Információvédelem menedzselése - 74. szakmai fórum

2017. január 18-án tartotta a Hétpecsét Információbiztonsági Egyesület soron lévő összejövetelét. Az esemény bevezetőjében Dr. Ködmön István a Hétpecsét Információbiztonsági Egyesület alelnöke  közzétette: 12. alkalommal hirdetik meg az Év Információbiztonsági Újságírója díjat, melyre a jelentkezéseket, pályamunkákat 2017. április 28-ig várják. (Az első meghirdetés 2006. január 18-án történt.) A 75. Fórum, a megszokott ütemezéstől eltérően, 2017. március 8-án lesz.

 

 

dr. Bencsik Balázs, a Nemzeti Kibervédelmi Intézet, NKI) igazgatója „GovCERT aktualitások"  címmel tartotta előadását.

http://www.cert-hungary.hu   

 

A kormányrendszerek védelmén tevékenykedő intézet munkáját jellemző összesített statisztikai adatok; az Intézetnél az előadás napjáig 2.876 robothálózati tevékenység, 3 adathalász tevékenység, 3.243 db  kéretlen levél, egy db tor-kilépési ponthoz kapcsolódó és 90 db sérülékenységgel összefüggő IP cím ügyében kellett intézkedni.   

 

Az intézet munkájának meghatározó irányai: hagyományos értelemben vett cert-tevékenység (kiber-védelem), hatósági tevékenység a kormányzati szervezetek vonatkozásában,

sérülékenység vizsgálat (etikus heckelés). Nemzetközi együttműködésekben vesznek részt, információik döntő része ebből származik. A hazai kormányzati infrastruktúra körében a felderítő eszközök gyakorisága, hatékonysága viszonylag alacsony; az Intézet által kezelt incidensek közül csak minden hetedik érkezik hagyományos bejelentésként. Tehát, az információs rendszereket működtető magyarországi kormányzati szervek hétből csak egy esetben veszik észre, hogy valamilyen probléma adódott (vagy a többit nem jelentik...). A többit az Intézet jelzi az állami szervek felé.      

 

A Kormányzati Eseménykezelő Központot és a Nemzeti Kibervédelmi Intézetet létrehozó jogszabály rögzíti; ezekhez a szervekhez kell jelenteni a különböző incidenseket, s ezen szervek feladata a vonatkozó koordináció, a segítségnyújtás az incidensek kezelésében, kivizsgálásában. Az Intézet által szétküldött rengeteg jelzés és információ jelentős része a nemzetközi együttműködésből származik, pl. a nagy cert-szervezetektől; FIRST, TI, stb.  

https://hu.wikipedia.org/wiki/Közbeszerzési_Hatóság   

https://first.org   

https://www.trusted-introducer.org

 

A világ nemzetbiztonsági szolgálatai, hírszerző közösségei is működtetnek különböző információ-megosztási platformokat, amelyeknek az intézet is tagja. Vannak olyan esetek azonban, pl. napjaink aktuális nagyhatalmi politikai incidensei, amelyekben még ebben a közösségben sincs információ-megosztás. 

 

Az Európai Unió több évig dolgozott a tervezeten, amely az EU-n belül egységes közösséget kíván kialakítani, az információ biztonság szintjét magasabbra emelni. Létrehoznak közös minimum-szabályokat, ill. mindenhol olyan eseménykezelő szervezeteket alakítanak ki, amelyek az unióban felmerülő infobiztonsági eseményeket képesek kezelni. A vonatkozó uniós szabályozás 2016. augusztusában jelent meg. Az intézet munkatársai már szeptemberben több konferencián hívták fel az érintettek figyelmét az uniós irányelvre, amely sokakat érint és Magyarországon is gyakorlati alkalmazásba kell venni. Ezen szabályozás megléte még nem épült be a szakmai köztudatba.   

 

A leginkább érintettek köre nem kormányzati, ez a szabályzás alapvetően a piacot célozza, de nagyon széles azon szolgáltatások és szolgáltatók köre, akiket lefed. Egy, már létező szabályzási kör a   kritikus infrastruktúra szabályozás, ami lefedi ezt a szolgáltatói ágazatot. Az irányelv azonban hangsúlyozza, rendelkezéseit el kell választani a kritikus infrastruktúra szabályozási kérdésektől: amikor önmagában vizsgáljuk az uniós hálózatbiztonsági szabályozást, tekintsünk el a meglévő kritikus infrastruktúra szabályozástól, amelynek egyébként része a hálózatbiztonság tárgyköre is.  

 

A digitális szolgáltatók külön szabályozás alá esnek, amibe sajnos nem kerültek be a hírközlési szolgáltatók, távközlési szolgáltatók. A telekommunikációs szolgáltatókra tehát ez az irányelv nem vonatkozik, az alapvető szolgáltatókra érvényes. Meghatározás szerint;  alapvető szolgáltatást nyújtó szolgáltatók azok, akik olyan társadalmi igényt elégítenek ki, amelynek fenntartása létfontosságú, vagy kritikus a tevékenység tekintetében, ill. ezek a szolgáltatások IT rendszerektől függenek. Amikor ebben a szolgáltatásban valamilyen zavar támad, biztonsági eseményre kerül sor, akkor életbe kell léptetni bizonyos szabályokat.  

 

Milyen feladatai vannak egy ilyen szolgáltatónak? 

„Meg kell határozni azokat az intézkedéseket, amivel a saját szolgáltatásukat fenyegető kockázatokat kezelik." 

 

A lakosság számára biztosítani kell, hogy ezen alapvető szolgáltatásokat nyújtó szolgáltatók megfelelő szintre hozzák információs rendszereik védelmét. Értelemszerű; a tagállamnak szabályozási feladatköre jön létre. Lényege; meg kell határoznunk ezen szektorban működő, alapvető szolgáltatást nyújtó szolgáltatók számára, hogy milyen IT biztonsági szabályokat kell érvényesíteni, betartani, s hogyan kell azok felügyeletét megoldani. 

 

A felsorolt szektorban (pl. pénzügyi szolgáltatás, villamos energia, közlekedés, stb.) jogszabályokat kell alkotni, s meg kell határoznia, hogy kik az alapvető szolgáltatást nyújtó szolgáltatók, ill. hogy velük szemben milyn IT biztonsági kritériumokat kell érvényesíteni. 

Amennyiben biztonsági esemény áll elő az adott információs rendszerben, ezt be is kell jelenteni valamilyen eseménykezelő központ számára.

 

A digitális szolgáltatók témaköre az uniós szabályzásban elnagyoltan van megfogalmazva. 

Online piactér, online keresőprogram, felhő alapú számítástechnikai szolgáltatás tartozik a felsorolásba, de vannak itt pontosan nem körülírt fogalmak is. Velük szemben is meg kell határozni az elvárásokat, követelményeket, a biztonsági incidenseket nekik is jelenteniük kell egy eseménykezelő központ számára. Mindez nem vonatkozik a mikro-, és kisvállalatokra, a kritikus infrastruktúrákra. A kijelölési kritériumokat a tagállamoknak kell meghatározni. A szabályzás vonatkozik a nagy szolgáltatókra is, amelyek jellemzően nem európai, vagy uniós székhelyűek (Google, Facebook, stb.). Az EU-s igény-érvényesítés velük szemben nem könnyű ...

 

Minden tagállamban ki kellett jelölni egy kapcsolattartó pontot, aki ezen szolgáltatóktól érkező információkat összegyűjti, kezeli és továbbítja egy EU-s feldolgozó összesítőhöz. 

Magyarországon ez a kijelölés megtörtént, a Nemzeti Kibervédelmi Intézet lett az a központi kapcsolattartó, felső szintű eseménykezelő központ, amelynek össze kell gyűjtenie ezen szektorokból érkező információkat. 

 

Az Intézet jelenlegi feladata; stratégia kidolgozása a fenti szolgáltatók és szolgáltatások megközelítésére, jogszabályok megfogalmazása az EU vonatkozó elvárásainak megfelelően, 

követelmények felállítása. A jelenlegi jogszabályalkotási időszakban nagyon fontos azok tartalmának pontos megfogalmazása az elfogadás számára. Lényeges; a jogszabály érvényességi körébe tartozók, szolgáltatók is rálátással, beleszólással segítsék a szabályállítási feladatot, hogy betartható és végrehajtható jogszabályok jöjjenek létre. 

 

További szabályok is megjelentek ez évben. Jövő év közepén lép hatályba az adatvédelmi rendelet, teljesen új rendelkezés-gyűjteményként, szerepel benne, hogy egy eseménykezelő központ megismerheti egy adott szervezet teljes adatforgalmát, s elemezheti azt információ-védelmi szempontból. Ez kritikus kérdés. Magán a kormányzati rendszeren belül is most építenek egy figyelmeztető rendszert, itt is felmerülnek adatkezelés-jogosultsági kérdések más szervezetekkel szemben. Az uniós rendeletek erre is választ adnak, bár ezekre nem is kell tagállami szabályozás, hiszen közvetlenül alkalmazandók, s közvetlenül hatályba is lépnek. 

 

Milyen ágazati modellek lehetnek?

 

Uniós munkacsoportok felvázolták a lehetséges megoldásokat. Az önszerveződés az egyik felmerülő lehetőség, másik a központosított akarat mentén végigvitt szabályozás, végrehajtás. Hazai vonatkozásban kérdéses, hogy önszerveződés mentén ez végig tud-e menni, saját szabályokat meg lehet-e alkotni, képesek-e a szolgáltatók összefogni, hogy meghatározzák ezeket a szabályokat, ill. egy közös cert-központot, vagy eseménykezelő központot kialakítani. Lehetőség, hogy központosított megoldásként a Kibervédelmi Intézet álljon élére az ügynek; kibővítve hatás-, és feladatkörét ezekre az ágazatokra és szolgáltatásokra, Ennek sok ellenzője van, mivel ami központosított, az nem feltétlenül hatékony. Ezt a vitát végig kell vinni a partnerekkel. 

 

A menetrend 2018-ig:

 

Mivel 2018-ban választások lesznek, gyakorlatilag csak idén júliusig történik valami. Onnantól kezdve egy évig nem fog semmi történni a jogalkotásban. Az érdemi dolgok ebben a félévben dőlnek el, a szabályozási keretrendszereknek ekkor kell kialakulniuk, jogszabályba ültetve. Az időtényező nagy jelentőségű; 2018. második felére Magyarországon működő jogszabályokra lesz szükség.

 

A Kibervédelmi Intézet már jelenleg is kapcsolattartó: december végén fogadták el a jogszabályt azon szervezeti alap megteremtéséről, melynek mentén  az intézet jár el kapcsolattartóként az EU vonatkozásában, úgy az eseménykezelés (cert), mint a hatósági együttműködési csoportban való részvételt illetően. 

 

El kell dönteni; milyen ágazati modellt alkalmazunk, decentralizált, centralizált vagy valamilyen hibrid megoldásút melyek azok a szerepek, szereplők, amelyeket ki kell osztani hazánkon belül,  hogy megfeleljünk ennek az uniós elvárásnak mik lesznek a felelősségi körök, amelyeket ki kell jelölni 

 

A Nemzeti Kibervédelmi Intézet önmagában nem lesz képes az összes szektort lefedni. 

Nem lesz arra elegendő humánerő, pénz, infrastruktúra, hogy minden egyes szolgáltatóval külön-külön tudjon foglalkozni. A követendő modell kiválasztása elkerülhetetlen. Az előadó véleménye; teret kell adni a piaci körülményeknek, működésnek ebben a témakörben is.  

 

A sérülékenységi vizsgálatok kinyitásánál, a kezdeti lépésnél megfigyelhettük; 

kezdetben a jogalkotó úgy képzelte, hogy lesz egy központosított állami szerv, a Kibervédelmi Intézet, aki majd mindenhova odamegy, átvizsgálja az adott szervezet rendszerét, megmondja, hol vannak a hibák, kiosztja a javítási feladatokat. 

Ez a modell azonban nem működik, de fel lehetett újítani a piaci szolgáltatók némi szerephez juttatásával, a vonatkozó vizsgálatok elvégzésére való jogosultság kiosztásával. Ennek még vannak korlátai, van min finomítani. 

 

Érdemes megfontolni, hogy bevezessünk egy hasonló modellt az irányelv átültetése kapcsán is. Előírja az irányelv, hogy hatóságnak kell ellenőrizni a szolgáltatókkal szemben támasztott követelmények teljesülését.  A teljes spektrumban mintegy 100 körüli szolgáltatóról beszélhetünk, nincs az a hatóság, nincs annyi ember, hogy egyetlen hatóság képes legyen az összes szolgáltatót sorra venni az auditálással, ellenőrizni, hogy a követelmények teljesülnek-e. Ezért itt is érdemes a piacnak teret hagyni ezen felülvizsgálatok, ellenőrzések és felügyelet megvalósulására.

 

 

Keleti Arthur  (ArthurKeleti.com) „kibertitok jövőkutató":"Kibertitkok: ami a checklist-ből kimaradt - a kiberbiztonság és a titkok viszonya"  Az előadó, utalva az év végén megjelent könyvére, fontosnak tartja meghatározni a kiber-titok fogalmát. Ez tulajdonképpen a védendő információinkat körülvevő kontextus, szociológiai, pszichológiai, informatikai szakmai aspektusaiban. Az emberek rosszul fogadják, ha a kiber-biztonságot érintő hozzáállásukat firtatja valaki. Értik ők, hogy jelszavakat kellene cserélgetni, de ennek végigvitele már nem annyira izlik. Tudják hátrányát, mégis sokan használják még az 1,2,3,4  jelszót...

 

Szveteczky Zsuzsa szociál-pszichológus könyve szól a pletykáról, ami sokban hasonlít a kiber-titkok témájához. Az, hogy az emberek miért pletykálnak, miért része a pletyka a társadalomnak, miként épül sok dolog erre, az sokat nyom a latban jelen témánál is.  

 

Mára mindenki hozzájuthat a középkorban kivételes kiváltságnak számító higiénia, zenés kultúra, stb. személyes élvezetéhez. Az ide vezető változás nagyon gyorsan zajlott le, de sok mindent nem is kaptunk meg azon privilégiumokhoz, melyeket a reneszánszban a kiváltságosak birtokoltak. Például, ha olyan titkaink vannak, amit nem szeretnénk mással megosztani, vagy olyan információ birtokába jutottunk, ami nagyon érzékeny, akkor nem áll rendelkezésünkre olyan útmutató személy, aki megmondja, mit tegyünk azok megvédésére, hogyan titkoljuk el őket. Az mp3-at le tudjuk tölteni, a fürdővizet meg tudjuk engedni, de azt, hogy hogyan kezeljünk adatokat, információkat, mit csináljunk, ha dolgokat titokban akarunk tartani, ez a tudásunk nincs kéznél. Erre nem alakult ki semmilyen szokás és nincs rá önvédelmi reflexünk sem. Biológiai védekezési reflexeink vannak, de arra, hogy a mai információs társadalomban hogyan védjük meg saját adatainkat, erre nincsenek. 

A szakértőknek megvan ez a reflexe; paranoiásak, odafigyelnek a körülöttük történtekre, de az emberek jelentős részéből ez hiányzik. A legtöbb ember, amikor megpróbálja megvédeni adatait, már azzal is gondban van, hogy mit tekintsen adatának, a fogalmat magát sem érti.  

 

2020. körül már olyan elképzelhetetlen mennyiségű információ áramlik majd az interneten, amit nagyon nehezen tudunk feldolgozni.  Az információ-özönben rendkívül összetett módon van jelen az általunk keresett tartalom, keresésünket pedig nem támogatja a környezet.  A sebesség ma már annyira megnövekedett, hogy képtelenné válik rendszereink megvédése. 

Egy video stream tartalmában zajló (pl. titkos) dolgokat hogyan tudnám megadni ilyen sebességnél... A közösségi hálózatot ma már napi szinten hatalmas mértékben használják az emberek, a fiatalabb generációnak szinte lételemévé vált. Ennek nem lehet gátat vetni, a jövő generációja a megosztáson és közösségi fórumokon fogja élni életét. Vajon ebben a pillanatban valamelyik családtagunk, ismerősünk éppen mit oszt  meg, és hogyan, milyen formában? 

 

A szociálpszichológusok szerint, a jövőben gyermekeink elképzelése a magánéletről teljesen különbözik majd a mienktől. Nekik természetes lesz, hogy életük 80%-át megosztják. 2020-25-ben ez a határ még magasabban lesz. Pl. majdnem mindent tudni fogunk a mellettünk ülő munkatársról, nem csak azt, amit elmond. Mindez az életben való eligazodást pozitív értelemben felgyorsítja. Képzeljünk el egy olyan törvényt, amit úgy kellene megírni, hogy gyakorlatilag az információk jelentős része nyilvános...  Ezek után a kérdés; mit védünk, hol van az az adat amit meg kell védenünk?  

 

A világon ma küldött üzenetek felét az emberek félreértik. Nem értik, hogy a másik mit mond. Ennek az is oka, hogy az internetes kommunikáció formájáról lecsupaszítunk egy sor olyan (meta)kommunikációs jelet, ami a valóságban fennáll. A jövőben ez a réteg teljesen eltűnik.  2020. után olyan félreértési viharba fogunk kerülni emiatt, hogy nagyon nehéz lesz megérteni a másikat. Évente ekkor mintegy 250 milliárd lesz az e-mailek száma, ennek kb. egy százalékát félre fogjuk érteni. Az interneten ma is 1%-ot teljesen rossz helyre címeznek...  

Konkluzió; ekkorra a biztonsági védekezésre (reagálásra) már semmiféle idő nem áll majd rendelkezésre. Emiatt valószínűleg mindent automatizálni fogunk, más megoldás nem lesz.

 

A felhasználók egyre kevésbé szeretnék ezt az egész biztonsági gondot felvállalni, inkább dolgozni, kommunikálni akarnak. Az egész, informatikusok által kitalált komplexum az átlag felhasználók szintjén nem nagyon szokott működni. 

 

A ransomware (zsarolóvírus) probléma mostanában eléggé elszabadult, a kiber bűnözők már annyira kifinomult módszerekkel dolgoznak, olyan jó üzlet lett ez, hogy meg tudják fizetni a jó embereket, át tudják nyomni a ransomwereket az embereken, akiket egyébként nem érdekel az egész biztonság, csak dolgozni akarnak. Percek alatt bekövetkezik egy ilyen támadás. Az Anonymus csoport tavaly a Fülöp-szigetek választási rendszerének adatbázisát két perc alatt ürítette ki. Két perc alatt hogyan állítson meg valaki egy támadást...?  A biztonság 7x24 órás dolog, de ritkán van rá elegendő pénz, nem csak nálunk... A legtöbb cégnél hallani sem akarnak ilyen készenlétről. Az alvó vírusok, a kiberbiztonsági szakértők hiánya ismert. Állandó probléma az ilyen emberek képzése, alkalmazása, stb. 

https://ransomware.hu  

 

 

Vajon vezetőink értik-e, tudják-e ezeket?

 

Bill Clinton így védte Hillaryt az e-mail ügyben; „ez a dolog olyan bonyolult, hogy nem lehet elmagyarázni az embereknek".  Ez azt jelenti; gyakorlatilag bármit mondhatnak, ami akarnak, az emberek mindent el fognak hinni. Kénytelenek, mert tényleg annyira bonyolult, hogy nem lehet elmagyarázni.  Trump szerint a biztonság kiber oldala nagyon kemény. Node, az USA fel van-e erre az egész problémára készülve?  Az illetékes amerikai tábornokot megkérdezték kongresszusi meghallgatáson, miután több milliárd dollárt adtak neki, s felvett több ezer embert, hogy most már meg tudja-e védeni at USA kiber-terét? Válasza: nem. (Nem bocsátották el...,látják ott, hogy mi zajlik.) Másik nagynevű amerikai biztonsági vezető mondta a Kongresszusban; „Amikor ebben az épületben kitör a tűz, hívjuk a tűzoltókat, amikor valaki rosszul lesz, hívjuk a mentőket, ha kirabolnak valakit, hívjuk a rendőrséget, de kit hívunk akkor, ha valahol egy kiber-támadás történik?" Felvetődő kérdéskör; kinek tulajdonítjuk a kiber-támadásokat? Az amerikai fejlemények, történések fényében valójában annak hiszünk egy ilyen kérdésben, akinek akarunk.  Felnőtt a kiber-biztonság; a titkos  szolgálatok és a politika azt csinál velünk, amit akar. Ezután érdekes, ki mit gondol egy biztonsági incidensről, hogy az hogyan következett be... A jövőben nem fogjuk tudni igazán megmondani, hogy mi történt. Ettől az igénytől valószínűleg teljesen el kell búcsúznunk.

 

Vajon mit fognak a jövőben elvárni a kiber-biztonsági szakértőktől? Nem azt, hogy az egyes adatokat megadják valahova, hanem képesek legyenek felfedezni a kontextust az adatmennyiségben. A titkok fogalmát nem nagyon határozták meg a világban. A vonatkozó tudományágakban megfejtetlen marad. 

 

Az előadó modellje: A titkok az emberek fejében nem úgy képződnek, ahogy azt az informatikus mérnökök, biztonsági szakemberek elképzelik. Az emberek ezt kontextusban helyezik el, három alapelem figyelembe vételével; kinek, hogyan, mikor áruljuk el a titkot. 

 

A Maslow-piramis  (https://hu.wikipedia.org/wiki/Maslow-piramis  ) figyelembe vételével megvizsgáljuk, milyen probléma keletkezik akkor, milyen erőforrás-szükségletemet sérti az, ha ez a titok kiderül, s valamilyen baj támad. Pl. feleségem megtudja, hogy szeretőm van. Lehet, hogy kirúg otthonról, lehet, hogy még lakásom se lesz, mi lesz az érzelmi vonalammal, az önmegvalósításommal, a szégyen, stb.  

 

Fontos még a morál is, az, hogy milyen erkölcsi dolgokat tulajdonítok ennek a titoknak,  megsértésének.  Vállalati dolgaink, a vállalati szabályzás is ebbe a norma körbe tartozik, hiszen itt vannak a vallási normák, a viselkedési, a társadalmi normák. Az emberek, amikor egy titkot, sőt egy vállalati titkot definiálnak, akkor minderre együttesen gondolnak, s azután mondják meg, hogy szerintük ez mennyire titkos.

 

Az emberek a szakmai kategóriák helyett ezt a modellt használják. Az egészet betöltik egy koordináta rendszerbe, s végiggondolják, mi lesz a következménye annak, ha kiszivárog a titok, gondolván; amennyiben ez a dolog, ami velem bekövetkezik, inkább tragikus, vagy szégyenteljes lesz (pl. törvényt sértek vele, mint egy gyilkosság) akkor ezt az agyamban levő koordináta rendszeren valahogy megjelölöm, ha pedig inkább problematikus lesz, (pl. az irodát nem tisztítom megfelelően) azt úgy kezelem, mint amiből sok gond nem származhat, de eléggé kellemetlen.  Az emberek tehát a fenti modellt használják, amikor elemzik, hogy valójában egy információ számukra mennyire védett, vagy sem. Ezek nevezhetők kiber-titoknak, amikor informatikai rendszerbe tesszük. 

 

A megoldást valószínűleg nem a most használt módszerek és eszközök jelentik, mert ezek nem fedik le ezt a kontextust. A jövőben olyan eszközöket kell majd gyártanunk, amelyek képesek megismerni bennünket. Tudni fogja az e-mail rendszerem, hogy milyen vagyok, mi a szakmám, hol dolgozok, miért dolgozok, s amikor el akarok küldeni pl. egy munkával kapcsolatos üzenetet, akkor figyelmeztet, hogy az nem egyezik azzal, amit korábban közöltem valakivel.

 

Az embereknek és a vállalatoknak nem információik és adataik vannak, hanem titkaik! 

Hosszú az út, valószínűleg mesterséges intelligenciát kell használnunk, s egy sor olyan elemző eszközt, amitől ma még inkább félünk.

 

 

Kérdések-válaszok az előadóhoz: A biztonsági szabályok, ill. törvények felett állás ellensúlyozása: gépi intelligenciával valósítható meg.A valóságot lassan követő törvényekkel kapcsolatos kérdésre az előadó felvetése; vannak olyan jövőképek, melyekben a törvények egyáltalán nem játszanak szerepet.

 

 

 

További előadások:

 

Hargitai Zsolt , a Novell Magyarország üzletfejlesztési igazgatója a biztonsági eseményeket előidéző tipikus felhasználói hibákról, ill. a biztonsági irányítás (identity management)  aktuális lehetőségeiről szólt.

 

 

Pap Kornél (Xerox Magyarország Kft.) rendszermérnök: 

„Biztonságosan a nyomtatástól a dokumentum menedzsmentig" címmel tartotta előadását.

 

 

 

 

Harmat Lajos