Mi az igazi segítség ‒ audit: több kell, ez még nem elég

Az informatikai gyártók, a szoftverházak, és a rendszer szintű szállítók termékkínálata elsősorban a „pénzes” megrendelőket célozza, és sokkal kevésbé képesek az egyébként érdeklődő, de kevés pénzzel rendelkező ügyfelek igényeit kielégíteni. Ezzel nem akarjuk azt állítani, hogy a szállítók által kínált termékekre nincs igény… …de:
A közelmúltban részt vettünk az egyik közműszolgáltatói szövetség informatikai vezetőinek rendezvényén, amelyen a téma az információbiztonsággal volt kapcsolatos, ezen belül pedig az Ötvenes törvény^[1]-ből, és a hozzá kapcsolódó BM végrehajtási rendelet^[2]-ből eredő feladatok voltak a központban.
Mindig nagy érdeklődéssel figyeljük azt, hogy egy-egy hazai szakmai konferencián, találkozón az érintett cégek képviselői, szakemberei milyen információkhoz juthatnak az előadásokból.

Az informatikai biztonság területe ebből a szempontból különösen érdekes. Nagyon fontos előadások, ismertetők, hangzanak el az informatikai biztonság különböző területeiről, és az előadások és termékbemutatók az előadók szempontjából általában pontos, korrekt tájékoztatást nyújtanak.
Ugyanakkor azt gondoljuk, hogy a Seacon Europe-nak az információbiztonság területén szerzett tapasztalataival ki kell egészítenie a közműszolgáltató cégek számára nyújtható szolgáltatásokat. Hogy miért?

Már szinte általánosan elfogadott az az állítás, hogy egy cég adatvagyona nagyon sok esetben nagyobb értéket képvisel, mint az összes többi vagyontárgya. Ma már minden vállalkozásnál sok bizalmas dokumentum elektronikus formában is megtalálható ‒ például ügyféladatbázisok, szerződések, tervrajzok, árlisták, vállalati belső információk stb. Ezek illetéktelen kezekbe kerülése, megsemmisülése közvetlen anyagi kárral is járhat, de a cég jó hírnevét, imázsát is veszélyeztetheti. A kis és közepes vállalatoknál az informatikai támogató rendszerek zöme még mindig szigetszerűen működő rendszer, annak ellenére, hogy már hálózatba kötött eszközökön, sőt szerverbokrokon, virtuális rendszereken kerülnek telepítésre.

Információvédelem ‒ követelmények a közszolgáltató cégekkel szemben

Bizalmasság, Sértetlenség, Hozzáférhetőség (Elszámoltathatóság) [CIA - Confidentiality, Integrity, Availability (Accountability)] Ez az egymással szorosan összefüggő három követelmény alkot egy olyan rendszert, amelyet az információvédelem megvalósításakor teljesíteni kell.

Az információvédelem egyszerűen megfogalmazva az a folyamat, melynek során az információkat megvédjük a nem engedélyezett hozzáféréstől, használattól, felfedéstől, kiszivárgástól, megsemmisítéstől, módosítástól, vagy megzavarástól.

A közműszolgáltatókkal szembeni jelenlegi követelményeket a 2011. évi CCIX. tv, a 2013. évi L. tv, és a 41/2015. (VII. 15.) BM rendelet tartalmazza. Ez a törvény, és a végrehajtási rendelete várhatóan változni fog, és kiegészül az EU új Általános Adatvédelmi Rendeletében megfogalmazottaknak megfelelően.
Az Európai Unió Általános Adatvédelmi Rendelete 2018. május 25.-én fog hatályba lépni, és ez minden tagállam valamennyi adatkezelőjére érvényes lesz, a be nem tartása pedig akár 20 millió Euro büntetést is maga után vonzhat.
A következő majdnem egy évben a közműcégek számára tehát igen komoly feladatok megoldását fogja jelenteni a fent vázolt törvényekben, rendeletekben és direktívában megfogalmazott követelményeknek való megfelelés. Ugyanakkor tovább bonyolítja a helyzetet a „BYOD”, vagyis a hozd és használd a saját eszközödet megoldások elterjedése. A saját eszközök használata sok-sok információbiztonsági kérdést vet fel jelenleg is, a megoldandó problémák száma pedig tovább fog nőni.  A vállalatok informatikai szolgáltató szakembereinek feladatai pedig egyre csak sokasodnak, sokasodnak…

Kérdezhetik: hol itt a probléma?

Tapasztalatunk szerint a külsős tanácsadó cégek jelenleg inkább csak az auditálásra való felkészítésre, vagy az auditok végrehajtására jelentkeznek, pályáznak. Elismerjük, ez a feladat meghatározóan fontos a megrendelők számára, de véleményünk szerint ez (az auditra való felkészítés, és maga az audit) még nem elég, több támogatást, segítséget igényelnek a közszolgáltatók.

A közszolgáltató cégeket alapvetően ugyanaz jellemzi, ami a kkv-knál is tapasztalható: az egyre növekvő informatikai feladatok az idők folyamán szinte változatlan létszámú szakembergárdára hárulnak, ezért aztán a szakemberek igazán nehezen tudják az információvédelemhez kapcsolódó növekvő feladatmennyiséget is ellátni.

Az információvagyon védelmével kapcsolatos feladatokra két irányban kell figyelni:

• Az egyik terület a technikai védelmi eszközök vagyis a hálózatbiztonság, határvédelem, vírusvédelem, az elektronikus levelezés védelme.
  Nyilvánvaló, hogy ma már határvédelmi eszközök nélkül bármilyen IT infrastruktúra napokon/órákon belül sérülhet, így aztán a védelemnek ezt a területét alapvetően számon tartják, költenek rá.
• A másik terület pedig az adat-, és információáramlás védelme, a jogosultságellenőrzés, az adatszivárgás felderítése. Ehhez nyújthatnak segítséget az információbiztonsági célokat szolgáló monitoring eszközök.

Egy eseménymonitorozó rendszerrel szembeni általános elvárás:

• nyomon követi a kritikus folyamatokat;
• figyeli a használati, működési eseményeket;
• rámutat a folyamatokhoz tartozó kockázatokra;
• automatizmusokkal kiszűri a rendellenességeket;
• jelzéseket küld a nem kívánt eseményekről;

A Seacon Europe az elmúlt évtizedben kifejlesztett egy olyan monitoring rendszert ‒ a Sealog Enterprise-t ‒, amely alkalmas a fenti eseménymonitorozási feladatok többségének végrehajtására, és amely a feladatai elvégzése közben képes a monitorozott rendszerben talált anomáliák, események bizonyítékként történő rögzítésére, ezzel a rendszerauditok során az audit dokumentációjának kiegészítésére.

1. Informatikai szempontból a Sealog Központosított monitoring rendszer tulajdonképpen egy keretrendszer, amelyekben olyan szoftverfunkciók állnak rendelkezésre, mint

• korreláció
  • Egységesített adatszerkezet
  • Adatforrások közötti összefüggések
• eseményfigyelés
  • Szabálymenedzsment
  • Riasztás
• viselkedéselemzés
  • Profilozás
  • Eltérés figyelés
• predikció
  • Tendenciafigyelés
  • Következtetés

2. Ennél talán fontosabb, hogy IT biztonsági követelmények szempontjából a SeaLog az üzleti rendszerek megfigyelésén keresztül segít elhárítani az üzleti folyamatokban jelentkező problémákat:

• külső fenyegetések (pl. rosszindulatú szoftverek, hackertámadások),
• belső fenyegetések (pl. az érzékeny üzleti adatok megsértésére),
• alkalmazáshibákból és konfigurációs változásokból eredő problémák,
• a rendelkezésre állással, a kihasználtsággal kapcsolatos események.

A Sealog Központosított monitoring rendszert az egyes szakterületeken, így a közműszolgáltató cégekben is szolgáltatáscentrikusan lehet kialakítani:

• IT biztonság
  • Kockázat – kontroll intézkedés végrehajtásának megszegése,
  • Jogosulatlan hozzáférés a rendszerekhez - többszöri hibás bejelentkezési kísérlet; hibás belépési próbálkozás az engedélyezett működési időintervallumon kívül; letiltott felhasználó (visszautasított) belépési kísérlete; szokatlan IP címről történő bejelentkezés; egy időben a rendszerbe ugyanaz a felhasználó 2 különböző IP címről van bejelentkezve stb…
  • Rendszergazdai jogosultságú felhasználói fiók létrehozása
  • Naplózási beállítások manipulálása
  • Biztonsági beállítások megváltoztatása
• IT üzemeltetés
  • Géppark felügyelet - diszk telítettség / memória kihasználtság / processzor terheltség - szabad/foglalt hely kontroll
  • Diszk állapotfigyelés – következtetés a várható élettartamra
  • Hálózati forgalom figyelése - hálózati eszközök állapotfigyelése, rendelkezésre állás
  • Mentések lefutásának kontrollja

Megfelelő használatával létrehozható egy olyan Biztonság Központ (SOC-SIEM) mely a kockázatok csökkentésére megszületett kontrolintézkedések végrehajtását folyamatosan felügyeli, statisztikázza,  hitelesen tárolja. A rendszer működése során automatikusan keletkeznek azok a dokumentációk, amelyek a biztonsági események bizonyítékaival kiegészítve segítik, támogatják az auditorok munkáját az ellenőrzéseken.

A fentiek is megerősítik, hogy a Seacon Europe fejlesztői tevékenységével az információbiztonsági auditok támogatására is koncentrál, ezzel lehetőséget ad a közművállalatok és a többi kis és középvállalat számára az információvédelmi rendszereik minél hatékonyabb működtetésére.

További információkat érhetnek el a Seacon Europe http://sealog.hu , http://seacon.hu/informaciobiztonsag oldalainkon.

^[1] Ötvenes törvény ‒ 2013. évi L. törvény
^[2] BM végrehajtási rendelet ‒ 41/2015. (VII. 15.) BM rendelet