A vállalatok a következő években világszerte földindulásszerű változásokra számíthatnak: egyre több integrált hálózat kapcsolja majd őket össze a partnerekkel és az ügyfelekkel; egyre több mobiltechnológiát használnak majd a munkatársak felszerelésénél, és szembe kell nézniük az üzleti és kormányzati szférát támadó kiberterroristák és kiberbűnözők elszánt erőfeszítéseivel. A Unisys informatikai biztonsági tanácsadói közzétették, hogy szerintük melyek lesznek azok a legfontosabb informatikai biztonsági kérdések és fejlesztések, amelyekkel a vállalatoknak 2005-ben szembe kell majd nézniük.
|
Sunil Misra és Patrick O’Kane további magyarázatokat is fűzött a jóslatokhoz: úgy vélik, az alkalmazásszoftverek biztonsági problémái garanciaszabályokat kell, hogy eredményezzenek. A böngészők és operációs rendszerek gyártóit gyakran hibáztatják a vállalati biztonság sebezhetőségéért. Az alkalmazások és a hozzájuk kapcsolódó szoftverek legalább ennyire sérülékenyek, de ezt sokkal gyakrabban hagyják figyelmen kívül. Ahogy az alkalmazások egyre közelebb kerülnek az internethez, már csak idő kérdése, hogy mikor okoz egy gyártó alkalmazásai vagy adatbázis-termékei ellen indított támadás olyan kárt, amelynek hatására a vásárló beperli a szoftvergyártót a biztonsági rés következményeiért.
Ahogy Sunil Misra fogalmazott: 2005-ben alighanem tanúi leszünk annak, hogy az alkalmazásszoftverek biztonsági rései miatt sokan fogják követelni garanciákra vonatkozó törvényeket. Ez jelentősen átalakítja majd a gazdasági egyensúlyt, s az alkalmazásszoftver-gyártók és a vásárlók közti erőviszonyokat.
Támadás a partnerektől
Az üzleti partnereket és másokat tömörítő megbízható hálózatok növekvő mértékben válnak veszélyforrássá. A vállalatok egyre több külső partnert – üzleti partnereket, szállítókat és vásárlókat – vonnak be üzleti hálózatukba, egyre valószínűbb az informatikai infrastruktúra és a létfontosságú üzleti információk veszélyeztetése. Mivel a vállalatok arra számítanak, hogy a legtöbb kibertámadás a belső személyzettől és a külső hackerektől származik, kevesen tesznek óvintézkedéseket a partnerek vagy az ügyfelek személyzetével szemben. Ezeknek az embereknek pedig ugyanannyi – ha nem több – indítéka lehet a tisztességtelen cselekedetekre, mint a belső alkalmazottaknak.
Sunil Misra elmagyarázta, hogy a vállalatoknak változtatniuk kell a biztonsági hangsúlyokon: az infrastruktúra biztosításának és a felhasználók hitelesítésének sokkal programalapúbb, folyamatorientáltabb módszere felé kell elmozdulniuk – a partnerrel egyeztetett átfogó irányelvektől a műszaki védelmi megoldásokig (például a proxy tűzfal vagy az egyesített személyazonosság-felügyelet). Röviden: a megbízható hálózatokat használó e-businessnek gyorsan át kell állnia a „bízz bennem” módszerről az „igazold magad” módszerre.
Veszélyes mobilitás
A mobilterület egyre nagyobb mértékben táptalaja a biztonsági incidenseknek. Ahogy a mobilkörnyezetek és az eszközök (például a harmadik generációs hálózatok, a mobiltelefonok és a PDA-k) egyszerre válnak egyre intelligensebbé és egyre nélkülözhetetlenebb üzleti kellékké, ez távolabbra tolja ki a vállalati informatikai infrastruktúra határait, mint ameddig a biztonság ma elér.
A széles körben használt Bluetooth és más mobilkörnyezetek védelmi technológiái még csak most vannak születőben, és a használatuk is bonyolult. Ez lehetőséget nyit a menet közben történő „elcsíp és megragad” (snatch and grab) típusú adatlopások előtt.
Kibertámadások
A kibertámadások stílusa egyre rosszindulatúbb lesz. “Lehet, hogy rosszindulatból, de sokkal inkább gazdasági érdekből, bizonyos támadók hosszú lejáratú hatásokat szeretnének kiváltani az egyszeri katasztrófák helyett – mondta a vezető biztonsági tanácsadó. – 2005-ben számítunk az első igazán kártékony féregre vagy vírusra, amely rekordszinten változtatja meg vagy teszi tönkre az információkat. Az ennek következtében beálló probléma nem lesz orvosolható egyszerű eszközökkel, például az adatok előzőleg elmentett változatának visszaállításával.”
A vállalatok sok időt és pénzt fognak költeni annak megkeresésére és kicserélésére, hogy mi változott. A legrosszabb, hogy ezek a gonosz támadások tönkreteszik majd az áldozatok műveleti és üzleti integritását – csökkentve a megbízhatóságot, miközben az minden eddiginél fontosabb az e-business számára.
Szervezett banditák
A jövő évben fokozódni fognak az internetes banditák szervezett támadásai. A kiberbűnözők új seregei jönnek. Elődeikkel szemben gyakran tisztán gazdasági motivációik vannak, nem félnek a következményektől, és készek a sokkal pusztítóbb támadásokra is.
Sunil Misra szerint a kiberzsarolók mostanáig általában csak fenyegettek a károkozással – például a számítógépek merevlemezén tárolt tartalmak törlésével vagy adatmutatók tönkretételével –, ha nem fizetnek nekik. Most azonban már láthatjuk, amint nagy pusztítást végeznek, ha nem teljesítik követeléseiket. Felhasználnak majd egy sor támadási eszközt a szolgáltatás-túlterheléses támadástól az információ gyakorlati, rekordszintű elpusztításáig.
Mélységi védelem
A vállalatok a megelőző jellegű „mélységi védelem” felé fordulnak majd, ahogy az üzleti igények kikényszerítik a biztonságot. A bonyolult üzleti kötelezettségek (például a megfelelés a Sarbanes-Oxley, Basel 2, HIPAA vagy Gramm-Leach-Blilely törvényeknek és más rendelkezéseknek) azt jelentik, hogy a biztonság többé nem csak a műszakiak birodalma.
A biztonsági rések és az elégtelen megfelelés közötti különbség mostanra tisztán gazdasági és személyes. A megfeleléssel kapcsolatos felelősséggel szembenézve a vezetőség kezdi belátni, hogy a biztonság: 20 százalék technológia és 80 százalék eljárásrend. A polcról leemelt megoldások többé nem megfelelők.
Óvatosabb pénzintézetek
A hitelintézetek egyre inkább érdekeltté válnak a személyazonosság-ellopások megakadályozásában. Sok személyazonosság-eltulajdonításnál hitelkártya-számlák adatairól van szó. A bűnözők ezekkel az adatokkal megpróbálhatnak más rendszereket – például banki vagy ügynöki számlákat – is elérni, hogy további adatokat lophassanak vagy más erőforrásokhoz hozzáférést szerezzenek.
Az intézményeknek segítségre lesz szükségük az olyan felhasználói személyazonosság-ellenőrzési eljárások kifejlesztéséhez, amelyekkel megelőzhető, hogy a tolvajok a lopott azonosítókkal további erőforrások adataihoz férhessenek hozzá. Patrick O’Kane véleménye szerint, ha a hitelintézetek – az ügyfelek tájékoztatásával és más megelőző lépésekkel – nem vesznek részt fokozottabban a védelemben, a kormányzat fog közbelépni a probléma megoldása érdekében.
Egyesített személyazonosítás
2005-ben terjedni fog a személyazonosság- és hozzáférés-felügyeleti egyesített architektúrák elfogadottsága. Az egyesített személyazonosság-felügyelet lehetővé teszi, hogy a szervezetek együttműködjenek a hitelesítési és feljogosítási szolgáltatások megosztásában. Így rendkívül fontos a szövetkezés az információk külső partnerekkel és szállítókkal, illetve a cégen belül az üzletágak közötti biztonságos megosztásában.
Patrick O’Kane úgy véli: a felhasználók 2005-ben az egyesítést a megbízható hálózatokon belüli fokozódó veszélyek kulcsfontosságú megoldásaként fogadják majd el. Egy 2004 októberében lezajlott Unisys-kutatás szerint a válaszadók 37 százaléka jelezte, hogy fel fogja használni az egyesítést a következő évben. Ennek a kialakulóban lévő technológiának az elfogadottsági aránya valószínűleg tovább emelkedik az OASIS Security Assertion Markup Language 2 (SAML 2) szabvány legújabb kiadásának iparági elfogadásával.
Szerep alapú hozzáférés
A vállalatok újra átgondolják a személyazonosság- és hozzáférés-felügyelet szerep alapú hozzáférés-vezérlésének alkalmazását. A szerep alapú hozzáférés-vezérlés (Role-Based Access Control, RBAC) a felhasználói jogosultságokat (bizonyos alkalmazásokhoz) nem a személyazonosság, hanem a funkció szerint teszi elérhetővé. Az RBAC hiányában, amikor a hozzáférési jogosultságok közvetlenül egyes személyekhez kötődnek, a változtatások igen komplikáltak lehetnek.
Az RBAC használatát mostanáig a szerepek vállalati szintű meghatározásának bonyolultsága és költségei akadályozták. Egy negyvenezres létszámú, több rendszert használó szervezetnél például akár 12 hónapot is igénybe vehetett a szerepek meghatározása. Ha azonban a 40 ezer személyt mindössze 2500 szerephez kell hozzárendelni, az nagymértékben csökkentheti az erőforrás-kiosztás és adminisztráció terheit. A 2004-es Unisys felmérés az RBAC egyre nagyobb ütemű elismerését igazolta. A válaszadók 32 százaléka mondta, hogy 2005-ben valószínűleg implementálni fogja a technológiát.
Virtuális címtárak
A virtuális címtár technológia egyre inkább a személyazonosság-integrációs projektek stratégiai komponensévé válik. A virtuális címtár technológia módot ad a több rendszerből származó azonosítási információk megtekintésére és összegyűjtésére anélkül, hogy fizikailag egyesíteni kellene az adatbázisokat. E technológiák mai fejlettsége mostanra lehetővé tette az új és a hagyományos rendszerek integrálásához fontos virtuális címtármegoldások elkészítését.
Egy integrált igazságszolgáltatási rendszer esetében a kerületi ügyvédi hivatal, a rendőrőrs, a büntetés-végrehajtás és a bíróság különféle számítógéprendszereket használ a különböző működési területeknek megfelelően, és mégis, mindannyian hozzájutnak az összes információ saját jogosultságaiknak megfelelő virtuális nézetéhez egy ismert bűnelkövetőről.
