A cégek jelenleg is a teljes IT-kiadásaik mindössze 3-4 százalékát költik informatikai biztonságra. Ennél lejjebb akármilyen válságban sem lehet menni – mondja Papp Péter, a Kancellár.hu informatikai biztonsággal foglalkozó cég vezetője.
Másfelől azt is látniuk kell a cégeknek – folytatja –, hogy a válság miatt, a nagyszámú elbocsátások nyomán ugrásszerűen megnőhet az adatlopások száma. Egy biztosításügynöknek például nagyon nagy kincs egy adatbázis. Éppen emiatt ezeket a hozzáférési jogokat jobban kell majd moderálni, amihez viszont beruházások kellenek.
Mi a helyzet az egyéni felhasználókkal, egyre több spam szól majd a válságról?
Ebben a kérdésben a válság csak egy a divatos hívószavak közül. Húsvétkor, a húsvéttal csábítanak, egyéb aktuális eseménykor pedig mással. Biztosan megjelennek azok a spamek, amelyek olcsó hiteleket kínálnak akár BÁR-listásoknak vagy 0 százalékos hitelt. Ilyenekre már nálunk is volt példa.
A közösségi szájtok és egyéb Web 2.0 –es platformok milyen biztonsági kihívást jelentenek?
A Web 2.0 kapcsán is egyre terjedőben vannak a malwarek (nem kívánatos rosszindulatú programok). Elég nehéz manapság mondjuk százezer e-mail címet összeszedni, ezért a spamerek inkább más kommunikációs csatornákat tárnak fel. Téves bannerek jelenek meg a közösségi oldalakon, amelyek nem oda mutatnak, ahova szeretnénk, innen építgetik az adatbázisukat. A választék óriási, emiatt nem is létezik általános recept a védekezésre. A legfontosabb, hogy gyanakodva fogadjunk minden ingyenes vagy csábítónak tűnő ajánlatot.
Azzal is mindenkinek tisztában kell lennie, hogy bár örvendetes módon egyre többen interneteznek, velejárója, hogy egyre csökken az a képzettség, ami a netezéshez társul. Mire kell figyelni, mik az alapvető szabályok? Egy átlagos internetfelhasználó minimális ismerettel kellene hogy rendelkezzen a biztonságról is, hasonlóan a jogosítvány megszerzéséhez.
Mik a leggyakoribb trükkök?
A legjellemzőbbek a klasszikus átverések. Egy email, amelyben azt ígérik, hogy megmondják bárkinek, mondjuk az IWIW-belépőjét. Ez puszta átverés. A csalóknak annyi haszon jut, ahány balek befizeti az ajánlathoz tartozó emeltdíjas sms árát. Ez egy hagyományos spam. Nagyjából a próbálkozások 2 százaléka, ami sikeres spammelést eredményez, ám a hatalmas számú levél miatt még mindig rentábilis.
Örök kérdés a spam esetében az utolérhetőség is. Ha profival van dolgunk, nem lehet lenyomozni, honnan indult a levelezés. Ha valaki mégis lebukik, akkor többnyire nem a számítógéphez kapcsolódó bűncselekmény miatt, hanem mert mondjuk kapcsolódik egy emeltdíjas sms a spamhez. Ezt már hagyományos nyomozással le lehet követni. Ki, hol fizetett a szolgáltatásért. A virtuális térben könnyebb elejtőzni. Könnyebb jó spamernek lenni, mint jó autótolvajnak.
Mi lesz idén az elmúlt évek egyik slágerével, az adathalászattal?
Minden bizonnyal idén is lesznek adathalász-támadások. Ez is egy evolúciós jelenség. Egyre többen használják az internetet bankolásra. Százból két ember mindig átverhető. A változás látszik ezen a területen is. A korábban külföldről indított, rosszul, géppel fordított adathalászlevelek helyett itthon készült lokalizált támadások várhatók. Mindez azt is jelenti, hogy hazánkban is rentábilis üzletté válik az adathalászat. Az idén már milliárdos biznisz lehet.
Másfelől ezekről a károkról nem nagyon fogunk nagy nyilvánosság előtt értesülni, a bankok ezeket az adatokat érzékenyen kezelik. Ebben is lehet változás, például Csehországban, a napilapokban nyilvánosságra kell hozni az ilyen támadásokat.
Mi a helyzet a szoftverekkel, miért nem biztonságosabbak az alkalmazások?
Ezen a területen is a képzés volna az egyik legfontosabb feladat. Bár az általános informatikai biztonság része az egyetemi tananyagnak, sőt már az általános iskolai tananyagnak is, de speciális szoftverbiztonsági oktatás még nincs sehol az országban. A szoftverfejlesztő cégeknél sem jelenik meg a biztonság úgy, mint például a gépkocsigyártásban. Ott minden modellt törésteszteknek kell alávetni.
Eljutottunk oda, hogy egy szoftvert nem véd meg az alatta lévő operációs rendszer vagy a hardver. Az applikációknak saját magukat kell megvédeniük. Ehhez viszont az kell, hogy mindez már a fejlesztési szakaszban bele kerüljön a szoftverekbe. Mostantól már nem lehet csak az ár a verseny tárgya.
Hogyan védi meg az állam az adatainkat?
Készül egy új informatikai biztonsággal foglalkozó törvény. Egy banknak jelenleg is előírják, milyen banki adatbiztonságot kell nyújtania. Ugyanakkor egy minisztériumnak, nyugdíjintézetnek csak ajánlásokat kell betartania.
Egy kormányrendelet betartatása felügyelet nélkül ugyanakkor nem érhet sokat. A megszületett törvénytervezet azonban inkább tiltásokra épül, így nem jó az út. Ott van például a webáruházak példája, amelyek szinte mindent tudhatnak rólunk. Bárki, bármilyen módon indíthat ma Magyarországon online kereskedést.
Az is nonszensz, hogy rengeteg mobileszköz van használatban, amelyeket aztán szabályozás nélkül selejteznek a cégek. Ennek az a gyakorlata, hogy a vállalatok dolgozói olcsón megvehetik a gépeket. Ezt követően általában a dolgozók egy aukciós portálon továbbértékesítik a laptopot, adatokkal együtt. Arról is kellene határozat, hogyan ne szivároghassanak ki adatok, másrészt pedig hogy mint veszélyes hulladék, ne kerülhessenek ki a leselejtezett eszközök.
