Internetre alapozott üzleti vállalkozással csak elvétve lehet találkozni – írja vitaindítójában Kőrös Zsolt. Mi lehet ennek az oka? Egyes felmérések szerint az amerikaiak 30 százaléka azért nem használja az internetet pénzgyei, vásárlásai intézésére, mert nem tartják teljesen biztonságosnak.
Olvassa el……korábbi írásainkat:
•Az elektronikus kereskedelem végnapjai
•Mi újság, e-kereskedelem?
•Toy Story – amerikai filmdráma az e-bizalomról
•Adatkezelés az elektronikus kereskedelemben
Mennyire tartja biztonságosnak az on-line banki szolgáltatásokat ma Magyarországon? Mit lehetne tenni, hogy többen használják ezt a szolgáltatást? Hogy áll a magyar piac összehasonlítva az USA-val?
Ismereteim szerint a ma működő szolgáltatások a szolgáltató oldaláról a technikai jelenlegi szintjének megfelelően biztonságosak. Így kockázatot nem látok erről az oldalról. Más kérdés a felhasználó oldala, hogy ő mit tesz a biztonság érdekében, mert akár tetszik, akár nem, a felhasználónak is van felelőssége ezen a téren. A szolgáltatás nagyobb arányú elterjesztésének első akadálya szerintem a ma még alacsony Internet hozzáférési szint. Elsősorban ezen kell javítani, lehetőleg minél előbb.
Mi a biztosíték arra, hogy ha megbíznak egy szakembert egy rendszer biztonságának ellenőrzésével, akkor utána nem éppen az a biztonsági szakember fog “betörni”?
Természetesen biztosíték nincs. Azonban, ha valahol, akkor itt feltétlenül igaz, hogy ilyen dobást csak egyszer csinálhat egy cég, mert többet biztosan nem lesz munkája ezen a területen. Ezt pedig olyan cégek, amelyek hosszú évek óta dolgoznak ezen a piacon, biztosan nem fogják megtenni, mert sokkal többet veszthetnek összességében, mint amit esetleg nyernének egy ilyen akcióval.
A cég munkatársai már érdekesebb kérdés. Ennek vannak jogi oldalai is (megfelelő szankciókat tartalmazó titoktartási nyilatkozat aláíratása), szervezeti oldalai is (minél kevesebb munkatárs legyen akinek olyan átfogó képe alakulhat ki egy vizsgálat alatt, ami egy ilyen betörésre lehetőséget nyújthatna) és emberi oldalai is (lehetőleg csak sok éve a szakmában dolgozó, ellenőrizhető múlttal rendelkező szakembereket javallott alkalmazni). Ennek persze megvan az az oldala is, hogy a működés ilyen feltételek mellet nem igazán olcsó. Amiből következhet az is, hogy ha valahonnan egy feltűnően olcsó ajánlatot kapnak egy biztonságtechnikai munka elvégzésére, ott érdemes a fenti szempontok alapján is egy kicsit körülnézni a megrendelés aláírása előtt.
Igaz, hogy biztonsági szakemberek szándékosan hagynak biztonsági rést, amit csak ők ismernek, hogy később be tudjanak törni, illetve hogy esetleg zsarolni tudják az alkalmazó céget?
Olyanról, hogy cégek kialakítottak biztonsági réseket, már hallottam. Olyanról, hogy ezt egy olyan cég csinálta volna, amely a biztonságtechnikában utazik, még nem. Egy ilyen poént ugyanis csak egyszer lehetne eljátszani, sokkal zártabb az informatikusok világa, semhogy ne értesülne erről pillanatok alatt mindenki. Ezután pedig ez a cég nyugodtan profilt változtathatna, mert ezen a piacon nem kapna több munkát.
Hogyan válasszunk biztonságtechnikai céget? Mire figyeljünk oda? Általában mire kell odafigyelni, ha van egy site, amely egy külső, de saját szerveren fut, és a site-on fontos információk is vannak (például e-mail címek)?
Ez a szolgáltatás a bizalomra épül, s ugyanúgy működik, mint bármi más hasonló szolgáltatás. Így például ilyen egy orvos kiválasztása is. Itt is csak az informális csatornákra lehet építeni, hiszen írni bárki bármit tud magáról, a mérvadó az, hogy ki mit csinált már meg. Ez pedig ebben a szakmában ritkán reklámozható terület. Másik kérdésére válaszolva, én olyan WEB-szervert, amely érzékeny információkat is tartalmaz, nem szívesen üzemeltetnék másoknál, de legalábbis alaposan megnézném, hogy milyen biztonsági szolgáltatásokat ad az illető.
Garantálja majd valaki azt, hogy a digitális aláírás bevezetése után a továbbított dokumentum hiteles, a pénzt az küldte, aki erre jogosult?
A digitális aláírás arra alkalmas, hogy egy dokumentumról el lehet mondani, tényleg az írta alá, aki ezt állítja, akkor írta alá, amikorra ezt állítja, s hogy az aláírása óta változatlan-e a tartalma. A fentiek közül bármelyik észrevétlen módosítására csak a titkosítás feltörésével van lehetőség, amihez képest a hagyományos aláírások hamisítása gyerekjáték. Így aki megbízik egy hagyományos aláírás hitelességében, az nagyságrenddel jobban megbízhat egy digitális aláírás hitelességében is.
Mennyivel biztonságosabb a chipkártyás átutalás a public key módszernél? Kiszorítja az egyik a másikat?
A chip kártya fő előnye, hogy az azonosításhoz szükséges információkat (kulcsokat) ezen lehet tárolni, s nem pedig mondjuk a számítógépen. Ennek megfelelően ez a megoldás sokkal jobb fizikai védelmet biztosít a felhasználó számára. Persze ehhez megfelelő infrastruktúra is kell, úgy gondolom, hogy ennek kialakítási költségei határozzák meg az elterjedés sebességét.
Mit gondol a felderített és fel nem derített számítógépes bűncselekmények arányáról? Milyen most és milyen volt két éve?
Két tendencia eredője határozza meg a felderítés arányát:
• egyrészt egyre több, minimális szakértelemmel, vagy akár anélkül is használható hacker program érhető el a neten, amelyek ugyanakkor rendkívül kifinomult módszereket tudnak alkalmazni a betörés érdekében. Ezek detektálása egyre nehezebb lesz, így ez a tendencia rontja a felderítési arányt,
• másrészt egyre több IT üzemeltető ismeri fel azt a tényt, hogy védekezésre szükség van, s hogy ezekhez megfelelő teljesítményű eszközök kellenek. Ha ezt a felismerést tett is követi, akkor ez javíthatja a felderítési arányt, de legalábbis segít észrevenni a támadásokat (amitől persze még igen messze van a felderítés, azaz az elkövető megtalálása).
Véleményem szerint a helyzet ezen a téren romlott az évek alatt, mivel ezeket a támadó eszközöket bárki ingyen beszerezheti, ugyanakkor a védelemre már pénzt kell költeni, így a verseny kissé egyenlőtlen. Látni kell, hogy a védőeszközök csak kényszermegoldást jelentenek, sokkal jobb hatékonysággal lehetne javítani a helyzeten, ha maguk a védett rendszerek lennének biztonságosabbak.
Ismer a számítógépes bűncselekményekből következő károk enyhítésére, ellentételezésére szolgáló biztosítást vagy biztosítási ügyet itthon, illetve külföldön?
Igen, létezik ilyen biztosítási lehetőség, bár nem itthon. Nyugaton egyre inkább lehetőség nyílik biztosítás kötésére biztonsági eseményekre, ahol a biztosító megtéríti az ügyfél kárát, ha betörnek a rendszerébe. Ehhez természetesen komoly kockázat elemzést végeznek a biztosítók, s jó néhány biztonsági feltétel teljesítését is előírják (bár ugyanez a helyzet, ha valaki lakást, vagy autót akar biztosítani). Remélhetőleg előbb-utóbb itthon is lesz lehetőség ilyen biztosítások megkötésére, addig azonban nélküle kell léteznünk, akár felelősségteljes működésnek nevezzük ezt, akár nem.
Mennyire biztonságos illetve megfejthető a különböző szolgáltatások igénybevételénél használt jelszó?
A jelszavakat a legtöbb esetben a felhasználó állítja elő (vagy legalábbis lehetősége van a szolgáltatás megkezdésekor kapott jelszó lecserélésére), így ezek erőssége a felhasználó kezében van. Más kérdés persze, ha a szolgáltató azonosító rendszerét töri fel valaki, s onnan olvassa le a rossz esetben kódolatlan, vagy éppen könnyen feltörhető kódolású jelszó file-okat. Ez az oldal a szolgáltató kezében van, s ezért ő is tartozik felelősséggel.
