IT-biztonság: sok kérdésre még nincs válasz

Kapkodhatja a fejét, aki manapság lépést akar tartani az információbiztonság aktuális kérdéseivel és feladataival. A nagyobb cégek feje felett sötét fellegként lebeg a NIS2 szabályozás és annak előírásai az egyre közelgő határidőkkel. Eközben a felhőszolgáltatások felé nyitó – egyre nagyobb számú – vállalkozásnak fel kell(ene) készülnie az új infrastruktúra jelentette biztonsági kihívásokra. És ha ez nem lenne elég, az IT-biztonsági eszközök technológiájában is komoly átrendeződésnek lehetünk tanúi.

Június 30-a az első határidő a NIS2 uniós kiberbiztonsági irányelv, illetve azt a hazai jogrendbe átültető 2023. évi XXIII. törvény (a „Kibertantv.”) előírásainak való megfelelésre – addig kell nyilvántartásba vetetnie magukat az érintett vállalkozásoknak és szervezeteknek, illetve addig kell a három védelmi osztály valamelyikébe sorolniuk információs rendszereiket. A felkészülés január elején kezdődött – azóta eltelt négy hónap, a rendelkezésre álló időszak kétharmada.

Hiányzó rendeletek

„Ehhez képest minden szereplő erős késésben van” – állítja határozottan Csinos Tamás, a biztonsági megoldásokat forgalmazó Clico Hungary country managere. Ehhez azonban rögtön hozzáteszi: “a rendelet végrehajtásával megbízott Szabályozott Tevékenységek Hatósága (SZTFH) és annak szakemberei minden elismerést megérdemelnek az eddig végzett felvilágosító munkájukért. Maguk is szerveznek rendezvényeket, minden eseményre elmennek, ahova hívják őket, de a nyomtatott és elektronikus sajtóban, valamint saját podcastokban is terjesztik az információt a NIS2-ről.”

Ami viszont erősen hiányzik mind az érintettek, mind a felkészülésben potenciálisan segíteni tudó piaci szereplők számára, az a végrehajtási rendelet véglegesítése és nyilvánosságra hozatala. A legfontosabb az a kontroll-lista lenne, amely azt szabályozza, hogy az egyes biztonsági osztályokba sorolt információs rendszereknek milyen feltételeknek kell megfelelniük.

„Január elején kiadták társadalmi egyeztetésre a kontroll-listát, de annak a minőségével is akadtak gondok. Nyilvánvaló, és egyáltalán nem is baj, hogy a lista az amerikai NIST SP 800-53 szabvány alapján készül. Az viszont már baj, hogy a magyar lista mintha az eredeti angol dokumentum géppel, rosszul lefordított verziója lenne. Amikor megjelent, a kollégáimmal elkezdtünk végigmenni a közel ezer elemű listán. Az volt a célunk, hogy a szabályozói kontrollokhoz dokumentumsablonokat rendeljünk hozzá, a technikai kontrollokhoz pedig a portfóliónkban megtalálható technológiai elemeket. De nem is fejeztük be, mert olyan minőségű volt a szöveg, hogy nem láttuk értelmét” – említi az első komoly problémát ezzel kapcsolatban Csinos Tamás.

Mire is gondolt a minőséggel kapcsolatban? A NIST SP 800-53 igen átfogó információbiztonsági keretrendszer, jóval szélesebb, mint az elektronikus információs rendszereket szabályozó NIS2. „Ha kiberbiztonsági kontrollokat akarunk definiálni, miért kell bevenni a listába az analóg, fizikai dokumentumok védelmére vonatkozó előírásokat?” – teszi fel a költői kérdést a Clico hazai vezetője.

Ki az érintett?

Minden erre irányuló erőfeszítés dacára az sem teljesen egyértelmű, hogy mely vállalkozásokra és szervezetekre terjed ki a NIS2 és a Kibertantv. hatálya. Csinos Tamás tapasztalatai szerint ezen a téren óriási még a bizonytalanság. „Beszéltünk végfelhasználókkal, akik tudják, hogy a hatálya alá tartoznak. Beszéltünk olyanokkal, akik nem tudják. Beszéltünk olyanokkal is, akik szerintük nem tartoznak az érintetti körbe, szerintünk viszont igen” – érzékelteti a helyzetet.

Vannak persze bizonyos fogódzók, például a törvényben felsorolt vertikumok, illetve az SZTFH a TEÁOR-számok alapján lekért egy céglistát a KSH-tól – de ezt a listát már nem tette közzé, csak érdeklődésre mondja meg, hogy az adott vállalkozás szerepel-e rajta. Az is kérdés, hogy csak a főtevékenység számít vagy minden egyéb, amit a vállalkozás korábban felvett a cégjegyzékbe? A szállítmányozási és logisztikai szolgáltatók például a törvény hatálya alá tartoznak. No de mi a helyzet akkor, ha a vállalkozás alapvetően nem ezzel foglalkozik, csak ezt is szerepelteti a tevékenységi listáján, mert van egy furgonja, és annak költségeit el akarja számolni? Jó lenne erről egy hatósági állásfoglalás, mert jelenleg nincs, mondja Csinos Tamás.

Nem lehetetlen egyébként, hogy a listát szándékosan nem tették közzé: a döntéshozók nem akarják, hogy vállalkozások úgy bújjanak ki a NIS2 hatálya alól, hogy leadják az inkriminált tevékenységi kört.

Információhiány hátráltatja a felkészülést

Az általános, több területre is kiterjedő információhiánynak pedig egyenes következménye, hogy az érintettek (és a potenciális érintettek) nem haladnak kellő ütemben a felkészülésben. „Mi most annyit tudunk tenni, hogy azoknál a vállalkozásoknál, amelyek egyértelműen a törvény hatálya alá tartoznak, segítünk az információs rendszerek osztályba sorolásában. Mindenki azt tanácsolja, hogy neki kellene állni a GAP analízisnek, azaz felmérni a jelen állapot és a követelmények közötti szakadékot. De hogyan mérjük fel az eltérést, ha a kontroll-lista hiányában nem ismerjük a pontos védelmi követelményeket? Persze, kiindulhatunk a már említett NIST SP 800-53-ból, de most még nem tudhatjuk, hogy azt mennyire követi a végleges magyar szabályozás. Fölé- vagy alálövünk a követelményeknek? Elindulhatunk, de a konkrét követelmények ismeretében biztosan finomhangolnunk kell majd a védelmi rendszereket” – említ egy nehézséget Csinos Tamás.

Ugyanez a helyzet a megkívánt szabályzatokkal is. A jelenlegi előzetes ismeretek fényében azokat is el lehet kezdeni megírni vagy frissíteni a meglévőket, de véglegesíteni még biztosan nem tudja őket senki. Különösen nehéz lesz a helyzete az érintett vállalkozásoknak, ha valamilyen okból tavasz helyett csak az ősz elején jelenne meg a végrehajtási rendelet – ez esetben ugyanis gyakorlatilag csak egy hónap maradna, hogy az október 18-i határidő előtt be is vezesse ezeket a kontrollokat. 

„Láttunk már arra példákat, hogy információbiztonsági törvényekhez évekkel később jelentek meg a részleteket tisztázó végrehajtási rendeletek. Akkor azonban szűkebb, és főleg állami körről volt szó. A Kibertantv. viszont legalább 2500 hazai vállalkozásra, és azok közül is a nagyobbakra, gazdaságilag jelentősebbekre vonatkozik. Nagyon nem szerencsés, hogy ezt a kört olyan bizonytalan helyzetbe hozzák, hogy bármikor lecsaphat rájuk a hatósági vagy auditori szigor” – teszi hozzá mindehhez Csinos Tamás.

Egyedül keveseknek megy

Még ha lesznek is értelmező segédanyagok, magyarázó dokumentumok, sablonok, az is csak az érintettek egy részén segít. Számos, a törvény hatálya alá tartozó szervezetnél nem dolgozik jogász és/vagy főállású információbiztonsági szakember. Ezek a cégek aligha tudják átfogóan értelmezni a kontrollokat, a követelménylistát vagy saját erőforrásokat használva elvégezni akár a rendszerek osztályba sorolását, hiszen korábban nem is kellett ezzel foglalkozniuk. Számukra elkerülhetetlen, hogy külső szakértőket vegyenek igénybe a felkészüléshez. A piaci kapacitásokat ez akkor is túlterhelné, ha 6-8 hónap állna rendelkezésre a felkészülésre – egy hónap alatt viszont praktikusan lehetetlen.

Sok esetben ráadásul nem csak informatikai-technikai kérdésekről és döntésekről van szó. Az osztályba sorolás ismérvei közé tartozik, hogy egy adott információs rendszer kritikus-e az üzletmenet szempontjából, illetve hogy milyen kockázatokat tud elviselni a szervezet – ezek pedig üzleti döntések, amelyeket az üzleti vezetésnek kell meghoznia, mint ahogy azt is, mennyi költséget vállalnak be az információbiztonság növelése érdekében.

Hozzáteszi még: rendkívül veszélyes az a hozzáállás is, hogy mivel nincsenek még pontos részletszabályok, sok ügyfél nem csinál semmit. Valóban sok a bizonytalanság, de bizonyos fajta előkészítő tevékenységre már most is szükség van, különben esély sem lesz a feladatok befejezésére. (Ezek listájáról lásd az Amit ma megtehetsz… keretest.)

A felhőnek több bejárata is van

A NIS2 és az arra való felkészülés ugyan sokak figyelmét leköti, de messze nem az egyetlen információbiztonsági téma, amellyel manapság foglalkozni kell. A magyar vállalkozások is (végre-valahára) egyre nagyobb számban elkezdték használni a felhőszolgáltatásokat. Viszont ahogy ez gyakran megesik az informatikában, a veszélyekre csak utólag gondolnak, és később kezdenek el foglalkozni azok elhárításával. „Nehéz meggyőzni a döntéshozókat, hogy amikor a felhőstratégiáról döntenek, már az első pillanattól kezdve mérjék fel a kockázatokat is, és gondoskodjanak azok mérsékléséről”, mondja tapasztalatai alapján Csinos Tamás.

Ezzel kapcsolatban felidézi az elterjedt mondást is, miszerint „a felhő igazából valaki más számítógépe”. Annyi igazság mindenképpen van ebben, hogy üzemeltetés szempontjából nem kell foglalkozni a számítógéppel. „De ha valaki úgy érti ezt a mondást, hogy neki egyáltalán nem kell azzal a géppel és a rajta futó szoftverekkel foglalkoznia, akkor rendkívül káros lesz az üzenet”, hangsúlyozza.

Hozzáteszi: számos esetben találkoznak ilyen gondolkodásmóddal. A vállalatnál fejlesztik a felhő alapú szoftvert, szoftvereket, rendszeresen frissítik is azokat, és boldogok, mert jól működik. Amikor a szakértők rákérdeznek a biztonságra, a kód esetleges sérülékenységeire, akkor azt mondják, hogy végeznek behatolási (penetrációs, pen-) teszteket. 

Csinos Tamás szerint ezzel az a probléma, hogy a teszteket a külső behatolások és behatolók ellen végzik el, pedig, ahogy mondja, a felhőnek és a felhőszolgáltatásoknak két bejárata van: nem csak az internet felől, hanem a céges rendszerek felől is el lehet érni. „A külső pentesztek nem mutatják meg, hogy futnak-e olyan szolgáltatások a felhőentitásokon, amelyeknek nagyon nem kellene. Mert ha egy kiberbűnöző valamilyen más úton bejut a vállalati rendszerekbe, akkor ezeket a szolgáltatásokat is ki tudja használni saját rosszindulatú céljaira.”

Előnyt kovácsolni a késésből

Vagyis jó látszik, hogy a felhasználók még nem mérték fel teljes egészében a felhővel kapcsolatos biztonsági kockázatokat és veszélyeket. Ebből pedig valószínűleg az következik, mint ami a hagyományos informatikai infrastruktúrákkal és alkalmazásokkal is történt, vagyis hogy utólagosan építik be a védelmi funkciókat.

„Technikai szempontból ez nem gond, jó minőségi biztonsági funkciókkal később is el lehet látni a felhős rendszereket – csak éppen jóval többe fog kerülni. Célszerűbb lenne, ha a fejlesztési folyamatokban már eleve lennének beépített biztonsági kontrollok, így a teljes környezet biztonsága is magasabb szintre kerülhetne” – mondja Csinos Tamás.

Olyan tanulság lehetne ez, amelyet a magyar vállalatok mások kárán tanulhatnának meg. A magyar piac ugyanis sok szempontból szerencsés időszakban ül fel a felhős hullámra. Sokszor kárhoztatják a magyar vállalkozásokat amiatt, hogy késve karolnak fel bizonyos technológiákat, mint például a felhőt. Ugyanakkor ez lehetőséget is ad arra, hogy tanuljanak az úttörők hibáiból, és ne kövessék el ugyanazokat a baklövéseket, amelyeket mások már elkövettek.

Ilyen hiba például, hogy csak egyetlen felhőben gondolkodtak – mára nyilvánvalóvá vált (és a választék is rendelkezésre áll hozzá), hogy több felhőszolgáltató mellett tegye le a voksát egy szervezet, és mindegyikből azt vegye igénybe, amely a legjobban megfelel üzleti igényeinek és technológiai adottságainak. A másik tipikus hiba az volt, hogy a hagyományos adatközpontban működő alkalmazásaikat változtatás nélkül töltötték fel a felhőbe, miáltal elmaradtak a várt pénzügyi és teljesítménybeli előnyök.

„Vagyis aki egy kicsit is figyel a trendekre, az egyből a felhős működés magasabb fokára léphet fel és nem kell a kísérletezésre költenie. Kihagyhatnak egy-két lépcsőfokot, így a felzárkózás is gyorsabb lehet, nem lesznek riasztó példák a hazai cégek előtt. Bízom benne, hogy a felhő biztonsági oldalával is így lesz, ott is gyorsan felismerik saját érdekeiket a vállalkozások” – teszi hozzá a Clico country managere. (A lehetséges intézkedésekről lásd Felhőbiztonság lépésekben című keretes írásunkat.)

A platformok időszaka jön

A felhő és az általa jelentett biztonsági kihívások csak megerősítettek egy korábban is jelen lévő trendet, nevezetesen az információbiztonsági platformok előtérbe kerülését. Ez erősen összefügg a számítási környezet és a védekezés abból következő változásaival.

Amikor a vállalati alkalmazások a telephelyen működő adatközpontban futottak, egy jól körbehatárolható rendszert kellett védeni – azon belül a felhasználókat, a hálózatokat, az alkalmazásokat. Az internet hatására azonban a határok kinyíltak, a felhasználók nemcsak belső alkalmazásokat értek el az irodaépületen belülről, hanem felbukkantak a webes szolgáltatások, a felhős alkalmazások, valamint a távmunka is. Az új határ a felhasználó lett, őt kell védeni mindenütt és minden körülmények között. A kitettség szélesedésével a biztonsággal tudatosan foglalkozó szervezet akár 10-15 különféle biztonsági rendszert is alkalmazhat különféle feladatokra, ismerteti a jelenséget Csinos Tamás.

Ennyi rendszer működtetése és karbantartása annyi szakembert és szakértelmet igényel, amely sem a felhasználónak, de igazából a szállítóknak sem áll a rendelkezésükre. Márpedig ha egy biztonsági rendszert nem frissítenek rendszeresen, a beállításaival nem követik a kockázati tényezők és kitettségi helyzet változásait, akkor az nem fogja hatékonyan ellátni a feladatát.

Ez tette szükségessé, hogy a védelmi szigetrendszereket elkezdjék konszolidálni, egyetlen platform alá terelni. „Adja magát a végponti és a hálózati telemetria – ami az egyiken megjelenik, az előbb-utóbb a másikon is feltűnik, tehát érdemes a kétféle adatsor korrelációját elvégezni. Ha erre két külön rendszerem van, és egy harmadikban végzem az elemzést, máris három szállítóval, három, különféle tudást igénylő üzemeltetési személyzettel kell számolnom, és ha az egyik gyengébb a többinél, máris gyengül a védelem. Ha a fenti rendszerek egyetlen gyártótól származnak és egységes XDR környezetet alkotnak, akkor egységes hozzájuk a támogatás is, és számíthatunk arra, hogy mind a három láb egyenszilárdságú” – mondja Csinos Tamás.

A szélesebb funkcionalitású biztonsági platformok előnye az is, hogy többféle kontroll is kialakítható a segítségükkel, miközben a mögöttes információtartalom, a végpontokból vagy a hálózatról származó adatok egységesek. Egyszerűbb a menedzsment, könnyebb reagálni a változó biztonsági környezetre, és igazából csak egyféle szakértelemre lesz szükség a vállalaton belül, nem kell minden termékre külön csapatot fenntartani.