Ellenség látótávolságon belül

Az IT-biztonság messze nem a rendszerek sebezhetőségét csökkentő szoftver- és hardvereszközöket jelenti. Sokkal inkább stratégiai gondolkodást, amely átgondolt és megalapozott döntések sorozata, lefektetett és rendszeresen felülvizsgált, következetesen betartatott szabályok összessége. Persze a megvalósítás kellékei között találunk hardver- és szoftvereszközöket is. Az IT-biztonsággal foglalkozó szereplők ennek megfelelően egyrészt bizonyos termék- és szolgáltatási területekre szakosodtak, és egyre újabb szolgáltatásokkal jelennek meg a piacon; másrészt igyekeznek kínálatukkal minél inkább lefedni az igényeket.

De mik ezek az igények, s hol, hogyan elégíthetők ki? Hol tartanak a szervezetek, vállalatok és közintézmények biztonsági igényei, s hol az egyre szélesedő magánfelhasználói kör?
A válaszokhoz professzionális segítséget vettünk igénybe. A kiinduláshoz azt kell alapul vennünk, hogy a „digitális életmód” rohamos elterjedésével össztársadalmi üggyé nőtte ki magát az informatika biztonsága: talán ez lehetne a központi gondolata mindannak, amit a BellResearch által készített, idei Magyar Infokommunikációs Jelentésből kiolvashatunk. A kérdést persze úgy tettük fel: az internethasználat terjedésének közepette vajon ma nagyobb biztonságban vannak-e adataink, információink, pénzünk, mint, mondjuk, 5–10 évvel ezelőtt? Mit mondanak erről a kutatási adatok?

Kézzelfogható biztonság
„Az egyik dimenzió azt a »digitális csatateret« jelenti, ahol az egyre kifinomultabb védelmi eszközök igyekeznek versenyt futni a mind összetettebb és sokrétűbb fenyegetésekkel – kezdte a kifejtést Virágh Miklós, a cég vezető kutatója. – Ezzel kapcsolatban az utóbbi években idehaza is kétségtelenül kimutatható az IT-biztonságra (ITB) való törekvés erősödése. Ezt a felhasználói oldalon, legyenek azok vállalati vagy lakossági felhasználók, az ITB-eszközök elterjedtségének növelésében érhetjük tetten. Bár ezen a téren is bőven akad még tennivaló, hiszen csak a legelemibb biztonsági eszközök (antivírus-megoldások és tűzfalak) tekinthetők igazán széles körben elterjedtnek, ráadásul a vonatkozó minőségi mutatók nehezen mérhetők. A meglévő eszközök megfelelő használata, a pontos konfigurálás és a rendszeres frissítések megléte vagy épp hiánya nem látszik az adatokból.”

A biztonsági megoldások iránti, tagadhatatlanul bővülő keresletet ugyanis – mint azt a Cisco egyik összesítésében olvashatjuk – a mind komolyabbá váló és megnövekedett számú támadások hajtják. Napjainkban már nemcsak a malware-ek, trójaiak, vírusok, férgek, kéretlen levelek és célzott támadások jelentenek biztonsági kockázatot, hanem a fejlődés maga is: a mobileszközök például a kockázatok új területe. Az IDC felmérése szerint a megkérdezett vállalatok 45 százalékánál évente több mint 1000 támadási kísérlettől kellett megvédeni az informatikai rendszereket.

A BellResearch mint piackutató cég alapvetően a piaci helyzetet elemzi, s azokból von le következtetéseket. Így érdemes megnézni az IT-biztonsági eszközök elterjedtségét. Ebből utalásokat láthatunk arra vonatkozóan is, hogy milyen szinten védik a cégek, vállalatok és közszolgáltatók digitális információinkat. A legelterjedtebb, szinte már általánosnak mondható a vírusvédelmi megoldások, antivírus szoftverek alkalmazása – elterjedtségük 98 százalék körül jár. Nyilván azért lehet így, mert az ezzel kapcsolatos fenyegetettség a legkézzelfoghatóbb. Általánosnak nevezhető a tűzfalmegoldások használata is, bár ezek elterjedtsége alig haladja meg a 80 százalékot. A levélszemét szűrését 70, a jelszóalapú azonosítást már csak 60 százalékban alkalmazzák. Fejlettebb behatolás érzékelése mintegy 20, URL-szűrése pedig mintegy16-17 százaléknak van.

Óvatos szemlélet
Persze rövidlátás volna az IT-biztonságtudatosságot kizárólag annak eszközoldali lenyomata alapján vizsgálni – tette a fentiekhez még hozzá Virágh Miklós. Ez sokkal inkább egy szemlélet, egy gondolkodásmód, amelynek megvalósítása, konkrét megjelenési formája tetten érhető eszközökben, igénybe vett szolgáltatásokban, de legalább annyira lényeges mutató a vonatkozó szabályozások, így az írásba foglalt IT-biztonsági stratégia, házirend, a katasztrófaelhárítási terv megléte vagy épp hiánya. Ezen a téren még gyakran a kötelezően (értsd: jogszabály által elrendelt) előírt lépéseket sem teszik meg az érintettek – és akkor még nem is beszéltünk a minőségbeli különbségekről.

Tehát az IT-biztonsági megoldások gyakorlatából levonhatjuk azt a következtetést, hogy a kép alapvetően kedvezőtlen. A hazai gazdálkodószervezetek többsége csak a legelemibb biztonsági eszközökkel rendelkezik, sőt az 1–9 fős mikrovállalatok (ebben a szegmensben átlagosan 2,5 számítógépet találunk) közel tizede a vizsgálat szerint semmilyen biztonsági megoldást nem használ rendszerei védelmére. Talán a hazai valóságot leginkább a kizárólag eszközszintű, eszközalapú védelem kifejezéssel jellemezhetjük.

Mindezek mögött természetesen a vállalatok anyagi helyzetét kell látnunk. Az IT-biztonság növelése érdekében ugyan mind többet tesznek a piaci szereplők, ám az átlagos kiadás éves mértéke mind nominálisan, mind az egy PC-re vetített összegeket tekintve rendkívül alacsonynak mondható. A legfrissebb adatok szerint a 12 milliárd forintos teljes piacméret ellenére az egy vállalatra jutó éves átlagos költés nem éri el a 60 ezer forintot, számítógépenként pedig alig tízezer forint. Ez még azt tekintve is alacsony, hogy nem minden cég tudja elkülönítve kimutatni idevágó kiadásait, illetve hogy számos ingyenesen használható szoftvereszköz is hozzáférhető a célcsoport számára.

Az egyes célcsoportok nettó kiadásait vizsgálva az látható, hogy a mikrovállalatok tavaly összességében mintegy 3,3 milliárdot (egyenként kb. 19 ezer forintot), a középvállalatok 2,5 milliárdot (egyenként átlag félmilliót), a nagyvállalatok pedig 3,5 milliárdot (egyenként 3,2 milliót) költöttek különböző biztonsági megoldásokra. A lista összeállításakor megkeresett kínálati oldali szereplők, vagyis a szakemberek véleménye szintén azt tükrözi, hogy a hazai vállalatoknak és intézményeknek még bőven akad behozni való lemaradásuk az IT-biztonság terén.

Szélmalomharc
Virágh Miklós, a BellResearch vezető kutatója azt vélelmezi, hogy 5–10 éves távlatban fenyegetettségnek való kitettségünk is sokszorosára növekedett. A vállalatok egyre több üzleti folyamatukat (köztük számos kritikus üzleti folyamatot is) támogatják IT-megoldásokkal, ami a kétségbevonhatatlan hatékonyságnövekedés mellett – a rendszerektől való függésen keresztül – a kockázatot is növeli. Növelné még akkor is, ha ma csupán ugyanazok a fenyegetések lennének jelen, mint 5 vagy 10 évvel ezelőtt.

A magánfelhasználóknál pedig még látványosabb a változás. Amíg egy évtizeddel ezelőtt Magyarországon nagyítóval kellett keresni az internetezőket, és számítógép is csak a háztartások töredékében volt, addig ma minden második háztartásban van PC, és többségük online háztartás is egyben – állítja a szakember. Ma több digitális fényképezőgépet találunk a háztartásokban, mint hagyományosat, többen töltenek le filmeket az internetről, mint amennyien videotékába járnak. E-mail címe, így személyes levelezése is gyakorlatilag minden internetezőnek van, többségük a közösségi oldalak rendszeres használója. Az internetezők több mint negyede legalább időnként internetes tárhelyre tölti fel az elkészített fotókat, vagy nézi ott meg a barátaiét. Ez rengeteg személyes adatot és olykor pótolhatatlan tartalmakat jelent. A biztonsági szempontból felkapottabb témákról, mint az online bankolás, netán vásárlás vagy az e-ügyintézés még nem is beszéltünk.

Az egyik amerikai nonprofit IT-biztonságtechnológiai szervezet vizsgálata szerint az adatlopások felfutása az elektronikus kereskedelem terjedésének következménye. „Ilyen a természete ennek az üzletágnak. Ahogy egyre több vállalkozás indul, egyre több személyes adat keletkezik, ezért az ellopott adatok száma is tovább emelkedik” – jelentették ki. És ők is azt hangsúlyozzák, hogy a számítógépes bűnözők kezére játszik a vezeték nélküli technológia térhódítása is. A legnagyobb szabású esetek is ehhez kapcsolódnak az elmúlt évekből: az amerikai TJX-diszkontáruházlánc egyik üzletének wificsatlakozási pontján keresztül behatoltak a cég adatbázisába, és letöltötték 94 millió ügyfél különböző adatait, például bankszámla- és hitelkártyaszámokat.

Az adatlopás mellett az emberi mulasztás miatt bekövetkező adatvesztés is soha nem látott méreteket ölt. A leggyakoribb, hogy valaki elveszít egy pendrive-ot vagy laptopot – rajta érzékeny adatokkal. Az Attrition.org éves listáján ott volt például a Gap Divatház, amelynek egy alkalmazottja a céghez munkára jelentkező 800 ezer pályázó összes személyes adatával együtt hagyott el egy laptopot.

Rettegnivalóink számosak
A biztonsági kockázatok egyébként is nagyon sokszínűek. Ezért idén ősszel az informatikai biztonság napján is a cégek feletti összefogást hirdették. Az itt rendezett tanácskozáson biztonságtechnikai szakemberek mutattak rá a hibák sokrétűségére. Így például Gombás László, a Symantec rendszermérnöke elmondta, hogy a feketegazdaságban garázdálkodók már egy dobozos kóla áráért (160 Ft) teljes személyi adatokat vásárolhatnak. A McAfee-től Michael Rudrich a WEB 2.0-s veszélyekkel szembeni kiszolgáltatottságot jelezte. Amikor a felhasználók nagy hányada csatlakozik valamilyen közösségi oldalhoz, a cégeknek ennek veszélyeit is fel kell mérniük, s ha szükséges, adott esetben tenni kell ellenük. Krasznay Csaba a HP-tól pedig „digitális Mohácsot” vizionált, bemutatva azt a katasztrófát, amely a kritikus infrastruktúrák, például a bankok, az áramellátók vagy a mobilkommunikációs cégek rendszereinek támadásában rejlenek. Érdekes álláspontot vázolt dr. Jankó Árpád a KFKI-tól: szerinte a legtöbb támadás, adatvesztés nem egy külső támadás következménye, hanem a belső hanyagságé. Egy szervezet biztonságos és folytonos működése szempontjából a belső munkatársak lényegesen nagyobb fenyegetést jelentenek ugyanis.

Egy közelmúltbeli kutatás arra is rávilágít, hogy az adatok sérülése, elvesztése az esetek 40 százalékában egy harmadik félnél, üzleti partnernél vagy alvállalkozónál történik. Bár a vállalatok sok esetben az adatok sérülését vagy elvesztését külső hatásoktól várják, az elemzés megállapította, hogy ez mindössze az esetek 1 százalékában történik így, 50 százalékban a működés során fellépő problémák, 46 százalékban pedig az alkalmazottak által okozott hibák vezetnek az adatok elvesztéséhez.

„Ma már az eladott számítógépek többsége globálisan notebook, a hordozható eszközök itthon is az állomány egyre nagyobb hányadát teszik ki. A hordozhatóság előtérbe kerülése meglátásunk szerint mindenképp kockázatnövelő tényező” – emelte ki Virágh Miklós. A hordozható PC-k esetében a fizikai biztonság kérdése is jóval kritikusabb, hiszen a relatíve drága eszközök a tolvajok kedvelt célpontjai. A terjedő drót nélküli hálózatok pedig a felhasználói elővigyázatosság és tudatosság kérdését feszegetik. „A fejlődés a fejekben itt láthatóan lassabban ment végbe, mint azt az eszközök terjedése azt indokolta volna” – vélte. A fentieket összegezve: „Úgy véljük, hogy ma a korszerűbb védelmi megoldások ellenére IT-biztonsági kockázatunk magasabb, mint 5–10 éve volt. Ennek oka talán nem is annyira a fenyegetések fokozódásában, mint a megváltozott szokásokban keresendő.”