Az információbiztonsággal kapcsolatos napi hí­rek mostanában tele vannak a válság miatt elbocsájtott ex-alkalmazottakkal és az általuk képviselt igen magas rizikófaktorral, különös tekintettel a rendszergazdákra. Egy elbocsájtott rendszergazda valóban súlyos fenyegetésnek tűnik, hiszen Ő az, aki a vállalati adatok minden szintjéhez jogosultságokkal bír, mindent lát a rendszerben, mindenhez hozzáfér, mindent módosíthat, mindent törölhet, mindenható. Hogy egy kicsit a szokásostól talán eltérő nézőpontból is megvilágítsam, pontosan olyan helyzetben van az informatikai rendszerben, mint egy hacker, aki 100 százalékig kompromittálta azt, vagyis minden létező jogosultsági szint felett megszerezte az ellenőrzést.
Hogy miért alakult ez így? Elég hosszú fejtegetést igényelne az összes aspektust megvizsgálni, erre egy ilyen poszt nem a megfelelő hely. Két lényeges okot azért kiemelnék. Egyrészt, az informatikai ipar olyan környezet kialakítására ösztönözte a vállalatokat, amely a védelmi vonalat nem szorosan az adatok körül húzta meg, hanem jóval tágabban, a vállalat virtuális határainál. Itt az adat már információként van jelen, és a védelem kiépítése jóval több erőforrást igényel, hiszen jóval komplexebb, szélesebb spektrumú és nehezebben körülhatárolható entitást kell védeni. Ezzel szorosan összefügg a másik lényeges ok, hogy a viszonylag tágan kialakított védelmi vonalakon belül többnyire még az igazán kritikus vállalati, stratégiai adatok sem kapnak külön védelmet, így nem csak azok számára lényegülhetnek át információvá, akiknek erre felhatalmazásuk, joguk, szükségük van, hanem az informatikai rendszerben uralkodói státuszt betöltő rendszergazdák számára is.
Így már valóban érthető, hogy potenciálisan milyen fenyegetést jelentenek, bár a tapasztalatok szerint a rendszergazdákra egyáltalán nem jellemző, hogy önszántukból ilyen módon állnának bosszút egykori munkaadóikon. Elgondolkodtató viszont, hogy egy esetleges, például konkurens cégtől jövő külső megkeresés és jelentős anyagi ösztönzés hatására feladják-e elveiket.
Felmerül az alapvető kérdés: lehet-e védekezni ez ellen a kockázat ellen? A válasz az idevezető okok taglalásánál leírtakkal függ nagyon szorosan össze. Védelmi vonalat kell építeni szorosan az adatok köré, vagyis kriptográfiai megoldással csak egy meghatározott, arra jogosult felhasználói kör számára szabad és kell biztosí­tani a kritikus adatok értelmezését. Ez így egyszerűen hangzik, de valójában igen komoly feladat, sok pénzbe kerül, és csak nagyon jól előkészítetten és átgondoltan valósítható meg. És persze, mivel a biztonság ily módon történő növelése is kényelmetlenebbé teszi az informatika használatát, egy sereg új problémát is felvet, például a felhasználók szám?ítógépein, notebookjain tárolásra kerülő adatok kérdését. De ez már egy (részben) másik történet.

Érdekes hírt olvastam ma a sajtófigyelésünkben az USB-kulcsok és a vállalati információbiztonság kapcsolatáról. (http://hirek.prim.hu/cikk/71539/) Főként azért kaptam fel rá fejemet, mert sok-sok éve szajkózzuk már, hogy ennek a problémakörnek a széles körben tapasztalható negligálása óriási kockázatot jelent. Néhány éve kifejlesztettünk egy terméket is, a Data Defendert (DD), ami a számítógépből történő adatkimásolást felügyeli. Hogy őszinte legyek, bár viszonylag sokat adtunk el ebből a központilag menedzselhető rendszerből, mégsem váltotta meg a világot. Pedig nagyon szerettük volna. Azóta is sokat töprengünk rajta, hogy miért nem.
A helyzet azóta pedig csak ? hogy Virág elvtársat idézzük ? fokozódott. Hiszen amikor a DD-t fejlesztettük, az 1 gigás pendrájv még igazi durranás volt, ma pedig már 32 gigabájtost (!) is vehetünk, a piaci verseny is nagyobb, és körülöttünk a világ se lett nyugalmasabb. Szinte naponta hallani adatlopásokról, visszaélésekről, nem csak a vállalati, hanem az ilyen szempontból sokkal érzékenyebb állami/titkosszolgálati területekről is. Ráadásul az eseteknek csak egy kis része kerül nyilvánosságra.
A fent említett cikk tanúsága szerint még ma sem általános, hogy legalább szabályozás szintjén próbáljanak tenni valamit a vállalatok az adatlopás e rendkívül kényelmes módja ellen. A komplexebb védelmi rendszerek ? mint pld. a DD ? alkalmazása pedig már jóformán szóba sem kerül. Tény, hogy a szigorú védelmi rendszereket a felhasználók nem komálják túlságosan ? hja, hiszen korlátozza a mozgáskörüket, és kicsit kényelmetlenebbé teszi az engedélyezett adatmásolást is ,? viszont a vállalat vagy szervezet minimálisra csökkenti ez irányú kockázatait.
Persze a cikkben emlegetett felmérés Angliában készült. Nálunk nyilván teljesen más a helyzet?

 2008-ban a tíz legtöbbet használt jelszavak listája a következő: (ill. ezek magyar megfelelői)

1. (username)
2. (username)123
3. 123456
4. password
5. 1234
6. 12345
7. passwd
8. 123
9. test
10. 1

Szigorúan kerülendő továbbá a háziállat, családtag, autómárka, születési idő, hely, ill. bármely személyes információ jelszóként történő használata.

A tegnap az Index.hu hírportálon megjelent cikk-kel kapcsolatban:

Az incidens megtörtént, ezen változtatni nem lehet, a legfontosabb, hogy mindenki, aki jelentkezett a Pannon Egyetemre és bekerült az adatbázisba, vagy kollégista, az érintett az ügyben. Kis szerencsével az adatok bárki számára hozzáférhetőek voltak az elmúlt hónapokban, senki ne bízzon abban, hogy az adataival nem próbáltak/próbálnak meg visszaélni! Az alábbi adatok kompromittálódtak:

A kollégiumi jelentkezéssel foglalkozó adatbázisban szereplő jelentkezők ill. kollégiumi lakók:

Egy jól szervezett, akár ISO 9001 vagy ISO 27001 tanúsítással rendelkező cégnél, ahol a fő értékeket vezetői szinten értik és kommunikálják, sokkal inkább elvárható a dolgozóktól ugyanez, mint ott, ahol a vezetőnek van a legtöbb ?privilégiuma?, és a biztonsági követelményeknek a legjobban fittyet hány.

Ahhoz, hogy vállaltunk minden dolgozójának biztonsággal kapcsolatos percepciói megváltozzanak, biztosítanunk kell, hogy az elért eredmények a napi rutin során is visszaköszönjenek, rögzüljenek. A belső csapat biztonságtudatossága kihat ügyfeleink, partnereink érzéseire is; a bizalom a cégben növekszik.

A biztonsági felelős feladata a biztonság ?eladása? a szervezeten belül. Mondhatnám, hogy erre ?minden eszköz megengedett?, persze a jó ízlés és a legalitás határain belül.

Kedves IT és Információbiztonsági felelősök, megbízottak, menedzserek! Nyerjünk általános támogatást a biztonság ügyének, hogy ne csak a krízishelyzetekben legyünk elővéve! Hogyan?

• Példamutatás
• Kreatív kommunikáció és biztonsági kultúra terjesztése
• Üzleti igények tényleges megértése
• Valódi megoldások
• Legyünk láthatóak (van nálunk IT és biztonsági részleg is?)
• Legyünk transzparensek (?ezek nem csak tonert cserélnek?)
• Mutassuk a fejlődést (quick win-ek fontossága, fejlődési trendek mutatása)

Ha néha kétségek gyötörnek minket, hogy vajon a megfelelő helyre allokáljuk informatikai és biztonsági erőforrásainkat, a feladatokat jól hajtjuk-e végre, és nem utolsó sorban realizáljuk-e az elvárt hasznosságot  -  tekintsük meg a Val-IT keretrendszert!

Mint CISSP, büszke vagyok arra, hogy kedvenc szervezetem, az ISC2 minden eszközzel segíti munkánkat. Elérhető a 2008. év legnépszerűbb ?biztonságtudatossági segédlet? szavazás eredménye. A szavazás az eddig szép számban feltöltött biztonsági ?awareness goodies? ? képernyővédők, poszterek, stb. ? közül emelt ki néhány kiemelkedő darabot. A főoldalon a nyertesek találhatóak, ám a ?Downloads? fül alatt a ?View all downloads? link alatt temérdek anyag található, amely segíthet felhasználóink jó útra terelésében.

Jó válogatást és ötletvadászatot kívánok! (Ha esetleg valaki lefordítana egy-két posztert vagy egyebet, kommentként megoszthatja a közösséggel :) )

Mit értek bevezetés alatt? Alapvetően bármilyen projektet, amely a szervezet életében addig nem létező megoldást hoz létre. Lehet ez egy új rendszer, új folyamatok, stb. Mit értek bukás alatt? Amikor ?sikeresen? lezárul ugyan a projekt, de valódi hasznát mégsem érzi a szervezet. Bármilyen, a szervezeti kultúrát érintő fejlődést csak fokozatosan érhetünk el; így, ha egy egyszeri, 3-4 hónapos erőfeszítés után mindenki hátradől, és úgy érzi, mindent megtett az ügyben, amit lehetett, az erőfeszítés igen könnyen kárba vész.
Ahhoz, hogy valódi értéket realizálhassunk a projektjellegű tevékenységeinkből, nem szabad azok utánkövetését elhanyagolni és azt gondolni, hogy innentől kezdve megy minden az optimális mederben.

A felhasználók és a döntéshozók a biztonsági követelmények szigorodásával egyre inkább felteszik a kérdést: Miért legyek én biztonságtudatos, miért éri ez meg nekem? Fontos, hogy a biztonság nem önmaga miatt létezik, hanem annak érdekében, hogy üzleti, szervezeti küldetésünk, folyamataink minél védettebben, a külső (vagy belső) zavarokra minél érzéketlenebbül valósuljanak meg. Emellett minden biztonsági beruházás célja a hatékonyság növelése is egyben (security as a business enabler). 

Miket gondoljunk át általánosan és az egyes biztonsági projektek esetében is?

• Tervezzünk! Hol vagyunk most, hova akarunk eljutni, és hogyan tartjuk fenn az elért eredményeket? Mi lesz egy, kettő, vagy öt év múlva a jelenlegi erőfeszítésekből látható?
• Tervezzünk általánosan, és ne hanyagoljuk el az ?üzleti oldallal? való kommunikációt.
• Értsék meg a felhasználók is, miről van szó!
• Állítsunk valós, elérhető és nem utolsó sorban az üzleti vezetés számára is érdekes biztonsági célokat, akár számok, KPI-ok formájában.
• Számítsunk az ellenállásra, és készüljünk fel rá!

A Google post után még nem gondoltam, hogy rovat lesz belőle, de a szerencse mellém szegődött. A lényeg, hogy ismét lehetőségem volt betekinteni egy hasonló nagyságrendű szervezet, a McKinsey & Company Inc. “berkeibe”. Ami engem érdekelt, az ismét csak a felhasználók biztonsági tudatosítása.
Egy kis bevezetés: a McKinsey pénzintézeteknek, olaj- és iparvállalatoknak, kormányoknak ad stratégiai tanácsokat. Itt jórészt felsővezetői döntés-előkészítésről van szó. Azaz bankigazgatóknak, igazgatótanácsoknak, minisztereknek kell tanácsot adni. Ehhez előtte számos interjúra, elemzésre, megbeszélésre van szükség. Ezeken a megbeszéléseken a munkatársak jegyzeteket készítenek, amelyekből később az eredményeket, javaslatokat levezetik.
Nos, ezen a ponton lép be a tudatosítás (illetve én eddig láttam kíváncsi szemeimmel). A cég kötelezően használandó jegyzettömbjein a cég emblémájánál ötször (5x) nagyobb betűmérettel olvasható a “FOR YOUR EYES ONLY” felirat, öt darab ca. 3×3 cm-es piktogram kíséretében. A piktogramok alatt az alábbi feliratok olvashatóak:
- sealed lips (zárt ajkak)
- clean desk (tiszta íróasztal)
- guarded doors (őrzött ajtók)
- safe script (jegyzet védelme)
- safe screen (képernyő védelme)
Ha jól gondolom, akkor ezt minden nap többször is látja a munkatárs. Egy idő után nem vesz róla tudomást. De addigra fejből tudja az összeset!
Hát ők így csinálják!