Berta Sándor

Szavatossági dátum kell az IT-rendszereknél

A biztonságos termékekhez és internethez a gyártóknak és a felhasználóknak is fejlődniük kell.

"A kiberbűnözők azon törekvéseit, hogy idegen számítógépekhez férhessenek hozzá, adatokat kémleljenek ki vagy pénzt zsaroljanak ki, a digitális világban ugyanolyan kevéssé lehet teljesen megakadályozni, mint a valódi világban előforduló hasonló bűnözési formákat. Azon viszont nagyon is lehet javítani, hogy a vállalatok és a magánszemélyek miként védik meg magukat a digitális világban. Riasztó mértékű hiányosságok vannak; leginkább az a gond, hogy a piac szereplői nincsenek tudatában a problémáknak." - figyelmeztetett Arne Schönbohn, a 2012-ben alapított Német Kiberbiztonsági Tanács elnöke, aki egyben tavaly február óta a német Szövetségi Információstechnikai Biztonsági Hivatal (BSI) vezetője is. A szakember Dortmundban, Londonban és Tajpejben tanult, s több mint egy évtizede van vezető pozícióban az IT-biztonság területén.

"Világszerte 600 millió kártevő van, amelyek segítségével a kiberbűnözők folyamatosan támadhatják a számítógépeket. Ennek ellenére az olyan esetek, mint most a Wanna Cry is, azt mutatják, hogy még a nagy IT-részlegekkel rendelkező cégek sem védik megfelelő mértékben a rendszereiket. A kártevő elleni biztonsági frissítés március közepe óta elérhető volt. A robbanásszerű terjedés azt mutatja, hogy több ezer esetben ezt a javítást nem telepítették fel és más módon sem biztosították a hálózatokat. Ez gondatlanság. A legtöbb támadás heteken és hónapokon át észrevétlen marad. A Wanna Cry remélhetőleg egy hatásos figyelmeztetés volt azoknak a szervezeteknek, amelyek ezzel a témával foglalkoznak. A kártevő megmutatta, hogy sok cégnek vannak sebezhetőségei, amelyeket a kiberbűnözők kihasználhatnak. A probléma csak az, hogy erről sokszor az érintettek sem tudnak" - jelentette ki a szakember.


Arne Schönbohn

Arne Schönbohn szerint nagy szükség lenne arra, hogy az embereket időben felkészítsék a digitális világ kockázataira, akár már az iskolákban is, habár egyfajta internetes jogositvány bevezetését túlzásnak tartaná. Jobban kiemelné a a vállalatok felelősségét, hogy időben jelentsék a megtörtént támadásokat és ne hallgassák el azokat. A digitalizálás előrehaladásával kapcsolatos jogi kereteket is meg kell teremteni, vagyis ha majd számítógépek vezérlik az autókat és a tehergépkocsikat, akkor ezt világosan szabályozni kell. Azonban nem megoldás a túlszabályozás sem és ma még sok ágazatról azt sem lehet tudni, hogy hová fejlődik. Éppen ezért nem szabad a digitális kreativitást sem visszaszorítani vagy akadályozni egy szabályozási őrülettel.

"Az első lépés az lesz, hogy Németországban bevezetjük az IT-jelölési rendszert, mint minőségi kritériumot a kiberbiztonság területén. Ezzel a hardvereket és szoftvereket kínáló cégek jogi kötelezettséget is jelentő vállalásokat tesznek majd és azok betartását az ügyfeleik követelhetik. A második lépés az IT-gyártók konkrét felelősségvállalásának megjelenése lesz. Ez akkor kaphat szerepet, ha a termékeik károkat okoznak, például biztonsági hiányosságok miatt. Az nem fordulhat többé elő, mint a Wanna Cry esetében, hogy a Microsoft éveken át sebezhetőségekkel együtt árult termékeket. Ez az adott gyártó minőségmenedzsmentjének a hiánya és ezt a való világban sem fogadná el senki. Ott van garancia, szavatosság, sőt, akár visszahívási jog is. Ilyen szempontból a digitális jogi kereteket a valódi világ jogi kereteihez kell igazítani."

"Ennek ellenére nem akarjuk a gyártókat örökös szolgáltatásgaranciára kötelezni. Egyetlen veteránautó tulajdonosa sem vetheti a gyártó szemére, hogy a 70 éves gépkocsijában miért nincsen ABS. Az álláspontom az, hogy a hardvereknél és a szoftvereknél is szükség van egy szavatossági dátumra, egy olyan időszakra, amely alatt a gyártó garantálja, hogy kijavítja a hibákat és felelősséget vállal. Ez egyrészt növeli a gyártókra nehezedő nyomást, hogy jobb és biztonságosabb termékeket készítsenek, másrészt a vásárlók is a kezdetektől pontosan tudni fogják, hogy az általuk vásárolt technikának van egy lejárati dátuma, amely után nekik kell gondoskodniuk a biztonságról. Különben ők lesznek a felelősek azokért a károkért, amelyeket az elavult technikájuk okoz egy harmadik félnek" - szögezte le a BSI elnöke.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • cylontoaster #14
    "Ha azzal a felhasználó tudtán, szándékán kívül, kárt képes okozni "harmadik személynek", az is. "

    Autóval szándékodon kívül tudsz elvasalni mást, fékhibából vagy más okból. Tudtodon kívül nem, de tudtodon kívül itt se nagyon okozol kárt.

    "Pedig van. Minden hibajavítás előtt amikor kihasználják a hibát ez van."
    És ez mennyire gyakori? Jellemzően ismert sérülékenységet használnak ki, vagy simán a felhasználót.

    És egyébként mi a tökéletes, biztonságos program? Amin nincs sérülékenység és akármilyen böszme a felhasználó (esetleg az üzemeltető) nem lehet belőle károd?
    Akkor az autótól meg várjuk el, hogy soha nem fog elütni mást, soha nem fog árokba vagy fának menni, stb.

    Egy 30 évvel ezelőtti autónál a törés teszt mennyire más, mint egy mainál? Biztonságosabb egy mai autó? Ja kérem, akko a régit miért is engedték ki a gyártók, hiszen emberek halhattak meg a nem tökéletesített biztonság miatt.

    A PC-d és a rajta futó OS sem önjáró, ahog az autód sem. Mindkettőnek vannak erősségei és gyengeségei és ezek tudatában kell kezelni. És igen, el kell fogadni azt, hogy nem lesz olyan OS aminek nincs sérülékenysége, ahogy nincs lelőhetetlen vadászgép, vagy balesetbiztos autó.

    Amúgy ha hoznak törvényt hogy a nem ismert sérülékenységet kihasználó támadások kárkövetkezménye a gyártó hibája, azzal mire mész? Bizonyítod, hogy a nem ismert sérülékenységet használták ki? Hajrá!
  • Elmin #13
    "Ekkora hülyeséget magadtól tudtál kitalálni, vagy súgtak?

    Ha az autóval el tudok gázolni mást, akkor a kocsi gyártója a felelős?"
    Te sem szoktad teljesen elolvasni amit írnak?
    "Ha a gyártó hibás fékberendezést épít be, emiatt a "gép" közúti katasztrófát okoz, jogilag nem a pilóta lesz a hibás."
    A hibás beépítést írt nem pedig azt, hogy mit lehet elkövetni és mit nem egy autóval.

    "Ha a felhasználó értelmesen használja, az üzemeltető pedig értelmesen tartja karban, de mégis szívás van, akkor lehet a rendszert szidni. Jellemzően ilyen nincs. "
    Pedig van. Minden hibajavítás előtt amikor kihasználják a hibát ez van.
  • cylontoaster #12
    Ekkora hülyeséget magadtól tudtál kitalálni, vagy súgtak?

    Ha az autóval el tudok gázolni mást, akkor a kocsi gyártója a felelős?

    Az autónál akkor nem te vagy a felelős, ha tudod hasznlni és megfelelően használtad, de mondjuk a fék szar volt, annak ellenére hogy te a szükséges ellenőrzéseket és javításokat elvégezted.
    Na egy oprendszertől pont ugyanez az elvárt. Ha a felhasználó értelmesen használja, az üzemeltető pedig értelmesen tartja karban, de mégis szívás van, akkor lehet a rendszert szidni. Jellemzően ilyen nincs.
  • end3 #11
    Mint ahogyan a mesterséges inteligencia fejlesztőinek sem árt felkötni alaposan a "nadrágot", mert ha a távoli jövőben az öntudatra ébredt MI megdönti az "emberi" demokráciákat, beszabályozza a földi élet kereteit, abban sem a szolgáltatásait "élvezők" vagy egyszerűen csak elszenvedők lesznek a felelősek.
    Utoljára szerkesztette: end3, 2017.05.24. 08:40:45
  • end3 #10
    Nyugodtan leszögezhetjük, a nem megfelelő hardver és a nem megfelelő szoftver az előállító-gyártó felelősége. Ha azzal a felhasználó tudtán, szándékán kívül, kárt képes okozni "harmadik személynek", az is.

    Bármennyire is szeretnék a szoftverfejlesztők, a felelőséget a világméretű katasztrófákért a felhasználókra kenni. Ezt senki a jog világában nem fogja bevenni. Az autós hasonlat éppen kiváló erre. Ha a gyártó hibás fékberendezést épít be, emiatt a "gép" közúti katasztrófát okoz, jogilag nem a pilóta lesz a hibás.
  • wraithLord #9
    Lehet, hogy nem jogos elvárás, de pont ezért csinálnak szar (egyre szarabb) OS-eket, mert fő a "felhasználóbarátság". A user semmit sem akar tudni, ezért az OS-t tele kell rakni minden szarral, amit a user csettintésére előkap a rendszer (és amitől 5x annyi helyet foglal, az instabilitás nő), minden automatizált... Lassan öntudatra ébred, mint a kéthónapos romlott almáspite. :D
    Ezért jók a nem populáris Linux-disztribúciók. Viszont ugyanez a hátulütője is, a kis elterjedtség miatt egy csomó perifériához vagy te csinálsz drivert, vagy nem fog menni.
  • Macropus Rufus #8
    hibás megközelítés. A user használja a rendszert és nem érdekli, hogy miért megy úgy ahogy. De anyám szerint minimális elvárás lenne ha az egyorrúak legalább alap könyvelési ismeretekkel bírnának és akkor nem tennének fel neki barom kérdéseket az ügyfelei.
    Jogos az elvárása? Nem, akár csak tiéd sem.
    De pl. az autó szerelőmnek is tele van a hócipője, hogy sok a kocsikhoz nem értő ember vesz autót, legalább tudnák mi a blendix kerék, vagy mi a túró az a thermal reaktor egy Wankel motor oldalán. Jogos az elvárás? Nem.

    Soxor egyetértek veled, és nem is referálok arra amit írsz, mert komálom az írásaidat, de ezzel most nem értek egyet.
  • kvp #7
    Alapveton a mai programok egy reszenel a fejlesztest vegzo mernokok nem gondolnak a mernoki tudassal nem rendelkezo emberekre. Jo pelda a windows, ahol egyfajta felulet van csak, amit mindenkinek meg kellene tanulnia hasznalni. Pedig az emberek tudasa eltero es mar anno az Amiga idejen is voltak probalkozasok a tobbszintu feluletek hasznalatara, hogy legyen egy 'nem ert hozza', 'ertelmes felhasznalo' es 'rendszergazda vagy mernok' tipusu felulet.

    Az Apple mashogyan kozelitette meg, nalluk mindenki az idiota es nem ert hozza besorolasban van, tehat a tulajok nem nagyon tudjak elallitani a keszulekuket. Mivel a felhasznalok tobb mint 99%-a pont ilyen hozza nem erto, ezert nekik ez a megoldas tokeletes. Hosszu tavon nezve a megoldasuk bevalt, csak dragan adjak ahhoz, hogy mindeni ezt hasznalja.

    Ha valaki kihozna egy ingyenes, de teljes tudasu, viszont a buta user-ek ellen vedett rendszert, akkor az emberek nagyresze ezt hasznalna. A hibak ellen pedig az egyik legjobb vedekezes ha keveset tud az adott keszulek, mert akkor ott statisztikailag kevesebb hiba is lesz. Raadasul ez az emberek joreszenek boven eleg.

    A jogi szabalyozas viszont kerdeses, mert a szoftverek globalisak, viszont a torvenyek lokalisak, ezert nem igazan eri meg olyan szoftvert kesziteni ami minden jogszabalynak megfelel. Igy kerult be a windows licenszebe is, hogy semmilyen felelosseget nem vallalnak, a szoftver garanciaval semmire sem jo, ezert mindenki a sajat felelossegere hasznalhatja csak. Ha minden jol megy es atmegy az EU-n a cikkben leirt szabalyozas, akkor egy ilyen semmire nincs garancia feltetellel tobbet nem lehetne forgalomba hozni semmilyen szoftvert. Viszont Europa nem akkora piac, hogy megerje vele foglalkozni, tehat ha megis meglepik, akkor nem lesz szinte semmi sem elerheto.

    Hosszu tavon egyebkent tenyleg a biztonsagos, buta felhasznalonak buta keszuleket elv lenne nyero, de ez nagyon hamar atmehet abba, hogy kulon pilotavizsga nelkul senki ne kapjon rendszergazdai jogokat a sajat gepen. Ez meg a tenyleg hozzaerto felhasznalokat boritana ki es igazabol meg se oldhato rendesen, lasd az Apple rendszerek jailbreak-jeit.
  • xyl #6
    Szerintem szét kell választani a dolgokat.

    1. A jelenlegi állapot rossz. Kiderül egy hiba, kiadják a javítást, megint kiderül egy másik, megint kiadnak egy javítást, aztán a felhasználó foglalkozzon azzal, hogy a javításokat felrakja.

    Előszöris: Ennyi hiba nem kellene legyen a rendszerben. Ha ez elkerülhetetlen (Egyébként pedig tulajdonképpen felesleges dolgok eszik meg a gépek teljesítményét, egy csomó szükségtelen "feature", no de mindegy), akkor meg legyen valami mechanizmus arra, hogy csak akkor tudjon a gépre feltelepülni bármi, ha arra engedélyt adok, pl. valamiféle hardver szintű lezárás, mint a floppy irásvédelme és kilépéskor a nem explicit akarattal letöltött fájlok ürítése. (Lásd cookie. Beleegyezem, mert mi mást tehetnék)

    Cégeknél legyen rendszergazda, Rozinéninél pedig teljesen érthető, hogy valamit megtanult és nem akar újat tanulni. A hardveresen lezárt gépe legyen kellően biztonságos (értsd se neki, se másnak ne okozzon bajt) azon az áron, hogy ugyanaz a program ugyanúgy működik.
    Nem kell a régi programokra fújogtatni, jók azok, csak valahogy többet kellene a minőségbe és kevesebbet a mennyiségbe fektetni. Persze, ez nem üzlet. Így aztán marad minden a régiben.
  • cylontoaster #5
    Az autóhoz tudni kell a kreszt, akkor is ha sose használod (pl vidéken villamosra vonatkozó részek), az eügyi dolgokat, és még kismillió dolgot, ami a tényleges használathoz alapjáraton nem kell.
    Másrészt változatlanul nem "kötelezően tudd hogy használhasd" témáról van szó, hanem arról, hogy oktassák és általánosságban nagyobb legyen a témában jártasság.

    Teljesen egyértelmű, hogy a jövőben a rozinénik többet fognak tudni, mint a mostaniak. A kérdés az, hogy elég-e a normál léptéke ennek (az a tudás amit magukra szednek) vagy kell-e ehhez többlet. Az egyértelmű válasz pedig az, hogy kell.

    Ha az autó működési elvét nem ismered, az a kutyát se érdekli. Ha a hüyeséged miatt a cég gépeit bedarálja egy zsaroló, és (jobb esetben) az aznapi munkáknak sanyi, akkor csúnyán megütheted a bokád. Ha a banki adataidhoz férnek hozzá, és ürítik ki a számlád, azt sem fogod megköszönni.

    Az autós példa pont ezért teljesen rossz.