A járvány kitörésekor a szervezetek az alapműködés biztosítására összpontosított, ezért a biztonság a háttérbe szorult, ám ennek nagyon komoly következményei lehetnek még ma is – jelentette ki megkeresésünkre Rózsa Roland, a 4iG it-biztonsági stratégiai tanácsadója, akit az it-biztonsági helyzetről kérdeztünk.
— A járvány miatt rengeteg szervezet állt át távmunkára. Tapasztalata szerint mennyire vették komolyan a megnövekedett biztonsági kihívásokat ezek a szervetek?
– A felhasználók megnövekedett idejű távmunkája komoly it-biztonsági gondokat okozhat. Növekszik a szervezetek támadási felülete, hiszen többszörösére nőtt a távoli elérések száma és a felhasználók is könnyebben kattintanak a járvánnyal kapcsolatos e-mailekben rejtőző károkozót tartalmazó állományokra. Úgy érzem ezekkel a problémákkal nagyon keveset foglalkoztak a szervezetek, mivel a járvány kitörésekor mindenki az alapműködés biztosítására összpontosított, amiért a biztonság a háttérbe szorult. Ennek nagyon komoly következményei lehetnek még ma is. Fokozta a bajt, hogy a szervezetek katasztrófaelhárítási terveiben a legritkább esetben esik szó az ilyen pandémiás helyzetben előálló teendőkről. Az üzleti folyamatok nem voltak, és sok helyütt még ma sincsenek felkészítve arra, hogy hogyan üzemeljen a szervezet, ha a munkavállalók jelentős része megbetegszik, és az egészségesek nagy része is csak otthon tud dolgozni. Ha egy száz fős cégnél megbetegszik egy–két dolgozó, az nem okozhat komoly gondot, de tíz fő kiesésére már fel kell készülni, hogy az üzletmenetben ne legyenek fennakadások. Tehát azt gondolom, hogy a távmunkának is vannak biztonsági kihívásai, és a járványhelyzet is okoz sajátos problémákat, amikre fel kell készülni. Nagyon fontos lenne, hogy a vállalatok, a különféle szervezetek minél előbb befoltoznák a biztonsági hiányosságaikat, mert a támadók nem válogatnak, mindenki a célkeresztjükben van.
— Mi lehet e cégek számára a megoldás?
– Segítséget kell kérni. A mai munkaerőpiaci helyzetben nem reális az, hogy bizonyos cégméret alatt dedikált it-biztonsági szakembert alkalmazzanak. Azt is látni kell, hogy ez a terület az általános it-üzemeltetésnek nem része. Ahogy egy általános orvos nem végez agyműtétet, ugyanúgy egy szívsebész sem fog csípőprotézist beültetni. A rendszergazdától sem várható el, hogy megtervezzen, implementáljon és üzemeltessen egy it-biztonsági rendszert. Szerencsére ma már rengeteg társaság kínál menedzselt it-biztonsági szolgáltatást. Sajnos még mindig sok vezető úgy hiszi, hogy ha vásárolnak egy vagy több it-biztonsági terméket, akkor a problémát megoldották. Pedig nem, ezeket felügyelni, üzemeltetni és karbantartani is kell!
— Nemrégiben jelentették be az it-biztonsággal foglalkozó TR Consult Kft. felvásárlását. Mi indokolta ezt a lépést?
– A TR Consultnak van egy kiterjedt, kompetenciáinkat részben átfedő portfóliója, ami jól kiegészíti a 4iG-ét. Tapasztalt szakemberekkel nyújtanak szolgáltatásokat, ami jelentős segítséget jelent az e téren egyre növekvő igények kielégítésében, és a korábban kevésbé hangsúlyos területeken is tudjuk hasznosítani a társaságnál felhalmozott tudást.
— A sztenderd rendszerekre léteznek sztenderd biztonsági megoldások. Hogyan lehet az egyedi fejlesztésű rendszerek biztonságát szavatolni?
– Az egyedi rendszerek biztonsága egy érzékeny kérdés, mert ideális esetben ezek fejlesztésének kezdetekor, a rendszer tervezésekor figyelembe kell, kellene venni a biztonsági kérdéseket. Már ekkor meg kell fogalmazni azokat, az ügyfél, az általános iparági szabványokon, és a törvényi elvárásokon túlmutató biztonsági követelményeket, és ezek alapján kell a rendszert kifejleszteni. Mindezen túl ezeknek a követelményeknek a megvalósulását folyamatosan ellenőrizni, auditálni kell. Gondoskodni kell a platform, a hardver, az operációs rendszer és a szoftver komponenseinek biztonságáról is. Mindebben irányt mutatnak a 2013-as Információbiztonsági törvény paragrafusai, a NIST szabványai, és az ISO követelmények. A 4iG egyik specialitása, hogy nálunk az egyedi programok fejlesztése e szabályok betű szerinti betartásával készülnek.
– Egy nem önöknél fejlesztetett egyedi szoftver biztonságos üzemeltetését is el tudják vállalni?
– Természetese el tudjuk vállalni. Ilyen esetben mindig az a kérdés, hogy az adott rendszer mennyire biztonságossá lett fejlesztve. Nyilván az az első lépés, hogy leteszteljük a rendszer biztonságát, erre egyébként számos más társaság is képes, de mi meg tudjuk vizsgálni a kódminőséget, tudunk sérülékenységi vizsgálatot készíteni, képesek vagyunk egy megfelelőségi auditot elvégezni, hogy e követelményeknek mennyire felel meg a rendszer, majd az esetleges hiányosságokat képesek vagyunk elhárítani.
— Néhány éve még komoly viták voltak a felhőtárhelyek biztonságosságáról, de mára elhalkultak ezek a polémiák. Tényleg ennyire biztonságossá váltak a felhőtárhelyek?
– A felhőszolgáltatások annyira biztonságosak, amennyire a felhasználó annak építi ki. A nagy felhőszolgáltatók megoldásai biztonságossá tehetők, mind a tárolt adat, mind az adatátvitel tekintetében. A megfelelően erős titkosítással és a pontosan meghatározott jogosultságkezeléssel elejét lehet venni az adatszivárgásoknak. Azt azonban látni kell, hogy a felhőszolgáltató és a szolgáltatást igénybe vevő között mindig van egy pontosan definiált részletes felelősségmegosztás a biztonsággal kapcsolatban.
–– A GDPR kapcsán számos esetben problémát okoz annak meghatározása, hogy mely adatok tartoznak a hatálya alá. Van erre a problémára megoldás?
– Az adatklasszifikáció a megoldás, amivel -úgy érzem- egy kicsit keveset foglalkozik a szakma. Az adatklasszifikáció eredménye határozza meg például -és ez kapcsolódik az előbbi kérdéshez-, hogy milyen adatot lehet, és milyet nem lehet a felhőben tárolni, illetve saját rendszerünkben milyen intézkedések szükségesek azok védelmére. A GDPR előírásai és az adatklasszifikáció együttesen egy komplex képet alkot. A GDPR nem azt mondja ki, hogy személyes adatot nem szabad tárolni, hanem nagyon pontosan meghatározza, hogy milyen célból, milyen típusú információkat lehet tárolni. A megoldás már az adattárolás megtervezésének, az adatgyűjtés megszervezésének a megfelelőségi szempontok figyelembevételével történő indítása. Fel kell tenni a kérdést, hogy az adatokhoz való hozzáférést hogyan tudjuk monitorozni-auditálni, de azt is, hogy a végleges törlési kérések hogyan teljesíthetőek.
(Cikkünk nyomtatásban a 2020 februárban megjelent Biztonságpiac 2020 Évkönyvben jelent meg.)
