Belülről jön a legtöbb támadás

Gátat vet az adatszivárgásnak a KFKI módszertana

forrás Prim Online, 2009. november 2. 18:10

A bizalmas információk kiszivárogtatása az egyik leggyakrabban előforduló szervezeten belüli biztonsági fenyegetés. A felmérések szerint az adatok 80 százalékban véletlenül, 20 százalékban szándékosan jutnak illetéktelen kezekbe. Manapság a szervezetek többsége ezt a problémát azonban nem kezeli kockázatához mérten, ezért elhárítani sem tudja. A T-Systemshez tartozó KFKI Zrt. kifejlesztett egy átfogó módszertant az adatszivárgás megakadályozására, melynek elemeit dr. Jankó Árpád, a KFKI Információbiztonsági vezető tanácsadója mutatta be az Informatikai Biztonság Napja 2009 konferencián.

Napjainkban a szervezetek biztonságos működésére lényegesen nagyobb veszélyt jelentenek a munkatársak véletlenül, vagy szándékosan elkövetett adatszivárogtatásai, mint a kívülről elkövetett támadások. A tapasztalatok szerint legtöbbször az USB portokon keresztül jutnak ki az adatok illegálisan a szervezeten kívülre. Az adatszivárgás második leggyakoribb csatornája az email, a harmadik pedig az ellopott/elvesztett laptop, vagy PDA készülék.

Nem kérdéses, hogy az adatvesztés – történjen bármilyen okból is – komoly károkat okoz a szervezetnek. Súlyos esetben a közvetlen anyagi veszteségeken túl, az ügyfelek bizalmának elvesztésével, vagy éppen a jó hírnév csorbulásával járhat, amelyeknek hatásai a jövőre nézve beláthatatlanok. Az adatvesztés kockázataival azonban a hazai szervezetek java része nem foglalkozik súlyához mérten. Gyakran a naplózási és riasztási funkciók is hiányoznak az infokommunikációs rendszereikből, így még utólag sem értesülnek arról, hogy adatvesztés történt.

A hazai szervezetek egy részénél ugyanakkor bizonyos fokú részmegoldások már üzemelnek: pl. e-mail-, webtartalomszűrést, vagy az USB portok kontrollját alkalmazzák. Viszont ezeket sem egy előre átgondolt stratégia mentén, a kockázatok mérlegelése alapján és a költséghatékonysági szempontok felmérése után állítják munkába. Ezen tényezők miatt az adatszivárgást ezeknél a szervezeteknél sem lehet megfelelő hatásfokkal csökkenteni.

A helyzet megoldására a KFKI Rendszerintegrációs Zrt.-n belül, Dr. Jankó Árpád, információbiztonsági vezető tanácsadó munkatársaival együtt egy olyan módszertant dolgozott ki, amely a kockázatokkal arányos átfogó védelmi rendszert biztosít a szervezeti adatoknak.

Ennek lényege, hogy ott javasolja elsősorban a védelem kiépítését az infokommunikációs rendszerben, ahol az adatszivárgás a legvalószínűbb és a legnagyobb károkat okozhatja. A szervezetek egyúttal olyan komplex megoldást kapnak a KFKI-tól, amely maximálisan figyelembe veszi az üzleti, az infokommunikációs, a biztonságpolitikai, az anyagi- és az emberi erőforrásokat. Ennek köszönhetően elkerülhető például az, hogy a szervezet feleslegesen költsön olyan szivárgási csatornák blokkolására, amelyek számottevő veszélyt nem jelentenek adataikra.

A Magyar Telekomhoz, azon belül a T-Systems-hez tartozó KFKI módszertana a PDCA folyamatfejlesztő modellre épül és a mérnöki, illetve a tanácsadói munka szoros együttműködésén alapul. A konzulensi és mély technikai kompetencia két különböző nézőpontot, megközelítési módot takar, ezek összehangolásával lehetővé válik az adatszivárgás elleni védelem hatékony megtervezése és megvalósítása.

A munka első lépése a – PDCA modell kezdő szakasza – a Tervezés (P). Ennek során a KFKI szakemberei átvilágítják a szervezetet: felmérik és osztályozzák az adatokat, a fennálló védelmi rendszert, valamint a kockázatokat. Adattérképet hoznak létre, amely végigköveti az információ útját a szervezeti infokommunikációs rendszerben, rávilágítva arra is, hogy az hol és milyen csatornákon keresztül távozhat illegálisan.

A felmérés alapján tudják a KFKI szakemberei a szervezetre szabott védelmi teendőket kidolgozni, hogy a blokkolási funkciók oda legyenek telepítve, ahol a lehető legnagyobb hatásfokkal képesek gátat szabni az adatszivárgásnak.

Ezeket a konkrét lépésekre, folyamatokra lebontott intézkedéseket a PDCA modell második lépése, a Bevezetés (D) során valósítják meg. Az Ellenőrzés (C) és a Beavatkozás (A) szakasza a kialakított struktúra fejlesztésének lehetőségét teremti meg.

A KFKI munkatársai elsősorban a modell első két szakaszában vesznek részt tevékenyen, de ha összeférhetetlenségi vagy hatóköri problémák ezt nem akadályozzák, akkor a további két szakaszban is nyújthatnak szakértői támogatást. Ezt kiegészítve, a modell megfelelő használatához mérőszámokat és eljárásokat dolgoznak ki.

Kulcsszavak: KFKI security

IT ROVAT TOVÁBBI HÍREI

Kirobbanó gaming teljesítmény az AOC 44,5″ OLED monitorjával

Az AGON by AOC – a világ egyik vezető gamer monitor* és IT-kiegészítő márkája – újabb csúcskategóriás OLED modellel bővíti a népszerű AGON PRO termékcsaládot. A 44,5″ hüvelykes (113 cm) AGON PRO AG456UCZD gamer monitor elmélyült játékélményt nyújt. 

2024. március 18. 17:44

Együtt száguld az autóipar és az SAP a digitális jövő felé

Figyelemre méltóan gyors változásoknak lehetünk tanúi manapság az autóiparban – gondoljunk akár a vezetéstámogató rendszerekre, az elektrifikációra vagy az újrafelhasználásra. Átalakulnak a vásárlási szokások is, az autószalonok helyett egyre többen vesznek járművet online. A generatív mesterséges intelligencia pedig várhatóan még több változást kényszerít ki. Az iparág saját versenyképességének fenntartásáért nagy figyelmet fordít a digitalizációra. 

2024. március 18. 09:56

Nagyobb hatékonyság, gyorsabb problémamegoldás – ezt kínálja a Schneider Electric

A működési hatékonyság akár 5 százalékos javítása, a műszakváltással kapcsolatos feladatok mennyiségének harmadával történő csökkentése, gyorsabb problémamegoldás – többek között ezeket az előnyöket kínálja az ipari felhasználók számára a Schneider Electric EcoStruxure Plant Lean Management megoldása. A nyílt platform integrálható az AVEVA Data Hub rendszerrel, amely gyűjti és tárolja a hálózati kapcsolattal rendelkező ipari eszközök által létrehozott hatalmas mennyiségű, valós idejű adatot.

2024. március 17. 11:29

Vállalati tech az AI-on túl: az optimalizálás és a kockázatkezelés kerülnek előtérbe idén

Miközben világszerte a nagyvállalatok közel 90%-a jelenleg is a digitális átállás útján halad, a (költség)hatékonyság növeléséhez fűzött remények nem feltétlenül válnak teljes mértékben valóra. Az érintett cégek saját bevallásuk szerint a várt bevételnövekedés 31%-át, míg a becsült költségmegtakarítás mindössze 25%-át érték el. 

2024. március 13. 12:58

Új lendületet ad a „zöld” IT törekvéseknek a Schneider Electric innovációja

Modell-alapú, automatizált fenntarthatósági jelentéstételi funkcióval bővül a Schneider Electric EcoStruxure IT adatközponti infrastruktúra menedzsment szoftvere. A fejlesztés lehetővé teszi az adatközpontok energiaigényének pontosabb felmérését, ennek alapján cselekvési tervek összeállítását, illetve a naprakész adatok révén támogatja a jogszabályi elvárásoknak való megfelelést is.

2024. március 13. 10:00

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Nők az informatikában – Számít a nemek aránya a munkahelyen?

2024. március 12. 20:53

Szemünk előtt zajlik az e-kereskedelem mohácsi csatája

2024. március 6. 13:05

Magyar fejlesztők programján ámul a világ: Már nem csak tanul, teremt is a magyar MI

2024. február 27. 20:28

Magyar siker a bahreini Forma 1-en

2024. február 21. 16:15