A Sony-botrány utórezgései
Eltérő mértékben, de mindannyiunk életében ott van az informatika. Van, aki fél (vagy egész) életét éli az online közösségi portálokon, van, aki ritkán ül le a számítógép elé. Utóbbiak életét is átszövi az informatika, mivel személyes adataikat számosan tárolják: bankok, biztosítók, kereskedelmi láncok, egészségügyi intézmények stb. Természetesnek tartjuk, hogy személyes és banki adatainkhoz, privát levelezésünkhöz illetéktelen személy nem férhet hozzá. Ennek a védelemnek két oldala van. Egyrészt a felhasználói ő remélhetőleg tudatosan építi ki a maga biztonságát: nem írja le a PIN kódját, nem triviális jelszót használ stb. A másik oldal az adat kezelője, amelytől a felhasználó joggal elvárja, hogy mindent megtesz a szükséges mértékű védelem kialakítására és üzemeltetésére.
Ennek a biztonsági szintnek a meglétéről azonban a felhasználónak kevés információ áll a rendelkezésére. Talán még annyi sem, mint a páciensnek az orvosa tudásáról és felkészültségéről. Az orvosban azért bízunk, mert diplomája van, és fehér köpenyt visel.
Gondolhatnánk, hogy minden vállalat valós érdeke is az, hogy az általa kezelt adatok védelméért mindent megtesz. Felmerül a kérdés, hogyha valóban mindent megtesz, akkor miért történhetnek olyan volumenű biztonsági incidensek, mint amilyet a közelmúltban a Sony szenvedett el. Mint ismert, 2011. április 17. és 19. között a Sony PlayStation Network (PSN) mintegy 77 millió felhasználójának adataihoz (név, születési dátum, lakcím, belépési azonosító és jelszó, bankkártyaadatok) fértek hozzá hackerek. Pár nappal később a Sony Online Entertainment mintegy 25 millió ügyfelének adatait szerezhették meg az illetéktelen betolakodók.
A Sony április 20-án leállította a PSN-szolgáltatást, és közleményben tudatta, hogy a bankkártyaadatokat tartalmazó adatbázistábla titkosítva volt. Ezt az állítást május 2-án kénytelen volt korrigálni, mondván, a bankkártyaadatok mégsem voltak titkosítva.
Ez a támadássorozat az ismert legnagyobb volumenű ki-bertámadás volt. A kibertámadások változásáról régóta beszél a biztonsági szakma. Sokan úgy tekintenek rá, mint a késő esti híradóban egy a világ másik felén megtörtént katasztrófáról szóló hírre. Elborzasztja a nézőt, aki ezután megnyugszik, mondván, milyen jó, hogy ilyen meszsze él attól. Márpedig – ahogy George Carlin mondta – ha vulkán mellé építkezünk, ne csodálkozzunk, ha néha láva folyik a nappaliban. Informatikai szempontból valamennyien „vulkán mellé építkeztünk”.
Az informatikai biztonság terén nincs megtérülési mutató és nincs minimálisan elvárható szint. Léteznek egyes területeken (például a pénzügyi szektorban) törvényi előírások és iparági szabványok, az ezeknek való meg nem felelés kockázata minimálisnak mondható. A törvény hiába ír elő valamit, ha az elvárás megfogalmazása többféle módon értelmezhető, a betartását ellenőrző szerv korlátozott erőforrásokkal rendelkezik, a törvény be nem tartása minimális pénzbeli büntetést von maga után, ráadásul a biztonsági sebezhetőségek igen gyorsan változó világot jelentenek.
Az utóbbi két év azt mutatta, hogy a kibertámadások egyre kifinomultabbak és célzottabbak. Egy évtizede a támadók még jórészt egy sebezhetőséget próbálgattak minél több helyen, és az jelentett „trófeát”, ha sikerült minél több hálózatot feltörni. A jelen arról szól, hogy kiválasztanak egy célpontot, és pontosan felépítik az adott cél eléréséhez szükséges támadást.
A 77 millió felhasználó adatainak a megszerzése vélhetően nem ad hoc ötlettől vezérelt cselekmény. Ugyanígy nem az, ha egy csoport atomlétesítmény megbénítására alkalmas „vírust” fejleszt. A Sonyt ért támadás okára és a támadók kilétére még csak találgatások keringenek az interneten. A feltételezések között szerepel, hogy az eset összefügg a Sony PlayStation 3 másolásvédelmét feltörő hacker bíróság elé állításával. Aggasztó ugyanakkor, hogy ilyen mértékű biztonsági incidens végbemehetett, és a felismerése is ennyi ideig tartott.
Ennél sokkal nagyobb gondot jelent, ha kritikus infrastruktúrát ér támadás. Az egészségügyi ellátórendszer, a rendvédelmi szervek kommunikációja, ipari irányítórendszerek, a légi irányítás mellett többtucatnyi olyan informatikai rendszer létezik hazánkban is, melynek minimális kiesése is komoly gondot jelenthet.
n A szerző a Deloitte Zrt. informatikai biztonság és adatvédelem üzletágának a vezetője
Amerika máris védekezik
A Fehér Ház által e hónapban közzétett Nemzetközi stratégia a kibertérért az első dokumentum, amely azonos szintre emeli a kibertámadást a hagyományos értelemben vett egyéb fegyveres fenyegetéssel. A dokumentum jelzésértékű a fenyegetettség mértékének változására. A jelzés nem feltétlen abban áll, hogy az USA valóban fegyveresen lépne fel egy hackertámadással szemben, sokkal inkább a kibertámadások fokozott veszélyére hívja fel a figyelmet.Biztosra vehető, hogy a jövőben egyre több célzott támadással találkozunk, ahol a kiválasztott célpontok lehetnek személyek, szervezetek, vállalatok és kormányok egyaránt.
A korábban leginkább csak a biztonsági szakmában tárgyalt informatikai hadviselés jelent meg a mindennapi életben.
Biztosra vehető, hogy a jövőben egyre több célzott támadással találkozunk, ahol a kiválasztott célpontok lehetnek személyek, szervezetek, vállalatok és kormányok egyaránt.
A korábban leginkább csak a biztonsági szakmában tárgyalt informatikai hadviselés jelent meg a mindennapi életben.-->
Portfóliónk minőségi tartalmat jelent minden olvasó számára. Egyedülálló elérést, országos lefedettséget és változatos megjelenési lehetőséget biztosít. Folyamatosan keressük az új irányokat és fejlődési lehetőségeket. Ez jövőnk záloga.