Vélemény: Kesergő a JP Morgan-ügy margójára
Vágjunk a közepébe, nem kell a sallang. Nem kell hosszasan ecsetelni, mi történt alig pár napja a JP Morgannel – erről talán mindenki olvasott. A JP Morgant megcsapták, mint Gyuszi bácsit a hagymaszag a gangon. Sokmillió ügyféladatot vittek el, égés, magyarázkodás, fél százalékos csökkenés a tőzsdén.
Engedtessék meg, hogy feltegyek egy kérdést, amely már talán (remélhetőleg) sok emberben felmerült, amikor adatlopásokról és adatszivárgásról olvasott a szak- és bulvársajtó hasábjain:
- Hogy a fenébe lehetséges ez?
A JP Morgan nem a kisközért a sarkon, jól képzett szakemberek, kisebb ország éves bevételét leiskolázó büdzsé áll rendelkezésre – és mégsem tudták megvédeni az adataikat. Ráadásul nem is az ő adataikat, hiszen az ügyfelek adatairól van szó.
A magyarázathoz kicsit magunkba kellene tekinteni és elszakadni az „Ez velünk nem történhet meg!” vagy „Kit érdekelnének a mi adataink?” kijelentésektől. De. Megtörténhet.
Akárhány üzemeltetővel vagy biztonsági szakemberrel beszélgettem, mindig megkaptam a melldöngetést: - Én még a titkosítót is eltitkosítom, esténként a gyerekemnek is a security logokat olvasom fel, 7 tűzfalat kötöttünk sorba és az IPS-ünk már a kukáskocsi által keltett aszfaltrezgésre is bejelez – mi vigyázunk! Igazából, még soha nem beszéltem olyan üzemeltetővel vagy biztonsági szakemberrel aki ne azt mondta volna, hogy ők vigyáznak.
Azt kell mondanom, hogy ezzel nem csak a JP Morgan volt pontosan ugyanígy, de az összes adatlopást, -szivárgást elszenvedő cég is pontosan ugyanígy döngette a mellét – amíg be nem következett az incidens. És higgyétek el, incidens mindig bekövetkezik, és az, hogy nem léphetsz kétszer ugyanabba a folyóba, legfeljebb a keleti bölcsek fejében adhat valamiféle vigaszt, mert igen, kétszer, sokszor is ugyanabba a folyóba fogunk lépni. Aki egyszer áldozat lett, az áldozat is marad – amíg nem kényszeríti ki valami a változást.
Az okok sok mindenre vezethetőek vissza, de ha a legmarkánsabbat kellene kiválasztani, ki kell mondani, hogy egyre butábbak vagyunk. Egyre kevesebb szakértelemmel egyre több és nagyobb rendszert használunk, üzemeltetünk. Régen regiszterszintig ismerték az informatikai eszközöket. Fehér köpenyes igazi programozók álltak a mérnökpultok mellett, akik kapcsolótáblákon zongorázva vitték be a kódokat, vagy unalmukban vicceket lukasztottak a kártyákra és lámpa alatt átvilágítva olvasták el a poénokat.
Ma egy szövegszerkesztő program több száz megabájt, és OKJ-s szakmunkások, kiugrott bölcsészek üzemeltetnek több száz, több ezer felhasználós hálózatokat. Egy-egy rendszer önmagában sem képez már átlátható és felfogható környezetet, nem hogy az összetett, egymásra épülő alkalmazások.
Azt mondod, túlzok? Akkor hogyan történhet meg a JP Morgan esete minden nap? Mert minden nap megtörténik. Másokkal, más cégekkel, velem, veled.
Tudomásul kell venni, hogy a humán oldal és a technológia közötti olló olyan szélesre nyílt, amire korábban nem volt még példa. És rossz hírem van, amíg ezt olvasod, még tovább nyílik. Tudomásul kell venni, hogy a technológia fejlettsége és bonyolultsága mérföldekre megelőzi a technológia felhasználóinak tudását, ismereteit.
Azt mondod, túlzok? Ugyan, meséld már el nekem, hogy működik az a monitor amit bámulsz? Hogyan lesz görgetés abból a mozdulatból, amivel lapozol? Mi a frász az a Windows? Hálózat? Ne tréfáljunk, OSI modell meg minden! Oké, vágod a keretezést. Hurrá, tudsz subnetet számolni. Tisztában vagy a biztonsági szabályokkal. Cseréled a jelszavadat. A budiba is két faktorral mész be nagydolgozni, az eredményt meg titkosítod.
Akkor hogyan történhet meg a JP Morgan esete minden nap? Mert minden nap megtörténik. Másokkal, más cégekkel, velem, veled.
Mert az van, hogy itt valaki hazudik. Vagy Te, vagy a gyártók, vagy a felhasználók, vagy a cégek. Vagy mindenki, egyszerre. Dr. House megmondta a frankót: Mindenki hazudik.
Mert az a büdös nagy igazság, hogy a biztonság igazából senkit nem érdekel. A felhasználó dolgozni akar, elvégezni a munkáját. A cégek termelni akarnak, a létük értelme, hogy termeljenek (profitot). A gyártók is cégek, tehát profitot akarnak termelni. Mindenki termelni akar. Mert ez a fontos: a termelés. Bármi történhet, a termelés nem állhat le. Igaz ez a fejlesztőkre is, akik szintén termelnek. Adott költségkereten belül az adott alkalmazást. A fontos, hogy adott időre, adott költségek mellett elkészüljön az alkalmazás és termeljen.
Ha belegondolsz, mi ellen védekeznek a vállalatok és cégek a legjobban, rájössz, a termelés kiesésétől tartanak a legjobban. A szolgáltatás leállásától. Mert akkor nincs termelés. Áll a szolgáltatás, nincs termelés, nincs profit.
Azt mondod ez túlzás? Akkor gondolj csak bele, hogy bármely informatikai beruházásnál ami a core rendszert és a termelő rendszert érinti, mi az elsődleges? HA, cluster, redundancia, DR. Mert a szolgáltatás nem állhat le. Annak mennie kell, bármi áron.
Azt mondod, ez túlzás, mert költenek a vállalatok eleget IT biztonságra? Ki kell ábrándítsalak, ahhoz képest, amit arra költenek, hogy az adatok elérhetőek maradjanak (tehát a szolgáltatás termeljen) elenyésző, amit az adatok megvédésére költenek. Adatot különben sem lopnak el – hiszen ott marad az eredeti helyén!
Erre mondhatod, hogy ez csak vicc, de akkor hogyan történhet meg a JP Morgan esete minden nap? Mert minden nap megtörténik. Másokkal, más cégekkel, velem, veled.
Persze az is nyilvánvaló, hogy rettenetesen nehéz a működtetési költségek – azaz az adatok folyamatos elérhetőségére fókuszálva – mellett az adatok megvédésére is áldozni. Hiszen egymásra épülnek a dolgok, a nem megfelelő kódokat író, nem megfelelően képzett fejlesztők nem megfelelő alkalmazásokat szülnek. Ami ugyan termel mert ez a célja, de az adatvédelem már nem fér bele (nehéz pl. azt a bevitelimező-validációt beletenni, ugye?). A túlterhelt, agyonhajszolt felhasználók meg üzemeltetők ilyen rendszereken termelnek, dolgoznak. Hozza ez a lehetőséget és a hibát gyöngyen.
A felhasználók kvalitásait nem kell ecsetelnem, el lehet sok dolgon szörnyülködni, a rendszergazdák aztán mesélnek erről eleget. Az üzemeltetőket sem kell félteni, elvégzik a munkájukat mert ezért vannak, és jól elvégzik a munkájukat, üzemben – termelésben tartják a rendszereket mert ez a legfontosabb, ugye? Meg kell lennie az adatbázisok mentésének, mert egy leállás után vissza kell állni, hogy mehessen a termelés tovább – ez világos, nem? Ne is próbáljuk megérteni az eredményét pl a Google-ben elsütött filetype:sql and "insert into" keresésnek, mert akkor megint ott tartunk, hogy túlzok.
Na és a cégek, vállalatok.
Ott kezdődik, hogy volt biztonsági audit, megvolt az adatok osztályba sorolása, „klasszifikálása” - az ISO27001 ott is van a zsebben. Pontosan tudják, milyen típusú és érzékenységű adatokkal dolgoznak. Azt mondjuk nem, hogy ezek hol fellelhetőek a hálózatban, mert arra már vagy nem futotta az audit során, vagy szó sem volt róla, hogy esetleg nem elég azt tudni, hogy dolgozunk pl „Finance” adatosztályba tartozó adatokkal, pl Fizetés adatcsoporttal, de hogy aztán milyen fájlok és hol találhatóak a hálózatban, amelyekben az ezekhez az osztályokhoz, csoportokhoz sorolható információk vannak, na az konkrétan nem lett felmérve, dokumentálva és megfelelően kezelve. Kinek van pénze, ideje átnézni azt a hatmillió fájlt és ki tudja mennyi adatrekordot, amit tárolunk? Persze ebből egyenesen adódik, hogy olyan adatok vannak olyan helyeken, amelyeknek elvileg nem kellene, nem lenne szabad ott lennie (pl. sql dumpnak, és sorolhatnánk). De végül is oda se neki, egyrészt nem tudunk róla, és akkor nem fáj, másrészt meg legalább megvan, lehet vele dolgozni, termelni.
A másik oltári nagy probléma, hogy sajnos a kockázatkezelésnek nincs köze a tényleges adatbiztonsághoz. Szomorú, de ki kell mondani, hogy az érzékeny adatok forintosítva vannak. Egy adott információ/adat/adatosztály/stb. kiszivárgása X kárt okozhat nekünk. Forintosítás (dollárosítás, eurósítás) van.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig
Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
Konkrétan ezt nem tudom hibának felfogni, hiszen valamibe kapaszkodnia kell a vállalatoknak. Az nem kérdés, hogy redundáns switchek, routerek, adatbázisok kellenek, clusterezett még a kapucsengő is – kérdés se merül fel, hogy miért van rájuk szükség. A securitynak a kockázati mátrix jutott, a főellenség és a főtámogató egyben, ebből kell a legjobbat kihozni.
De persze mondhatod, hogy túlzok. Válaszolnám, hogy a legújabb hárombetűs APT támadások sem azért fájnak, mert az APT malwareket nem tudják a jelenlegi határvédelmi rendszerek észlelni, és bejutva a hálózatba adatokat szivárogtatnak ki, nem. Azért fájnak, mert a remediációs költség (már ha valahogy kiderül, hogy vannak ilyen jószágaink) sokkal magasabb pl. a tömeges vírusfertőzésnél, ahol három eltérő víruskergetővel leellenőrzik a fájlokat és jónapot. Konkrétan nincs igazán jobb (költséghatékonyabb) remediációs lehetőség a teljes formázásnál és újrahúzásnál, ami ugye egyrészt járhat adatvesztéssel (hopp, nem áll rendelkezésre az adat!) másrészt meg kiveszi a felhasználót és eszközét a termelésből. De fontos tudni, egy átlagos rosszindulatú kóddal való befertőződés és a fertőzés észlelése között körülbelül 200 nap telik el.
Nevezhetsz hazudozónak, de csak megkérdezném, hogyan másképp történhet meg a JP Morgan esete minden nap? Mert minden nap megtörténik. Másokkal, más cégekkel, velem, veled.
Minden összefügg mindennel, de leginkább az ember a technológiával és a mindkettő működését irányító szabályzatokkal. De amíg nem lesz ezek között harmónia és nem csukódik az olló, addig ez minden nap meg fog történni. Velem, veled, másokkal. És persze a JP Morgannel. De semmi pánik, a piac korrigálta önmagát, a JP Morgan működik, termel – az árfolyam pedig visszaállt. Lehet a kasszához fáradni, igazából megint nem történt semmi.
A cikk szerzője egy végtelenségig elkeseredett IT-biztonsági szakember.