Több tízezer informatikai rendszert ellenőriznek az állami szervezeteknél

Országszerte tízezres nagyságrendű azoknak a rendszereknek a számra, amelyeket a mintegy 6-10 ezer állami szervezet használ piaci információk, illetve az állampolgári adatok tárolására és kezelésére. A rendszereket elsősorban nem az olyan típusú támadások veszélyeztetik, mint amelyet az Iszlám Állam szimpatizánsai követtek el a Radnóti Gimnázium vagy Zsana község honlapjai ellen, hanem a csendes, kiskapukat használó, adatlopó tevékenység. Lengyel Csaba, a Hunguard Kft. szakmai igazgatója szerint azonban nem csak a külső, hanem a belső sérülékenységet is vizsgálni kell a rendszerek kapcsán, mivel ezeket akár egy rosszul kalibrált jogosultsági beállítás is veszélybe sodorhatja.

Országszerte tízezres nagyságrendű azoknak a rendszereknek a számra, amelyeket a mintegy 6-10 ezer állami szervezet használ piaci információk, illetve az állampolgári adatok tárolására és kezelésére. A rendszereket elsősorban nem az olyan típusú támadások veszélyeztetik, mint amelyet az Iszlám Állam szimpatizánsai követtek el a Radnóti Gimnázium vagy Zsana község honlapjai ellen, hanem a csendes, kiskapukat használó, adatlopó tevékenység. Lengyel Csaba, a Hunguard Kft. szakmai igazgatója szerint azonban nem csak a külső, hanem a belső sérülékenységet is vizsgálni kell a rendszerek kapcsán, mivel ezeket akár egy rosszul kalibrált jogosultsági beállítás is veszélybe sodorhatja.

Magyarországon 6-10 ezer olyan állami szervezet van, amely érzékeny adatokat tárol, így nemzetbiztonsági kérdés, hogy ezek rendszerei megfelelően védve legyenek a támadásoktól. Ide tartoznak az állami vállalatok, kormányzati szervek, minisztériumok, önkormányzatok, egészségügyi intézmények rendszerei, ahol bizonyos esetekben piaci információkat, máskor az állampolgárok személyes adatait kell megvédeni. Ami pedig igazi kihívássá teszi ezt a munkát az a rendszerek száma: míg egy kisebb szervezetnél csak néhányról beszélhetünk, addig egy nagyobb vállalat vagy szerv esetében tucatnyi különböző rendszert is ellenőrizni kell, így ezek száma országszerte tízezres nagyságrendű. Habár a vizsgálatok és fejlesztések révén a szervezetek informatikai rendszerei egyre erősebb védelemmel vannak ellátva, még van tér a további fejlődésre.

Annak ellenére, hogy igen látványosak, az olyan jellegű támadások, mint az Iszlám Állam szimpatizánsainak akciója a Bács-Kiskun megyei Zsana község vagy éppen a budapesti Radnóti Gimnázium honlapja ellen, kevésbé veszélyesek.

„Ezeknek a támadásoknak a célja általában csak a hírverés, nem az adatlopás vagy a manipuláció. Elsősorban azok a támadások a kockázatosak, amelyek csendben, titokban valósulnak meg. A sérülékenységből fakadó kiskapuk, az úgynevezett backdoorok észrevétlen telepítésén keresztül folyamatosan lehet információkat kivinni a rendszerekből. Ameddig nem túl zajos a támadás, azaz nem hagynak látható nyomot, nem írnak át weboldalakat, addig a támadók rejtve maradhatnak és huzamosabb időn keresztül járhatnak be a rendszerbe" – mondta el Lengyel Csaba, az informatikai rendszerek biztonsági auditjával foglalkozó Hunguard Kft. szakmai igazgatója.

Ma Magyarországon a Belügyminisztérium alá tartozó Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) felel az állami rendszerek biztonságáért, amely kockázatelemzés alapján egy 5-ös skála szerint osztályokba soroltatja azokat, a vonatkozó törvénynek megfelelően. Természetesen minél magasabb a besorolás, annál komolyabb biztonsági követelményeknek kell megfelelnie az egyes rendszereknek.

A magas kockázati osztályba sorolt rendszerek a külső és belső támadásoknak ráadásul egyaránt ki vannak téve. A biztonsági ellenőrzéseknek tehát nem csak a különböző érdekcsoportok által elkövetett külső támadásokra, hanem a belső felhasználók jogköreire is figyelniük kell. „A külföldi hírszerzők és piaci konkurensek mellett a belülről érkező veszélyekre is oda kell figyelni. Egy rosszul beállított jogosultsági rendszer, akár csak egy elégedetlen alkalmazott révén is, komoly károkat okozhat mind a szervezetnek, mind az államnak" – világított rá a kérdés jelentőségére Lengyel Csaba.