Vilma
-8 °C
3 °C

Szégyentábla az informatikai betörések áldozatainak

2003.07.09. 11:20
Az "adatlopás" azért furcsa bűncselekmény, mert az adat valójában nem tűnik el. Továbbra is ott marad gazdája számítógépén. A baj azzal van, hogy ezekkel az adatokkal igen komolyan vissza lehet élni. Nem csak közönséges bűnügyekben használják fel az efféle információkat, hanem sok jel mutat arra, hogy a különféle titkosszolgálatok, bizonyos cégek üzleti hírszerzése és - állítólag - egyes terrorista csoportok is komoly érdeklődést tanúsítanak az így megszerzett adatok iránt. Ez innentől nem csak néhány szegény károsult magánügye, hanem igen komoly nemzetbiztonsági fenyegetettség minden ország számára.
A megfelelő szintű védelem több különféle terület összehangolt munkájának az eredményeként jöhet csak létre. Nem elegendő csupán jobbnál jobb védelmi eszközöket kifejleszteni, használni is kell azokat. A használatot szabványok, vállalati szabályzatok, utasítások és egyéb rendelkezések betartása segítheti.

Hogy lehet azonban rávenni a cégeket az adott szinten a lehető legbiztonságosabb rendszerek kiépítésére és üzemeltetésére? Nem könnyű feladat.

Közhírré tétetnek

Érdekes hír látott napvilágot a minap. Kaliforniában egy újonnan életbe lépő törvény szerint az elektronikus kereskedelemben érdekelt vállalatok kötelesek figyelmeztetni ügyfeleiket, ha internetes támadás áldozatává váltak. Az új jogszabállyal a cégeket arra szeretnék rászorítani, hogy nagyobb biztonsági szintre emeljék rendszereiket, különös tekintettel az Internetről is hozzáférhető adatbázisokat tartalmazó eszközökre. A "szégyentáblára" való felkerülés ellen várhatóan következetes lépéseket tesznek a vállalkozások: akik még nem rendelkeznek megfelelő biztonságot nyújtó behatolás elleni eszközökkel, jóhírük védelme érdekében kénytelenek lesznek komoly beruházásokba fogni; a többiek pedig jobban oda kell, hogy figyeljenek a frissen megjelenő biztonsági hibákra.

Osztódással szaporodó betörések

Az Egyesült Államokban az utóbbi időkben drámai mértékben megnőtt az adatlopások, és az ebből eredő csalások száma. 2000 óta az esetek száma minden évben megduplázódott. Fontos azt is megjegyezni, hogy az esetek 40 %-a hitelkártya adatokkal való visszaélés volt, ami igencsak zsebbe markoló kérdés.

Az új jogszabály elkészülte előtt csak a személyes adatokkal való visszaélés elkövetőit büntették az Egyesült Államokban. A Security Breach Information Act (S.B. 1386) nevű törvény értelmében azonban azok a kaliforniai cégek is könnyen a bíróság előtt találhatják magukat, akik eltitkolják az őket ért online betörések tényét.

Hazai elemzők szerint Magyarországon szinte nincs is olyan cég, amelyiket ne ért volna már komolyabb Interneten keresztüli támadás. A sajtóból azonban csak elvétve értesülhetünk ezekről. Akkor is csak a teljesen nyilvánvaló, és letagadhatatlan esetekről szerezhetünk tudomást (átalakított honlapok). Az esetleges adatlopások ténye homályba vész. Sokan osztják ezzel kapcsolatban azt a véleményt, hogy a cégek többsége számára sem ismert a náluk bekövetkezett adatlopás ténye.

Mire való a log-fájl?

Az egyik IT vezető "büszkélkedett" el baráti körben azzal, hogy náluk akkor derült ki egy hosszú ideje tartó, folyamatos adatlopási eset, amikor egy új szoftver telepítése után fellépő hibajelenség kibogozására elkezdték tanulmányozni a különféle log-fájlokat.

Jó pap holtig, az okos más kárán, és hasonló elmésségek jutnak eszünkbe ilyenkor. A log-fájlok rendszeres ellenőrzésének szabályzatba iktatása viszonylag adekvát megoldás a hasonló esetek elkerülésére_