2020-11-03 | IT jog
Nincs olyan informatikai rendszer, amely teljesen védett lenne a különböző támadások elől. Minden rendszerben találhatók olyan kisebb-nagyobb védelmi hiányosságok, melyek potenciális veszélyt jelentenek a rendszer és az azon tárolt adatok biztonságára. Gyakori kérdés, hogy mégis mikor érdemes az informatikai rendszer biztonságosságát ellenőrizni, és milyen módon lehet ezt végrehajtani. Cikkünkben az informatikai rendszerek sérülékenység-vizsgálatával és annak jogi kapcsolatával foglalkozunk.
Miért kötelező a biztonságos IT rendszer üzemeltetése?
A biztonságos IT rendszer üzemeltetésének kötelezettsége jogszabályi előírásokból, és szerződésekből egyaránt fakadhat.
A jogszabályi oldalra kiváló példa az EU általános adatvédelmi rendelete (GDPR), melynek adatvédelmi incidensekre vonatkozó szabályai nem csak a jogi, hanem a kellő szintű technológiai elővigyázatosságot is elvárják az adatkezelőtől. A nem megfelelő felkészültség súlyos következményekkel járhat az adatok biztonságára, így az érintettekre és végső soron az adatkezelőre egyaránt.
A GDPR-al és az adatkezelés biztonságával kapcsolatos korábbi irásaink az alábbi linkeken olvashatók:
§ Adatvédelem és GDPR startupok részére
§ Megoldások az adatvédelmi incidensek elkerülésére
Bizonyos szereplők számára az adatvédelmi rendelkezések mellett egyéb jogszabályok is előírnak IT biztonsággal kapcsolatos kötelezettségeket. Ilyen szereplők például a bankok és a különböző fintech megoldásokat nyújtó pénzintézetek, melyeknek különleges biztonsági előírásoknak kell megfelelniük – például az Európai Parlament és a Tanács pénzügyi eszközök piacairól szóló irányelve, vagy a pénzügyi intézmények informatikai rendszerének védelméről szóló kormányrendelet – rendelkezései alapján.
Elsősorban az üzletileg értékes adatok titokban maradása természetesen minden vállalkozás elemi érdeke. Mindig van az az árajánlat, ügyfélbázis, tervrajz, amely ha kikerül a piacra, komoly fejfájást okozhat a titokgazdának.
A biztonságos informatikai környezet szerződéses kötelezettségként is jelentkezhet.
Bizonyos esetekben a biztonságos informatikai rendszer üzemeltetése a szerződéses fő-kötelezettség része. Ilyen például amikor szerver-szolgáltatást vagy honlap-üzemeltetést veszünk igénybe: ilyen esetekben magától értetődő, hogy a szolgáltatóval szerződő fél egy biztonságos felületet szeretne igénybe venni, amely védett a külső támadásokkal szemben.
Másik gyakori eset, hogy piaci szereplők szerződésükben kölcsönösen titoktartást vállalnak az egymás részére átadott adatok vonatkozásában. Ebben az esetben mindkét fél kötelezettsége annak biztosítása, hogy a másik féltől származó összes adat kizárólag az arra jogosult személyek számára válik megismerhetővé. Egy hibás, magas kockázatot jelentő rendszer alkalmatlan arra, hogy a tárolt adatok biztonságáról gondoskodjon. Az adatok illetéktelenek általi megszerzése pedig – túl a szerződéses kötelezettség megszegésén és a szerződés potenciális felmondásán – hatalmas anyagi kárt is eredményezhet.
Nem utolsó sorban megjegyzendő, hogy a biztonságos IT környezet mindenkinek az érdeke: egy komolyabb támadás mind a szolgáltató, mind a felhasználó részére komoly problémákat okozhat. A támadások alkalmával az anyagi kár felmerülése mellett a személyiségi jogok is gyakran sérülnek, amely további kártérítési igényekhez és jelentős bizalomvesztéshez vezethet.
A biztonságos IT rendszer , a támadások célpontjai
Az informatikai rendszer akkor biztonságos, ha védett az illetéktelen beavatkozástól. Minden olyan számítógép, IoT eszköz, amely hálózathoz csatlakozik (akár belső, otthoni hálózatról, akár az internetről legyen szó) ki van téve a más eszközről történő, illetéktelen belépés veszélyének, azaz sérülékeny. Sajnálatos módon az internethez való kapcsolódás esetén ritkán garantálható a teljes védettség.
A legtöbb otthoni, magánszemély felhasználó számára az általánosan javasolt óvintézkedések – mint például a VPN vagy megfelelő tűzfal és vírusírtó használata, a nem megbízható hálózatok kerülése stb. – jelentősen csökkenthetik egy támadás esélyét.
A különböző kiber-támadások célpontjai azonban első sorban nem a magánszemélyek, hanem különböző jogi személyek, például cégek. Ezen piaci szereplők ugyanis nagyságrendekkel nagyobb mennyiségű és komolyabb értéket képviselő adattal rendelkeznek, mely a hacker támadások kívánatos prédájává teszik őket. A komolyabb cégek általában saját belső hálózatot használnak, melyeket gyakran külön erre a célra szakosodott informatikus üzemeltet. Sok esetben azonban a rendszer biztonságának gyenge pontjai csak egy támadást követően kapnak elég figyelmet. Előfordul továbbá, hogy a rendszer több informatikus kolléga kezén megy keresztül, így a rendszer felügyeletét átvevő személy nem- vagy nem kellően tájékozott a rendszer biztonsági réseivel kapcsolatban.
Hogyan győződhetünk meg róla, hogy a rendszer biztonságos?
Informatikai rendszerünk biztonságával kapcsolatban több megoldás párhuzamos alkalmazása jelenti a legmegbízhatóbb védelmet. Alapvető biztonsági követelmény, hogy operációs rendszerünket és szoftvereinket rendszeresen frissítsük. Olyan problémák esetén, mely saját informatikai képességünket meghaladják, forduljunk szakértőhöz: a legtöbb megbízható anti-vírus szoftver rendelkezik megbízható support szolgáltatással, melyen keresztül szakértő segítséget vehetünk igénybe.
Céges vagy egyéb fokozott kitettségű rendszer esetén elengedhetetlenek a megfelelő információs-biztonsági szabályzatok és előírások, valamint a személyi állomány megfelelő képzése és tájékoztatása. A legjobb, ha a cég vagy iroda saját, az adott szervezetre szabott IT biztonsági szabályzattal, otthoni munkavégzés esetén pedig megfelelő home office szabályzattal rendelkezik, és ezeket a munkatársak megfelelően ismerik. Különösen a SARS-CoV-2 koronavírus-járvány ideje alatt fontos, hogy a rendszert esetlegesen távolról – például otthoni számítógépről – elérő munkatársak tisztában legyenek a szükséges biztonsági előírásokkal. A koronavírus-járvány idején leginkább fontos szempontokról ezen a linken elérhető cikkünkben olvashat.
A ’bug bounty’ mint lehetséges megoldás
Ahogy a puding próbája az evés, az informatikai rendszer fő próbája a hacker támadás. Egy sikeres külső támadást követően azonban a kár utólag már ritkán enyhíthető.
Az IT rendszerek biztonságos sérülékenység-vizsgálatának érdekében az utóbbi időben egyre népszerűbb megoldás az első ránézésre rendhagyó, de annál eredményesebb úgynevezett bug bounty. A bug bounty lényege, hogy az adott informatikai rendszer üzemeltetője etikus hackerek számára pályázatot hirdet a saját rendszerében jelentkező sérülékenységek felkutatására. Ezt a pályázatot nevezzük „bug bounty”-nak, ugyanis az esetleges sérülékenységek felderítése esetén az azokat feltáró etikus hacker jutalomban részesül.
Természetesen a bug bounty meghirdetésekor az üzemeltető egyértelmű leírást adhat arról, hogy mely módszerekkel és pontosan mely rendszereinek a vizsgálatát várja el. A bug bounty „szabályainak” meghatározása – bizonyos minimális kivételekkel – teljes mértékben az üzemeltetőre van bízva, így elkerülhető a már ismert vagy nyilvánvalóan várt támadásokkal szembeni védettség tesztelése, valamint az esetleg még fejlesztés alatt álló rendszerek felesleges támadása.
Mely piaci szereplők számára lehet fontos a bug bounty?
A bug bounty keretében történő sérülékenység-vizsgálat első sorban olyan rendszerek üzemeltetői számára lehet előnyös, akik egy esetleges sikeres külső támadás során sokat veszíthetnek, és a lehető legbiztosabban ki akarják szűrni a rendszerük esetleges hibáit. Gyakorlatilag a legkisebb vállalkozástól, valamint az egyéni vállalkozóktól kezdődően a globális jelenléttel rendelkező vállalatokig minden szereplő profitálhat egy kellően testre szabott bug bounty programból.
Bár a bug bounty egyre népszerűbb, leginkább a távol-keleti és a nyugati országokban elterjedt megoldás. Szerencsére napjainkban már magyar szolgáltatókat is találunk, akik bug bounty programok közzétételével és lebonyolításával foglalkoznak. A bug bounty szolgáltatókon keresztül számos megbízható és tapasztalt etikus hacker számára elérhetővé válik az adott rendszer tesztelése, így sokkal jobb eséllyel deríthetők ki a rendszer gyengepontjai.
Magyarországon – és Európában – az egyik legmegbízhatóbb, irodánk által is nyugodt szívvel ajánlott szolgáltató a HACKTIFY, mely a bug bounty elejétől a végéig szakszerű segítséget és tanácsot nyújt a sérülékenység-vizsgálathoz.
Amennyiben bug bounty program keretében kívánja informatikai rendszere sérülékenység-vizsgálatát elvégezni, keresse irodánkat. Amennyiben Irodánkon keresztül keresi fel a HACKTIFY-t, vagy a HACKTIFY közvetlen megkeresésekor a HsloHack2020 jeligét feltünteti, regisztrációs díjat nem kell fizetnie! Informatikai rendszerek sérülékenységével kapcsolatos jogi kérdéseivel forduljon Irodánkhoz bizalommal!