Hackerek a bérlistán

Magyarországon is egyre ismertebb kifejezés az etikus hackelés, amelynek kereteit elsősorban hazai jogszabályok rendezik, míg a digitális adatvédelemmel kapcsolatban az uniós elvárásoknak megfelelő jogszabályok, hatósági előírások és ajánlások vannak érvényben. Az ezen a téren általánosságban tapasztalható, felszínes ismeretek nem csak az előbbiek miatt mondhatók meglepőnek.

Globális szinten ma már a legnagyobb értékben elkövetett bűncselekmények az illegális digitális adatszerzéshez, informatikai rendszerek feltöréséhez köthetők.

Ez arra mutat rá, hogy erre a munkára kiemelt figyelmet kellene fordítani, hiszen az egyre gyakrabban előforduló visszaélések miatt megkerülhetetlenné vált a vállalatok információbiztonsági kockázattűrő képességének növelése.

Az persze nem vonható kétségbe, hogy az elmúlt hónapokban az adatvédelmi kérdések itthon is előtérbe kerültek, döntően az Európai Unió általános adatvédelmi rendelete, a GDPR miatt. E rendelet szinte teljes egészében uralta az ilyen témájú megjelenéseket a sajtóban.

A szabályozás felé irányuló általános figyelem közepette viszont csaknem teljesen elsikkadt az a nem kevésbé fontos változás, hogy a GDPR tavalyi hatálybalépésével lényegében egy időben a NIS irányelv hazai átültetését tartalmazó jogszabályokat is kihirdették.

A NIS irányelv a hálózati és információs rendszerek biztonságára vonatkozó szabályokat tartalmazza, amelyeket az EU 2016/1148. számú irányelve alapján a tagállamoknak át kellett emelniük a jogrendszerükbe.

Így azon szervezeteknek, amelyek alapvető szolgáltatásokat nyújtanak, többek között a közúti, légi, vízi, vasúti közlekedés irányítóinak, a pénzintézeteknek, az egészségügyi ágazatban az aktív fekvőbeteg-ellátást végzőknek vagy az állami szektor egyes kiemelt szereplőinek, valamint az olyan, digitális szolgáltatást nyújtóknak, mint a felhőszolgáltatást, online keresőmotort vagy online piacteret (webshopot) működtető piaci szereplőknek kötelezően kiberbiztonsági kockázatmenedzsment-tevékenységeket kell végezniük. Ennek keretében sérülékenységteszteket is végre kell hajtaniuk.

Hiába azonban a szigorú regulák, a kiberbiztonsági szolgáltatások kereteit illetően mégis erős bizonytalanság tapasztalható a cégeknél. Magyarországon sok esetben az sem feltétlenül egyértelmű, hogy informatikai biztonsági ellenőrzéseket kik és hogyan, milyen formában végeznek és végezhetnek. Ezzel együtt az etikus hackelést egyre többen és gyakrabban emlegetik, ám ahogy az információbiztonsági menedzsmentfeladatokkal, így ezzel kapcsolatban is érezhető félreértések forognak közszájon.

Etikus hackerként manapság azokat emlegetik, akik biztonsági rések, sérülékenységek után kutatnak szoftverekben, rendszerekben vagy hálózatokban. Munkájuk során jellemzően intruzív és nem intruzív módszereket alkalmaznak.

Az előbbi körbe tartozik például a már említett sérülékenységelemzés elvégzése, a hálózat gyenge pontjainak felderítése vagy penetrációs tesztek végrehajtása. Egy ilyen jellegű vizsgálat során a rendszert kívülről és azon belül is megpróbálják feltörni. A nem intruzív módszerek olyan elemeket takarnak, amelyek jellemzően nem a rendszerbe történő behatolásra, hanem az ezzel kapcsolatos ellenőrzésekre fókuszálnak. Ilyen például a dokumentációk, konfigurációs beállítások ellenőrzése vagy a vonatkozó szabályrendszerek felülvizsgálata.

Fontos elem, hogy a vizsgálat típusától függően (például black box, grey box vagy white box vizsgálat), a választott megközelítéssel összhangban létre kell hozni az ellenőrzéshez szükséges hozzáféréseket és felhasználókat, valamint a felülvizsgálatról szóló kommunikációt és riasztásokat is meg kell tervezni, majd végre kell hajtani. Előzetesen tisztázni kell például, hogy egy penetrációs teszt vagy egy sérülékenységelemzés milyen hálózatot – IP-cím-tartomány –, eszközt, rendszert és adatokat (banktitok, személyes adat, minősített adat) érinthet. Jellemzően rögzíteni kell az adatkezelői, adatfeldolgozói pozíciókat is, vagyis azt, hogy a szolgáltató milyen adatokhoz férhet hozzá.

A hatályos jogszabályi előírásokkal összhangban korlátozni kell az adatkört, és az éles adatok vizsgálatát csak kivételes esetekben szabad lehetővé tenni.

Az említett kérdéskörök ismerete egyáltalán nem mondható általánosnak a vállalatok körében, az meg végkép nem, hogy a vizsgálat zárásaként a „takarítás” is megoldandó feladat-e. Mindez a kockázatok értékelésén és a jelentés elkészítésén túl a feltárt sérülékenység javítását is felöleli. Aligha vonható kétségbe, hogy az utóbbi ismeretek általános elterjedése sokat segítene a sérülékenységelemzéseket végzők értékeléseinek valós szintre kerülésében.

Bárhonnan is közelítjük meg a kérdést, a néha ijesztő sebességgel zajló digitális átalakulásban az adatbiztonság fontossága mára megkérdőjelezhetetlenné vált, hiszen lényegében minden vállalatot érint. Ennek tudatában pedig nem vonható kétségbe, hogy a következő években, évtizedekben a globális gazdasági kérdéseknek ez a terület lesz a központi elemük. Ennek figyelembevételével szinte elvárássá válhat, hogy már vállalatvezetési, menedzsmentszinten is világosak legyenek azok az információk és ismeretek, amelyek a kiberbiztonság és az erre irányuló feladatok elvégzésével kapcsolatosak.