IDC IT Security Roadshow 2011

Az IDC IT Security Roadshow minden év tavaszán érkezik hazánkba. A teltház előtt megrendezett idei rendezvény elsősorban az informatikai és biztonsági vezetők valamint az információvédelem egyes területein tevékenykedő szakemberek érdeklődését keltette fel. A központi témák ugyanis a gazdasági válság utáni kilábalás körül forogtak. A konferencia célja elsősorban az volt, hogy segítse újragondolni a védelmi beruházásokat és intézkedéseket, valamint, hogy feltárja a jelenlegi, illetve a jövőbeni fenyegetettségeket.

A rendezvényen több előadás során is visszaköszöntek az olyan sokat emlegetett témák, mint amilyen a humán erőforrások védelmi szempontból történő kezelése valamint a megfelelőség. Több előadó hangsúlyozta, hogy hiába a sok technológiai beruházás, ha az igencsak gyenge láncszemet jelentő emberi tényezőkhöz köthető kockázatok csökkentése elhanyagolt. Ugyancsak többen felvetették, hogy a megfelelőség még nem feltétlenül jelent megfelelő szintű biztonságot. Problémákhoz vezethet, amikor egy szervezet egy vagy több auditon sikeresen átesik, majd hamis biztonságérzet alakul ki.

Általában a biztonságról

Az IDC IT Security Roadshow két keynote előadással kezdődött. Az elsőt Thorsten Holz, a Ruhr Egyetem adjunktusa tartotta, aki elsősorban a biztonsági rendszerek gyakorlati aspektusainak kutatásával foglalkozik. Ezúttal a botnetek fokozódó kockázatairól valamint a célzott támadásokról beszélt. Olyan kifinomult támadásokat is megemlített, mint például a Google elleni Aurora akció, vagy a Comodo féle, tanúsítványokkal kapcsolatos incidens. Kifejtette, hogy többrétegű védelemre van szükség, amelynek a hálózatok és a kliensek szintjén is meg kell jelennie. Ugyanakkor nem szabad megfeledkezni a biztonságtudatosság fokozásáról sem.

A másik keynote előadó Eric Domage, az IDC IT biztonsági kutatásokért és tanácsadásért felelős menedzsere volt, aki a legaggasztóbb fenyegetettségeket vette górcső alá. A szakember szerint napjainkban az IT valamint a mobil eszközök káoszában élünk, és kulcsfontosságúvá vált az internetes együttműködés valamint a netes kapcsolatépítés. Azonban miközben a biztonságra fordítható költségvetések nagysága alig nőtt, addig a fenyegetettségek száma, a megfelelési kényszer valamint a rendszerek komplexitása jóval jelentősebb mértékben változott. Ezáltal egyre jelentősebb rés keletkezett a kockázatok nagysága és a biztonsági beruházások között. Domage szerint az infrastruktúrák komplexitásának fokozódásával igazán hatékonyan különféle biztonságmenedzsmentet támogató eszközök segítségével lehet lépést tartani. Sokat segíthetnek a költségek csökkentésében a SaaS, a cloud computing és a virtualizáció vívmányai is.

Felügyelet és kontroll

A keynote előadások után először Szabó Péter, az S&T Consulting Magyarország Kft. igazgatója lépett a pódiumra, aki a GRC (Governance, Risk, Compliance/Control) területére kalauzolta el a hallgatóságot. A szakember kiemelte, hogy a GRC-re nem pusztán információbiztonsági szempontból kell tekinteni, hiszen épp úgy részét képezik például az üzleti kockázatok kezelésével kapcsolatos teendők is. A vezetőknek elsősorban az IT-költségvetések hatékony felhasználását, az erős kontroll kialakítását kell szem előtt tartaniuk, miközben a különböző kockázatok minél letisztultabb kommunikálására kell törekedniük. Szabó Péter az RSA Archer megoldásokon keresztül mutatta be a GRC legfontosabb összetevőit, úgymint a szabályzatok készítését, a mérést, az incidensmenedzsmentet és a fenyegetettségek kezelését.

Az eGRC bemutatót Csósza László biztonsági mérnök prezentációja követte, aki a Check Point Application Control Software Blade védelmi termékének segítségével vázolta fel az alkalmazásbiztonság legfontosabb kritériumait. Elmondta, hogy a webes alkalmazásoknak pozitív és negatív oldaluk is van. Ennek megfelelően vállalati környezetben elősegíthetik a munkát, az egyes üzleti tevékenységeket és a szervezetek piaci jelenlétét, ugyanakkor a nem megfelelően szabályozott használatuk esetén hátrányokkal is számolni kell. A negatív hatások közé sorolhatók az egyre nagyobb számban terjedő kártékony programok, a sávszélesség kedvezőtlen kihasználása valamint a termelékenység csökkenése. A Check Point úgy látja, hogy az alkalmazáskontroll csak akkor lehet igazán hatékony, ha abba a felhasználók is szervesen bevonásra kerülnek.

Az okostelefonok nem telefonok?

Az IDC IT Security Roadshow fontos témája volt a mobilbiztonság. Két elődadó is kiemelten foglalkozott a napjainkban egyre több fejtörést okozó területtel. Először Márton Miklós, a Kürt Zrt. üzleti vezérigazgató-helyettese beszélt arról, hogy a mobil technológiák és az okostelefonok fejlődésével az adattest, az adatszivárgások és a mobil kommunikáció is komoly fordulatot vett. A szakember a személyes és a vállalati adattestek összefonódását emelte ki. Egyúttal felhívta a figyelmet arra, hogy a mobil eszközökre egyre inkább jellemző, hogy azokat a felhasználók személyes és céges célokra is felhasználják, ami biztonsági kockázatokat vet fel. További problémát jelent, hogy a felhasználók nagyon sokszor az okostelefonokra hagyományos, beszélgetésre és szöveges üzenetküldésre alkalmas készülékként tekintenek, holott azok jóval több mindenre alkalmasak, és ezáltal új típusú kockázatokat rejtenek. Ezért már nemcsak a belső, hanem a külső IT és mobilkommunikációs eszközök védelmét is meg kell oldani.

Arató Tamás, az S&T Consulting Hungary Kft. rendszermérnöke a mobilbiztonság kapcsán a mobil eszközök menedzsmentjét, vagyis az MDM-megoldások fontosságát hangsúlyozta az előadása során. A szakember elmondta, hogy egy korszerű MDM segítségével megvalósíthatóvá válhat az eszközök, illetve az azokra telepített alkalmazások felügyelete, a policy-k érvényesítése. Könnyebbé válhat a költségek elszámolhatósága, a készülékek frissítése és azok mozgásának nyomon követése is. De talán a legfontosabb szempont a központi menedzsment kiterjesztése a mobilkommunikációs eszközökre.

Naplózás és információbiztonság

Az IDC IT Security Roadshow kiemelt figyelmet szentelt a naplózásra és a hálózatbiztonságra. Tanos Áron, a Mobil-Cash Zrt. projektmenedzsere egy hangulatos előadás keretében ismertette, hogy a cégénél miként valósították meg a naplózást és a távoli munkavégzés felügyeletét a BalaBit Shell Control Box segítésével. A szakember szerint lényeges, hogy a védelmet infrastruktúra szinten kell kezelni. Ugyanakkor nem szabad azt gondolni, hogy a megfelelőség egyenlő a biztonsággal.

Hálózat- és információbiztonság kapcsán két további előadást is hallhatott a nagyérdemű. Dr. Hontert Gábor, a Keler Zrt. biztonsági vezetője az etikus hekkelés és a naplózás köré építette fel az előadását. Elmondta, hogy ha túl szigorúak a biztonsági megkötések, akkor a szervezeteken belül nem lehet együttműködésre sarkallni a felhasználókat. Azonban, ha szolgáltatásorientáltság jellemzi a biztonságot, és megjelenik a segítségnyújtásra való törekvés, akkor a védelem kialakítását együttműködés övezheti. A szakember is kitért arra, hogy a megfelelőségi kényszer hamis biztonságérzetbe csaphat át, ami igencsak hátrányos lehet. Majd az etikus hekkelés kapcsán érzékeltette, hogy az emberi tényezők kezelése valamint a rendszeres felülvizsgálatok nem maradhatnak el.

A konferencia záró előadásaként a hallgatóság a Juniper Networks cloud comuptinggal kapcsolatos jelenlegi és jövőbeni elképzeléseit ismerhette meg. Ezek közül a legfontosabb, hogy a Juniper olyan eszközöket kíván az adatközpontok üzemeltetőinek kezébe adni, amelyek révén alkalmazás szinten tudják kontrollálni a cloud szolgáltatásokat, különféle alkalmazásfelügyeleti és egyéb biztonsági megoldások segítségével.