Szerző: Bodnár Ádám

2011. június 3. 09:24

Itthon is be kell jelenteni az IT-biztonsági incidenseket

Magyarországon még az idén törvénybe foglalják a távközlési szolgáltatók kötelezettségét, hogy a személyes adatokat érintő biztonsági incidensekről értesítsék a hatóságot és az érintetteket. A jogszabály alapjaiban rendezheti át a hazai IT-biztonsági állapotokat, de még csak találgatni lehet, pontosan hogyan.

Az Európai Parlament még 2009 végén fogadott el egy direktívát, amely többek között kötelezővé teszi a tagországokban működő távközlési szolgáltatók számára, hogy a személyes adatokat érintő biztonsági incidensekről értesítsék az előfizetőket és a kijelölt állami hatóságot. A direktíva értelmében a tagállamoknak 2011. május 25-ig kell törvényt hozniuk erről, Magyarországon ez egyelőre nem történt meg, de előkészítés alatt áll és várhatóan az ősszel lép életbe az elektronikus hírközlésről szóló törvény módosításaként. Hogy az új szabályozásnak milyen hatásai lehetnek, arról Keleti Arthurt, a KFKI IT-biztonsági stratégáját kérdeztük.

HWSW: A hazai és nemzetközi sajtóban az elmúlt hónapokban több nagy horderejű IT-biztonsági incidens is a vezető hírek közé került, a Sonytól több mint százmillió felhasználó személyes adatait lopták el, az RSA-tól pedig a kétfaktoros azonosítási megoldásukkal kapcsolatos információkat zsákmányoltak bűnözők. Magyarországon az Elender több mint tíz évvel ezelőtti feltörése óta egyetlen biztonsági incidensről sem hallani, mi lehet ennek az oka?

Keleti Arthur: Ennek az oka, hogy egyelőre semmi sem kötelezi a szervezeteket arra, hogy az IT-biztonsági incidenseket nyilvánosságra hozzák és Magyarországon nem honosodott meg az a gyakorlat sem, hogy ha szembenézünk a hibákkal, akkor jobban ki tudjuk őket javítani. Tehát sem belső motiváció, sem külső erő nem késztet senkit. Az Egyesült Államokban már 2003-ban hoztak törvényt arról, hogy a személyes adatokat érintő biztonsági incidensekről értesíteni kell az érintetteket, ezt a legtöbb állam kisebb-nagyobb eltérésekkel be is vezette, van, ahol a papíron tárolt adatokra is vonatkozik, van ahol csak az elektronikusan tároltakra.

Ezeknek az intézkedéseknek a vezérelve nem az, hogy az IT-biztonsági szakma jól összekacsinthasson és azt mondhassa, lám-lám, mi tudtuk hogy ez a rendszer sérülékeny és most be is bizonyosodott, hanem hogy a felhasználókat és az adataikat megvédjék. A Sony PlayStation Network körüli botrány kipattanása után a vállalat ellen indított pereknek is az volt az kiindulási pontja, hogy egyrészt a Sony nem vigyázott eléggé a személyes adatokra és vétett a jogszabályok ellen, illetve hogy nem tájékoztatta az érintetteket. Az incidens, ha jól emlékszem, április 20-án történt, de csak április 26-án jött az első tájékoztatás.

Egy szóval mivel senki sem kötelezi a szervezeteket, nem tudni arról, milyen biztonsági incidensek történnek, és az érintetteket sem értesítik. Ezért üdvös erre valamilyen szabályt hozni, de ebben nem csak a szankciókat kell rögzíteni, hanem azt is ki kell kötni, hogy a szervezeteknek milyen feltételekhez kell tartaniuk magukat. Az uniós direktívában benne van, hogy a kijelölt hatóságnak azt is meg kell határoznia, mit vár el, és ennek a betartását ellenőriznie is kell – már ettől sokat javulhat az IT-biztonság, nem a szankciók miatt, hanem mert a cégek végre tudni fogják, mihez tartsák magukat.

HWSW: A PSZÁF vizsgálatok során sem sokat hallani elmarasztalásokról, ezek szerint a magyar pénzintézeteknél minden rendben van az IT-biztonsággal?

Keleti Arthur: A PSZÁF rendszeresen ellenőriz és volt már rá példa hogy büntetett is, de ha egy cég kikerül a "szégyenfalra", az már a legutolsó fázis. De azt is látni kell, hogy a PSZÁF sem csodafegyver, az IT-biztonsági auditálásra fordítható erőforrásai minden tekintetben végesek, nem tud egy pénzügyi szervezetet vagy annak IT-rendszerét tökéletesen megvizsgálni, csak a legkritikusabb vagy annak tűnő részekre koncentrál.

HWSW: Végre uniós direktíva rendelkezik arról, hogy a távközlési szolgáltatók hozzák nyilvánoságra a személyes adatokat érintő IT-biztonsági incidenseket. Ennek milyen hatásai lehetnek a magyar piacon?

Keleti Arthur: Ezt a direktívát 2009-ben fogadták el és most lett kötelező az országok szintjén erről törvényt hozni. Hogy mi lesz ennek a hatása, az érdekes kérdés, soha nem volt még ilyen törvényünk, nem tudni mi lesz a hatása, de főleg amerikai és kisebb részben nyugat-európai, például brit példák alapján a hatás várhatóan másodlagos lesz. Ez úgy értem, hogy nem fogja közvetlenül növelni az IT-biztonságot a törvény, de ha az incidenseket nyilvánosságra kell hozni, az kikövetelheti a biztonság növelését.

Ünnepi mix a bértranszparenciától a kódoló vezetőkig

Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

Ez nem lesz gyors folyamat, a szervezeteknek is hozzá kell majd szoknia, hogy valaki más náluk komolyabb jogokkal nézelődik a rendszereikben. Az is biztos, hogy nem minden piaci szereplőre lesz egyforma hatással, a legnagyobb távközlési cégek valószínűleg már korábban is sokat tettek a személyes adatok védelméért, de a kis internetszolgáltatók is távközlési szolgáltatók, nekik bizonyára több dolguk lesz most.

Amitől tartani lehet, hogy nem lesz-e farkaskiáltás egy-egy incidens kapcsán, és nem vagyok róla meggyőződve, hogy a média a helyén tudja-e kezelni ezeket. Magyarországon lassan fejlődik az e-kereskedelem és az elektronikus fizetési megoldások iránt is alacsony a bizalom, a médiának nagy felelőssége lesz abban, hogyan tálalja majd az eseteket. Reménykedjünk benne, hogy nem a „már ebben vagy abban a szolgáltatóban sem lehet megbízni” című cikkek lesznek az eredményei annak, amikor bevezetik ezt a szabályozást.

HWSW: Mi a garancia arra, hogy a vállalatok valóban közzé is teszik hogy IT-biztonsági incidens történt náluk?

Keleti Arthur: Ez egy jó kérdés. A direktíva azt mondja ki, hogy "without undue delay", vagyis haladéktalanul értesíteni kell az érintetteket és a hatóságot. De mikor van a haladéktalanul? Nyilván akkor, amikor a tudomására jut a szervezetnek, de mi van, ha sok olyan beszélgetés zajlik majd az adott szervezetnél, hogy „akkor mi most erről nem is tudunk”? Előbb-utóbb fel kell zárkózzunk Európához és el kell fogadjuk, hogy a törvények nem arra vannak hogy megkerüljük, hanem hogy betartsuk őket.

Persze érthető a menedzsment hozzáállása is, ha úgy akarnak tenni, mintha mi sem történt volna és csendben kijavítani a hibát, de reménykedjünk benne, hogy nem nagy közös törvényszegés lesz az eredmény. A hatóságnak pedig rendszeres vizsgálatkor meg kell néznie a naplóállományokat, és ha nem találja meg azokat, amelyek alapján rekonstruálható hogy mi történt vagy történt-e incidens, akkor azért kell büntetnie, ha pedig történt valami, akkor azért.

De azt gondolom, a törvény alapszellemét kell tekinteni: ha kompromittálódtak olyan adatok, amelyek köthetők a felhasználókhoz, akkor a szervezetnek értesítenie kell az erre kijelölt hatóságot és az majd eldönti, mit hoz nyilvánosságra vagy kit értesít. Remélem, a hatóságnál dolgozó kollégák el fogják tudni dönteni, melyek azok az incidensek, amelyekre komolyan lépni kell, nem az lesz a jellemző, hogy ötpercenként kidől egy csontváz a szekrényből.

HWSW: Az Ethical Hacking konferencián tartott előadásod alapján pedig valószínűleg lesznek incidensek.

Keleti Arthur: Ha az etikus hackeléssel szerzett tapasztalatokból indulunk ki, akkor valóban elég sok ilyenre számíthatunk, a KFKI statisztikái alapján nem felkészültek a magyar vállalatok. Persze azt azért tudni kell, hogy az etikus hackelés csak egy pillanatfelvételt mutat be, miközben a biztonság egy folyamatos tevékenység kell legyen. De az elvégzett tesztek jól rávilágítottak arra, hogy milyen komoly bajok vannak.

A tapasztalatok alapján a magyar vállalatok IT-rendszerei nem hackelés áldozatául esnek leginkább, hanem a vírusokról, spamektől, rosszindulatú kódoktól szenvednek, na meg azoktól a dolgozóktól, akik elbocsátásuk után sértettségből szándékosan vagy akár véletlenül kiviszik az adatokat. Meg merem tippelni,hogy az incidensek 90, de lehet hogy 99 százaléka mögött nem hacking tevékenység áll majd. A saját élményeink esem az etikus hackelés erejére világítottak rá, hanem éppen az ellenkezőjére, nem volt szükség komoly felkészültségre a behatolásokhoz. A belülről indított vizsgálatok során például szinte minden esetben a legegyszerűbb adminisztrátori jelszavakkal találkoztunk, olyanokkal mint az admin, az 123, de néha nem is volt jelszó. A külső, tehát a szervezeten kívülről, az internetről indított vizsgálatok során is ez volt a helyzet az esetek 30-40 százalékában, pedig ezek ellen a rendszerek ellen mindenki napi 24 órában próbálkozhat.

Aztán azt is megdöbbentő, hogy a rendszerek a legegyszerűbb sérülékenységekre is reagáltak, például SQL-beszúrásra vagy cross-site scriptingre, vagyis olyan támadásokra, amelyekkel egy IT-biztonsági szakmai rendezvényen már senki sem mer előállni, annyira hétköznapinak számítanak. Komoly bajok vannak, a külső hálózat felé néző rendszerek fele 2 éves vagy régebbi, belül pedig ez az arány 80 százalék, vagyis a cégek nem frissítik sem a használt alkalmazásaikat, sem pedig az őket körülvevő biztonsági megoldásokat. Persze, a frissítésekkel mindig gond van ha kritikus alkalmazásról van szó, mert az üzemeltetők félnek a leállástól. A kritikus alkalmazásoknak illene hogy legyen egy tesztrendszere, amelyen a frissítések hatásait ki lehetne tesztelni, de ezek a tesztrendszerek sokszor hiányoznak vagy az éles rendszerrel nem egyenértékűek.

Az Ethical Hackingen tartott előadás után jöttek oda hozzám rendszergazdák és azt mondák, egyetértenek, de nincs idejük, se energiájuk a biztonsággal foglalkozni. Ebben is van valami, lehet ostorozni az üzemeltetőket, de sokuknak tényleg nincs ideje, ugyanakkor van egy olyan csoport is, amelynek ideje lenne, de igénye nincs rá. Erre tipikus példa az a rendszergazda, aki egyben programozó is volt az egyik cégnél, és az alkalmazásba semmilyen védelmet nem fejlesztett, mondván: a cégnél dolgozók olyanok mint egy nagy család és úgysem akar senki sem rosszat a többieknek.

HWSW: Mik a tapasztalataitok, az ilyen vizsgálatokat követi konkrét lépés, amely az IT-biztonságot javítja?

Keleti Arthur: Az etikus hackelés, a behatolási kísérlet után készült jelentésnek sok felhasználási módja van, lehet a menedzsment előtt lobogtatni, hogy "lám, milyen sérülékenyek vagyunk és több pénz kellene a biztonságra", de hogy mi lesz a sorsa vagy a következménye, ez gyakran nem is a megrendelőn, hanem a cégvezetésen, illetve a felek érdekérvényesítő, hadd ne mondjam retorikai képességein múlik. Van amikor a menedzsment szerint egyszerűen bevállalható a kockázat, mert hát „ki akarna tőlünk adatokat lopni?”

Néha már amikor elkezdődik a vizsgálat, látszik, hogy a megrendelő nem hagyott magának semmi időt arra, hogy az esetlegesen felmerülő hibákat kijavítsa vagy javíttassa a projekt során, vagyis vagy meg van róla győződve, hogy biztos nem sérülékeny a rendszere, vagy egyáltalán nem is érdekli a végeredmény. De van, hogy még az akarás sem eredményez nagyobb szintű IT-biztonságot. Az egyik megrendelőnk az etikus hackelési vizsgálatot követően az informatikai rendszerének egyik elemét teljesen újrakészíttette, de aki megcsinálta, az sem foglalkozott a biztonsággal, tehát a cég semmit nem jutott előre, miközben kifizetett egy nagy csomó pénzt. Magyarországon sajnos talán a szoftverfejlesztőkben a legalacsonyabb a biztonságtudatosság szintje.

Néhány egyszerű lépéssel, például erős jelszavak választásával, a „beszédes” alkalmazások elhallgattatásával, az IT-rendszerek egyes rétegeinek vizsgálatával, vagyis az alkalmazás alatt futó adatbázis, operációs rendszer, hardverek, hálózati eszközök megfelelő konfigurálásával, valamint a frissítések rendszeres telepítésével sokat tehetnének a cégek a saját biztonságukért.

a címlapról