Adatvédelem, avagy mitől félünk?!

 

Az adatvédelem a mindennapokban közhelynek számít. Azaz az emberek csak és csupán egyfajta úri passziónak veszik a dolgokat. Egészen addig, míg mindez nem megy ki a saját bőrükre. Független szakértők a vitáik során abban mindenképpen egyet értenek, hogy az adatokra, azok megszerzésére irányuló rosszindulatú támadásra nem onnan kell számítani, ahonnan leginkább várnánk.

Ha rangsoroljuk a támadások veszélyességét, akkor érdekes tényre figyelhetünk fel., Az adatokra a legnagyobb veszélyt a kíváncsi és titkos eszközökkel is nyomozó állam jelenti. Ezt rögtön követi a belső, elégedetlen alkalmazottak által okozott támadás, amit csak ezután követnek az összes egyéb veszélyforrások: a számítógépes terrorizmus, a műszaki hibák,  és végül de nem utolsó sorban az elemi csapások által okozott kár.

A veszélyek másképpen tudatosulnak az emberekben, nem tükrözik a veszélyességi sorrendet. A veszélyességet itt azon érjük: mennyiben veszélyes egy adott kereskedelmi emberi környezetre nézve, ha adott információk harmadik ember kezébe kerülnek. Milyen emberi és anyagi-erkölcsi kárt képes okozni a vállalkozásnak. S végül azt soha senki sem mérlegelte: mi a nagyobb kár, ha az adat elveszik, vagy az, hogy ha illetéktelen kézbe kerül.

Az informatika társadalom kihívásai mindenképpen irritálóak. Irritálják és ingerlik az államhatalom gépezetét. Hiszen az elektronikus adatrendezés és információ szerzés igen nagy kísértés. Kísértés arra, hogy behatoljanak a privát szféra falai közé, és olyan, az állam számára bűnként megélt tényeket tárjanak fel, amelyek még s legvadabb diktatúrákban is rejtve maradtak a családi lakás négy fala között, hacsak onnan valaki nem szivárogtatta ki azokat.

Az informatika  - azaz a telekommunikáció, elektronikus fizetési rendszer és a számítástechnika - összességében egy olyan rendszert alkot az állami nyilvántartásokkal, amelyek Orwell legmerészebb álmaiban szerepeltek csupán. Az állam nem lenne állam, ha nem kívánná kihasználni a lehetőségeit.  A veszélyen abban rejlik, hogy a mindenkori konkurenciánál jóval több lehetőséggel és anyagi eszközökkel rendelkezik. Ugyanakkor képes arra is, hogy olyan rendeleti és szabványsorokat hozzon létre, amelyek elvben jelentősen meggyengítik az információ védelmére hozott intézkedések hatékonyságát. Ezzel a veszéllyel általában nagyon kevesen vannak tisztában, és ezek figyelmeztetését, üldözési mániára, paranoiára való hivatkozással általában lehurrogják.

Ezen biztonság gyengítő intézkedések azután azok, amelyek lehetőséget adnak arra - a hivatalos rejtett hátsó ajtók kihasználásával -  amelyek lehetőséget biztosítanak az adatkalózoknak és a rosszindulatú károkozóknak. De ugyanilyen ok lehet a tudatlanság, vagy a mamut szervezetek merevsége. Végül, de nem utolsó sorban, ilyen az adattulajdonosok üldözési mániája, amellyel az alkalmazottak idegeire menve, az alkalmazottakat kényszerítő olyan lépésekre., amelyek a biztonság gyengüléséhez, végül az információ kikerüléséhez vezetnek.

Melyek az információ védelem legfontosabb szabályai? Mindenképpen azt kell biztosítani, hogy az információ áramlására két rend legyen életben egy cégen belül: egy hivatalos adatvédelmi terv, amelyet többé kevésbé be kell tartani. Ez azonban akkor és csak akkor hatásos, amennyiben ezt egy nem dokumentált, de működtetette másik rend vigyázza. Ennek a másik rendnek kell gondoskodnia arról, hogy a valóban legérzékenyebb - de csak ezen - információkról az adott időnként a szükséges mentések elkészüljenek, és azok semleges de megbízható helyen tárolódjanak. Hasonlóan ennek a nem nyilvános rendszernek kell gondoskodnia veszély esetében a legérzékenyebb információk elérhető példányainak megsemmisítéséről, illetve megtévesztő információkkal való helyettesítéséről. Ezen rendszerek csak egymással párhuzamosan működve eredményesek, és biztosítják hosszú távra az érzékeny adatok védelmét. A magyar közelmúlt példája éppen ezt mutatta meg: az információvédelmi intézkedések hiánya akár egy lap kiadását is képes teljesen megbénítani.

A következő kérdés mi a valóban érzékeny információ? Ennek a meghatározása a hatékony információvédelem legfontosabb kérdése. Ugyanis általában nem az az információ a legérzékenyebb, amit a vezetők annak tartanak. Mindegyik vezető hajlamos túlértékelni a maga fontosságát, s az általa kezelt információk körét. Ugyanakkor ezt az értékelést mégis el KELL végezni, mégpedig a cégen belül. Ráadásul  a háttérben, mert sok esetben már egy bizonyos típusú információ meglétének vagy képződésének kiszivárgása is elindítja a külső szervezetek titok felderítő akcióit.

A vállalkozás vagy csoport természetétől függően ezen információk köre változó lehet. Itt egy tévhitre szeretném felhívni a figyelmet. Sok cég a legbelsőbb titkának a partnerlistait tekinti. Ugyanakkor ezen listák nem érdemlik meg az igen kivételezett kezelést. Hiszen ezek külső forrásokból megfelelő türelemmel összeállíthatóak. Azaz meg kell állapítanunk: azon információk kezelése csak a szokásos fegyelmet, de nem többet követel meg, amelyet külső forrásokból a cég tudta nélkül rekonstruálni lehet legalább nagy vonalaiban.

Hogy megértsük a helyzetet: egy kényes kérdésekkel foglalkozó újság esetében a legnagyobb érték az informátorok kiléte és az általuk szolgáltatott dokumentumok, információk jelentik. Ugyanakkor a következő lapszámok tartalma is fokozott védelmet élvez, egészen a megjelenéséig. Azt is kell tudni, ilyen esetben az archívumok is hasonló védettség alá esnek, hiszen azokból esetleg rekonstruálható az informátorok személye. Ugyanakkor viszont botorság védeni a könyvelési adatokat, azaz előfizetők listáját, a megrendeléseket. Hiszen a könyvelési adatok itt általában a számlakényszer miatt patyolat tiszták, és ha nagyon akarja valaki, akkor a terjesztőktől megszerezheti az előfizetői listát is....

Egy gazdasági tevékenységgel foglalkozó vállalkozás számára mondjuk a pénzügyi szférában, egészen más típusú az érzékeny információ. Itt a partnerlista egy része, a szerződések egyes részei sőt maga a könyvelés valós része is lehet a vállalkozás számára létfontosságú. Hogy pontosítsunk: az igen érzékeny adatok körébe mindezen adatok tartoznak, amelyek kiderülésük esetében az egyén, a vállalkozás létét, további működését lehetetlenné teszik, vagy  pedig a vállalkozáson kívüli harmadik személynek vagy vállalkozásnak kárt okoznak. A közelmúlt hazai története azt mutatja, hogy ezzel az alapszabállyal itthon nagyon kevesen vannak tisztában.

Ki mit miért keres?

  • - Az állam: paranoid, hogy adó-vámügyekben átverik, vagy összeesküvést szőnek ellene.
  • - A konkurencia: olyan információkat, amelyekkel eredményesen bénítható a cég működése. Ez sok esetben olyan belső események, tények, dokumentumok, amelyek megingathatják a bizalmat a céggel szemben.
  • - A belső áruló: olyan információkat, amelyek eladásával pénzhez juthat hogy kárpótolja magát, illetve aminek a publikálásával egy adott embernek a legnagyobb kárt tudja okozni.
  • - A számítógépes betörő: amivel visszaélve, saját maga vagy megbízói számára a lehető leggyorsabban a lehető legnagyobb hasznot képes biztosítani
  • - A hacker: a biztonsági rések kiderítése után ezek befoltozásáért az információkert a cégtől pénzt kér, illetve altruista szemszögből szemlélve a dolgokat legyőzi a rendszert. Amennyiben nem a kifejezett bűnözési szempont vezette - azaz megbízás - akkor az információvédelemben a legjobb szövetséges.
  • -

Ki hogyan keres?

  • - Az állam: rendeleti és titkosszolgálati eszközökkel igyekszik az információhoz való hozzájutását biztosítani, gyakorlatilag korlátlan erőforrásokkal. Az államnak módjában áll a hivatalosan forgalmazott információvédelmi eszközök és technológiák hatékonyságát olyannyira csökkenteni, hogy számára a felhasználó tudta nélküli információhoz jutást biztosítsa.
  • - A konkurencia: elsősorban információ vásárlással próbál adatokhoz jutni. Igen ritkán alkalmaz az államhoz hasonló módszereket, de egyes tőkeerős cégek esetében ezzel is számolni kell.
  • - A belső áruló: amihez hozzájut azt bocsátja áruba és közkézre. Ellene az elégedett alkalmazottakkal és az információ szegmentálásával védekezhetünk.
  • - A számítógépes betörö: ellene miként az állam ellen is megfelelő és nem kommerciális biztonsági rendszerekkel védekezhetünk., Pontosabban CSAK azt az információt és CSAK ANNYIRA védjük, amennyire biztonságunk és üzleti érdekeink számára fontos.
  • - -A hacker: mindenképpen a személy felderítése után megfordítására azaz a saját szempontjaink szerint biztonságunk növelésére használjuk fel őket. Nem bűnözők, hanem szakemberek....

 Hol van a biztonság?

A legfontosabb kérdés, hol vagyunk biztonságban. A tapasztalat azt mutatja a legnagyobb biztonságban a legnagyobb tömegben vagyunk. Azaz ilyen az informatika világában az Internet. Annak ismerete esetében még az is megoldható, hogy a valóban érzékeny információt - természetesen megfelelő kódolás után - úgy elhelyezzük a NETEN, hogy ahhoz bármikor bárhonnan hozzáférhetünk. De csak akkor, ha tudjuk, hol van az a valami és mit kell vele csinálni, ahhoz hogy információ legyen belőle.

Erre a rejtett kriptográfia módszerei alkalmazhatóak. Tévedés lenne azt hinni, hogy a Steganografia  és a hozza hasonló eszközök csak a titkosszolgálatok módszerei.  Van valahol a világban egy autómárka, amelyeik a disztribútorok száméra a bizalmas információkat kirakja a WEB helyére. Ezek látszólag igen szép fotók, bárki letöltheti őket., De a képben található kódolt információt az tudja csak kiolvasni, aki nemcsak egy adott szoftverrel rendelkezik, hanem tudja a kiolvasási és kódolási sorrendet meghatározó passwordot.

A hálózati biztonsággal foglalkozó szakemberek egyetértenek abban, hogy mindig csak a legszükségesebb korlátozásokat kell megvalósítani egy hálózaton belül. Ugyanis a szükségtelen korlátozások nemcsak a munkát nehezítik meg, vagy éppen teszik lehetetlenné - de az alkalmazottakban is egyre nagyobb kísértést és vágyat ébresztenek, hogy kijátsszák a  számukra értelmetlen és szükségtelen korlátozásokat. Ha pedig ezt nem tudják, akkor előbb utóbb elkezdik a károkozással való rejtett szabotázst. És ez ellen pedig nem igen lehet eredményesen védekezni.

Végül, de nem utolsó sorban: a hamis biztonságérzet a legveszélyesebb. Ilyen hamis biztonságérzetet táplálnak a kereskedelemben szabadon beszerezhető titkosító programok és eszközök. Ezek az amerikai ismert export korlátozó intézkedések miatt általában hátsó művészbejáróval rendelkeznek, vagy olyan eljárásokat alkalmaznak, amelyeket a kellő erőforrással rendelkező hatalom vagy konkurencia képes megfejteni. Ilyen hamis biztonságérzet, hogy a merevlemezen a törlés után az adatok kellő erőforrások birtokában nem állíthatóak helyre. Csak az irható CD, vagy a merevlemez fizikai megsemmisítése nyújt kellő védelmet.  Egyszer jártam olyan helyen külföldön, ahol a legérzékenyebb adatokat tartalmazó merevlemez ugyanolyan ejtőtömb alatt volt, mint amilyet az atomkulcs védelmére alkalmaztak az USA egyes silóiban a hatvanas években.  Ha baj történik, akkor egy zúzófejjel ellátott vastömb esik rá a merevlemezre, így kizárva annak helyreállítási lehetőségét. Így viszont CSAK a valóban fontos adatokat érdemes védeni.

A biztonság számára a legveszélyesebb tényező az elégedetlen alkalmazotton, titokgazdán kívül a  a titok devalvációja. Azaz a Pudlikutya ebédjét is államtitoknak nyilvánítjuk, akkor  senki még azt sem veszi komolyan ami valóban az. Erre is sok-sok érdekes példát tudnának felhozni a történészek a jelenlegi jelenkor hazai történetéből.

A félelem okaival es a veszélyekkel kell józanul szembenézni. És ennek érdekében meghozni úgy a szükséges biztonsági intézkedéseket, hogy azok mikéntjéről is a lehető legszűkebb körnek legyen tudomása. Sőt egy ember soha ne ismerje az egész rendszert. De az ilyen típusú titkolódzás és biztonsági intézkedések azt és csak azt védjek, amit valóban így kell védeni. Semmi mást. A többire a józan és a kereskedelmi intézkedések éppen elégségesek. A szükséges és elégséges biztonság egy rendszer működésének alapfeltétele. A túlméretezett paranoia a munkát, a lezserség meg a cég létét kérdőjelezi meg.

KIS JÁNOS

Az eredeti megjelent 1999. június 6.