Internetes biztonság, biztonsági stratégia (x)

‹ 1 2

P: Jogilag nehéz védeni magatokat?

A. L.: Ha megtörténne az, hogy mi tesztelünk egy rendszert, és a célrendszert x idő múlva (x legyen egy kellően alacsony szám) kompromittálja valaki olyan módon, hogy azt nekünk jelenteni kellett volna, de elmulasztottuk, akkor nagyon kellemetlen szituációba kerülnénk. Eddig ez nem fordult elő. A tesztek egy időpontra vonatkoznak, ezt ne felejtsük el. Amikor felkérnek minket egy ilyen munkára, akkor tudatában vagyunk annak, hogy a legmagasabb szintet kell nyújtanunk ahhoz, hogy biztosítsuk a támadások hatékony kivédését.

P.: Ügyfeleiteknek mennyire számít az, hogy külföldi tapasztalatokkal is rendelkeztek?

A. L.: A tesztnél a legjobb az ügyfél szempontjából az, ha arról győződik meg, hogy konkrétan az a személy, aki a tesztet végezni fogja, érti a dolgát. Önmagával azzal nem takarózhatunk, hogy egy világméretű cég vagyunk 160 ezer alkalmazottal. Az ügyfél számára az a legmegfelelőbb, ha meggyőződik egy beszélgetés, interjú, prezentáció vagy akár egy rövid workshop során arról, hogy munkatársunk tényleg érti a dolgát. Ez azért kiderül egy másfél órás beszélgetésből is.

Ha olyan országról, olyan területről van tapasztalata az illetőnek, ahol mondjuk webes technológiában valamennyire előrébb tartanak, akkor mondhatjuk, hogy számíthat maga a hálózat, a külföldi tapasztalat, az, hogy a PwC-nél sok ember dolgozik. Nekem a két év brit tapasztalat sokat jelentett és jelent, de dolgoztunk számos európai államban. Másrészt adott esetben tudunk mozgósítani embereket, amit egy kisebb cég esetleg nem tud megtenni.

P.: Nemzetközi versenytársatok mennyi van?

A. L.: Van egypár. Magyarországon sokat beszélgettünk olyanokkal is, akik próbálkoznak ezzel a területtel vagy aktívan művelik. A megfigyelésem ezzel kapcsolatban az, hogy míg 2-3 évvel ezelőtt betörési tesztről beszélni Magyarországon ha nem is tabu téma volt, de sokan nem tudták, hogy álljanak hozzá. Tehát inkább félsz volt, „nem ismerem” alapon. Most az a helyzet alakult ki, hogy több cég is foglalkozik betörési tesztekkel, vegyes szaktudással. Lehet látni példát arra, hogy egyes cégek kétes szaktudással hozzálátnak biztonsági tesztekhez, amivel az ügyfelek több dolgot is kockáztatnak. Elsősorban azt kockáztatja, hogy nem minden hiányosság kerül napvilágra. Amennyiben nem megfelelően hajtják végre a tesztet, akkor esetleg kárt is okozhatnak az adott rendszerben. Rendszert elérhetetlenné lehet tenni egy ilyen teszt során, komoly kárt okozva. Természetszerű azonban, hogy árverseny is van, ennek is tudatában vagyunk. A webes alkalmazások tesztjében úgy vélem, kiemelkedők vagyunk és azt nagyon hangsúlyozzuk, hogy amikor betörési tesztről, biztonsági tesztről beszélünk, akkor ne felejtsük el, hogy internetes rendszereknél nagyon komoly biztonsági rések lehetnek alkalmazás szinten. A webes alkalmazásoknak a biztonsági tesztje egy olyan terület, aminek kellően nagy hangsúlyt kellene kapnia Magyarországon is. A PwC több, mint 5 éve fejleszti folyamatosan a webes alkalmazások tesztelési módszerét, s több, mint egy évtizedes múltja van infrastruktúra tesztekben.

P.: Ezt a módszert hol fejlesztik, hogyan néz ez ki egy módszertan fejlesztése?

A. L.: A módszertan egy nagy dokumentum-halmaz formájában, sok részből áll össze. Ha van egy technológiai terület, aminek egyik csoporttagunk avatott szakértője, akkor az adott biztonság-technológiai módszertan fejlesztéséért felelhet, kidolgozza a tesztelési módszert és eszközt, ami bekerül ebbe a nagy módszertanba, egy központi tudásbázisba. Ez a központi tudásbázis azonban nem mindenki számára elérhető a cégen belül sem, csak az akkreditált szakértők érik el.

P.: Ez ennyire titkos dolog?

A. L.: Nagyon, bizalmasan kezeljük cégen belül is.

P.: Biztonsági stratégia kialakításával is foglalkoztok. Mit jelent ez, és hogyan történik ez egyáltalán?

A. L.: Biztonsági stratégiával, tervezéssel elég ritkán kérnek fel olyan embert, aki elvileg a másik oldalt, tehát a teszteket kellene, hogy nézze. Biztonsági standardokkal, eljárásokkal, biztonsági irányelvekkel foglalkozunk nagyon mélyen. S hogy miért? Mint említettem, nagyon sokszor a probléma oda görgethető vissza, hogy nem tudta az ügyfél, hogy hogyan kell konfigurálni a rendszert, nem tudták, hogy valamit mi szerint kell beállítani, hogyan kell kódolni. A biztonsági stratégiát egy piramisként úgy képzeljük el, hogy a legmagasabb szinten vannak a biztonságra vonatkozó vezető irányelvek, melyek meghatározzák hogy milyen eljárások szerint kell működni, például egy operációs rendszert hogyan kell beállítani, vagy egy távoli hozzáférés biztonságát hogyan kell konfigurálni. Erre kidolgoztunk egy módszertant, amit úgy hívnak, hogy Enterprise Security Architecture, és kidolgoztunk egy terméket, ami ESAS (Enterprise Security Architecture System) néven fut. Ez úgy működik, hogy van egy Oracle adatbázis, amire feltöltjük a tudásforrást, és ennek van egy webes frontend-je, amiről le lehet hívni, a különböző irányelveket, eljárásokat, standardokat, stb. És megvannak a biztonsági szintek, hogy ki mihez férhet hozzá.

Klasszikusan azok az emberek, akik nap mint nap biztonsággal foglalkoznak, pontosan tudják mi az amit szabad, mi az, ami kell és mi az, ami tilos a rendszerparaméterek/eljárások területén. Éppen ezért ilyen biztonsági szakemberek rakták össze ezt a tudásbázist. Maga a technológia, ami mögötte van, biztosítja azt, hogy nagyon hatékony legyen ennek a kommunikációja, mert ha egy intraneten vagy extraneten kommunikálják ezt, akkor bizony nem kell kliens szoftvert telepíteni, elég egy böngésző.

P.: Mi az a gap analízis? Megragadta a figyelmemet amikor a web-lapotokon erről olvastam.

A. L.: Gyakorlatilag arról szól, hogy amikor egy biztonságnak a tervezésére, kialakítására kerül sor egy cégnél, akkor azzal kezdjük, hogy felmérjük, valójában jelen pillanatban milyen állapot van. Megnézzük azt, hogy milyen irányelvek, eljárások, standardok vannak már érvényben, milyen biztonsági szinteket határoztak meg. Ezután megnézzük, hogy mi a kitűzött cél, mit akarnak majd elérni. Tehát nem úgy működik a dolog, hogy amikor standardokat, eljárásokat kialakítunk, vagy az egész biztonságra vonatkozó stratégiát felépítünk, akkor nekiállunk és a saját legjobb belátásunk szerint elkezdjük, hanem először felmérjük, hogy mi van a vállalatnál. Ez az első szakasza és innen kezdjük el felépíteni, hogy milyen újabb eljárásokat kell kidolgozni, min kell változtatni, milyen standardokat kell bevezetni stb.

P.: Foglalkoztok-e incidensekkel? Végül is egy sikeres hacker támadásnak, vagy egy belső támadásnak ez lehet az eredménye.

A. L.: A mi munkák jó része abban merül ki, hogy prevenciós szolgáltatásokat nyújtunk, tehát abban segítünk, hogy megelőzzék azt, hogy bűncselekmények előforduljanak. Van a dolognak egy másik oldala, amikor az incidens zajlik. Van a PwC-nél egy velünk átfedésben lévő csoport, amely az incidens reagálásokkal foglalkozik. Van tapasztalatom ilyen munkában. Ez gyakorlatilag egy gyors reagálású csoport, mely szintén a biztonsági részlegen belül működik. Segítünk az incidens kezelésében, aminek van technológiai és nem technológiai vonatkozása is. Jelen vannak a csoporton belül pénzügyi és jogi szakértők csakúgy, mint informatikai szakértők.

P.: Hol lehet a weben olvasni a fentiekről?

A. L.: A magyar nyelvű weboldalunk a http://www.pwcglobal.hu/security alatt érhető el, az angol nyelvű globális oldal pedig a http://www.pwcglobal.com/security címen található. Az incidens reagálást illetően pedig röviden a http://www.pwcglobal.com/investigations oldal szolgál információval.

• Címkék:
• telekom

• Az ügyfelek elégedettek.
• Versenyhelyzet, jogi kérdések.