BUX 137625.54 -0,56 %
OTP 43980 -1,94 %
economx_logo
Csatlakozás
Keresés
Buksza blog
Video
Promo app

Töltse le az Economx appot!

Letöltés
Ha tökéletes a biztonság, nem használható a rendszer
OTP 43980 -1,94 %
EUR/HUF 351.7 -0,22 %
Csatlakozás
Keresés
Buksza blog
Video

Ha tökéletes a biztonság, nem használható a rendszer

Az IT-biztonság a vállalatvezetők többnyire hiányos ismeretei miatt sok helyen háttérbe szorul. Az Infoszféra Rendezvényszervező Kft. előadás-sorozattal próbálja az ezzel kapcsolatos homályt eloszlatni. Az IT-biztonság alapvető feltételeinek megteremtéséről beszélgettünk Tábor Viktorral, az ANT Kft. elnökével, a rendezvénysorozat egyik előadójával.

2002. május 21. kedd, 23:59

Megosztom

Google Állítsd be Google keresőjét, hogy a találatok között biztos ott legyen az Economx!

- Mikor nevezhető egy informatikai rendszer biztonságosnak?
- Egy informatikai rendszer akkor biztonságos, ha egy katonai bunkerben telepítjük, minden külső áramforrást eltávolítunk, informatikai hálózati kapcsolatait elvágjuk, a gépeket nem kapcsoljuk be és mindezek mellett megbízható biztonsági személyzettel védjük. Természetesen egy ilyen rendszernek nincsen értelme. Azaz, bár biztonságos, de nem használható. Tehát úgy kell feltenni a kérdést, hogy egy adott rendszer mikor láthatja el funkcióit a legnagyobb biztonság megtartása mellett.
- Mikor mondhatja egy vállalat felelős vezetője, hogy az informatikai rendszere megfelelően biztonságos?
- Ahhoz, hogy egy rendszert biztonságosnak nevezhessünk, két alapvető feltételnek kell teljesülnie. Először is a rendszert üzemeltetők és a felhasználók képzettségét és lojalitását kell kiemelnünk. Ez pusztán bizalom kérdése. A másik pedig, hogy a használt megoldások - programok és gépek - elegendően biztonságosak-e.
- A számítógép-felhasználók megbízhatóságát hogyan lehet elérni?
- Elsősorban képzéssel. Hogy egy kicsit jobban megvilágítsam a dolgot, egy hasonlatot szeretnék elmondani. Mindannyian tudjuk, hogy kultúránkban a higiénia milyen szerepet tölt be. Kultúránk fejlődésével hosszú évszázadok alatt belénk ivódott a tisztaságérzet. Ez több emberöltőnyi fejlődés eredménye. Ma szinte mindannyiunkban él ez az igény. Mint tudjuk, a világháló mintegy 30-40 éves, az emberi kultúra fejlődéséhez képest újszülöttnek tekinthető. Nem csoda hát, ha a virtuális világban még nem alakultak ki a higiénés szokások. Az emberek erkölcsébe még nem épült be ennek a közegnek a normarendszere. A rosszindulatú betörők mellett ez okozza talán a legtöbb problémát. Mi több, néhány betörés is ennek a normának a hiányára épít. Az úgynevezett social engineering támadások legfőképpen a virtuális világ higiénés igénytelenségének a lehetőséget aknázzák ki.
- Tudna mondani egy példát?
- Egyszer egy vállalat felkérte a cégünket, hogy tartsunk informatikai biztonsági oktatást. A cég egy több száz főt foglalkoztató nagyvállalat volt, ahol több lépcsőben vezényeltük le a tréninget. Az első tanfolyam hallgatói a menedzsment és más vezetők voltak. Megjelent a vezérigazgató is, aki kicsit feleslegesnek ítélte ezt az egész felhajtást. Ezért először az ő figyelmét akartuk felkelteni. Így bekészíttettünk egy a vállalat telefonrendszerébe bekötött kihangosítható telefont. Amikor az emberi jóindulatra alapozott támadások témájához értünk, felkértem mindenkit, hogy ne szólaljon meg, csak hallgassa a telefonon lefolytatott beszélgetést. Ekkor felhívtam a vezér titkárnőjét és kerestem a főnököt. A titkárnő közölte velem, hogy a vezérigazgató úr egy céges belső oktatáson van, és csak délután lesz elérhető. Sápítozni kezdtem, mire segítőkészen megkérdezte tőlem, hogy nem tud-e segíteni. Bemutatkoztam neki, hogy a cég informatikai osztályáról telefonálok és előadtam egy kis mesét, miszerint a vállalat informatikai rendszerét megtámadták, és a név és jelszóállományokat ellopták, úgyhogy mindenkinek át kell állítani a jelszavát. Érdeklődve és aggódva hallgatott, miközben felvilágosítottam, hogy a jelszavakat csak akkor tudjuk megváltoztatni és a rendszert is újraindítani, ha a régi jelszavakat megkapjuk a felhasználóktól. Mivel a vezér jelszavát senki nem tudja, áll az egész rendszer és a termelés is. A kisasszonyból ekkor kitört a jóakarat, elmondta, hogy néha a vezér megkéri, hogy néhány levelet írjon meg a nevében, ezért aztán ismeri a belépési kódot, amit be is diktált a telefonba. A vezér a párbeszédet hallva megértette az oktatás fontosságát.
- Hogyan bizonyosodhatunk meg arról, hogy a rendszereink megfelelően biztonságosak-e?
- Erről igazán nem könnyű megbizonyosodni. Ha a programot a felhasználó fejlesztette, akkor biztosíték lehet az, hogy a tervezés és a fejlesztés során betartják a különböző nemzetközi biztonsági ajánlásokat és normarendszereket. Ha egy kész programot vásárolunk, akkor a helyzet bonyolultabb. Általános gyakorlat az, hogy külső, erre specializálódott auditorokat kérnek fel ennek felmérésére. A biztonságos rendszer definíciója: „Biztonságos rendszer az, amikor minden rendszerelem maximum annyi funkcionalitást végez, illetve annyi jogot kap, amennyi annak minimális működéséhez elengedhetetlen”. A gyakran használt, általánosan elterjedt rendszerek általában nem ilyenek, ezért ezek felhasználása esetén az egyetlen út az, hogy olyan célrendszereket, berendezéseket vásárolunk, amelyek fő funkciója a védelem. Ilyenek a vírusölő programok, a tűzfalak, az adatmentő és az archiváló berendezések.
Ú. N.

IT-biztonság

Megosztom

Girnt József (admin)
Girnt József (admin)

Ez is érdekelhet