Fábián, Sebestyén
-2 °C
4 °C

Az információ biztonsága, avagy mit ér az információ, amíg az enyém?

2004.08.09. 09:43
Mi a KÜRT Rt-nél idestova 15 éve az információ megvédéséért, biztonságának megteremtéséért fáradozunk, a legnagyobb multiknál és magánszemélyeknél egyaránt. Néhány, e napjainkban oly sokat emlegetett fogalommal és szakterülettel kapcsolatos gondolatunkat adjuk közre e cikkben.

A biztonságnak valamennyien a szakértői vagyunk. Energiáink jelentős részét fordítjuk saját és környezetünk biztonságára, és zsigereinkben van a létbiztonság, a tűzbiztonság, a közlekedésbiztonság és a jó ég tudja még hányfajta biztonság elméleti és gyakorlati tudnivalója. Ráadásul többé-kevésbé meg is vagyunk győződve arról, hogy –a lehetőségeinkhez mérten– optimális mennyiségű időt és pénzt áldozunk a legkülönfélébb biztonságok fenntartására. Mindaddig, amíg egy-egy pozitív, vagy negatív esemény meg nem változtatja biztonságérzetünket. E megváltozott helyzetben ismét megvizsgáljuk a biztonságunk pillanatnyi mértékét, és eldöntjük, hogy –biztonsági szintünket emelendőn– újabb energiát és pénzt áldozunk a biztonság oltárán, vagy éppen értelmetlenül magasnak tartjuk a biztonságunkat, és ezért pénzt vonunk el tőle.

Pénzügyi hagyományok

Gazdasági területen a banki szférában van a legnagyobb hagyománya a különböző biztonsági törekvéseknek. Mindezt azért érdemes megjegyezni, mert ez az a terület, ahol a biztonság (vagy kockázat) mérésének tudományosan kidolgozott – és a gyakorlatban is sikeresen kipróbált – módszerei mára általánosan elterjedtek. Érthető módon a banki szféra kockázatkezelési vizsgálatai hívták fel először az érintettek figyelmét arra, hogy az elmúlt időszakban jelentősen megváltoztak a kockázati tényezők, és amíg az elmúlt évszázadokban a legjelentősebb kockázatot a pénzkihelyezés jelentette egy-egy bank számára, addig napjainkra már a belső információkezelés kockázata került az első helyre.

Mindezek mellett okkal feltételezhetjük, hogy a gyorsan fejlődő, erőteljesen számítógépesített iparágakban az információkezelés kockázata valószínűleg még jelentősebben nőtt, mint a banki területeken. Ennek elsődleges oka éppen ezen iparágak kockázatkezelési technológiáinak kiforratlansága, illetve ezen technológiák alkalmazásának hiánya.

Érdekes lenne elkalandozni, és választ keresni arra: hogyan állt elő ez az áldatlan helyzet, és miért rejt ekkora kockázatot az informatikai eszközök használata! Ez a múltban való vájkálás majd egy másik cikk témája lehet, de itt most kiindulási helyzetként elégséges lenne, ha eljutnánk addig, hogy a mai helyzet nem valamilyen „sorscsapás” miatt ilyen, és nem is a véletlen műve. A lényeg az, hogy a hálózatba kötött rossz minőségű eszközök nagy száma és a nem megfelelően szabályozott működésük/működtetésük együttes eredőjeként mára óriási kockázatokat rejt magában az információ kezelése, hiszen a tömegméretekben használt informatika számos oldalon sebezhető. Fenyegeti a számítógépes kalózok aknamunkája, a vírusok, a gondatlanságból bekövetkezett adatvesztések, a terrortámadások... És a sor még nagyon hosszan folytatható.

A cél a megbízható komplexitás

Neumann János, az emberi agy működésének modellezésével kapcsolatban, a Yale egyetemi előadásaihoz 1956-ban írt jegyzetében, az idegsejtek és az agy együttműködéséről a következőket írja: „Az élő szervezet komplexitásának egyik fontos következménye, hogy a legkülönbözőbb környezeti feltételek között is rendkívül megbízható módon működik, annak ellenére, hogy a szerkezeti elemek önmagukban rendkívül megbízhatatlanok.”

E felismerés után közel 50 évvel elértük, hogy az informatikai iparág már tömegméretekben képes előállítani rendkívül megbízhatatlan működésű szerkezeti elemeket, ám az élő szervezet által biztosított megbízható hálózati működést ezekkel az elemekkel – sajnos – még nem sikerült megvalósítanunk.

Tény azonban, hogy a fenyegetett helyzet kialakulásával párhuzamosan egyes országokban (elsősorban az Egyesült Államokban, Nagy-Britanniában és Németországban) az információbiztonság területén tett erőfeszítések meghozták eredményüket, elkészültek az információbiztonsággal foglalkozó első, átfogó nemzetközi szabványok és ajánlások (COBIT, Common Criteria/ISO 15408, BS 7799/ISO 17799,…). A szabványosítás várhatóan óriási lendületet ad majd az informatikai biztonság növelésének. Így történt ez a klasszikus iparágak fejlődésének hasonló szakaszában is.

Hiánygazdálkodás

Az információbiztonság gyakorlati megvalósítása területén ma a legnagyobb gond a hiány. A rendszerszemléletű és stratégiai gondolkodásnak, valamint a megfelelő módszertani ismereteknek a hiánya. A nemzetközi statisztikák azt mutatják, hogy a biztonsági problémák túlnyomó része, legalább 70 százaléka, a nem megfelelően szabályozott emberi tevékenységekre és a szükséges ismeretek hiányára vezethető vissza. Nagyon sok helyen van gond a jogosultsági rendszerrel, a jelszavakkal, a hálózati eszközök beállításával (konfigurálásával), a nem megfelelően átgondolt és szabályozott mentési és archiválási rendszerekkel, a szintén hiányosan szabályozott vírusvédelmi rendszerekkel, a javítókészletek késedelmes vagy hézagos telepítésével, stb.. Jelentős probléma továbbá a szoftver licencek kérdése, hiszen a jogosulatlan használat lehetetlenné teszi a szoftverkövetést, veszélyeztetve az üzleti folyamatok folytonosságát és a vállalat jó hírnevét.

Egy mindenkiért

Az Internet robbanásszerű elterjedésével a kollektív felelősség, mint elvárt viselkedési forma, noha még szabályozatlanul, de már megjelent. Éppen a szabályozatlanság az, ami egyre sürgetőbbé teszi az általános és egységes információbiztonsági kultúra megteremtését.

A cybertér szereplői már nemcsak saját magukért, hanem egymásért is felelősek (vírusfertőzések, hoax üzenetek), hiszen aki felelőtlenül viselkedik, az a többieket is veszélybe sodorja – mint az őrült autós, aki fittyet hány a szabályokra. E területen példamutató a hazai pénzügyi szféra szabályozása, ahol törvényi előírás teszi kötelezővé a rendszeres informatikai biztonsági ellenőrzést. Várható, hogy ez a szabályozás kötelező érvénnyel más területekre is ki fog terjedni.

Gondolkodjunk rendszerben

A helyzetelemzést itt befejezve a továbbiakban négy, általánosan elfogadott meghatározást teszünk közzé, azzal a szándékkal, hogy az információbiztonság tárgykörébe tartozó fogalmakat, eszközöket és szabályozásokat legalább rendszerbe foglalhatóan, áttekinthetően vizsgálhassuk.

1.
Az információbiztonság, a legegyszerűbb megközelítésben, mindössze két problémával foglalkozik:
- az információ elvesztésének megakadályozásával (adatvédelem), és
- az információ illetéktelenek kezébe kerülésének a megakadályozásával (adatbiztonság).

2.
Minden biztonsági rendszernek, így az információbiztonsági rendszernek is, két alrendszere van:
- maguk a biztonsági erőforrások, és
- a biztonsági rendszer működését/működtetését meghatározó szabályozások.

3.
A biztonság értékének a meghatározásához két megközelítési mód terjedt el a gyakorlatban:
- a hard jellegű dolgok értékét (ház, autó, stb.) annak piaci értékével határozzák meg,
- a szoft jellegű dolgok (ilyen az információ is) értékét úgy határozzák meg, hogy megpróbálják megbecsülni, ennek hiánya milyen veszteséget jelentene.

4.
Az információbiztonság mérhető és meghatározható fogalom. Az információbiztonság célja az informatikai rendszer azon állapotának elérése, amelyben a kockázatok elfogadható intézkedésekkel elviselhető mértékűre csökkenthetők. Az elviselhető mérték nem más, mint az üzleti folyamatok folytonosságának biztosítása a kívánt mértékben. Ez a helyzet olyan nemzetközi szabványokon alapuló előírások és megelőző biztonsági intézkedések betartásának eredménye, amelyek az információ elérhetőségét, sérthetetlenségét és megbízhatóságát érintik.