Az információ-technológia rohamos fejlődésével a hacker-támadások színvonala is már szinte követhetetlen léptékkel változik. Nem véletlen, hogy néha úgy tűnik, az IT szféra az, ami igyekszik felzárkózni a “fekete kalapos” támadókhoz, és nem fordítva.

Az utóbbi idők legnagyobb visszhangot kiválót incidensei a WannaCry és a Petya nevű zsarolóvírusok globális feltűnése volt, mely egyvalamire biztosan rávilágított: a kiberbűnözők közelebb vannak hozzánk, mint hinnénk, és ez alól a közszféra, sőt, a vállalati szektor és az egyedi felhasználók sem kivételek.

A tapasztalt etikus hackerek már jól tudják, milyen következményekre számíthat egy felhasználó, ha kibertámadás áldozatává válik: a károk helyreállításával járó költségek esetenként felfoghatatlan méreteket ölthetnek, nem beszélve adott esetben a személyes- vagy céges adataink elvesztésével, vagy illetéktelenek birtokába kerülésével járó károkról, amely ugyancsak túlmutat a pénzben kifejezhető értékcsökkenés fogalmán, és még ha sikerül is reparálni mindezt, ritkán fordul elő olyan, hogy a támadó csak úgy elengedje áldozatát. Eszközei végérvényesen egy zombihálózat (bot net) fertőzött tagjai közt ragadhatnak, melyeket az ismeretlen gazda belátása szerint használhat egyéb grandiózus támadások kivitelezése érdekében.

Mindezen körülmények korszerű megoldásokat követelnek a szolgáltatók oldaláról, melyek igazodnak a megrendelők egyedi igényeihez, illetve figyelemmel kísérik a változó technikai és jogi tendenciákat. Ennek ismeretében az információbiztonság – vállalkozásunk tekintetében - a következő szolgáltatásokat fedi le:

SZOLGÁLTATÁSOK

§  Sérülékenységvizsgálat

Ez a kibervédelem egyik legmeghatározóbb szolgáltatása. A fehér kalapos, jó szándékú hackerek rengeteg tapasztalatot halmoztak fel az évek során ennek gyakorlásáról, a vonatkozó jogszabályok pedig rendezik a sérülékenységvizsgálat lefolytatásának szabályait. A vizsgálat jelenleg nem tekinthető kógensnek, mivel a vizsgálat független vásárlói döntés eredménye, viszont a jogszabályi alapok megvannak ahhoz, hogy bizonyos szervezetek számára kötelezővé tegye a jogalkotó.

A piaci viszonyok jelenlegi állapota alapján a következő szokásos okok ismertek a sérülékenységvizsgálat elvégzésére:

• Incidens érte a szervezetet, és szeretnének lépéseket tenni a megelőzés érdekében.
• A vizsgálat elvégzését szervezeti szintű dokumentum írja elő.
• Új fejlesztés vagy rendszerelem integrációját tervezik a meglévő informatikai rendszerbe és a menedzsment tudni kívánja, hogy az integráció okozhat-e biztonsági kockázatot.
• Vezetőségcsere történt a szervezetben, és az új vezetőség pontos és független képet akar a szervezet informatikai rendszeréről.
• Valamilyen szervezeti szintű feladat elvégzése indokolja.

Különböző típusú sérülékenységvizsgálatról beszélhetünk, mely aszerint dől el, hogy a megbízó milyen irányból, illetve milyen célból kívánja elvégeztetni azt.

• Külső (internet felőli) sérülékenységvizsgálat: a tűzfalakban, biztonsági rendszerekben éktelenkedő externális réseket hivatott feltárni, melyeket kihasználva a rosszindulatú hackerek betörhetnek és megtámadhatják a szervezet rendszereit.
• Webes alkalmazások sérülékenységvizsgálata: automatizált és manuális vizsgálatok elvégzését jelenti a szervezet által üzemeltetett vagy fejlesztett weboldalon.
• Vezeték nélküli hálózati sérülékenységvizsgálat: a Wi-Fi hálózat és a GPRS/3G szolgáltatás sérülékenységének vizsgálata célszoftverek segítségével;
• Belső sérülékenységvizsgálat: a tűzfalak mögötti hálózatot vizsgálja, figyelemmel a működő szoftverek naprakészségére és azon nyilvánosan elérhető adatbázisokra, melyekben a támadók adatot gyűjthetnek az ügyfél hálózati struktúrájáról.

A fenti irányultságok tekintetében – a jogosultsághoz igazodva – szintén különböző típusú vizsgálatokról beszélhetünk, melyek a következők:

• Black-box: jogosultság nélküli vizsgálat (a hacker-támadás szimulációja).
• Grey-box: felhasználói jogosultsággal végzett vizsgálat.
• White-box: admin jogosultsággal végzett vizsgálat (biztonsági szintek vizsgálata).

§  Információbiztonsági felelős pozíciójának ellátása

Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 11. § (1) bek. c) pontja értelmében a törvény hatálya alá tartozó szervezet vezetője köteles gondoskodni az elektronikus információs rendszerek védelméről, többek között a következő módon: „Elektronikus információs rendszer biztonságáért felelős személyt nevez ki vagy bíz meg.”

Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény számos kötelezettséget fogalmaz meg, különösen az állami- és önkormányzati szféra számára, így rendelkezései szerint kell eljárniuk:

• az Önkormányzatoknak [Polgármesteri hivataloknak],
• a hatósági igazgatási társulások,
• a fővárosi és megyei kormányhivataloknak, valamint számos egyéb szerv is.

A törvény számos szakmai követelményt fogalmaz meg, köztük az elektronikus információs rendszer biztonságáért felelős személy [Információbiztonsági felelős] kinevezését/megbízását, mely pozíció ellátását szigorú - tanulmányi vagy gyakorlati - feltételekhez köti. Az információbiztonsági felelős feladatai és felelősségi köre a törvény értelmében különösen a következők: a szervezet vezetőjének közvetlenül adhat tájékoztatást, kapcsolatot tart a Hatósággal, valamint felel a szervezetnél előforduló valamennyi, az elektronikus információs rendszerek védelméhez kapcsolódó feladat ellátásáért.

§  Információbiztonsági szabályzat elkészítése

Annak érdekében, hogy az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény hatálya alá tartozó elektronikus információs rendszerek, valamint az azokban kezelt adatok védelme a kockázatokkal arányosan biztosítható legyen, az elektronikus információs rendszereket be kell sorolni egy-egy biztonsági osztályba a bizalmasság, a sértetlenség és a rendelkezésre állás szempontjából.

A biztonsági osztályba sorolást a szervezet informatikai biztonsági szabályzatában kell rögzíteni, mely bizonyos szervezetek számára kötelezettséget jelent. A szabályzat egy olyan belső szervezeti dokumentum, mely a szervezeten belül működtetett informatikai rendszerekre vonatkozóan szabályozza az informatikai rendszerrel kapcsolatos biztonsági intézkedéseket. Ennek az anyagnak illeszkednie kell a meglévő szabályzatokhoz, és természetesen a hatályos jogszabályokhoz.

Tekintettel arra, hogy ezen dokumentum megléte az Ibtv.-ben rögzített kógencia, kérjen ajánlatot társaságunktól Informatikai biztonsági szabályzatának elkészítésére, mely magába foglalja az alábbiakat:

• egyedi sajátosságok figyelembevételével történő, személyre szabott kidolgozás;
• jogszabályoknak megfelelő tartalom;
• szimpatikus és egyszerű szerkezet;
• könnyen értelmezhető megfogalmazás;
• kézikönyv funkció.

§  Social engineering (emberi tényező) tesztelés

Gyakran szokták az IT biztonsággal foglalkozó gazdasági szereplők ezt a szolgáltatást a sérülékenységvizsgálat egyik válfajaként kezelni. A social engineering tesztelés elvégzéséhez azonban informatikai közreműködésre aligha van szükség, hiszen sokkal inkább jelent „terepmunkát”, mint klasszikus információbiztonsági szolgáltatást. A szolgáltatás célja: feltárni a munkatársak általános informatikai kultúrájában rejlő veszélyeket, valamint vizsgálni a megbízónál használt informatikai biztonsági szabályok betartását.

„Az emberi hiszékenységen alapuló tesztek képesek rámutatni az adott szervezet munkatársainak információbiztonsági tudatossági szintjére, mely az egyik legnagyobb biztonsági kockázatot magában foglaló faktor (humán faktor). Az információbiztonsági tudatosság megerősítését csak a többszintű, célzott információbiztonsági tudatossági képzések elvégzésével lehet elérni, melyek a felhasználók, üzemeltetők, fejlesztők és döntéshozók célcsoportját érintik.” (Tihanyi, Vargha, Frész: Biztonsági tesztelés a gyakorlatban, 2014.)

Maga a teljesítés rendkívül sokféle lehet. Elsősorban a megbízó sajátosságaihoz kell igazítva a tervezett vizsgálatot, így befolyásoló tényező lehet, hogy van-e beléptető rendszer a szervezetnél, azon milyen módon lehetséges a belépés, sőt, az is, hogy a beosztottak milyen törzshelyen tartózkodnak ebédidőben, ez idő alatt hol hordják a beléptető kártyájukat (pl. nyakba akasztva, asztalra kitéve), valamint, hogy miről beszélnek az étkezés alatt. A legtipikusabb módszerek a vizsgálat lefolytatására az alábbiak:

• Telefonhívások útján megkísérelt incidens-szimuláció;
• Megtévesztő e-mailek megküldésével végrehajtott támadás-szimuláció;
• Tiszta Asztal politika ellenőrzése (belépőkártya, személyes iratok, számítógép zárolása)
• Fizikai biztonsági tesztelés (egyes irodarészek fizikai biztonságának vizsgálata, eszközök hozzáférhetőségének ellenőrzése);

Mindemellett célszerű oktatási lehetőséget is biztosítani a szervezet számára, hiszen a tesztelés egyik legfontosabb célja az információbiztonsági tudatosság növelése. A szolgáltatás eredményeként egy jelentésben kell összefoglalni a vizsgálat során begyűjtött tapasztalatokat, azonban célszerű egy prezentáció keretében is bemutatni mindezt a vezetőség számára.