Akkor most átestünk a ló másik oldalára?
Egy nemzetközi konferencián érdekes vita alakult ki a biztonsági előírások által támasztott megfelelőségi követelmények kapcsán. Lehet, hogy az auditokra jobban figyelünk, mint a valós veszélyekre?
A 2013-as RSA konferencián a résztvevő biztonsági szakértők azon is elgondolkodtak, hogy napjainkban a sokat emlegetett megfelelőség valamint a különféle fenyegetettségek elleni védekezés milyen hatást gyakorol egymásra. Többen arra a következtetésre jutottak, hogy manapság a compliance valamint az auditok nagyobb szerepet kapnak, mint a valós veszélyek ellen meghozott, valóban hatékony biztonsági intézkedések. Ugyanakkor már itt meg kell jegyezni, hogy mindegyik biztonsági szakember hangsúlyozta, hogy a jogszabályokra, biztonsági előírásokra, szabványokra igen is szükség van, és a megfelelőséget sem lehet félvállról venni. Csak éppen az sem jó, ha átesünk a ló másik oldalára. Pedig egyre többször ez történik.
Az elmúlt években a vállalatok és a kormányzati intézmények mind több biztonsági előírással szembesültek. Gyakran lehet hallani a SOX (Sarbanes-Oxley), a HIPAA, a PCI DSS, a FISMA, az ISO 27001 és még számos más jogszabályi, illetve iparági követelményről.
"Az audit iparág egy szörnyeteggé vált. Ha csak arra koncentrálunk, hogy megfeleljünk az auditokon, akkor nem összpontosítunk a valós fenyegetettségekre. El kell mozdulnunk a megfelelőség vezérelt biztonságtól a fenyegetettségközpontú védelem felé" - vélekedett Anup Ghosh, az Invincea alapítója. A szakember szerint a legtöbb követelménynek való megfelelőség abból áll, hogy egy-egy előírást ki tudunk-e pipálni, és követjük-e a különböző folyamatokat. Ezzel pedig a szabványok több esetben arra ösztönzik a cégeket, hogy csak a legszükségesebb biztonsági kontrollokat állítsák fel. Ennek ellenére sok vállalatnál ez a tevékenység a biztonságra fordítható kiadások nagy részét felemészti.
A konferencián a szakértők példaként említették az amerikai kormányzati szerverek azon erőfeszítéseit, amelyeket az elmúlt években a FISMA (Federal Information Security Management Act) kapcsán tettek. A szakemberek egyetértettek abban, hogy a FISMA céljai igenis támogathatók, azonban véleményük szerint a compliance folyamatok megvalósítása valamint a nem kevés papírmunka, adminisztráció sok erőforrást vett el a valós védekezéstől.

A biztonság nem lehet statikus
A szakemberek abban is egyetértettek, hogy a biztonsági előírások az esetek többségében viszonylag statikusak. A segítségükkel ugyan mérhetők a biztonsági erőfeszítések eredményei, de ezek az eredmények végül hibás következtetések levonásához vezethetnek. Már csak azért is, mert az auditok egy "időpillanatra" koncentrálódnak, miközben a biztonságnak folyamatosnak kell lennie.
Stephen Trilling, a Symantec műszaki igazgatója szerint az információbiztonság esetében egyre nagyobb szerep jut a megfelelő helyzetfelismerésnek. Minden potenciális fenyegetettséget meg kell érteni, és biztosnak kell lenni abban, hogy ezekre megfelelő válasz születik. Trilling is úgy látja, hogy gyakran a vállalatok csak a minimális erőfeszítést teszik meg annak érdekében, hogy egy-egy előírásnak való megfelelőségüket kipipálhassák. Ez azonban nem elegendő napjaink kibertámadásaival szemben. Különösen azért nem, mert azok egyre kifinomultabbá és célzottabbá válnak. "A biztonsági szakembereknek túl kell látniuk a megfelelőség vezérelt védelmi modelleken, hogy fel tudják venni a küzdelmet a fenyegetettségekkel szemben" - tette hozzá az igazgató.
A konferencia résztvevői összességében azt a következtetést szűrték le, hogy a biztonsági előírásoknak való megfelelőség igen is fontos, de nem szabad hagyni, hogy kizárólag ez irányítsa a védelmi intézkedések meghozatalát.
-
A Django három hibajavítással gyarapodott.
-
A Joomla! egy tucat biztonsági hiba miatt kapott frissítést.
-
A Foxit PDF-kezelő alkalmazásai jelentős biztonsági hibajavítással gyarapodtak.
-
A Chrome 150-es verziójának megjelenésével számos sebezhetőség vált orvosolhatóvá a böngészőben.
-
A Samsung egyes mobilalkalmazásaihoz biztonsági frissítéseket adott ki.
-
A Graylog fejlesztői egy biztonsági rést foltoztak be.
-
Nyolc sérülékenységet orvosoltak a FreeRDP fejlesztői.
-
Az Ubiquiti mielőbbi biztonsági frissítésre hívta fel a figyelmet.
-
Jelentős biztonsági frissítőcsomag érkezett a Fireware OS-hez.
-
Az AVideo kapcsán két veszélyes sebezhetőség látott napvilágot.
![]() |
F-Secure Internet Security 1 év 3 eszköz |
| 13490 Ft | |
![]() |
F-Secure Total 2 év 7 eszköz |
| 29990 Ft | |
Egyre komolyabb, ám gyakran még láthatatlan kockázatot jelent a vállalatok számára az úgynevezett „shadow AI”, vagyis az alkalmazottak mesterséges intelligencia használata cégen belül.
Gyermeknap közeledtével érdemes arra is gondolni, milyen digitális környezetben nőnek fel ma a gyerekek és ebben milyen szerepet játszanak az egyre népszerűbb AI chatbotok.
OLDALUNK
RSSImpresszum
Hirdetési információk
Adatvédelem
Felhasználási feltételek
Hozzászólási szabályzat









