölt helyük az irodában, hanem ott ülnek le, ahol van éppen szabad hely. Ha sokszor dolgoznak ügyfélnél vagy otthonról az emberek, akkor egyébként sincsenek minden nap az irodában, nem érdemes fenntartani számukra egy állandó helyet. Sok papírra sincs szükségünk, a számítógépünk és a telefonunk is mobil – csak az a néhány apróság kell, amitől személyesebb, otthonosabb lesz a helyünk. Ezek elférnek egy kis gurulós szekrényben. Képzeljük el azt, hogy mindenki kap mobilt a cégtől, és reggel az épületbe belépve ezen kapja meg az üzenetet, hogy hol fog aznap ülni. Mire odaér, ég a villany, be van fűtve, és ott a kis gurulós szekrénykéje az asztala mellett. Hogy menne ez? A rendszer folyamatosan tölti az épületet, emeletről emeletre osztja ki az ülőhelyeket. Mindig megfelelő területet tart előkészítve (fűtés, hűtés, szellőzés). Mire odaérünk, odaküldi a szekrényünket és felkapcsolja a világítást. Ha nagyon kedves akar lenni hozzánk, akkor figyel, megtanulja, hogy mekkora fényben és hány fokban szeretünk dolgozni. Jól hangzik? Ízlés dolga. Annyi biztos, hogy már ez sem egy jövőbeli kép. Kinek jó ez? Nem tudom, hogy a dolgozónak jó-e. A cégnek jó lehet, ha ezzel a fűtésen és a világításon tud spórolni. Lehet egy érdekes mellékhatása is: javíthatja a cégen belüli kommunikációt és a részlegek közötti kapcsolatot, ha véletlenszerűen kerülnek egymás mellé a dolgozók.

Ezekben a nagyszerű rendszerekben az egyik közös dolog az, hogy a mozgásunkról mindent megtud a szolgáltatónk vagy a munkáltatónk. Azt is tudhatja, hogy hol vagyunk az épületen belül, hol mennyi időt töltünk. Ennek lehetnek nemszeretem következményei, ha visszaélnek vele, nem jó célra használják. Ismét itt a kérdés: megéri? Szerintem nincs rá általános válasz – esete válogatja. Valamilyen mértékben régen léteznek a dolgozók mozgását követő rendszerek. Vannak ilyenek a céges autókban (főleg a teherautókban) már évek óta. A WiFi, a Bluetooth és a navigációs szolgáltatások újabb lehetőségeket teremtettek.

Ha már szóba jöttek az autók: hírek szerint 2018-tól az EU-ban is minden új autóban kötelező lesz a balesetet automatikusan jelentő rendszer. Ez sok ember életét mentheti meg, ha azonnal értesíti a rendőröket és a mentőket egy ütközés után. Azt is meg tudja (talán) mondani, hogy mennyire súlyos a baleset. Mostanában történt egy érdekes eset az USA-ban: egy autó egymás után két balesetet is bejelentett a rendőrségnek, de a vezető tagadta, hogy bármi is történt volna. Lebukott két cserbenhagyás miatt. Érdekes, ugye, hogy a saját autója jelentette fel? Az ember sok pénzért megveszi, fenntartja, és ez a hála?

Egy ideje töprengenek az érdeklődők egy fontos etikai kérdésen az önmagukat vezető autókkal kapcsolatban: Elkerülhetetlen baleset esetében, hogyan dönt majd az autó, ki sérüljön meg, ki haljon meg? A kérdést így szokták feltenni: Ha abból lehet választani, hogy négy gyalogos haljon meg, vagy az autóban egy ember, hogyan vezet majd az automata? Súlyos kérdés, és egyelőre csak kérdés, de majd válasz is kell…

Az önmagukat vezető autók elterjedéséig még sok víz lefolyik a Dunán, és sok műszaki és jogi problémát kell megoldani. Az internetre kapcsolódó autók viszont már itt vannak, és éppen elég sok gond van velük. Mi a baj? Csak annyi, hogy az egész autó felett át lehet venni az irányítást az interneten keresztül – annyi tervezési hiba van ezekben a rendszerekben. Hogyan? Ma már szinte semmi se mechanikus az autókban, a féket, a gázt és a kormányt is csak áttételesen kezeljük. Mi egy elektronikus szerkezetnek adunk utasítást a pedálok és a kormánykerék révén, és az elektronika ad gázt, fékez vagy kormányoz. Ebbe a folyamatba pedig bele lehet nyúlni kívülről. Sajnos ezekből a rendszerekből csúnyán kihagyták az illetéktelen beavatkozások elleni védelmet az autógyártók. Megindult a védelmi rendszerek fejlesztése is, például az IBM is foglalkozik ezzel. Furcsa világ lesz, amikor majd az autónkba is internetes tűzfalat és vírusellenes rendszert kell tennünk, és azt állandóan frissítenünk. Kezd már számítógép lenni az autó is…

Szeretjük, nem szeretjük – ezt kapjuk! Folyt. köv.

A mindenség…

Mindent rákötünk mindenre, és tele van az életünk számítógépekkel, amikről nem is tudjuk, hogy számítógépek.  Amikor az „okos” eszközökre gondolunk, többnyire eszünkbe jut, hogy azok valójában számítógépek, csak éppen, mondjuk, telefonnak látszanak.

Smart_Home_Control_PanelAzt hiszem, hogy a telefonokról nagyjából mindenki tudja, hogy azok kis számítógépek. Élvezzük is azt a sok kényelmességet, amit nyújtanak. Ezek közül mindenki mást tart a legfontosabbnak, és használ a legtöbbet. Én, például, nem használom zenehallgatásra vagy videó nézésre. Annál többet levelezésre (inkább olvasásra, mint írásra). A naptáramat és a teendőim listáját sokszor a telefonon kezelem – ezekre nagyon jó. A naptárban különösen szeretem, hogy útba is igazít, megmondja, hogy jutok el a címre. Itt jön az, amit a legtöbbet használok: az útvonaltervezés, amiben csodálatos, hogy azt is megmondja, hogy a busz egy-két perccel előbb vagy később érkezik.

Fényképezőgépnek is használható, bár „elkapni” nem tudok vele pillanatokat, mert nagyon lassú. Kevés fényben alig használható – szóval nem fényképezőgép, de vannak pozitívumai. A képeket automatikusan feltölti a „felhőbe” (Dropbox, Google Drive, vagy ahova csak akarom), ahonnan az otthoni számítógépem letölti. Minden fénykép megvan itt is, ott is. Nehéz lenne bármit is elveszteni!

Apropó, elvesztés. Hányszor hallom azt, hogy valaki elvesztette a telefonszámokat, amikor elromlott vagy elveszett a telefonja! Velem ez nem fordult még elő, és nem azért, mert rendszeresen mentéseket készítek a telefonom tartalmáról. Hanem? Ez is automatikusan történik a felhőben! A Gmail címlistámban tartom a telefonszámokat is, és az szinkronban van a telefonommal. (Ha Outlook, Office365, Apple, vagy bármi más levelezőt használunk, azzal is simán megy.) Extra előny: nem kell a telefonon beírnom az adatokat, hanem csinálhatom a számítógépen is – minden szinkronban van a telefonnal.

Ha ilyen szép és jó, mi a hátránya ennek a sok felhőnek? Ha valamit titokban akarunk tartani, vagy végleg meg akarunk semmisíteni, akkor erre alig van esélyünk. Mekkora baj ez? Mennyire zavar? Engem nem igazán zavar. Tudok róla, elég jól értem a helyzetet és a kockázatot, és együtt tudok élni vele. Úgy tekintem, hogy ez az ára szolgáltatásnak. Miért kellene nagyon hasznos és kényelmes szolgáltatást ingyen kapnom? Nincs rá semmi ok…

Biztos sokan hallották már a mondást, hogy ha nem fizetünk valamiért, akkor mi magunk vagyunk az áru. Kerestem az eredetét, és a legrégebbi előfordulását 2010-ben fedeztem fel: „If you are not paying for it, you’re not the customer; you’re the product being sold”. Baj ez? Ki-ki döntse el magának!

Ugorjunk, ennyi elég is a telefonokból! Mit kötünk még hálózatba? Már jó néhány éve tudnak telefonálni a riasztók (az otthoni és az autóban lévő is), és az se új dolog, hogy mobilról szabályozzuk az otthoni fűtést. Hosszú ideig lassította az elterjedésüket az, hogy kellett egy SIM kártya is ezekbe az eszközökbe. Az otthoni dolgokat már rákapcsolhatjuk az internetre, nincs semmi extra költség, és fel is gyorsult a terjedésük.

A „smart home”, az „okos otthon” nem valami új találmány, már több mint egy évtizedes története van. Az újdonság az, amikor a lakásban lévő sok-sok okosság összekapcsolódik egymással, és még a nagyvilággal is. A lehetőségek tárháza végtelen. Már most is sok minden létezik ezen a területen, de sokkal több érdekes lehetőség áll előttünk. Nézzük az előbb említett fűtést! Az régi dolog, hogy a termosztátot előre be tudjuk programozni, hogy a reggeli ébredésre befűtse a nappalit; napközben, amikor nem vagyunk otthon, levegye a hőmérsékletet, de ismét meleg szobával várjon a munka után. Ezt fejlesztették tovább, amikor már haza is lehetett telefonálni a termosztátnak, hogy ma nem a szokott időben megyünk haza, előbb vagy később kell a meleg szoba. De miért is kell ehhez telefonálni? Amikor hazaindulok, a telefonom magától haza tud szólni, nem? Azt is tudja, hogy másnap van egy szokatlanul kora reggeli megbeszélésem, ezért korábban kell az ébredéshez befűteni, de utána le is lehet venni a meleget. Kényelmes, ugye? Mi kell ehhez? Nem olyan sok: össze kell kapcsolni a naptárat, a navigációt, a helyzetérzékelést és a fűtést. Ezek különböző szolgáltatások, de a telefonunk mindegyikkel tud beszélni, tudja koordinálni az egészet. Sőt, valójában nem is a telefonba kell ezt beépíteni: elég, ha minden kapcsolódik egy szolgáltatóhoz a felhőben. Ott van lehetőségünk mindent beállítani. Ez most még bonyolultnak hangzik, de hamarosan megjelennek az abszolút kényelmes megoldások is.

IoT If Then

Lehet még fokozni! A sport és fitnesz alkalmazások azt is tudják figyelni, hogy mennyire jól alszunk. A fűtési rendszerünk rajtuk keresztül megtanulhatja, hogy hány fokban alszunk a legjobban, és magától be tudja állítani. Akárcsak egy gondos anya, ugye? Kell ennél több? 🙂 Talán be is tud majd takarni az ágynemű, ha lerúgtuk a takarót és kezd hűlni a testünk. Ha ezt még nem oldották meg, akkor a fűtés lép közbe.

Bevásárlás, sütés-főzés, takarítás. Itt is sok lehetőségük van a gépeknek. Mi lenne, ha a hűtő megrendelné a tejet, amikor kibontottuk az utolsó dobozzal? A kávéfőző friss a kávé illatával ébresztene? (És, persze, megrendelné a kedvenc kávénkat, mielőtt kifogyna.) Reggel bekészítettük a sütőbe a vacsorát, hogy frissen sülve várjon minket. Az semmi, hogy beállítottuk előre a hőmérsékletet és az időtartamot – ilyen már régen van. Ott jön az újdonság, amikor majd figyeli a sütő, hogy meddig tart az utolsó megbeszélésünk, mikor indulunk haza, és módosítja a programot, hogy nekünk még jobb legyen. A tévé akkor is felveszi a kedvenc sorozatunkat, ha nem programoztuk be előre, mert azt hittük, hogy addigra hazaérünk.

A lehetőségek tárháza, mint mondtam, kimeríthetetlen. Gyűjtöttem néhány érdekes olvasnivalót a témában:

Az utolsó cikk a biztonsággal foglalkozik, de nem bonyolult módon, hanem nagyon is egyszerűen és kézzel foghatóan. Biztonság? Már megint ezzel jönnek! Állandóan fenyegetnek a vírusokkal és mindenféle veszélyekkel, de vajon mennyire valóságosak ezek a veszélyek?

Az a helyzet, hogy ebben a sok új dologban, ami az internetre kapcsolódik, tipikusan olyan szoftverek vannak, amiknek a megírásánál nem sok gondot fordítottak a biztonságra. Keveset tudunk még, mert kevés incidens történt, de az eddigiek egyáltalán nem biztatóak. Szinte minden gyártó internetre kapcsolódó autójáról kiderült már, hogy teljesen át lehet venni az irányítását kívülről – bizony, akár a féket, a sebességváltót és a gázpedált is tudják kívülről kezelni. Még senki sem halt meg emiatt… Más dolgoknál, pl., orvosi eszközöknél, már nem ilyen jó a helyzet – ott haltak meg emberek internetes beavatkozás miatt. Jó, ez egyik se az „okos otthon” területe. Ott mi történhet? Egy beteg embert vagy egy kisbabát nagyon súlyosan érintene, ha valaki durván felemelné vagy lecsökkentené a szoba hőmérsékletét. Egy elektromos tűzhely tud tüzet okozni, ha túlhevítik. Nem is keresem a példákat. Sajnos lesznek majd ilyen tragédiák…

Mit csináljunk? Azt szokták mondani, hogy legyünk óvatosak, körültekintőek, és így tovább. Ez igaz, óvatosnak kell lennünk. A szokásos tanácsok itt is érvényesek: milyen jelszavakat használunk, kinek mit árulunk el, stb. Azt hiszem, ez egy olyan terület, ahol nagyon ki vagyunk szolgáltatva a szolgáltatónknak. Az autókat sem azért érték el a rossz fiúk, mert a vezető gondatlan volt. A vezető azt se tudta, hogy van ilyen rendszer az autójában.

Ha tőlem kér tanácsot valaki, csak a kivárást tudom javasolni. Itt most jönne az a rész, amiben leírtam néhány tanácsot, majd kitöröltem. Még jobban utánajárok a témának, mielőtt elkezdek tanácsokat osztogatni.

 

Bizalom, együttműködés, bűnözés – jövőkép?

A múlt keddi ITBusiness Club reggelin (téma: kiberbűnözés) a bizalom, a mentalitás és az attitűd fontos szerepet játszott a téma elemzésében. Valószínűleg ezért is kapott meg ennyire, hiszen ezek rímelnek a kedvenc témámra, ami az együttműködés.

Hogyan változik meg a viselkedésünk az egyre szélesebb kapcsolati és együttműködési lehetőségek hatására? Hogyan lenne jó? Egyáltalán: mi a “jó”? Ahogy Mérő László többször is hangsúlyozta: még nagyon kevés ideje élünk ebben az online világban, és nem tudunk róla eleget ahhoz, hogy felfogjuk a hatásait.  A jövő még homályosabb…

Ha az informatika területén a jövőre vagyunk kíváncsiak, érdemes a Gartner elemzéseit elolvasni. Ők sem rendelkeznek a jövőbelátás képességével, de a jóslataik képesek alakítani a jövőt.

Ők négy lehetséges kimenetet látnak, és azok közül a “szabályozott kockázat” (“Regulated Risk“) a legvalószínűbb. Ezt a következők jellemzik:

  • a vállalkozások lesznek a támadók célkeresztjében,
  • még több kormányzati szabályozás jön,
  • kiberháborúk,
  • kritikus infrastruktúra fokozott védelme,
  • növekvő költségek,
  • ugyanakkor a kockázatok csökkenése kérdéses.

A második legvalószínűbb a koalíciók uralma (“Coalition Rule“), ahol hadurak és kartellek uralkodnak, céges  kiberbirodalmak jönnek létre, nem teljesen követik a hatástalan szabályokat, és növekszik a kémkedés, egyre nagyobbak lesznek az üzleti károk.

Érdemes elolvasni az egészet: http://my.gartner.com/webinardetail/resId=2479415?srcId=1-2949089475target=  (ingyenes regisztráció szükséges).

 

Változzon meg a mentalitásunk? Mit gondolunk a kiberbűnözésről?

Bizalom és biztonság – kéz a kézben járnak, vagy ellenfelek?
Bizalom és gazdasági érték – mérhető a kapcsolatuk?
Új technológia és régi gondolkodás – változó mentalitás?

maze searchAz ITBusiness Club novemberi összejövetelének nagyon izgalmas és aktuális témája volt: a kiberbűnözés jelene és jövője. Két meghívottunk volt: Mérő László matematikus professzor, aki hosszú ideje kutatja és elemzi az emberi viselkedést; és Makay Kálmán a Symantec vezető rendszermérnöke. Már a bevezető is élő párbeszéddé alakult, majd a közönség bevonása után igazán pezsgő lett a hangulat.

Az egyik kiinduló pont a bizalom volt (Fukuyama könyve alapján). Az alaptétel az, hogy minél magasabb a bizalom szintje, annál fejlettebb az ország. A bizalom hiánya egy tipikus holtteher-költség, és veszteséget okoz. (Mi ez a holtteher-költség? Mérő példái: A túl nagy raktárkészlet költség az eladónak, de nem nyereség a vevőnek. A hiány költség a vevőnek, de nem haszon az eladónak. Hasonlóképpen, a bizalom hiánya is olyan költséget generál, pl.: a szerződés megírásakor, ami sem a vevőnek, sem az eladónak nem hoz extra bevételt.)

A bizalomra rímelt az a kérdés, hogy milyen beépített kiskapuk és szivárgások vannak az eszközeinkben, és azokat ki és mire használja. A gyártók és szolgáltatók hogyan használják fel azokat az információkat, amiket a „feleslegesen” beépített hardver és szoftver elemek segítségével összegyűjtenek? Csak üzletszerzésre használják a magunk és ismerőseink adatait, vagy másoknak is értékesítik? Az állami intézmények csak a terrorizmus elleni harcban használják, vagy gazdasági célokra is? Szét lehet ezeket egyáltalán választani? Hogy ítéljük meg Snowdent, a modern Rózsa Sándort?

Mi jut erről eszembe? A nagy IT-biztonsági cégek rengeteg információt tudnak összegyűjteni a támadásokról és az ügyfeleik rendszereiről. Ezek felhasználásával tudnak nekünk segíteni a védekezésben. Hogyan? Például statisztikákkal, amikből kijön, hogy mik a gyakori támadások és a legfontosabb elemei a védekezésnek. Ennél sokkal tovább is tudnak menni, ha mélyebbre ásnak az adatokban és azonnal felhasználják a rendelkezésre álló információt. Ha egy helyen összegyűlik sok-sok cég összes biztonsági rendszerének (tűzfal, vírusirtó, behatolás érzékelő) információja, azonnal és hatásosan tudnak segíteni a védekezésben (még mielőtt minket is elérnének a támadások). Hogy viszonyul ehhez az ügyfél? Szívesen adja ki sok-sok információját a „nagyobb jó” érdekében?

Mi a helyzet a védelem vs. támadás fronton? Itt is ugyanaz, mint a széfgyártók és a mackósok harcában: egyre jobb és erősebb a védelem, és előbb-utóbb feltörik. Amit ember titkosított, azt ember meg is fogja fejteni. Minden kód feltörhető, csak idő kérdése, és azt nevezzük feltörhetetlennek, amiről még nem tudjuk, hogyan – mondta Mérő. A Kasperskynek tulajdonított mondás szerint ez az egész csak azért működik, mert a vírusokat kontárok írják. Mi lesz, ha ügyesebbek lesznek?!?

Mennyire aggódjunk amiatt, hogy a hardver és a szoftver adatokat, információkat gyűjt rólunk és arról, amit használunk és csinálunk? Mennyire zavar ez minket? Mérő szerint túlzottan zavar minket, sokkal jobban, mint indokolt. A lehallgatás és megfigyelés nem csak a diktatúrák sajátossága – valójában az egész világ így működik. Az a legjobb, ha megtanulunk együtt élni vele! Szerinte most még nagyon korai következtetéseket levonnunk, mert még fiatal a technológia, nincs elegendő tapasztalatunk. Rajtunk múlik, hogy mi lesz belőle! Szemléletes volt a nagyvárosi mentalitásra hivatkozó példája (ami szintén hosszú idő alatt alakult ki). Ellentétben a kis településekkel, a nagy városban kevésbé követik egymás mozgását és cselekvését az emberek. Míg faluhelyen 50-60 kilométert is kell menni ahhoz, hogy ne legyen „szem előtt” az ember, a városban elég lehet két villamosmegállónyi utazás is.

Ehhez kapcsolódóan szóba került a mentalitás más vonatkozásban is: a nyugati, az orosz és a keleti mentalitás különbözősége. Egyik szemléletes példája a „szto gramm” elfogyasztásához kapcsolódott. (Szóvá tették orosz ismerősei, hogy ő apránként kortyolgatta, és nem egyszerre húzta le. Mérő azt válaszolta, hogy Európában mindenki úgy iszik, ahogy akar – amivel azt állította szembe, hogy Oroszországban viszont úgy, ahogy kell. Ha arra gondolok, hogy szóltak már rám azért, mert apránként kortyolgattam a felest, akkor érezzem magam Európa határvidékén ebben az értelemben? Nem lett belőle harag, megmagyaráztam, hogy szeretem kiélvezni a finom pálinka ízét.)

Visszatérve a mentalitások és gondolkodásmódok különbözőségére. Szintén Mérő említette, hogy a Pentagonban sok sakkmestert cseréltek le go mesterre. Miért? Egyre inkább a kínaiak lesznek az ellenfelek, és az ő gondolkozásukat nem a sakk, hanem a go játék alapján lehet megérteni. Az aji (味) fogalmával szemléltette a nagy különbséget. Az aji egy olyan jellegű előre gondolkodás, ami nem algoritmikus, nem stratégiát alakít ki, nem lépéseket tervez meg. Inkább a dolog ízét vagy utóízét jelenti, egy lehetséges kimenetet, ami vagy bejön, vagy nem – de gondolunk rá. Figyelni kell ezekre a mentalitásbeli különbségekre, hiszen egyre nagyobbak a kiberhadseregek (akár százezres is lehet a létszámuk)!

Mit lehet ellopni? Ellophatják az adatainkat, és felhasználhatják, még akár vissza is élhetnek velük (bár ez nálunk kevésbé működik, mint Amerikában). Ellophatják a cég információit, terveit, az ügyfelek adatait. Ellophatják az újság megjelenési formáját és a híreit. Ezeket meg kell szoknunk, mert megtörténnek, akármit is teszünk ellenük. (Ez nem azt jelenti, hogy ne védekezzünk, ne csökkentsük a kockázatot és a veszélyt! Csak arra ne számítsunk, hogy létezik a tökéletes védelem.) Mit nem tudnak ilyen egyszerűen ellopni? Azt, ami az agyunkban van, amitől az adatok és információk értelmet nyernek, ami nélkül nem lehet annyira hatékonyan felhasználni az adatokat, mint ahogy mi magunk tesszük. Az a miénk marad! Mérő szerint a cég adatainak megszerzése csak a probléma 5%-át jelenti, a maradék 95% a fontosabb.

Makay felvetette azt a kérdést, hogy vajon kire bízzuk az adatainkat. Nagyon sok új felhő szolgáltatás jelenik meg nap mint nap. Ezek gyakran kis, új cégek, startupok, múlt nélkül – és az esetek egy részében jövő nélkül. Amikor a cég eltűnik a süllyesztőben, az adataink hova kerülnek? Nem tudjuk. Arra számíthatunk, hogy nem fogják gondosan kezelni a megszűnt cég által tárolt adatokat…

Kedves Olvasó! Megpróbáltad már összeszedni, hogy mit tárolnak rólad és hány helyen? Nekem nehéz lenne egy tuti teljes listát összeállítanom…

Mérő szerint nem a kódok versenyfutásában van a lényeg, nem ezen múlnak a dolgok, hanem az attitűdjeinken, amik nem kiszámíthatók. Meg fog változni, hogy mi zavar minket és mi nem. Szerintem a változás már meg is kezdődött – nézzünk csak körül, hogy mennyi személyes információt teszünk közzé magunkról önként! (Azt jó lenne tudatosítanunk, hogy ezzel milyen veszélyeknek tesszük ki magunkat – mondom én, de mit gondolnak erről a nálam fiatalabb generációk? Én, mindenesetre, folytatom ezt a tudatosítási tevékenységemet. Valami pici haszna csak van…)

Nos, mi van a kockázattal? Megpróbáljuk megérteni, majd mérlegeljük. Meg tudjuk valóban érteni ezeket a kockázatokat? Általában nem tudjuk az IT-biztonsági kockázatokat kezelni, mert nem is vagyunk tisztában velük – merült fel a vita során. Mérő azzal lepett meg minket, hogy nem is kell ismernünk a rendszerek működését (példának olyan mindennapi berendezéseket hozott fel, amiket használunk, pedig nem értjük a működésüket, mint pl.: wc-lehúzó és karburátor).

Makay az autók legújabb kockázatait kapcsolta ide. Az újakban már mindent elektronika vezérel, nincs mechanikus kapcsolat a kormánykerék és a kormánymű között sem. Vajon hogy működnek a szoftverfrissítések? Tudjuk ellenőrizni őket? Tehetünk vírusvédelmet az autóba? Nem, az egy teljesen zárt rendszer, nem tudunk extra védelmet telepíteni – teljesen meg kell bíznunk a gyártóban és a karbantartókban, valamint az informatikai rendszereikben (amik nem feltörhetetlenek).

Hozzászólók feszegették a kritikus rendszerek (pl.: energia és egyéb közművek) biztonságát, valamint az adatainkat tároló állami rendszerek védelmét. Ezeknek a témáknak a részletei nem fértek bele az összejövetel megszabott időkeretébe. Hasonló sorsra jutott a kémkedés „jogának” témája és a „ki őrzi az őrzőt?” kérdés is. Mi van akkor, amikor a szabályok ellentmondanak egymásnak?

Ha mindenki elmondta volna az összes kérdését, és mind megvitattuk volna, még órákig tartott volna az összejövetel. Nem lennék meglepve, ha hamarosan újra terítékre kerülne a biztonság témája…

Megértve a hozzáállás és a mentalitás fontosságát, továbbra is azt gondolom, hogy az odafigyelés is fontos, és érdemes ésszerű védelmi intézkedéseket tennünk. Mi az ésszerű? Ha ezt így egyből meg tudnám mondani, akkor nagyon okos lennék. Inkább csak keresem

Mit gondolsz erről az egészről Kedves Olvasó? Zavar, hogy mindenki gyűjti az adatainkat?

Mi jön a dinók, a vezérigazgatók és a munkahelyi krimi után?

A múlt héten ismét a tanulásról, a munkáról és a játékról írtam. Az indító lökést az adta, hogy olvastam a krimivé feldolgozott unalmas oktatásokról és egy felmérésről, ami a munkahelyi tanulási preferenciáinkat vizsgálta. Nagy örömömre, ott is az együttműködéssel kapcsolt tanulás volt az élen. (Miért látok én mindenütt együttműködési lehetőségeket?)

Az előző hetekben a dinók, a vezérigazgatók és a nagyvállalatok tanulási képességei is terítékre kerültek. Most jön egy kis váltás…

Egy tegnapi esemény helyez most egy kicsit más vágányra: az ITBusiness Club témája a kiberbűnözés volt, és ehhez kapcsolódóan a biztonság, bizalom és a gazdasági eredmény. Számomra nagyon érdekes volt, és ezzel nem voltam egyedül. Igazán pezsgő vita és eszmecsere alakult ki.

Csütörtökön ezzel jövök…

Kalandozások kora?

Rendszeres olvasóim tudják, hogy az együttműködés és azzal kapcsolatban a közösségi eszközök használata, valamint a fiatalokkal való munka foglalkoztat leginkább, főleg ezekről írok, és sok esetben ezeknél lyukadok ki, amikor máshol kezdem. (Akinek kalapácsa van…)

Emellett szoktam írni az informatikai biztonságról, de nem az IT-vezető vagy az IT biztonsági szakember szemszögéből, hanem az „átlagember” számára érthető és hasznos módon. Remélem, sikerül! Nagyon fontosnak tartom, hogy az elmélet művelése és okos implementálása mellett a napi aprópénzre váltás is megtörténjék. Ez utóbbiban igyekszem segíteni.

Úgy döntöttem, hogy a biztonsággal kapcsolatos sok-sok mondanivalómat nem itt a blogomban, hanem egy külön hírlevélben írom le. A biztonság amúgy is olyan téma, amiben sok a napi aktualitás (a közelmúlt felkapott eseménye a hírességek privát fotóinak közzététele volt – ebből is többféle tanulságot lehet levonni).

Így a múlt heti írásom a jelszavakról egy időre az utolsó biztonsági téma itt, a folytatás a hírlevélben lesz. Azt csak „megrendelésre” küldöm, nem akarok senkit se kéretlen levelekkel bosszantani. Itt lehet feliratkozni – ígérem, hogy nem öntök nyakon senkit a sok levéllel, legfeljebb heti egy lesz belőlük. Még egy ígéret: nem adom tovább a neveket és címeket. (Még jó hogy nem!)

Mi várható ezen a héten? Vállalati érték vs. strukturálatlan együttműködés és tudásmegosztás. Nekem tetszik a téma, és még sok mondanivalóm van…

Várlak itt csütörtökön, Kedves Olvasó, és örömmel veszem, ha megrendeled a hírlevelemet is! Holnap jön ki az első száma.

Szolgálati közlemény: a levelező rendszerek nyűgösek szoktak lenni, amikor hírlevelek érkeznek, és első felindulásukban kiselejtezik őket. Ha holnap (szerda) estig nem érkezne meg, akkor valószínűleg beesett a többi szemét (spam) közé. Kérlek, keresd meg ott, és magyarázd el a kézbesítődnek, hogy ezeket meg akarod kapni. Köszönöm!

És még egy közlemény: Holnap, a zártkörű CIO Budapest konferencián beszélek egy más témáról, a tanácsadók hadra fogásáról. Aki jön a konferenciára, ne késsen el, mert az eleje felé leszek.

Jelszó – szakszerű tanácsok vs. a realitás

Mit kezdünk a jelszavainkkal? Nehezen kitalálhatókat választunk? Mennyire és hogyan kell vigyáznunk? Tényleg akkora tragédia, ha megtudja valaki egyiket-másikat?

biztonság, adathalászat

Azt ígértem júniusban, hogy visszatérek a biztonság témájára, és további gyakorlati tanácsokkal is jövök. Nem felejtettem el, most folytatom a témát.  Akkor leírtam egy érdekes, a valóságban megtörtént esetet, amikor valaki (fogadásból) megszerezte egy távoli ismerőse rengeteg személyes adatát – annyit, amennyi már valószínűleg elég lett volna egy banki telefonos ügyintéző félrevezetésére.

Az egy olyan eset volt, amikor konkrétan az adott ember volt a célszemély.  Az „átlagemberek” esetében, ahova magamat is sorolom, ez nagyon ritka. Mi inkább egy-egy szélesebb merítés áldozatai leszünk, mintegy „véletlenül” kerülhetnek fontos és érzékeny adataink illetéktelen kezekbe. Hogyan? A legegyszerűbbet éppen csak megemlítem: mi magunk adjuk ki az adatainkat – és nem is könnyelműségből. Milyen adatokat? Név, cím, telefonszám, email cím – ezeket ráírjuk a névjegykártyánkra, megírjuk email-ben, felhasználjuk a webshopokban és más helyeken való regisztráció során. A júniusban leírt támadás is a célszemély által megadott információkat használta fel.

Kedves Olvasó! Van kedved egy kicsit játszani? Megszámolod, hogy hány helyen adtál meg legalább hármat ezekből az adatokból: név, cím, telefonszám, email cím? (Ha külön, csak arra a regisztrációra hoztál létre egy új email címet, és azt másra nem használod, azt ne számold bele. Ha viszont a nevedet, címedet és a telefonszámodat is megadtad mellé, akkor az már három adat, és így számít.)

Nekem nagyon sok jött össze, jóval 50 felett – főleg azért, mert részt veszek konferenciákon és sok helyről vásárolok az interneten.

Az első dolog, amivel szembesültem a feladat végrehajtása során, az volt, hogy elő tudom-e állítani a komplett, hiánytalan listát. Nem vagyok 100%-ig biztos abban, hogy a lista teljes, bár van egy hely, ahol a regisztrációval kapcsolatos leveleimet gyűjtöm. Aki nem gyűjti alaposan, könnyedén elfelejthet párat, amikkel nincs rendszeresen dolga, vagy már évek óta nem használta.

Kedves Olvasó! Vajon tudod mindazokat a helyeket, ahol megadtad az adataidat?

Miért javasoltam ezt a gyűjtögetést? Mindannyiunknak van sok-sok fiókunk, account-unk, online személyiségünk, és ezekre igyekszünk vigyázni. Ebben segítenek is minket tanácsokkal, leginkább a jelszavak kezelésében. Biztos mindenki hallotta már elégszer ezeket:

  • a jelszó legyen hosszú (legalább 15 karakteres) és bonyolult (betűk, számok, jelek), ne lehessen könnyen kitalálni (ne legyen értelmes szó vagy mondat, még a triviális helyettesítésekkel sem, pl.: nulla az „o” betű helyett, @ az „a” betű helyett);
  • mindenhol más jelszót használjunk;
  • gyakran cseréljük a jelszavakat (vannak, akik három hónapot javasolnak, mások szerint havonta kell változtatni);
  • ha a fenti tanácsokat betartjuk, akkor reménytelen az összes jelszó megjegyzése, ezért tároljuk őket biztos helyen leírva (pl.: egy jelszóval védett file-ban, vagy erre szolgáló programban).

A legtöbb IT biztonsági tanácsadótól lehet ezeket hallani, olvasni. Hadd mondjam el én is a véleményemet! Ezek elméleti, tudományos alapon megalkotott tanácsok, és ilyen szempontból jók is. Mégsem szeretem azt, amikor ilyen tanácsokat kapnak az emberek. Miért? Szerintem, ezek nem praktikusak és nem a lényegre koncentrálnak.

Miért nem praktikusak ezek a tanácsok? Gondoljuk el, hogy az összes helyre más és más jelszavunk van! Hány jelszó lesz ez, 20, 30, 50, vagy több? Ki fogja azokat mind megjegyezni – sőt azt is, hogy melyik hova tartozik? Adjuk hozzá a gyakori változtatást is, és akkor már elég reménytelen a helyzet. Nem tudom, ki hogy van ezzel, de számomra reménytelen feladat sok és gyakran változó bonyolult jelsorozat megjegyzése. Szóval: fel kell írni. Ok, rendben, hova és hogyan? Nem csak otthon van rájuk szükségem, tehát olyan helyre írom, ami mindig nálam van. Sőt, nem csak egy helyre, mert biztosan nem akarom elveszíteni a listát. Ha több helyre írom fel, vajon nem fogom elfelejteni mindnek a frissítését minden változtatáskor? Jobb lesz egy olyan megoldás, amivel a több helyet szinkronban is tudom tartani! Szóval, végül beírom egy Google dokumentumba, vagy valami hasonlóba. Esetleg beszerzek egy jelszó tároló programot, amit el tudok érni akár a telefonomról is. Hol tartunk most? Van egy nehezen karbantartható listánk, ezt nagyon biztonságosan tároljuk, szuper biztos, gyakran változtatott jelszava van. Na, ezt nagyon nem akarjuk elfelejteni! Hova írjuk fel? Hogy védjük azt a helyet? Nem tudom, ki hogy van vele, de ez nekem iszonyúan bonyolult – kétlem, hogy az átlagember számára követhető és kezelhető. Mi az eredménye? Feladjuk! Megértjük, hogy a jelszavak biztonsága ésszerű erőfeszítéssel megvalósíthatatlan – így nem is érdemes törnünk magunkat… El is ment a kedvem az egésztől!

De nem ez az egyetlen bajom az extrém jelszóvédelmi tanácsokkal. Mi a másik bajom? Nem a lényegre koncentrálnak! Nem az a lényeg, hogy az összes jelszavunk mindenki számára megszerezhetetlen és megfejthetetlen legyen. A lényeg az, hogy a fontos dolgainkhoz ne férjenek hozzá illetéktelenek. Ez nem ugyanaz! Sőt, még az sem ugyanaz, ha szűkítem a jelszavakkal kapcsolatos feladatot a fontos helyekre. Ott sem az a célom, hogy a jelszavamat ne tudják meg, hanem az adataim, az email fiókom, stb. biztonsága foglalkoztat. Mi itt a különbség???

Kétfaktoros azonosítás – mond ez valamit? Bankok már régen használják, amikor egy átutalás jóváhagyásához még egy további kódot kérnek, amit vagy egy kis ketyere (token) ad, vagy sms-ben küldik el. Jó hírem van: ilyen megoldást már majdnem minden komoly szolgáltató használ (pl.: Google, Microsoft, Facebook, Evernote, Twitter, Apple – de nem minden országban). Hogy működik ez? A bejelentkezéshez nem elég az azonosító és a jelszó, hanem kell még egy kód, amit általában sms-ben kapok meg. Ezt nagyon nehéz kijátszania egy támadónak – lényegében lehetetlen. Nem elég megtudnia a jelszavamat, még a kódot is meg kell szereznie. Van ennek a módszernek egy további eredménye: ha valaki megtudta a jelszavamat, azonnal kapok egy sms-t!

Na, most hagyom abba, mert félek, hogy kezdek bonyolult lenni. A maihoz hasonló hosszú fejtegetések és magyarázatok helyett szeretnék egyszerű, tömör, néhány mondatos gyakorlati tanácsokat adni, amiket az „átlagember” (például én is) jól tud hasznosítani. Ezeket email-ben küldöm el azoknak, akiket érdekel. Itt lehet feliratkozni: Kerékfy Pál hírlevele

Úgy gondolom, hogy ez fontos téma, és szeretnék minél több embernek segíteni a konkrét tanácsaimmal.

Kedves Olvasó! Ha érdekel, kérlek, itt jelezd: feliratkozás

Néhány várható téma:

  • Milyen a jó jelszó? Miért?
  • Hogyan szerzik meg a rossz fiúk a jelszavainkat? (Nem a vállunk fölött lesve, és nem is találgatással!)
  • Kire bízhatjuk rá a jelszavainkat? És miért nem?
  • Mikor gyanakodjunk a szolgáltatóra?
  • A kétfaktoros azonosítás használata.

Szívesen veszem a javaslatokat további témákra:

Veszélyes változások, kockázatos lépések?

A változások jönnek, akár akarjuk, akár nem, és manapság sokan érzik úgy, hogy az emberi viselkedés (az új technológiák hatására) túl gyorsan és drámaian változik.

Gond ez otthon, a családban a gyerekekkel, az iskolában, és a munkahelyen is a fiatal dolgozókkal való kapcsolatban. Ehhez jön még az, hogy a vevőink is megváltoznak – nem csak az újak, a fiatalok mások, mint a korábbi generációk, de még az idősebbek is új szokásokat vesznek fel, új igényeik vannak. Nem átallanak az interneten utánanézni a dolgainknak, kikérik ismerősök és ismeretlenek véleményét, hagyják magukat befolyásolni… Milyen idők járnak! 😦

Ellenségünk vagy szövetségesünk az új technológia? Ellenünk vagy velünk vannak a megváltozott viselkedésű emberek, diákok, dolgozók, vevők? Mitől függ ez? Vagy inkább kitől? Tőlünk magunktól!

Használjuk az új lehetőségeket a saját javunkra, vonjuk be az együttműködésbe azokat, akik az új, friss levegőt hozzák! Lehetséges? Igen! Hogyan? Erről írok már mióta… A múlt héten éppen “Fantazmagória vagy valóság?” címmel.

A változások mindig újfajta kockázatokat is teremtenek, és fel kell adnunk valamennyit a biztonságukból. Anélkül nem megy! Az, persze, rajtunk is múlik, hogy mekkora a veszély, mennyit veszítünk a biztonságból és milyen területen.

Holnapután – folytatva a korábban elkezdett internetes biztonság és adathalászat témáját – belefogok a jelszavak cseppet sem egyszerű témájába. Az a célom, hogy eloszlassak néhány tévhitet, és egyszerű tanácsokat adjak az “átlagembernek”. Tervezem egy hírlevél beindítását is – ebben röviden fogok egy-egy konkrét, gyakorlati kérdésről írni. A csütörtöki írásomban lesz feliratkozási lehetőség.

Kedves Olvasó! Várlak holnapután! Addig esetleg elolvashatod az előző biztonsági cikkemet, és megírhatod, hogy miről szeretnél olvasni a hírlevelemben.

Biztonság, mobil, főiskola

Két hete írtam az infrastruktúramenedzsment órák tapasztalatairól és a további terveimről. Ma a mobil biztonság tantárgy lesz a téma. Ebből is tanítottam nappali és levelező tagozaton is, a két csoport létszáma hasonló volt (31, illetve 24 fő), de a levelezős órák korai időpontban voltak, így közülük többen nem, vagy csak alig tudtak eljönni a munkahelyi elfoglaltságaik miatt.

phone-chain

A féléves jegyekben itt nem volt különbség a két csoport között, egyformán 3,5 lett az átlag. Ez nem volt kötelező tárgy senkinek sem, és így főleg olyanok vették fel, akiket valóban érdekelt, ezért az “érdektelenség faktor” (kevés kivételtől eltekintve) nem játszott be. A levelezőn hátrányt jelentett az, hogy sok órát mulasztottak.

A felmérésre itt is nagyobb arányban válaszoltak a levelező hallgatók, és ők találták hasznosabbnak és érdekesebbnek az órákat, és ők írtak jobb házi dolgozatokat. Lehet, hogy nekik jobban kapcsolódott a téma a már meglévő ismereteikhez, és így jobban megérintette őket.

A kérdőívek összegzése: levelező és nappali

Annak nagyon örültem, hogy mindkét tagozaton néhány hallgató (12% és 21%) többet kapott, mint amit várt. Ezt mindig jó olvasni! Sajnos a nappalin volt három hallgató, akiknek csak félig valósult meg a várakozása, ők több gyakorlati ismeretet szerettek volna kapni. Közülük ketten igazából valami más tárgyat szerettek volna tanulni, és a megosztott anyagokat sem találták valami hasznosnak.

A házi dolgozatokat olvasva, meglepett, hogy a téma iránt érdeklődők egy részének is ugyanazok a tévképzetei vannak a biztonság egyes kérdéseiben, mint amiket a nagyvilágban tapasztalok. Ez az egyik oka annak az elhatározásomnak, hogy írok erről a témáról.

A nagy összkép (mobil stratégia, szabályzatok, oktatás, műszaki megoldások, MDM és társai) mellett összegyűjtöttem sok valódi incidenst és problémát. Ezekkel jól be tudtam mutatni, hogy mi minden történik nap mint nap a világban. (Az egyik ilyenről írtam a múlt héten.) Elmeséltem más érdekes és tanulságos eseteket is, például a Forbes és az AP (Associated Press) Twitter fiókjának megszerzését, amiket álhírek terjesztésére használtak fel. Ezeknek végül nem volt súlyos következményük, mert igazából csak erőfitogtatás és fenyegetés volt a támadók (a Syrian Electronic Army) célja. Az egyik ilyen álhír arról szólt, hogy robbanás volt a Fehér Házban és Obama elnök megsérült. Ettől kb. 200 milliárd dollárral esett a tőzsdeindex arra a néhány percre, amíg a cáfolat meg nem érkezett. Ha egyszerre több hírügynökséget tudnának pontosan időzítve elfoglalni, akkor egy ilyen akcióval akár keresni is lehetne rengeteg pénzt. (De itt nem ez volt a cél.)

Mindkét említett támadás alapja az adathalászat (phishing) volt, amiről a múlt héten írtam. Emellett kihasználták a megtámadott cégek gyenge IT biztonságát is. (Néhány jól kitalált és precízen betartott szabály útját állta volna ezeknek a támadásoknak!) Az ilyen támadásokhoz általában elég egy gyenge láncszem (jobbára egy kis emberi figyelmetlenség), és utána már csak jönnek, jönnek a lépések egymás után. Itt is alkalmazható Archimédesz mondása: „Adjatok egy szilárd pontot, és kiforgatom sarkaiból a világot!”.

Az incidensek keresése és feldolgozása nagyon érdekessé tette az órákra való felkészülést. És, persze, többszöröse volt a készülés ideje az előadásénak. Ez valószínűleg hasonló lesz a következő félévben is, hiszen akkor is lesznek új incidensek.

A keresésben segítettek a Cisco konferenciák és a LinkedIn-en megosztott friss hírek is. Volt alkalmam az IVSZ és a Gartner által szervezett biztonsági eseményre is eljutni, és ott sok érdekes információt gyűjtöttem össze az IT biztonság helyzetéről, és főleg a várakozásokról. Így arról is frissiben értesülhettek a hallgatók, hogy merre megy a világ ezen a területen. Újdonság volt számomra is az „Identity as a Service” (IDaaS), ami várhatóan egyre inkább tért nyer a nagyvállalati körben, egymás közötti és belső felhasználásra is. (Egyes más körökben a terjedése valójában már el is kezdődött egy jó ideje. Ez történik, például, amikor a Facebook azonosítóval jelentkezünk be egy internetes áruházba.)

Nem maradtak ki az új felhasználó igények sem – ezek meghatározzák a fejlesztési irányokat, és a vállalati belső rendszerek sem tudják függetleníteni magukat. Feldolgoztam több felmérés és kutatás eredményeit. Ezek nem elsősorban a technikai részletekkel foglalkoztak, hanem stratégiával, fejlődési irányokkal. Még a „Mobile Backend as a Service” (azaz MBaaS) is téma volt. Ez a mobilra való fejlesztés eszköze lehet, és különösen jól tudja segíteni a minőséget és a biztonságot (amit, BTW, bele kell tervezni a szoftverbe, nem utólag köré építeni).

Remélem, hogy a „kötelező” anyagon felül is tudtam nekik valami hasznosat adni! Ezt jobbára megerősítette a hallgatók véleménye, tetszettek nekik a friss információk és a gyakorlatban előfordult esetek.

Hogyan tervezem a következő félévet?

  • Ennél a tárgynál is bevezetem az órai feladatokat, amikkel a jegybe beszámító pontokat lehet majd szerezni. Nem a látogatottság növelése a célom (ellentétben az infrastruktúra tárggyal), hanem az aktívan érdeklődő hallgatóknak könnyebbé akarom tenni a jó jegy megszerzését.
  • Megmaradnak a valóságból vett példák (persze, újakkal), sőt megpróbálok még többet megmutatni. A nappalin ez viszonylag könnyen belefér az időbe.
  • A levelezőn az elméleti részt majd tömörítem, így jut idő több eset megbeszélésére.
  • Igyekszem több gyakorlati ismeretet bepréselni az időbe, mert ezt kevesellték (21% és 29%). Azt még nem tudom, hogy tényleges szoftveres gyakorlat lesz-e. Ezt is javasolta egy hallgató.
  • Szeretném bevonni a hallgatókat online együttműködésbe. Ez természetes azoknak, akik már használnak egy-két közösségi fórumot – nem lesz nehéz, ha sikerül az érdeklődésüket felkeltenem. Na, ez a feladat! Még nincs meg a pontos terv, ennek a kitalálása az egyik programom a nyárra.

Várom minden olvasóm hozzászólását és tanácsait.

Kedves Hallgatók! Örömmel veszek minden hozzászólást, kiegészítést, további javaslatot!

Kedves Oktatók! Örülnék minden jó tanácsnak és javaslatnak!

Halászgatunk? Horogra akadunk?

Itt a nyár, ugye mindenki észrevette már? Most kicsit hűvösebb, de így is tökéletes a vízparti pihenésre, időtöltésre – közte a horgászatra. Nos: nem a horgászatról fogok írni, pontosabban: nem arról a formájáról, amihez horgászbot, csali, víz és hal kell.

yay-4852596

Ismerős az „adathalászat” (angolul phishing) kifejezés? Tömören megfogalmazva, arról van szó, hogy kisebb-nagyobb átverések és megtévesztések útján a rossz fiúk megszerzik fontos adatainkat. Ezt nem kíváncsiságból teszik, hanem haszonszerzés reményében. Többnyire a bankszámlánkhoz igyekeznek hozzáférni.

Ha mélyebben érdekel, javaslom az angol nyelvű Wikipédia cikk elolvasását (a magyar nyelvű hiányos és pontatlan). Az angol viszont nagyon szakszerű, hosszú és nehezen olvasható.

Miről akarok írni? Az adathalászatról, az ellene való védekezésről – kifejezetten nem szakembereknek. Remélem, sikerül, mert szerintem fontos a téma és kevés a közérthető információ.

Kezdjük egy nagyon rövid összefoglalóval arról, hogy mi is történik, hogyan halásszák az adatainkat. A tipikus és triviális módszer egy email, ami hasonlít egy bank, biztosító, üzlet vagy hatóság leveléhez, van benne egy-két link, de azok nem az eredeti helyre visznek el, hanem egy ahhoz hasonlóra. Ott, azután, adatokat kérnek, pl.: jelszót, számlaszámot. Ez ellen a legegyszerűbb védekezés az, ha nem klikkelünk semmire, ami levélben jött. Írjuk be szépen a bank, a biztosító, stb. weblapjának a címét! Apró kényelmetlenség, de megéri.

Adathalászat lehet a háttérben akkor is, amikor nagyszerű és érdekes képeket és videókat ajánlanak, és csak egy FB like-ot kérnek cserébe. Hipp-hopp, máris tudnak rólam egy keveset, és indulhatnak további adatokért. A legtöbb esetben nem csak a like kell, hanem még kattintani kell egyet a lejátszásért. Na, akkor fut le valami a gépemen. Ó, biztos nincs benne semmi rossz, csak egy kis adatgyűjtés. Sose tudjuk meg, hogy mire és hogyan használták fel! A legtöbb esetben tényleg csak marketing céljára kell, vagy egyszerűen eladják. Minden személyes adat pénzt ér!

Nemrégiben olvastam egy érdekes esetről, amiben az adatgyűjtés több módszere jelent meg. A teljes leírás (hosszú és angolul van) a ZDNet-en található. Leírom tömörítve, mert érdekes és tanulságos.

Két brit, akik az USA-ban élnek és felületesen ismerik egymást fogadott (hiszen britek). Az egyiknek hozzá kellett jutnia a másik bankszámlájához. Mit tudott kiindulásul? A keresztnevét, a cégcsoportot, ahol dolgozik és az államot, ahol él. Nem valami sok, de gyorsan több lett. Hogyan?

  • A szokásos indulás: Google keresés. Eredménye: a LinkedIn profilja, ebből meglett a vezetékneve, munkahelye, a beosztása, sok egyéb adata és a Twitter profilja.
  • Twitter nézelődés: itt helyeket keresett, hogy megtudja a címét. A célszemély sokat utazott, fényképezett, a feltöltött fényképekben ott volt a GPS információ. Végül talált egyet abból az államból, ahol lakik, és ez éppen a háza volt. Google segítségével meglett a pontos címe, sőt egy utcaképen a bejárati ajtó is látszott.
  • Ez eddig fél óra volt, és már lehetett is sokkolni az illetőt a pontos címével és az ajtaja színével.
  • Egy kis további keresgélés után, amiben a Twitter mellett a Facebook is segített (sok információ nyilvános volt), megvolt a felesége és a gyereke neve, a saját születésnapja és a gyereküké, a házassági évfordulójuk napja. Ezek hasznos adatok lehetnek, hiszen előfordulhatnak a telefonos banki azonosítás kérdései között.
  • Kellett még a születési éve, ezt háromórányi próbálgatással megszerezte, mert a személyes email címe a keresztneve + a vezetéknév első betűje + az év utolsó két számjegye volt. Csak találgatni kellett… Na, meg kellett hozzá az, hogy a Facebooktól megtudja az email cím hosszát és pár betűjét.
  • Ha már megvolt a gmail címe, bejutott a postafiókjába is, mert az ellenőrző kérdésre korábban megszerezte a választ a sok személyes adat között.
  • Következő célpont: telefonszám. Hogyan? Na, itt jött egy kis klasszikus adathalászat. Létrehozott egy jól hangzó email címet, és ajánlatkérő levelet írt a céges email címére. Hamarosan kapott is választ, és a levél végén ott volt az áldozat mobil száma is (ezt tipikusan beleírjuk a szabványos céges aláírásunkba).

Hol tartunk most? Teljes neve, születési dátuma, feleség és gyerek neve, gyerek születésnapja, házassági évforduló, pontos lakcím, céges és személyes email, Facebook és Google adatok tömkelege, munkahelyi adatok a LinkedIn-ről, telefonszám. Ez már könnyen elég lehet egy telefonos banki ügyintézővel való beszélgetés során.

Ezen a ponton beszélték meg, hogy abbahagyja.

Tegyük hozzá, hogy nem hacker, nem IT biztonsági szakember, hanem egy IT-s újságíró volt a „tettes”, és nem használt semmilyen különleges eszközt, újságírói információs csatornáit sem. Egyszerűen csak keresgélt, próbálgatott, gondolkozott, kombinált és írt egy megtévesztő levelet. Azok, akik ebből élnek, sokkal gyorsabban és sokkal több adatot tudnak begyűjteni.

A történetből látszik, hogy a célszemélynek nagyon fontos szerepe van egy ilyen adatgyűjtésben, és egy-két apró kis figyelmetlenség is sikerre segítheti a célzott támadást. Ne gondoljuk azt, hogy reménytelen a helyzetünk! Nem kell nagy trükköket bevetni annak érdekében, hogy az itt leírt módszerek ne működjenek!

Megnyugtatásul: ritka a célzott támadás, általában csak „halászgatnak” a nagyvilágban, és igyekeznek sok halat fogni. Az ilyen halászok ellen viszonylag jól lehet védekezni. Azt nem állítom, hogy a teljes védelem lehetséges, de sokat tehetünk a saját érdekünkben.

Folytatom majd egyszerűen követhető tanácsokkal…

Addig is: érdekel, hogy mi foglalkoztat a saját informatikai biztonságoddal kapcsolatban, Kedves Olvasó!