Mára megszűntek a vállalati informatikai hálózatok határai, ami nagyon nagy fejtörést okoz a biztonsági szakembereknek. Először a laptopok okoztak gondot azzal, hogy a felhasználók – kétségtelenül rendeltetésszerűen – hordozták magukkal mindenhová. Már akkor is figyelmeztetni kellett az alkalmazottakat, hogy ha az eszközt otthon rajtuk kívül a családtagok is használják, különösképpen a gyerekek, akkor ajánlatos lenne megvédeni a vállalati vagyont, vagy a hálózatot az ilyen rendhagyó helyzetektől – hívja fel rá a figyelmet Keleti Arthur, a T-Systems Magyarország IT-biztonsági stratégája.

Új eszközök, új kihívások ■ Jó ideig hihető volt, hogy ennyi elegendő is. Akkor még nem látszott, hogy hamarosan több hullámban is jönnek majd az újabb mobileszközök: az okostelefonok és a táblagépek. Ezek újabb problémákat generáltak az IT-biztonsági szakma számára. A kisebb eszközöket még a laptopnál is könnyebben el lehet hagyni. Ráadásul a felhasználók többségében az sem tudatosul, hogy ezek is már olyanok, mint a komplett számítógépek.




"Az okostelefonok, táblagépek megjelenése a vállalati mobilitás szempontjából remek dolog, biztonsági szempontból azonban komoly kihívásokkal jár. Különösen azért, mert a rajtuk található adatokhoz egészen más a felhasználók viszonya, mint a számítógépes rendszereken tároltakhoz volt. Azt gondolják, hogy ezeket kevésbé kell megvédeni" – jellemzi a helyzetet a szakértő. – Ha megkérdeznénk egy alkalmazottat, hogy a vállalati levelezéséhez kapcsolódó címjegyzéket sérülékeny információnak tartaná-e, a válasz minden bizonnyal igen lenne. Ha ugyanezt kérdeznénk a mobiljában lévő névjegyzékkel kapcsolatban, akkor azt már nagyobb valószínűséggel nem tartaná annak. Pedig a kettő, ha jól van összerakva, egy és ugyanaz, és rajta keresztül támadhatóvá, válhatnak a benne szereplő személyek."
 
Nehéz a változáskövetés ■ Az eszközök nagyon gyors ütemben változnak, beleértve a rajtuk lévő alkalmazásokat. A tempót még az üzemeltetők is nehezen tudják követni, nemhogy a biztonsági szakemberek, akik meg azért küzdenek, hogy megvédhetőek legyenek az újabb és újabb eszközökön tárolt adatok. A sérülékenységek kimutatására pedig sokszor nincs is idő. Biztonsági szempontból ezek az eszközök a cégeknél úgy működnek, mint a futóvadlövészet, amelynél mozgásban kell eltalálni a célt.

Az IT-biztonsági területen a hackerek általában előbbre járnak, mint a védelem. A gyakorlott biztonsági szakemberek bizonyos jelek alapján ugyanakkor egyes támadásokat vagy adatszivárgási eseményeket akár meg is előzhetnek. "Ez kicsit olyan, mint egy koncert, melyen a sokat próbált biztonsági őr már előre kiszúrja a közönségben azt a pár embert, aki rendbontásra készül, méghozzá olyan jelekből, amit az átlagember nem vesz észre" – hoz szemléletes példát Keleti Arthur.

Szerinte egyenesen tripla kihívást jelent a vállalati mobilitás. Egyrészt a céges adatokból egyre több kerül át ezekre az eszközökre, másrészt ezek a készülékek igen gyorsan és folyamatosan változnak. A harmadik kényes pont, hogy ezeket az eszközöket a felhasználók nem tudják megfelelően használni.





Biztonságtudatosság ■ Magyarországon egyébként is nagyon alacsony a biztonságtudatosság. És nemcsak a beosztottak körében, hanem a vállalatvezetőknél is – mondja a szakértő. A felhasználók maguktól nem tesznek kódot, vagy jelszót az adott eszközre, nem titkosítják a fontos dokumentumokat. Maguktól nem gondolnak arra, hogy az ott tárolt jelszavak megfelelően védettek-e.

"Jó hír, hogy mindenre van megoldás" – hangsúlyozza Keleti. A jelszavak tárolására például ott vannak a titkosított jelszómenedzsment alkalmazások. Ezek ingyenes és fizetős verzióban egyaránt hozzáférhetőek az alkalmazás-áruházakban. "Amit én használok, az fizetős, ebben 4-500 jelszót tárolok. Így megtehetem, hogy ahány szolgáltatást használok, annyi jelszavam lehet. Ezek titkosítottak, többnyire felhőbe feltöltöttek, így bármilyen eszközre, bárhonnan elérhetők" – sorolja a szakértő.

Egyéb információkat is tárolunk a mobil eszközeinken, itt már vannak korlátok, mit lehet megcsinálni és mit nem. Ahány mobileszköz, annyiféle védelmet kíván meg. A laptopoknál mivel már régóta piacon vannak, már tudjuk, mit kell csinálni. Az újfajta mobil eszközöknél azonban szinte ahány gyártó, annyi operációs rendszer. Ezért aztán a védelmi képességük is különböző.

Biztonsági szempontból előnyösebb az Apple-féle iOS, míg az androidnál a vírusok sokkal gyakoribbak, épp a rendszer rugalmasságából adódóan. A legtöbb ilyen eszköz nem különíti el az egyes alkalmazások játékterét egymástól. Ezért ezekre már kimondottan javasolt védelmi eszközöket, vírusírtót, malware-szűrőt telepíteni.

A biztonsági termék ugyanakkor önmagában kevés, szükség van a felhasználó biztonság tudatosságára is. A legtöbb ilyen eszköz ugyanis még mindig úgy fertőződik meg, hogy a felhasználót elcsalják egy e-maillel vagy egy ígéretes weboldallal valahová, és ott maga telepíti fel a rosszindulatú kódot tartalmazó alkalmazást.

Hiányzó kockázatelemzés ■ A mobileszközöknél már több tízezer sérülékenységet mutattak ki. A cégeknek kötelező lenne kockázatelemzést végezniük a mobil eszközökön tárolt adatokkal kapcsolatban. A fontosabbakról érdemes más eszközre másolatot készíteni és titkosítani.
 
A céges és a magánlevelek is gyakran találkoznak a telefonon. Arra, hogyan védhető meg a vállalati levelezés, vannak olyan innovatív kísérletek, mint az új Blackberry, amelynél elkülönülnek a céges és a magán e-mailek, és más-más szintű védelmet is kaphatnak – mondja Keleti Arthur.

Vannak komplex mobileszköz-menedzsment megoldások is, amelyek főként az üzemeltetők számára teszik kényelmesebbé ezen eszközök használatát, és ezekben már sok biztonsági szolgáltatás is megtalálható. Ide sorolható a biztonsági profil kikényszerítése, vagy az eszköz titkosítása. Az elveszett eszközöknél pedig van mód arra, hogy az illetéktelen kezekbe került tartalom távolról is letörölhető legyen az eszközről.


A hozzáálláson is nagyon sok múlik. A nagyvállalatok megengedhetik maguknak az IT-biztonsági vezető (CISO) alkalmazását. Sok ilyen méretű cégnél van biztonsági stratégia is. "Az már más kérdés, hogy előbbieknek milyen jogköre van, mekkora a büdzséjük a biztonsági megoldásokra, illetve hogy az utóbbi felkészültsége mennyire napra kész és felel meg a folytonosan változó körülményeknek, valamint a napi céges gyakorlatnak. Egy biztos, országosan idén is sok milliárd forintot költenek el ezek a cégek IT-biztonságra, de ez még így is messze van attól, amennyit a probléma súlya megkövetelne" – hangsúlyozza Keleti Arthur.

A középvállalatoknál nagyrészt azon múlik minden, hogy az üzemeltető mennyire biztonságtudatos. Enneél a cégméretnél ugyanis már jellemzően nincs külön biztonsági szakember. A kisvállalatoknak pedig az biztonságra is szakosodott szolgáltatók jelentik a megoldást. Nyugat-Európában ez már működik. A jövőben ilyen szolgáltatások előkerülhetnek Magyarországon is, kérdés mennyire fogadja be a piac.

"Minket igazán még nem értek nagy kibertámadások, így a cégvezetőkben még nincs meg a kellő 'félelem faktor'. De nem kell messzire menni erős példákért. A szomszédos Ausztriában például a hackerek legutóbb rendőrségi dolgozók személyes adatait pakolták ki az internetre. Nálunk legfeljebb az Anonymous írta át az alkotmányt az alkotmánybíróság weboldalán" – mondta Keleti Arthur.