Kiberbiztonság: avagy hogyan változik a biztonságtechnika?

Az SDMMAG.com készített egy átfogó cikket 2017. szeptemberében a kiberbiztonság jelenéről és jövőjéről. A cikkben számos biztonságtechnikai cég vezetőjét megszólaltatták és igyekeztek objektív helyzetelemzést készíteni. A cikk minket is elgondolkodtatott és itthon is közkinccsé tesszük a mondanivalóját.

Kiberbiztonság: avagy hogyan változik a biztonságtechnika?

Volt idő, amikor olyan kevés helyen létezett a kiberbiztonság, mint eszköz, hogy a cégek és az emberek többsége nem foglalkozott vele. Ezek az idők elmúltak. Ma már mindenkinek van valamije, amit a számítástechnika segítségével véd meg – különös tekintettel objektumokra, irodaházakra, múzeumokra, nagy rendezvényekre, stb. Vajon mennyire felkészült a világ jelenleg a hackerek ellen? Mennyire erős a védelem? Hol tartunk és merre haladunk?

A kiberbiztonság témakörében most úgy tűnik, hogy több kérdés van, mint válasz. A biztonságtechnika folyamatosan fejlődik, a mindennapokban is egyre többet kell róla beszélni. Tény, hogy a biztonságtechnika olyan dolog, amire a cégeknek – függően attól milyen értékeik vannak – állandóan figyelniük kell és erőforrásokat kell áldozni – nem csupán az egyszeri kifejlesztésre, hanem a fejlesztésre is. Kristy Dunchack, a Johnson Controls, neves biztonságtechnikai vállalat vezetője mondta, hogy „Egy biztonsági rendszer soha nincsen kész és ennek a fejlesztése soha nem ér véget.”

Hol áll most ez az iparág?

Általános tapasztalat, hogy a cégek egyre tudatosabbak és egyre komolyabban veszik ezt a kérdést, azonban nem ismerik naprakészen a lehetőségeket. Nem tudja egy átlagos cégvezető vagy beszerzési igazgató megítélni, hogy egy adott (akár most kifejlesztett) biztonsági rendszer képes-e ellátni a feladatát 5-10-15-20 év múlva is. A témában nem jellemző az általános tájékozottság sem – kivéve, ha az adott cégnek ez a profilja.

Az iparág fejlődésének legfőbb hajtóereje a beruházások megtérülése és a rendszerek segítségével elérhető kockázatcsökkentés. A cégeknek nem fognak jelentős mértékben befektetni a kiberbiztonságba, ha ez nem nyereséges – csakis akkor, ha ezzel magasabb bevételt, vagy költségcsökkentést érhetnek el, illetve abban az esetben, ha a fejlesztés segíti a vállalat hatékonyabb működését.

Fontos a jó vezetői döntés

Még az USA-ban is az a tapasztalat, hogyha egy képzés nagyon olcsó, , vagy ingyenes információ érhető el a témában, akkor nyitottak rá, de nem jellemző, hogy fontosnak tartsák a képzést. Ez is azt jelzi, hogy a legtöbb cégvezető még nem tartja kellően fontosnak a témát. Thomas Lienhard, az Artery Lock Security Integration szakértője néhány száz dollárban határozta meg a maximum ráfordítás összegét az általános tapasztalatok alapján és Magyarországon sem jobb a helyzet, sőt…

Nagy Balázs, az Anteus Kft. ügyvezetője így látja a magyarországi kiberbiztonság helyzetét:

Az rendszerváltozás óta egyre több multinacionális vállalat van jelen Magyarországon, amelyeknek nagy szerepe volt a hazai biztonságkultúra kialakulásában, formálásában. Természetesen enélkül is létezne információbiztonság hazánkban, de a külföldről bejövő, az információs világban akár fejlettebb védelmi rendszerekkel és koncepciókkal rendelkező cégek jelenléte jelentősen formálta a nézeteiket. A biztonságkultúra egyre nagyobb teret nyer az IT rendszerek és folyamatok fejlődésével, ez egy nagyon dinamikus piac. A cégek szeretnek egyszeri kiadásként gondolni egy IT biztonsági rendszerre, de látni kell, hogy ez egy hosszútávú folyamat. Az információbiztonság része ugyanúgy a vállalaton belüli információk áramlásának védelme, hozzá tartozik az elektronikus eszközökön tárolt és továbbított információk védelme, de az eszközöket és rendszereket kezelő személyzetet is megfelelő biztonsági oktatásban kell részesíteni, hogy hatékonyan működő információbiztonságot kapjunk. Véleményem szerint egyre többen fontosnak tartják az IT biztonság fejlesztését hazánkban is. Ezt segítik a különböző információbiztonsági, IT biztonsági szabványok, mint pl. az ISO 27001. Fontos, hogy az információk, – legyen a hordozójuk elektronikus, papír alapú vagy személyhez köthető – bizalmasságát, sértetlenségét és rendelkezésre állását biztosítsuk. Szükséges felmérni, hogy pontosan mit szeretnénk, mitől megvédeni, illetve az ezekhez vezető „hogyanokat” is megtalálni. Szerencsére már léteznek átfogó szabványok és ehhez tartozó auditok, amelyek biztosítják a cégeket, hogy megfelelő védelmi rendszert építsenek ki. Az informatika fejlődésével évről évre fejlődik a kiberbiztonság is, így nekünk, biztonságtechnikai fejlesztő vállalkozásoknak és szakembereknek a feladatunk, hogy tudatosítsuk ezen biztonsági intézkedések fontosságát.

Kinek lehet fontos a kiberbiztonság?

A végfelhasználók néhány általános kategóriába sorolhatók. Van, ahol a hálózat létfontosságú a működéshez, van, ahol materiális értékek megőrzése a fontos és sok esetben az információt kell biztonságban tartani és figyelni, hogy illetéktelenek ne férjenek hozzá.

Cégünk ügyfelei között szerepelnek vállalatok, intézmények, börtönök, bankok, múzeumok, parkolóházak – mindegyiknél más-más védelem fontos. Ezt testreszabottan a helyszín és az adott iparág sajátosságainak megfelelően kell meghatározni és kialakítani. Például egy kamerás védelmi rendszernek nem csak az értékeket, hanem a látogatók személyiségi jogait is védeniük kell – ez a kérdés ráadásul a GDPR miatt még fontosabbá válik.

Mire kell figyelni a beléptető rendszerek kibervédelme során?

Partnerünk, a Farpointe Data a következő ellenőrző listát hozta létre az integrátorok számára, hogy útmutatást nyújtson a beléptető rendszereknek a számítógépes biztonság növeléséhez. Ezt a listát végfelhasználóként úgy tudja használni, ha ez alapján megkérdezi a biztonsági rendszert telepítő céget. Tegyen egy próbát, tesztelje biztonsági rendszerét az egyik legalapvetőbb feladatra fókuszálva – vizsgálja felül az alapértelmezett telepítő kódokat és jelszavakat.

Alapértelmezett jelszavak, telepítő kódok

Soha ne hagyja a jelszavakat, kódokat alapértelmezésben, hiszen az alapértelmezett jelszavak könnyen elérhetőek egy biztonsági rendszer alap útmutatójából. Keressen rá, hogy az adott rendszerhez léteznek-e elérhető alapértelmezett kódok és hasonlítsa őket össze a használatban levőkkel, ha Ön megtalálta, akkor más is megtalálhatja.

Kérdezzen rá a biztonsági rendszer telepítőjénél, hogy használ-e jelszavakat az átmenő, úgynevezett szállított szoftverkódban, ha igen, akkor váltson olyan megoldásra, ahol ez nem szükséges –különösen, ha a kommunikáció titkosítatlan csatornán zajlik.

Cikkünk következő részében a teljes ellenőrző listát – magyarázattal ellátva megosztjuk Önnel. Addig is amennyiben biztonsági rendszerét auditálná, esetleg új beléptető rendszert tervez bevezetni, vegye fel velünk a kapcsolatot bizalommal.