Az IT piac eseményeinek éves listája hosszú, viszont hazánkban az IT-Business periodikái és rendezvényei összehúzzák a szakma krémjét pár alkalommal A rendezvényeik közül a legtöbbet online követhetjük, kivéve a nagykutyák kétnapos elvonulását, ahol sor kerülhet a szakmai diskurzusra, és csak a bennfentesek vesznek rajta részt. Ez az ITEXEC 2022 és az előző kijelentésem nem teljesen igaz, limitált darabszámban lehet jegyet kapni, ha valaki időben foglal. Az idei összejövetel kulcsfontosságú témája az adatvédelem volt, június 2-3 között Zalakaros zajlott az esemény.
Mi is képviseltettük magunkat, az ügyvezetőnk, Horváth Tamás házon belül is adott egy rövid összefoglalót saját előadásának részleteiről.
Klasszikus hibák az adatvédelemben
Ha egy vállalat digitális megoldást szeretne alkalmazni egy problémára és alkalmazás fejlesztésbe kezd akár házon belül, akár kiszervezve a fejlesztési tevékenységet, számos kockázattal kell, hogy számoljon. Igaz ez már a tervezés legelső szakaszában is. A frissítések hiánya és ezeknek a betervezése már a fejlesztési szakaszban egy folyamat szintű hiba. Az is gondot jelent, hogy a biztonsági tudatosság az alkalmazottaknál és ennek az oktatása nem elég hangsúlyos.
“Általában a fejlesztők nagyon értenek a fejlesztéshez, de az infrastruktúra üzemeltetés az teljesen más terület. Abba az irányba halad a világ, hogy a fejlesztések önmagukban egyre inkább egyszerűsödnek. Vannak no code platformok, amin gyakorlatilag majdhogynem programozói tudás nélkül lehet alkalmazásokat kiadni. Nyilván ez azt eredményezi, hogy az adott alkalmazást készítő szakember bizonyára nagyon ért a no coding technológiákhoz, de az alatta lévő infrastruktúrákhoz és ezeknek a működéséhez már kevésbé. Ez egy komoly hiányosság. Ő így fel sem tudja mérni, hogy egy infrastruktúra üzemeltetés, fejlesztés és ezeknek a biztonsági kockázata hogyan arányulnak egymáshoz. Ő elkészít egy alkalmazást, azon van egy funkció, ez nagyon jól működik, azonban az, hogy ezalatt a komplett infrastruktúra sérülékeny. Ezzel viszont – én azt látom – hogy nem is foglalkoznak most már fejlesztők.”
Két kedvezőtlen alapvető hiba
Tipikus probléma, hogy az alkalmazás elkészül, ez lehet egy teljesen zöldmezős fejlesztés, vagy lehet egy CMS (content management system) rendszerhez kiegészítő modul fejlesztése, azonban, mivel hiányzik a security a DevOps részből, vagy akár pusztán a fejlesztési részből, ezért a későbbiekben a folyamatos fejlesztést illetve frissítést nem tervezik bele a projektekbe, ezért miközben elavul az alkalmazás vagy akár az azt futtató környezet, erre nincs felkészülve a szervezet.
“Ettől fogva egyre nagyobb és nagyobb számosságú sérülékenység található meg a rendszerekben. Ezt fogják tudni előbb vagy utóbb kihasználni a támadók még akkor is, ha nem célzottan minket támadnak hanem csak véletlenül érik el ezt az alkalmazást és ez egy olyan probléma, amit a gyakorlatunkban az ügyfeleinknél is látunk. Ez az egyik fő területe a betöréseknek és az adatszivárgásnak.”
A másik problémagóc a felhasználói végpontokon található. A felhasználóknál jellemző a biztonság- és adatvédelem terén aktívan alkalmazott tudatosság nem megfelelő szintje, illetve a végpontvédelem hiánya.
DevSecOps szemlélet szerepe
Korábbi bejegyzésünkben írtunk egy rövid összefoglalót a DevSecOps-ról, most az adatvédelem komplex problémakörében elfoglalt helyéről esik pár szó. Pár lépést távolodva a megelőző lépések és a szoftverfejlesztési szakasztól meg kell értenünk, hogy milyen egyéb szempontoknak kell megfelelnie a terméknek a felhasználó oldalán.
“A biztonság az mindig egy kényelmetlenséget jelent mind a mai napig. Az, hogy jelszavakat kell használnunk és nem csak belépnünk egy weboldalra, ez egy kényelmetlen dolgok. Meg kell jegyeznünk jó esetben a jelszószéfünknek a jelszavát. Legrosszabb esetben meg emlékeznünk kell rá, hogy milyen jelszót adtunk meg egy adott rendszerben. A kétfaktoros azonosítást nagyjából minden támogatja, de ennek a beállítása sem feltétlenül intuitív. Egy átlag felhasználó, most gondolok itt a közvetlen környezetemre, akik nem informatikusok, nekik az egy elérhetetlen dolog.”
A biztonsági funkció kényelmetlen. Az adatvédelemhez szükséges rutin lépések a mindennapokban terhet jelenthetnek azoknak, akik nem látják át mélységében miért is van erre szükség. Ezért létrejön egy nagyon erős ellentmondás. Az üzlet azt akarja, hogy a lehető legkényelmesebben, lehető leghatékonyabban dolgozzon a munkavállaló, külső partner, vagy az ügyfél, ezzel szemben kell bevezetnünk egy kényelmetlen funkciót. Azt fel tudják mérni egy közvéleménykutatással, hogy hányan fognak az új rendszerbe regisztrálni, ha ez kényelmetlen a konkurenciáéval szemben, ami kevésbé biztonságos, de kényelmesebb. Oda fognak menni, mert egyszerűbb a bejelentkezés.
A megrendelő szempontjai
A szoftvert megrendelő ügyfelek oldaláról sem feltétlenül szempont a valódi biztonság. Persze legyen biztonságos, meg GDPR elvárásoknak megfelelő, de ez önmagában nem egy specifikáció, ez egy igény, vagy egy vízió, amit definiálni kell.
Ha nincs jelen ebben az IT security munkatárs, és nincs C levelre emelve, akkor a vezető jellemzően nagyon egyszerűen elmondja az ő vízióját, az lesodródik a megvalósítási szintre, a és mivel a fejlesztő nem IT biztonsági szakember, és az üzemeltető sem az, ezért bizonyára mindkét réteg elvégzi a maga feladatár, de a komplett architektúra szintű IT információ- és adatvédelmi biztonsági lépéseket nem hajtják végre. Lyukas marad a rendszer.
Az optimális működés
A biztonsági szakembernek az a feladata, hogy amikor egy vállalkozás, agy egy cég arra adja a fejét, hogy egy egyedi alkalmazást, vagy egy egyedi modult fejleszt, elmondja, hogy hogyan is lesz GDPR compliant, meg hogyan lesz biztonságos az adott infrastruktúra, érvényesülni az adatvédelem irányelvei és nem az fogja meghatározni, hogy ez milyen nyelven programozzon a fejlesztő kolléga, vagy milyen üzleti funkciókat lásson el a termék, hanem képviseli a biztonságot, mint önálló funkciót azon túl hogy például a számlákat fel lehet benne rögzíteni.
“A Brightdea Solutionsnál a Rapid 7 működésében és a tudásában hiszünk, ezt szoktuk ajánlani az ügyfeleinknek, hogy ezt a fajta automatikus sérülékenységvizsgálatot biztosítsák a hálózatukon belül az alkalmazásukra. […] Minden olyan szervezetnél, ahol külső-belső fejlesztés van, szoftverfejlesztés, azonban az üzemeltetés akár házon belül, akár házon kívül van, ott azt a kapcsolatot meg kell tudni teremteni, ami a security mind a fejlesztés, mind az üzemeltetés között áll fenn. Arra mi abszolút tudunk támogatást adni, akár harmadik külsős félként, hogy az egyébkénti külső fejlesztést és külső üzemeltetést security szempontból legalább ugyanarra a platformra hozzuk és az üzleti elvárásnak megfelelő alkalmazást tudjanak szállítani úgy, hogy annak az üzemeltetése is biztosított legyen.”
Azon felül, hogy rendszeresen vizsgáljuk a felmerülő esetleges sérülékenységeket, tehetünk további adatvédelmi lépéseket. A határvédelem legalább olyan fontos, hogy a plusz kontroll szintet be tudjuk vezetni. Fenntartja a biztonságos működést, amíg az alkalmazások frissítése ciklikusan és egymás után újra és újra ki nem kerülnek a rendszerekre, erre a PaloAlto Networks határvédelmi termékeit ajánljuk.
Adatvédelem, adatszivárgás, a teljes kép
Az elmúlt viharos időszak és a megszaporodó kibertámadások áldozatául sokszor már nem csak a tényleges célpont esik. Több a “véletlenszerű” esemény nagyvállalatok rendszereiben, így a védelmi funkciók beépítése sokkal hangsúlyosabb szerepet kell, hogy kapjon. Leszűkíthetjük a támadók lehetőségeit, de mindent kivédeni nem tudunk. Mégis, nagyon fontos, hogy megnehezítsük a támadók dolgát, és megakadályozzuk az adatszivárgást.
Az adatvédelem közös célunk és feladatunk kell hogy legyen.
Összefoglalva a fentieket:
Biztonság beépítése a fejlesztésbe egy folyamatos szkenneléssel és felderítéssel biztosítja, hogy a lehető leghamarabb értesüljünk a lehetséges és ismert sérülékenységekről. Ehhez három rétegben kell gondolkodnunk
- egyrészt a fejlesztési szakaszba be kell, hogy kerüljenek a biztonságtudatossági lépések,
- másrészt, folyamatos szkenneléssel, folyamatos átláthatósággal fel kell derítenünk, hogy milyen sérülékenységeink vannak a hálózaton,
- harmadrészt pedig amíg a frissítéseket ki nem tudjuk tenni ezekre az alkalmazásokra, egy olyan kontroll eszközt kell tudnunk bevezetni, ami folyamatában védi ezeknek az alkalmazásoknak a sérülékeny részeit.
Ezzel a hárommal tudjuk a legalacsonyabbra csökkenteni az adatszivárgások és a betörések kockázatát.
