Berta Sándor
A biztonságon spórol sok gyártó
Az informatikai biztonság olyan, mint a személyes higiéné, ahol rendszeres kézmosás kell a tisztasághoz. Némi odafigyeléssel komoly változások lennének elérhetők.
"Számos oka van annak, hogy sok eszköz nem biztonságos. Az egyik, hogy az olcsón, tömegesen értékesített termékeknél ez nem is szempont, másrészt pedig hogy arra sokszor nem gondolnak a gyártók, hogy azokat a készülékeket, amelyek a világhálóhoz csatlakoznak, frissíteni is kellene. Egy néhány ezer forintba kerülő eszköznél üzletileg nincs sok játéktér a biztonsági intézkedésekre." - jelentette ki Harald Leitenmüller, a Microsoft osztrák részlegének műszaki vezetője.
"A biztonságon egyébként lehet javítani. Nagyon intenzíven foglalkoztunk a kérdéssel és készítettünk egy dokumentumot, amelyben azokat a tulajdonságokat határoztuk meg, amelyekkel egy hálózatba kötött terméknek rendelkeznie kellene ahhoz, hogy egyáltalán biztonságról lehessen beszélni. Ide tartozik például a készülék egyértelmű azonosíthatósága, a magán adatok tárolhatósága egy elkülöníthető részben; a több, egymástól független biztonsági szint alkalmazása; a tanúsítványokon alapuló azonosítás, a frissítési lehetőségek és a hibajelentések küldése a gyártóknak. Ezek a dolgok ugyan növelik az eszközök árát, de mindenképpen erősítik a biztonságot. Ráadásul még az sem mondható, hogy ne lehetne így is például 10 dolláros termékeket készíteni."
A menedzser hozzátette, hogy a zsarolóvírusok miatti fenyegetések a hálózatba kötött rendszerek vagy az okosotthon-alkalmazások esetében nagyon is valósak. Sokakban van az a tévképzet, hogy a biztonság nem kerül semmibe, holott pont, hogy itt van nagy szükség komoly beruházásokra és ezeken nem sokat lehet spórolni. A gyártóknak és a felhasználóknak is tisztában kell lenniük azzal, hogy milyen intézkedéseket kell meghozniuk a biztonságért. Hasonlata szerint olyan ez, mint a higiénia: az ember gyerekkorában megtanulja, hogy kezet vagy fogat kell mosnia. Ezek napi rutinintézkedések, amelyeknek köszönhetően tiszták és egészségesek vagyunk. Az IT területén ugyanez a helyzet. Szükség van bizonyos biztonsági higiéniai intézkedésekre és ennek oktatási témának is kellene lennie. Az immunitás ugyanis csak akkor jön létre, ha a társadalom megtanulta, hogyan kell ezeket a veszélyeket kezelnie.
"Minél több elektronikai eszközt használunk, annál vonzóbb célpontok vagyunk és annál érdekesebbé válik a bűnözők számára az azokkal való visszaélés. Meg kell változniuk a védekezési irányelveknek. Az egyes eszközöket nem lehet 100 százalékig biztonságossá tenni, de korszerű módszerek, például kockázatelemzés (Advanced Threat Analytics) segítségével meg lehet figyelni a termékeket és fel lehet ismerni az eltéréseket. Azonban ehhez az is kell, hogy a készülékek rendelkezzenek kommunikációs lehetőségekkel és frissíthetők legyenek, csak ezután lehet megfelelő intézkedéseket hozni."
" A szabványok jelentik az alapot és hozhatók olyan keretfeltételek, amelyek ezeket szabályozzák. Az Európai Unió hálózat- és információbiztonsági irányelve (NIS) például bizonyos követelményeket és eljárásokat fogalmaz meg a kritikus infrastruktúrák tekintetében. Vannak olyan alkalmazási területek, amelyeknél szintén lehetne ilyen irányelveket megfogalmazni. Ilyen terület lehet a személyes adatok védelme vagy a mesterséges intelligencia használata. Ugyanakkor a túlszabályozást nem tartom észszerűnek, mert lefékezi az innovációs képességet."
"Egy magatartáskódex szintén hasznos lenne. Meg kellene határozni, hogy mik a jó dolgok, miket kell elkerülni és miket korlátozni. Ez a mesterséges intelligencia esetében különösen fontos lenne. A Big Data, a gépi tanulás és a mesterséges intelligencia kapcsán eddig kevés vita volt, ez lesz a következő nagy terület, amelyen társadalmi párbeszédet kell folytatni. Hamarosan át kell majd gondolnunk, hogy miként akarjuk ezeket a dolgokat kezelni és milyen szabályokat akarunk megalkotni" - szögezte le Harald Leitenmüller.
"Számos oka van annak, hogy sok eszköz nem biztonságos. Az egyik, hogy az olcsón, tömegesen értékesített termékeknél ez nem is szempont, másrészt pedig hogy arra sokszor nem gondolnak a gyártók, hogy azokat a készülékeket, amelyek a világhálóhoz csatlakoznak, frissíteni is kellene. Egy néhány ezer forintba kerülő eszköznél üzletileg nincs sok játéktér a biztonsági intézkedésekre." - jelentette ki Harald Leitenmüller, a Microsoft osztrák részlegének műszaki vezetője.
"A biztonságon egyébként lehet javítani. Nagyon intenzíven foglalkoztunk a kérdéssel és készítettünk egy dokumentumot, amelyben azokat a tulajdonságokat határoztuk meg, amelyekkel egy hálózatba kötött terméknek rendelkeznie kellene ahhoz, hogy egyáltalán biztonságról lehessen beszélni. Ide tartozik például a készülék egyértelmű azonosíthatósága, a magán adatok tárolhatósága egy elkülöníthető részben; a több, egymástól független biztonsági szint alkalmazása; a tanúsítványokon alapuló azonosítás, a frissítési lehetőségek és a hibajelentések küldése a gyártóknak. Ezek a dolgok ugyan növelik az eszközök árát, de mindenképpen erősítik a biztonságot. Ráadásul még az sem mondható, hogy ne lehetne így is például 10 dolláros termékeket készíteni."
A menedzser hozzátette, hogy a zsarolóvírusok miatti fenyegetések a hálózatba kötött rendszerek vagy az okosotthon-alkalmazások esetében nagyon is valósak. Sokakban van az a tévképzet, hogy a biztonság nem kerül semmibe, holott pont, hogy itt van nagy szükség komoly beruházásokra és ezeken nem sokat lehet spórolni. A gyártóknak és a felhasználóknak is tisztában kell lenniük azzal, hogy milyen intézkedéseket kell meghozniuk a biztonságért. Hasonlata szerint olyan ez, mint a higiénia: az ember gyerekkorában megtanulja, hogy kezet vagy fogat kell mosnia. Ezek napi rutinintézkedések, amelyeknek köszönhetően tiszták és egészségesek vagyunk. Az IT területén ugyanez a helyzet. Szükség van bizonyos biztonsági higiéniai intézkedésekre és ennek oktatási témának is kellene lennie. Az immunitás ugyanis csak akkor jön létre, ha a társadalom megtanulta, hogyan kell ezeket a veszélyeket kezelnie.
"Minél több elektronikai eszközt használunk, annál vonzóbb célpontok vagyunk és annál érdekesebbé válik a bűnözők számára az azokkal való visszaélés. Meg kell változniuk a védekezési irányelveknek. Az egyes eszközöket nem lehet 100 százalékig biztonságossá tenni, de korszerű módszerek, például kockázatelemzés (Advanced Threat Analytics) segítségével meg lehet figyelni a termékeket és fel lehet ismerni az eltéréseket. Azonban ehhez az is kell, hogy a készülékek rendelkezzenek kommunikációs lehetőségekkel és frissíthetők legyenek, csak ezután lehet megfelelő intézkedéseket hozni."
" A szabványok jelentik az alapot és hozhatók olyan keretfeltételek, amelyek ezeket szabályozzák. Az Európai Unió hálózat- és információbiztonsági irányelve (NIS) például bizonyos követelményeket és eljárásokat fogalmaz meg a kritikus infrastruktúrák tekintetében. Vannak olyan alkalmazási területek, amelyeknél szintén lehetne ilyen irányelveket megfogalmazni. Ilyen terület lehet a személyes adatok védelme vagy a mesterséges intelligencia használata. Ugyanakkor a túlszabályozást nem tartom észszerűnek, mert lefékezi az innovációs képességet."
"Egy magatartáskódex szintén hasznos lenne. Meg kellene határozni, hogy mik a jó dolgok, miket kell elkerülni és miket korlátozni. Ez a mesterséges intelligencia esetében különösen fontos lenne. A Big Data, a gépi tanulás és a mesterséges intelligencia kapcsán eddig kevés vita volt, ez lesz a következő nagy terület, amelyen társadalmi párbeszédet kell folytatni. Hamarosan át kell majd gondolnunk, hogy miként akarjuk ezeket a dolgokat kezelni és milyen szabályokat akarunk megalkotni" - szögezte le Harald Leitenmüller.