Információbiztonság. Sokaknak idegen ez a fogalom, titokzatos, ködös és nem tudjuk, mit takar. Ebben a cikkben erre szeretnék fényt deríteni. Azt szeretném, hogy mindenki megértse az információbiztonság értékét.
Írhatnék száraz tényeket, fogalmakat, sőt, komplex ábrák sokaságát tudnám felsorakoztatni kimutatásokkal fűszerezve, azonban inkább egy sokak által ismert és a hétköznapokhoz közelebb álló hasonlattal szeretném szemléltetni, mi fán terem az információbiztonság.
„Térj át a sötét oldalra” – hangzik el a felkiáltás.
Sokan közülünk ebben nőttünk fel… sokak gyerekkorát végigkísérte és sokaknak még a mai napig is számtalan kellemes emléket idéz fel… hogy mi ez?
Igen, ez a Csillagok háborúja c. film, más néven a Star Wars. És hogy mit keres ennek a filmnek a neve a cikkben? Hogy rávilágítsak az információbiztonság értékére és súlyára.
Míg a film leegyszerűsítve a jó és a rossz harcáról szól (most ne térjünk ki arra, hogy kinek melyik oldal a szimpatikus J), nézzük csak meg egy másik megvilágításban, hogyan is kezdődött a sztori. Ha úgy nézzük, a film egy adatlopási incidensből indul ki és az azt kiváltó reagálások láncolatait viszi tovább. Miről is van szó…
A Birodalom (a rossz oldal) elveszt egy számára kényes információt hordozó adatot az éppen épülőfélben lévő ún. halálcsillagról (halálcsillag = megagigantikus fegyver az univerzum meghódítására).
Ezek az adatok egy új technológiáról tartalmaznak fontos adatokat, nevezhetjük üzleti/vállalati titoknak ebben az esetben, aminek megvédése, mások elől elrejtése kiemelten fontos érdeke a Birodalomnak. És hogy a hasonlatokkal tovább éljünk, nevezzük ki Darth Vadert (a Birodalom rettegett főgonoszát) a Birodalom biztonsági felelősének.
Az ő feladata, hogy ezek az információk ne kerüljenek illetéktelenek kezébe. Na már most…neki feltűnt, hogy az adatot ellopták, ezért nyomon is követi a szálakat, mígnem rájön, hogy az adatot egy R2-D2 nevezetű igencsak mobilis robottal töltötték le a rendszeréből.
Az emberek manapság behozzák saját hordozható eszközeiket a munkahelyükre, azokat fel is csatlakoztatják a vállalati hálózatra, amitől már csak egy lépés választja el az illetőt, hogy adatokat tulajdonítson el akarva-akaratlanul.
A filmbeli hasonlatunkhoz visszatérve, az R2-D2 nevezetű robot a hordozható informatikai eszköz maga. Amikor a Birodalom észrevette, hogy az adatot ellopták és a robot segítségével kivitték a ’vállalati környezetből’, nem lőtték le, vagy semmisítették meg őket. Hogy miért nem? Mert a párhuzam újabb egyezése alapján a Birodalomnak csak a hozzáférések monitorozására, riportolására volt technikai lehetősége. Nem állt módjukban megelőzni, vagy megakadályozni az adat ellopását, csak annak megtörténtét tudták észlelni és nyomon követni.
Ezt teszi egy biztonsági szakember is…építkezik a nyomokból, olvassa a naplóállományokat, monitorozza a tevékenységeket, összeteszi a puzzle-t és ha minden csillag megfelelően áll, akkor módjában lesz meghatározni, hogy az adott üzleti adat a rendszer melyik sérülékenységi pontján át került ki. Természetesen vannak bonyolult rendszerek, amik akár beavatkozásra is képesek ilyen esetekben, de a könnyebb érthetőség kedvéért most ezeket tegyük félre a következő cikk erejéig.
Tanulságként levonható, hogy a Birodalom biztonsági rendszerében a hézagot az jelentette, hogy ha bárki csatlakoztat egy pendrive-ot (ami jelen hasonlatban az R2-D2 robot volt) a rendszerbe, akkor hozzáférés szabályozás nélkül adatokat tölthet le onnan. Így például egy szerepkör alapú jogosultság rendszer kiépítése jelentősen megkönnyítette volna a Birodalom adatainak védelmét (kik és mikhez férhetnek hozzá), de persze akkor a film el se kezdődhetett volna.
A filmbéli hasonlattal élve elmondható, hogy bármekkora összeget is költünk biztonsági rendszerekre, mindig apró dolgokon buknak el a dolgok. Apró hézagok a rendszerben, biztonsági előírások figyelmen kívül hagyása, hanyagság, emberi mulasztás, technikai elavultság stb. Mind-mind olyan tényezők, amik a számunkra fenyegetést jelentő illetéktelenek számára kedvező feltételeket teremtenek ahhoz, hogy céljaikat elérjék és adatainkhoz hozzáférést szerezzenek.
Természetesen a hasonlat csak szemléletes, nem minden részletre kiterjedő, mára már számos megoldás, technikai lehetőség adott ahhoz, hogy ilyen eseteket, vagy akár bonyolultabb támadási kísérleteket automatikus módszerekkel kivédjünk… de a film 1977-ben készült, így nézzük el a kor technikai hiányosságait.
Ha teljes biztonságot keresel, akkor rossz bolygót választottál! Teljes biztonság nem létezik, de törekednünk kell annak elérésére.
Szabó Zoltán
információbiztonsági felelős