IT biztonság érthetően

ooooo

oo

ooo

ooo

oooo

oooooo

oooo

oooo

ooo

ooo

oooo

oooooooo

oo

oo

ooo

ooo

oooooooo

oooooo

oooo

ooo

ooo

oo

ooo

ooooooooo

oo

ooo

oooo

oo

ooooooo

oooo

ooo

oo

oo

ooo

oooo

oooo

oooooo

oo

ooo

ooo

oo

oooooooo

oooo

oooo

o

ooooo

oooo

ooooooooo

ooo

ooo

ooo

ooooooo

oooo

ooo

oooo

ooo

ooo

o

ooo

oooooooo

ooo

ooo

oo

ooo

oo

ooooooo

ooo

ooooo

ooo

ooo

oooo

oo

oooo

oooo

oo

ooo

ooo

o

oo

ooooooo

oooo

oooo

oooooo

oooo

oooooooo

ooo

ooo

oo

ooo

oo

oo

ooo

oooooo

oooo

ooo

oo

ooooo

oooooooooo

oo

o

oo

ooo

oooooooooo

oo

ooo

ooo

ooo

ooo

oooo

oo

oooooo

ooo

ooo

oo

ooo

o

KZRTHETENAZ IT BIZTONSGRL

nem csak

Informci s IT biztonsgi kultra fejlesztse a kzigazgatsban

KIF

Jelen tjkoztat kiadvny clja, hogy elsegtse a biztonsgtudatos szervezeti kultra fejlesztst a kzigazgatsban dolgozk szmra. Ezt az alapvet elektronikus informcibiztonsgi kockzatok bemuta-tsval, megelzsk s kezelsk ismertetsvel teszi a felhasznlk,

az informatikusok s a vezetk nzpontjbl!

szerz: Horvth Gergely Krisztin, CISA CISM

Budapest, 2013

KZRTHETEN (nem csak)AZ IT BIZTONSGRL

A BIZTONSG RAJTAD MLIK!

Ajnls ..........................................................................................................................................................6

Bevezets ..................................................................................................................................................... 7

Informatikai biztonsg napjainkban ........................................................................................................... 7A tjkoztat clja ........................................................................................................................................8Segtsg az IT biztonsg megismershez ................................................................................................8A tjkoztat felptse ...............................................................................................................................9

Alapvet biztonsg .................................................................................................................................... 11IT biztonsgi krds - felelek ...................................................................................................................... 11 Mi a biztonsg? ...................................................................................................................................... 11 Mirt fontos az IT s az informcibiztonsg? ...................................................................................13 Vdelmi rendszerek tbb szint vdelem........................................................................................ 16 Adatvdelem: szemlyes s klnleges adatok jogszablyi vdelme ................................................17 Informcibiztonsg: llami s nkormnyzati elektronikus informci, s infrastruktrk jogszablyi vdelme ............................................................................................... 18 Informcis rendszerek elemei .......................................................................................................... 19 Informcibiztonsg irnytsa s menedzselse ugyanazt jelenti? .................................................21 Mindenki ugyangy ltja a biztonsg fontossgt? ........................................................................... 22 Milyen a biztonsgtudatos szervezet? ................................................................................................ 23 Megelzs mdszerei: ismeretszerzs, tudatosts .........................................................................24 Megelzs mdszerei: adatments .................................................................................................... 25 Megelzs mdszerei: felhasznlk szmtgpeinek vdelme ......................................................26 Biztonsgi esemnyek bejelentse, kivizsglsa, elhrtsa.............................................................. 27 Mi a felhasznlk felelssge?............................................................................................................. 27Biztonsgi kultra megvalstsnak alapelvei .......................................................................................29 1) Tudatosts elve ................................................................................................................................29 2) Felelssg elve ..................................................................................................................................29 3) Vlaszintzkedsek elve ...................................................................................................................30

Tartalomjegyzk


4) Etika elve ...........................................................................................................................................30 5) Demokrcia elve ...............................................................................................................................30 6) Kockzatfelmrs elve .....................................................................................................................30 7) Biztonsgtervezs s vgrehajts elve .............................................................................................31 8) Biztonsgmenedzsment elve ...........................................................................................................31 9) jrartkels elve ..............................................................................................................................31

Szmtgpes visszalsek ...................................................................................................................... 36Veszlyek: jogosulatlan adathozzfrs, mdosts ............................................................................... 38Veszlyek: jelszavak feltrse ................................................................................................................... 40Veszlyek: kretlen levelek (spam)............................................................................................................42Veszlyek: hamis lnclevelek (hoax) .........................................................................................................44Veszlyek: vrusok ......................................................................................................................................46Veszlyek: freg (worm) ............................................................................................................................48Veszlyek: trjaik ........................................................................................................................................ 50Veszlyek: rootkit-ek (rendszermagot fertz krtev) ........................................................................... 52Veszlyek: zombihlzat (botnet) ............................................................................................................. 54Veszlyek: reklmprogramok (adware) .................................................................................................... 56Veszlyek: kmprogramok (spyware), krtev programok (malware) ................................................... 58Veszlyek: hamis szoftverek (rogue software, scareware) ..................................................................... 60Veszlyek: adathalszat (phising) .............................................................................................................62Veszlyek: fertz honlapok ......................................................................................................................64Veszlyek: adatforgalom eltrtse (Man-in-the-middle) ........................................................................66

Fizikai visszalsek ...................................................................................................................................68Veszlyek: jelszavak ellesse (observing passwords attack) ..................................................................69Veszlyek: megtvesztsen alapul csalsok (Social engineering) ........................................................71Veszlyek: IT szemlyisglops (megszemlyests eltulajdontsa informcis rendszerekben) ......73Veszlyek: eszkzk s adathordozk eltulajdontsa .............................................................................75Veszlyek: szemtbe dobott informci (kukabvrkods) ...................................................................79Veszlyek: szemlyes / hivatali adatok megosztsa kzssgi hlzatokon .........................................81

Biztonsgos irodai alkalmazsok ............................................................................................................ 83A szemlyes adatok trlse a dokumentumokbl................................................................................... 83A dokumentumok jelszavas vdelme .......................................................................................................86A dokumentumok titkostsa .................................................................................................................... 87Outlook hasznlat biztonsgi kockzatai ................................................................................................88Eszkzk kztti adatszinkronizls kockzatai ..................................................................................... 91Vezetk nlkli internet (WiFi) hasznlat kockzatai ..............................................................................92


Biztonsgos zemeltets ......................................................................................................................... 93Veszlyek: tlterhelses tmads (DoS, DDoS) ......................................................................................94Veszlyek: hlzati letapogats (network / port scanning) ....................................................................96Veszlyek: tvoli adminisztrtor eszkzk ...............................................................................................98Veszlyek: adatveszts .............................................................................................................................100Veszlyek: rendszerfrisstsek hibi, hinya ........................................................................................... 102

Biztonsgtudatos vezets ...................................................................................................................... 104Biztonsgirnyts kvetelmnyei .......................................................................................................... 104 Informcibiztonsg irnytsa ......................................................................................................... 104 Informcis kockzatkezels s megfelels az elrsoknak ...........................................................105 Informcibiztonsgi program kidolgozsa s megvalstsa .......................................................106 Informcibiztonsgi rendkvli esemnykezels ............................................................................106Szemlyes pldamutats ........................................................................................................................ 107Tjkoztats, bels szervezeti kultra fejlesztse .................................................................................. 108A kockzatkezels .................................................................................................................................... 110Megfelels az elrsoknak ...................................................................................................................... 112Szervezetek felels irnytsa s a biztonsgirnyts ........................................................................... 112Biztonsgi szablyozsi s kontroll rendszer ......................................................................................... 113Biztonsgi monitoring ..............................................................................................................................114Adatgazdai szerep, Adatok biztonsgi osztlyozsa.............................................................................. 115Folyamatos mkds biztostsa ............................................................................................................116Bels ellenrzs szerepe IT audit s tancsads ................................................................................ 117Kiszervezs ................................................................................................................................................118 Munkagy szerepe .............................................................................................................................. 120 Az emberi tnyez .............................................................................................................................. 120 Alkalmazst megelz tvilgts ...................................................................................................... 121 Felelssgek sztvlasztsa s egyb humn kockzat cskkentsi mdszerek ........................... 121 Biztonsgtudatos viselkedst elismer motivcis rendszer ..........................................................122 Biztonsgot veszlyeztet tevkenysgek kvetkezetes szankcionls ...........................................123

1. Mellklet: Jogszablyok ..................................................................................................................... 124

2. Mellklet: Tovbbi informcik .........................................................................................................127

3. Mellklet: Hogyan mondjuk magyarul ............................................................................................ 130

Rvidtsek jegyzke ................................................................................................................................ 133Irodalomjegyzk ....................................................................................................................................... 135


6

AjnlsA KIF ELNKNEK AJNLSA AZ OLVASKHOZ

A kiadvnyt kidolgoz projekt gazdjaknt, a Kormnyzati Informatikai Fejlesztsi gynksg elnke-knt kszntm nket!

A hazai kzigazgats fejlesztse a mkdst s a szervezetek egyttmkdst tmogat eszkzknt, s az llampolgroknak nyjtott szolgltatsok csatornjaknt is tekint az informcis s kommuni-kcis technolgikra.

Ugyanakkor kzszfrn bell is egyre tbbszr kell szembeslnnk azzal, hogy az adatok nincsenek biztonsgban. Ezek az esetek sokszor informatikai hinyossgokra, illetve a biztonsgtudatossg hi-nyra vezethetek vissza. Az informatikai ismeretek hinyossgai kockzatot jelentenek a kzigazga-ts minden szintjn. A kockzatok a szervezeteken bell a felhasznlk tudsszintjvel, s jogosult-sgaik mrtkvel arnyosak: a kockzatok a hamis lnclevelek tovbbkldstl kezdve a jelszavak tadsn keresztl akr az idegen llamok informciszerzsnek lehetv ttelig terjednek.

Az emberi tnyez okozta kockzat rendkvli informcibiztonsgi esemnyek cskkentsre az egyik leggazdasgosabb s igazoltan hatkony mdszer a felhasznlk munkakri s felelssgi szintjnek megfelel tovbbkpzs, s biztonsgi felkszts. A felhasznlk hinyos biztonsgtudatossgbl ered veszlyeket teht a kzigazgatsban dolgozk felksztsvel, j esllyel, meg is elzhetjk. Az llamreform Operatv Program ltal finanszrozott ROP 1.1.17 projekt egyik lnyeges eleme jelen tmutat, mely nem kevesebbre vllalkozik, mint hogy mindenki szmra rthetv teszi az infor-mci s IT biztonsgi alapismereteket, s gyakorlati javaslatot ad a legjellemzbb esetek kezelsre.

Remnyeink szerint minden kzigazgatsban dolgoz kollga szmtgpre eljut ez a tjkoztat, s hasznos olvasmnyknt lapozzk fel, ha segtsgre van szksgk a helyes dntsek meghozshoz az elektronikus informci biztonsg terletn.

Kiadvnyunk olvasshoz kvnok hasznos idtltst!

Szijrt Zoltn Elnk


7

BevezetsA TJKOZTAT CLJNAK S FELPTSNEK BEMUTATSA

Informatikai biztonsg napjainkban

A felhasznlk szempontjbl jellemz, hogy az j kszlkeket, webes szolgltatsokat egyre tb-ben veszik ignybe az letk egyre tbb terletn. A npszer kszlkek (tblagpek, okostelefonok) knnytik az letnket, ehhez azonban tbb klnbz szolgltats szemlyes informcik adatait szinkronizljk akr nhny perces gyakorisggal. Ennek a knyelemnek az a kvetkezmnye, hogy a magn s a munkavgzssel sszefgg adatok keverednek, s a biztonsguk is srlhet.

A vilghln elrhet szolgltatsok fejldsvel, a kzssgi funkcik rendkvl dinamikus trnye-rsvel sszefggsben a biztonsgi kockzatok szmossga s a hatsuk mrtke is n. Ma mr termszetes sokunknak olyan szemlyes adatok megadsa akr nyilvnos weboldalakon is, amelyet korbban csak kzeli ismerseinkkel, munkatrsainkkal osztottunk meg. Egyes szolgltatsok vilg-szint npszersgvel, millis felhasznli szmukkal egy szoftver hiba, vrus vagy krtev program krokozsnak mrtke nagysgrendekkel nhet.

Hazai informcibiztonsgi felmrsek (ISACA-HU, 2011) eredmnybl lthat, hogy a magyaror-szgi helyzet sem jobb. Az informcibiztonsgi stratgia fontossgt rszben felismertk a hazai trsasgok, de kevs konkrt lpst tettek a megvalsts rdekben ugyanakkor cskkent a terletre fordthat forrs.

A kzigazgatson belli tapasztalatok azt mutatjk, hogy megkezddtt a szksges szablyozsok kiadsa jogszablyi szinten, a szakmai irnyts s felgyelet intzmnyrendszernek kialaktsa s felkszlnek a szakemberek tovbbkpzsre is. A kzeljv feladata lesz ezek megvalstsa, s a keretek tartalommal val feltltse az egyes szervezetek szintjn. Nem egy v alatt fogja elrni a legtbb szervezet a szksges biztonsgi szintet, mert a jogszably lehetv teszi annak fokozatos teljestst, ugyanakkor a fokozottabban vdend rendszerekre szigorbb kvetelmnyeket tmaszt, gy azok vdelme prioritst lvez.


8

A tjkoztat clja

A kiadvny az Eurpai Uni tmogatsval az llamreform Operatv Program finanszrozsval az ROP 1.1.17 plyzatnak megfelelen kszlt el. Jelen tjkoztat kiadvny clja, hogy elsegtse az elektronikus informci biztonsgi kultra fejlesztst a kzigazgatsban.

A cl elrst a tmakr alapvet informciinak jl felptett szerkezetben, kzrthet nyelvezettel val kzz adsval trekszik elrni a kzigazgats dolgozi szmra munkavgzsk jellemzbb lethelyzeteit figyelembe vve. Ezltal az Olvas magabiztosan lesz kpes felismerni az informatikai biztonsgi kockzatokat a legjabb mszaki eszkzk esetn is (pl. okostelefonok), s megfelel megoldsokat vlaszthat az elkerlskre, illetve ha mr bekvetkezett, akkor a baj cskkentsre.

Ennek megfelelen az Olvas megismerheti a biztonsg alapelveit, az informcibiztonsgi kockza-tok sajtossgait, a kerlend felhasznli szoksokat, s a javasolt kockzatkezelsi mdszereket az tlagos felhasznlk, az informatikusok s a vezetk szemszgbl.

Segtsg az IT biztonsg megismershez

A kedves Olvas els ltsra meglepdhetett azon, hogy a tjkoztat anyag ilyen vastag, taln els gondolata az volt, hogy mirt is lenne ilyen sok informcira szksge az IT biztonsgrl. Sajnos az elmlt msfl vtizedben egyre ntt az informatika s a vilghl veszlyeinek szma, s ssze-tettsge, s ntt az ltaluk okozott kr mrtke. Kiemelkeden fontos teht a krok megelzse. A tapasztalat azt mutatja, hogy a leghatkonyabb fegyver az internetes bnzs elleni harcban a tuds: tudni, hogy milyen veszlyek vannak, tudni, hogy mit tehetnk az ellen, hogy krosultak legynk, s mit kell tenni, ha mgis bekvetkezik. A biztonsg rajtunk mlik!

A kiadvnyunk azrt kszlt, hogy segtse az Olvast, hogy felvrtezze magt. Btortjuk r, hogy ismerkedjen a tmakrrel, s az rdekldsnek s tudsszintjnek megfelel rszeket ismerje meg elszr, majd ha szksgt rzi vegye el jra, lapozza fel s hasznlja a tudst a sajt maga s munkahelye rdekben! Idelis esetben ez a kiadvny egy bels biztonsgtudatostsi program kieg-sztseknt, bels kpzssel egybektve jut el az Olvashoz, ahol kzvetlen lehetsg van az egyni tapasztalatok megosztsra s a felmerlt krdsek megvlaszolsra. Javasoljuk, hogy ha krdse merl fel a kiadvnyban olvasottakkal kapcsolatban keresse meg a munkahelye biztonsgi vezetjt, vagy informcibiztonsgi vezetjt. k azok, akik hitelesen a munkahelyt veszlyeztet kockzatok ismeretben tudnak segteni nnek a megfelel vlaszok megadsban.


9

Egy lehetsges feldolgozsa az anyagnak:

az elektronikus informcibiztonsgban nem jrtas kollegk szmra az Alapvet biztonsg feje-zetek megismerse els olvassra, majd a tbbi veszlyforrsok ttekintst, hogy tfog kpet kapjanak. Fontos mg az irodai informatikai eszkzk s programok biztonsgos hasznlata.

az elektronikus informcibiztonsgban jrtas kollegk szmra Bevezets gyors ttekintst javasoljuk az a tartalomjegyzk alapjn az esetleg nem ismert tmk tolvasst, majd a sz-mukra relevns veszlyek megelzsk, s elhrtsuk mdszereinek megismerst s gyakorlati megvalstst.

az elektronikus informcibiztonsg kialaktsrt s mkdtetsrt felels informatikusok szmra az ltalnos informcik mellett a Biztonsgos zemeltets fejezet megismerse, majd a 2. mellkletben szerepl tovbbi informciforrsok egyni vagy csoportos feldolgozsa s akr bels ajnlsok kialaktsa.

a munkahelyeken vezet beosztsban lev munkatrsak szmra a Biztonsgtudatos vezets fejezet megismerse s a napi gyakorlatba tltetse tovbb az 1. mellkletben felsorolt jogsza-blyok alkalmazsa a sajt szervezetre.

az elektronikus informcibiztonsg irnytsrt felels vezetk szmra a teljes kiadvny meg-ismerse, a kiadvny s mellkleteiben hivatkozott informciforrsok felhasznlsval munka-helyi biztonsgtudatost program indtsa, illetve fellvizsglata.

A tjkoztat felptse

A dokumentum felptse egysges szerkezetet kvet. A fejezetek rvid szveges sszefoglalst tar-talmaznak, majd tmnknt 1-2 oldal terjedelemben a bemutatott krdsek lnyeges jellemzit, koc-kzatait mutatja be kzrthet egyszerstsek segtsgvel. Ezen bell meghatrozzk a problmt, pldkkal szemlltetik, s megadjk a lehetsges megelzs, illetve vdekezs mdszereit.

A megrtst jellemz kpek, brk segtik. A dokumentumban val tjkozdst, illetve a kockzattal rintett terletek egyrtelm azonosthatsgt, s a kockzatok mrett vezrl brk/piktogrammok (vizulis vezrl elemekkel elltott grafikai elemek) biztostjk.

Tovbb tartalmaz hivatkozsokat tovbbi szakmai anyagokra, melyek bvebben trgyaljk a krdst. Ezrt az informatikai biztonsgi ismeretek alapismerete nlkl s kzpszint ismeretvel is jl for-gathat olvasmny. Az a kedves Olvas, aki nemzetkzi informatikai biztonsgi szakvizsgra kszl, azrt ne csak ezt a kiadvnyt hasznlja, ott biztosan mlyebb ismeretekrl kell szmot adni.

A kiadvny kapcsn felmerlt krdsekre adott vlaszokbl egy tudsbzist (GYIK) ptnk, s terve-ink szerint vente frisstjk a tjkoztatt is az aktulis kockzatok bemutatsval.


10

Az adott oldal cme (oldalminta)

Veszly bemutatsa (Mirl beszlnk?)

Mit veszlyeztet:

(a felhasznl, a rendszermkds, az informcibiztonsg, s a nemzetbiztonsg tern)

Pldk, rdekessgek:

Veszly megelzse:

Veszly elhrtsa: (Mit tegynk, ha bekvetkezik?)

Tovbbi informci: hivatkozsok

IlluSzTRcI / kP

Jellemz hatsa: Alacsony, Kzepes, Magas


11

Alapvet biztonsgAZ INFORMCIBIZTONSG ALAPELVEINEK BEMUTATSA

IT biztonsgi krds - felelek

Mi a biztonsg?

Az informcibiztonsg krdseit taglal mdia megjelensek s publikcik sok esetben nem sza-batosan fogalmaznak, esetenknt teljesen helytelenl hasznljk, keverik a fogalmakat, ami akad-lyozza a tma pontos megrtst. A kvetkezkben treksznk a fogalmak kzrthet mdon val tisztzsra.

Kezdjk taln a leggyakoribb tvedssel! Az adatvdelem s az adatbiztonsg NEM szinonimi egy-msnak! Adatvdelem alatt a szemlyes s rzkeny adatok jogszablyi (Avtv.) vdelmt rti a jogal-kot, adatbiztonsg alatt pedig a szmtgpes rendszerekben trolt, feldolgozott, vagy tovbbtott adatok biztonsgnak fenntartsra kell gondolnunk.

A biztonsg maga pedig egy a szervezet szmra kedvez llapot, melynek megvltozsa nem val-szn, de nem is kizrt. Azaz egy lakkrnyezet akkor biztonsgos pldul, ha nyugodtan stlha-tunk haza az utcn nappal s jjel egyarnt, nem kell folyton azt figyelnnk, hogy honnan r minket tmads.

BIzA

lMAS

Sg

SRTeTlenSg

Rend

elkezSRe llS

AdAT


12

Az informatikai biztonsg az informatikai rendszer olyan kedvez llapota, amelyben a kezelt adatok bizalmassga (confidentiality), srtetlensge (integrity) s rendelkezsre llsa (availability) biztos-tott (CIA elv), valamint a rendszer elemeinek biztonsga szempontjbl zrt, teljes kr, folytonos s a kockzatokkal arnyos. Ahol bizalmassg: csak az arra jogosultak ismerhetik meg az informcit; srtetlensg: az informci tartalma s formja az elvrttal megegyezik, belertve az is, hogy az

elvrt forrsbl szrmazik (hitelessg), igazolhat, hogy megtrtnt (letagadhatatlansg), egy-rtelmen azonosthat az informcival kapcsolatos mveletek vgzje (elszmoltathatsg), tovbb rendeltetsnek megfelelen hasznlhat;

rendelkezsre lls: az a tnyleges llapot, amikor egy informatikai rendszer szolgltatsai az arra jogosultak szmra egy meghatrozott idben rendelkezsre llnak s a rendszer mkdkpes-sge sem tmenetileg, sem pedig tartsan nincs akadlyozva;

zrtsg: az sszes relevns veszlyt (fenyegetst) figyelembe veszi; teljes krsg: a rendszer minden elemre kiterjed a vdelem; folytonossg: idben folyamatosan megvalsul a vdelem; kockzatokkal arnyossg: a rendszer vrhat mkdsnek idtartamban a vdelem kltsge

arnyban van a lehetsges krral.

Az informcibiztonsg tgabb fogalom, mint az IT biztonsg. Belertjk az informci minden nem csak elektronikus megjelensi formjnak, az informcis szolgltatsoknak s az ezeket biz-tost informcis rendszereknek a vdelmt.


13

Mirt fontos az IT s az informcibiztonsg?

Az informatika korbban elkpzelhetetlen mdon knnytheti meg a felhasznlk lett, pldul kap-csolatot tarthatunk tvol lev szeretteinkkel, s a kzszfrban is szles krben elrhetv teszi a kzigazgats szolgltatsait. Ugyanakkor, az informatika korbban elkpzelhetetlen mdon vesz-lyeztetheti az letnket (pl. szmtgpes jtkfggsg, adatlop krtevprogramok), a szervezetek biztonsgt (pl. adatszivrgs), s teheti srlkenny akr a ltfontossg infrastruktra elemeket (pl. DoS tmads1).

Az informcibiztonsg helyzete sajtos, egyszerre van jelen egy szervezet minden terletn, st, a feltteleinek megfelel kialaktsa s mkdtetse jval tlmutat az informci biztonsgos kezel-sn. A szervezet minden erforrsnak, az embereknek, az eszkzknek, az informcis rendszerek-nek, s ms vagyontrgyaknak a szablyozst, viselkedst, hasznlatt, ellenrzst jelenti. Irny-tsa a fels vezets felelssge.

Az informcival szemben elvrs, hogy a megfelel idben, pontosan, s naprakszen lljon rendel-kezsre, de csak azok szmra, akik jogosultak megismerni azt. Ez az informci minden formjra igaz, azaz a szban, a papron, s az elektronikus formban trolt, kezelt, feldolgozott s tovbbtott formira egyarnt.

ltalban az informatiktl egyszeren csak azt vrja el mindenki, hogy mkdjn. Azt mr nehezebb meghatrozni, hogy pontosan ki mit rt ezen, de abban egyetrthetnk, hogy ne kelljen (tl sokat) vrni a vlaszra, ha valamit krdeznk, s a rendszer vlasza a feltett krdsre reagljon, pontos s hiteles legyen.

Ezeket az elvrsokat szakszeren a COBIT2 az informatikai irnyts ISACA ltal kidolgozott de facto nemzetkzi szabvnya gy hatrozza meg:

Eredmnyessg az zleti folyamat szempontjbl jelentsggel br, idben helyes, ellentmon-dsmentes s hasznlhat.

Hatkonysg optimlisan (legtermelkenyebben s leggazdasgosabban) hasznlhat fel. Bizalmassg engedly nlkli nem hozhat nyilvnossgra.

1 A szolgltatsmegtagadsos (Denial of Service vagy DoS) tmads egy meghatrozott alkalmazs, opercis rendszer ismert gyen-gesgeit, vagy valamilyen specilis protokoll tulajdonsgait (gyengit) tmadja meg. Clja, hogy az alkalmazs, vagy rendszer elrsre feljogostott felhasznlkat megakadlyozza a szmukra fontos informcik, a szmtgp-rendszer vagy akr a szmtgp-hlzat elrsben.2 Az ISACA, mely az informcirendszer ellenrk, az informcibiztonsgi, informatikai irnytsi s informatikai kockzatkezelsi szakemberek nemzetkzi szervezete az informatikai irnyts, kockzatkezels, informcibiztonsg irnyts s informatikai ellen-rzs j gyakorlatait magba foglal keretrendszer. A mdszertan elssorban a szakmai vezetknek ad segtsget ahhoz, hogy fel-mrhessk s elfogadhat szintre cskkenthessk azokat a kockzatokat, amelyeket az informatika zleti folyamatokba plse jelent. Irnymutatsokat tartalmaz egy kontroll rendszer kialaktshoz s annak a folyamatos mkdtetshez.


14

Srtetlensg a vllalati rtkek s elvrsok szerinti pontossg, teljessg, s rvnyessg. Rendelkezsre lls az informci s szolgltatsnak kpessge akkor ll rendelkezsre, ami-

kor az zleti folyamatnak szksge van r most, s a jvben. Megfelelsg trvnyeket, jogszablyokat, szablyozsokat s szerzdses megllapodsokat

(elrt zleti kvetelmnyeket) betartva ll el az informci. Megbzhatsg a vllalkozs mkdtetse s a pnzgyi megbzhatsgi, s irnytsi ktele-

zettsgek teljestse rdekben szksges informcit kapja a szervezet vezetse.

Sajnlatos, hogy a biztonsgos mkds ignye gyakorta csak a biztonsg ltszatnak a megterem-tst jelenti, nem a vals biztonsgot. A szakemberek trekszenek r, hogy objektv mdon hatroz-zk meg a biztonsg mrtkt s llapott. A laikusok szmra a biztonsg bizalmi krds. Gyak-ran megesik, hogy nem biztonsgos rendszerben bznak az emberek, a biztonsgosban pedig nem. A biztonsg egy szervezet vezetje szmra is gyakran nehezen eladhat terlet, hiszen meglte nem pontosan rzkelhet, mr csak a biztonsg hinya az, amelyet tapasztalhatunk.

Mirt nehz valban biztonsgos mkdst kialaktani? Ahhoz, hogy egy szervezet, vagy egy infor-mcis rendszer biztonsgt meg tudjuk teremteni, pontosan ismernnk kell a rendszer cljt s relevns kockzatok mrtkt, s azzal arnyos vdelmi rendszert kell kialaktani.


15

Informcibiztonsg: fizikai, logikai s humn biztonsg

Nemzetkzi szabvnyok (ISO 27000 szabvnycsoport) hatrozzk meg az integrlt informcibiz-tonsgi rendszerekkel kapcsolatos kvetelmnyeket, amelynek jelents eleme az IT biztonsg, de az informatikai rendszerektl fggetlenl pldul papron trolt informcik vdelmt lefedi.

Az MSZ ISO/IEC 27001 clja, hogy modellknt szolgljon informcibiztonsgi irnytsi rendszerek (ISMS) kialaktshoz, megvalstshoz, mkdtetshez, figyelemmel kisrshez, tvizsgls-hoz, fenntartshoz s fejlesztshez. Tovbb tartalmazza a szervezet informcibiztonsgi irnytsi rendszernek kls szakrt ltali ellenrzsnek kvetelmnyeit, s lehetv teszi a tansthatsgot.

Az MSZ ISO/IEC 27002 az informcibiztonsg menedzsmentjnek gyakorlati kdexe. A korbbi informatikai biztonsgi ajnlsoktl eltren, a biztonsgi kvetelmnyeket s intzkedseket a szer-vezet zleti cljaibl s stratgijbl vezeti le szervezeti szint, informatikai biztonsgmenedzsment kzpont szemlletben. Az ISO 27002, a minsgbiztostsra vonatkoz ISO 9000-es szabvnyok-hoz hasonlan, a teljes kr informatikai biztonsg megteremtshez szksges szervezsi, szab-lyozsi szempontrendszert adja meg.

A szabvny a vdelmi intzkedseket az albbi logikai csoportokba szervezi:

kockzatelemzs; biztonsgpolitika, szablyzati rendszer; biztonsgi szervezet; vagyontrgyak kezelse; szemlyi biztonsg; fizikai s krnyezeti biztonsg; kommunikci s zemeltets biztonsga; hozzfrs-ellenrzs; informcis rendszerek beszerzse, fejlesztse s karbantartsa; incidenskezels; zletmenet-folytonossg; megfelelsg.


16

Vdelmi rendszerek tbb szint vdelem

Hagyomnyosan a biztonsgot a hatrok ers vdelmvel valstottk meg. Gondolhatunk itt egy vr-rokkal krlvett magas sziklafallal krbevett erdtmnyre, melybe egy felhzhat pall segtsgvel egyetlen kapun keresztl lehet bejutni, amelyet marcona rsg vd.

Napjainkban is fontos rsze a vdelemnek a fizikai vdelem, amelynek fbb rszei a kvetkezk:

mechanikai vdelem; elektronikai jelzrendszer; lers vdelem; belptet rendszer; biztonsgi kamera rendszer; villm s tlfeszltsg vdelem; tzvdelem.

Az informatikai biztonsg alapveten fgg az informcis rendszerek elemeibl integrlt komplex rendszerek biztonsgi megfelelsgtl, s az informcis rendszereket mkdtet szervezet folya-matainak rettsgtl, a szakemberek, s az irnytst vgzk szakkpzettsgtl, s a bels kontroll rendszer minsgtl. Az informcibiztonsgot a tgabb s szkebb krnyezetre szabva kell kialak-tani, megvalstani, mkdtetni s fejleszteni.


17

Adatvdelem: szemlyes s klnleges adatok jogszablyi vdelme

Magyarorszgon az llami s nkormnyzati szervek adatok, s ezeket tartalmaz dokumentumok soka-sgt kezelik. Ezek rszben nem nyilvnos, vagy fokozottan vdett minstett adatok, rszben pedig brki ltal korltlanul megismerhet kzrdek adatok, informcik. Ezek lehetnek termszetes szemlyre vonatkoz, az adott szervezet vagy ms szervezet mkdsre vonatkoz. Az adatok kezelst, gyjtst, tovbbtst jogszablyok hatrozzk meg. A hazai adatvdelmi szablyozs egyike a legszigorbbaknak nemzetkzi szinten, alapjait az informcis nrendelkezsi jogrl s az informciszabadsgrl szl 2011. vi CXII. trvny fekteti le.

Fokozottan fontos ez a jogi vdelem az llam irnyt, szablyoz, ellenrz szerepnek megnve-kedse, valamint az informatika szolgltatsok szles kr bevezetse miatt, amely kiterjedt, de cl-hoz kttt adatgyjtssel s kezelssel jr egytt. A szemlyes adatok vdelmt nem csak az llami adatkezels szempontjbl kell biztostani, hiszen a vllalatok, vllalkozsok szmra is komoly piaci rtke van pldul egy elektronikus levlcmnek, vagy pontos felhasznli s vsrlsi szoksainknak.

A szemlyes adatoknak egy szkebb kre az olyan rzkeny adatok, amelynek srlse a magnszfrt komolyan rinti, klnleges adatnak minsl s szigorbb vdelem alatt ll. Ilyen pldul a nemzeti kisebbsghez tartozsra, a politikai prtllsra, szexulis letre -vonatkoz adat, a bngyi szemlyes adat s az egszsggyi llapotra vonatkoz adat.

Adatkezelsnek tekintend az adatokon vgzett brmely mvelet, belertve az adatok gyjtse, rg-ztse, rendszerezse, trolsa, mdostsa, felhasznlsa, tovbbtsa, nyilvnossgra hozatala, szinkronizlsa, sszekapcsolsa, zrolsa, trlse s megsemmistse, valamint az adatok tovbbi felhasznlsnak megakadlyozsa. A szemlyes adatok kezelse trvnyi felhatalmazs, vagy az rintett klnleges adatok esetn rsos hozzjrulsa esetn lehetsges kizrlag egyrtelmen meghatrozott cl rdekben felhasznlni.

Az adatvdelmi jogszablyok betartst hatsg, a Nemzeti Adatvdelmi s Informciszabadsg Hatsg felgyeli s a jogszablyok be nem tartsa esetn komoly brsgot szabhat ki, illetve fel is fggesztetheti az adatkezelst.

A minstett adatok vdelmnek intzmnyrendszert, a nemzeti s klfldi minstett adatok vdel-mnek egysges felgyelett, s a minstett adatok kezelsnek hatsgi engedlyezst a Nemzeti Biztonsgi Felgyelet (NBF) ltja el a Kzigazgatsi s Igazsggyi Minisztrium szervezeti keret-ben. Az NBF egyik szervezeti egysge feladata a kzszfra informcis rendszereinek kiberbiztonsgi vizsglata is.


18

A ltfontossg infrastruktra vdelmre vonatkoz jogszablyok 2008-2013 kztt lptek hatlyba. Ezek olyan ltfontossg fizikai s informcis-technolgiai berendezsek s -hlzatok, szolgltat-sok s eszkzk vdelmt rintik, amelyek sszeomlsa vagy megsemmistse slyos kvetkezm-nyekkel jrhat a polgrok egszsge, vdelme, biztonsga s gazdasgi jlte, illetve a kormnyok hatkony mkdse szempontjbl.

Magyarorszg Nemzeti Kiberbiztonsgi Stratgijrl szl 1139/2013. Korm. hatrozata meghat-rozza Magyarorszg kibertrre vonatkoz rtkrendjt, jvkpt s cljait, s elre vetette a dinami-kusan vltoz kibertr ignyeihez s az ez ltal generlt feladatokhoz alkalmazkodni kpes kormny-zati kpessgeket biztost kormnyzati struktra kiptst.

A stratgia gyakorlati megvalsulst hivatott biztostani mg a 2013 prilisban elfogadott, az llami s nkormnyzati rendszerek elektronikus informcibiztonsgrl szl 2013. vi L. trvny (a tovb-biakban: Ibtv). A trvny fellltja a szksges intzmnyrendszert a nemzeti vagyon rszt kpez nemzeti elektronikus adatvagyon, illetve a ltfontossg informcis rendszerek s rendszerelemek biztonsga alapfelttelei megteremtshez.

Az intzmnyrendszer rsze a Nemzeti Biztonsgi Felgyelet j szakhatsgi feladata, amely keret-ben a biztonsgi incidensek megelzst, a srlkenysgek s hibs mkdsi belltsok felkutat-st vgzi, tovbb javaslatot tesz azok elhrtsra, valamint kzremkdik a biztonsgi incidensek mszaki vizsglatban.

Az Ibtv. s vgrehajtsi rendeletei ltrehoztk a Nemzeti Elektronikus Informcibiztonsgi Hat-sgot (tovbbiakban: NEIH) s szakhatsgi feladatokkal elltsval ruhzzk fel az elektronikus informcibiztonsg terletn. A Hatsg f feladata, hogy felgyelje a kltsgvetsi szervek infor-mcitechnolgiai, adatkezel- s feldolgoz tevkenysgt s az informcitechnolgiai fejlesztsi projektekben az informcibiztonsgi kvetelmnyek teljeslst. Tovbb engedlyezi az rintett szervezetek ltal az Eurpai Uni tagllamaiban trtn elektronikus informcis rendszer zemelte-tst, s ellenrzi az rintett szervezetek ltal az Eurpai Uni tagllamain kvl trtn elektronikus informcis rendszerzemeltetst.

Informcibiztonsg: llami s nkormnyzati elektronikus informci, s infra-struktrk jogszablyi vdelme


19

Informcis rendszerek elemei

Az informatikai irnyts nemzetkzi de facto sztenderdje a Cobit az informcis rendszerek elemeit ngy csoportba sorolja: informci, infrastruktra, alkalmazi rendszer, s emberi erforrs. Az infrastruktra s az alkalmazi rendszerek ismertetse kzrtheten:

hardver: szerver (tbb felhasznl munkjt segt kzponti szmtgp); munkalloms/PC (egy felhasznl munkjt segt asztali szmtgp); hordozhat szmtgp/laptop/notebook (a PC hordozhat vltozata, sajt akkumultorrl

rkig zemel); mobiltelefon (kezdetben telefonlsra, ma mr fnykpezsre s szmtgpezsre is alkal-

mas kszlk, kzi szmtgp); tblagp (a hordozhat szmtgpeket egyszerbb, billentyzet nlkli rintkpernys

vltozata, kzi szmtgp); adathordoz, adattrol egysg (szmtgpen feldolgozhat llomnyok, dokumentumok,

fnykpek, adatbzisok trolsra, s visszaolvassra alkalmas eszkz); adatbeviteli (input) eszkzk: billentyzet, digitalizl tbla, stb.; adatkimeneti (output) eszkzk: nyomtat, kperny, stb.;

szoftver: opercis rendszer (a szmtgpek hardver eszkzeit mkdtet programok); virtualizci (egy fizikai szmtgpen tbb logikai szmtgp egyidej mkdtetst lehe-

tv tev szoftverrendszer); adatbzis kezel (az alkalmazsok ltal hasznlt adatok trolst, strukturlt elhvst, s

azokkal klnbz mveleteket vgz szoftver); hlzat:

aktv hlzati eszkzk (hlzati adatforgalmat vezrl s ellenrz miniszmtgpek, melyek mkdse az zemeltetk ltal mdosthat);

passzv hlzati eszkzk (hlzati eszkzk, amelyek az elre beljk rgztett feladatokat vgzik);

hlzat biztonsgi eszkzk (pl. tzfalak, hlzati betrs detektlk, tartalomszrk, lta-lban olyan egyedi clra felksztett szmtgpek, amelyek egy elvrt biztonsgi funkcit valstanak meg);

dokumentci: az informatikai rendszerre vonatkoz lersok, tmutatk, kziknyvek, tervek;

alkalmazirendszerek: az alkalmazi rendszerek egy adott gyvitelt, vagy egyb tevkenysget tmogat funkcik,

vagy funkcicsoportok vgrehajtsra fejlesztett szmtgpes eljrsok, olyan szoftve-rek, amelyek az opercis rendszer segtsgvel mkdnek, gyakran adatbzis-kezelt is hasznlnak.


20

Informci: olyan tny, amelynek megismersekor olyan tudsra tesznk szert, amelynek addig nem voltunk

birtokban. Az informci teht rtelmezett adat.

Fontosabb informatikai fogalmak: URL: egy weboldal cmnek megnevezse, amely alapjn a cmtr a technikai cmet (IP cm)

megtallja, egy cmen egybknt tbb honlap is mkdhet. Az a haszna, hogy knnyen meg-jegyezhetjk egy honlap elrhetsgt. Van olyan tmadsi mdszer, ahol a cmtr tmadsn keresztl egy vals, s jogszer URL-t egy krtev IP cmre irnyt. Ha https-sel kezddik, akkor titkostott kapcsolatot hasznl. Figyeljnk r, hogy pontosan rjuk le a cmet, mert krtev honla-pokra is kilyukadhatunk.

QR-kd3: lteznek olyan URL rvidt szolgltatsok, amelyekkel knnyen felrhat lesz egy hosszabb cm is. Ezeket jabban a segtik a QR kdok is, amelyek ktdimenzis vonalkdok, s amelyeket tbbek kztt okostelefonokkal val hasznlat sorn vehetnk ignybe.

3 Nevt az angol Quick Response rvidtsbl kapta (gyors vlasz), amely a gyors visszafejtsi sebessgre, s ebbl addan a gyors vlaszad kpessgre utal. A QR kd a hagyomnyos vonalkdhoz kpest tbb szzszor annyi adatot kpes kezelni.


21

Informcibiztonsg irnytsa s menedzselse ugyanazt jelenti?

A megnvekedett s egyre komplexebb vl informcis rendszerek elleni tmadsokra val reag-ls mr rgta nem csupn mszaki krds, hanem egy olyan problma, amivel a fels vezetsnek komolyan szembe kell nznie! A vezetnek kell meghatrozni azokat a clokat, a clok megvalsts-nak irnyelveit, s a feladatok vgrehajtst vgz szervezetet, amelyek eredmnyesen biztosthatjk az elvrt biztonsgi szintet.

nmagban nem vezet eredmnyre, ha az informcibiztonsgot klnbz biztonsgi intzked-sek letbe lptetsvel vagy valamely szabvny adaptlsval kvnjuk megteremteni. A szervezet cl-kitzseinek elrst szolgl, gazdasgos informcibiztonsg sokkal inkbb a bevlt szervezetir-nytsi gyakorlatok alkalmazsval rhet el. Az informcibiztonsgi funkci teht minden szervezet bels irnytsi s kontroll rendszernek rsze kell, hogy legyen.

Az zleti vilg mdszertanai (pl. COBIT, BMIS4) ehhez hozzteszik mg azt is, hogy az informcibiz-tonsg irnytst s menedzselst a szervezetek cljainak elrse rdekben, a kockzatokkal arny-ban lev mdon, a rendkvli biztonsgi esemnyeket megelzve, feltrva, helyesbtve kell vgezni.

Az ISACA hromvente felmri vilgszerte, hogy milyen tevkenysgeket vgeznek az informcibiz-tonsgi szakemberek, s ehhez milyen szaktudsra van szksg. A felmrs eredmnyeit kzzteszi, s ennek alapjn frissti az Informcibiztonsgi Vezet Tanstvny (CISM) vizsgakvetelmnyeit is.

A kvetkez ngy f terletet tartalmazza jelenleg a vizsga:

1. Informcibiztonsg irnytsa a szervezet cljaival, ktelez s vllalt feladataival, a szerveze-tet veszlyeztet tnyezkkel s a biztonsgra fordthat erforrsokkal sszhangban lev irny-tsi rendszert kell az informcibiztonsgi terleten is kialaktani.

2. Informcis kockzatkezels s megfelels a jogszablyokban elrt s a szervezet vezetje ltal elfogadott szinten kell tartani az informcis rendszereket veszlyeztet kockzatokat.

3. Informcibiztonsgi program kidolgozsa s megvalstsa az informcibiztonsgi stratgi-val sszhangban kell kialaktani s megvalstani az informcibiztonsgi programot.

4. Informcibiztonsgi rendkvli esemnykezels a szervezetet r krok cskkentse rdekben tervezett mdon kell az informcibiztonsgi esemnyeket s kvetkezmnyeik helyrelltst kezelni.

Az informcibiztonsg irnytsi feladatokkal kapcsolatos ISACA ajnlsok a Biztonsgtudatos veze-ts fejezetbe kerltek beptsre.

4 BMIS Business model for information security, az ISACA holisztikus informcibiztonsg menedzsment mdszertana, mely beplt a COBIT 5 keretrendszerbe.


22

Mindenki ugyangy ltja a biztonsg fontossgt?

A biztonsg szubjektv fogalom, hiszen az emberek nem csak korukra, nemkre, szakmai htterkre nzve klnbznek egymstl, hanem alapvet szemlyisgjegyeik is eltrek. Egy munkahelyi kul-tra az egyik ember szmra idelis, s a munkra serkent lehet, de elkpzelhet, hogy a msik ember szmra ugyanez a munkakrnyezet nehz, vagy akr elviselhetetlen.

A szemlyisg tulajdonsgai a krnyezeti hatsokra adott, az agyunkbl kiindul tudatos, s tudat-alatti vlaszokat hatrozzk meg. A tulajdonsgokbl ll ssze a szemlyisgtpus. Karl Jung szem-lyisgtpus elmlete jl szemllteti az egynek klnbzsgt. Ngy ellenttprt hatrozott meg, amelyeket egy-egy betvel jelli, gy alkotva ngybets rvidtseket. Ezek varicii sszesen 16 tpust adnak. Ezek kzl leginkbb az ENTJ kpes a biztonsgi kultra kvetsre, azonban kpzssel fej-leszthet ms szemlyisg esetben is ez a kpessg.

Az ENTJ szemlyisgek kifejezetten ignylik, hogy egy szablyozott, minden vlasztsi lehetsgre vlaszt ad szablyrendszer ktttsgei kztt, rendszeresen ismtld, kiszmthat tevkenysge-ket vgezzen (pl. termels, adatfeldolgozs), ahol a csoportvezetje rendszeresen ellenrzi a mun-kjt s visszajelzst ad. Ez a helyzet bnt, frusztrl s elviselhetetlen lesz ISPF szemlyisgek szmra, akik inkbb olyan problmk megoldsval szeretnek foglalkozni (pl. marketing, termkfej-leszts), amelyekkel nem tallkoztak korbban. Szmukra az idelis munkakrnyezet a tgan meg-hatrozott szablyok kztt, rugalmas munkaidben trtn foglalkoztats jelenti, hogy akkor dol-gozhassanak, amikor ihletk van, mert akkor lesznek eredmnyesebbek. Nyilvnval, hogy mindkt kollega munkjra szksge lehet a szervezetnek.

A megfelel biztonsgi kontroll rendszer kialaktshoz s fenntartshoz fontos a munkavllalk klnbz szemlyisgnek felismerse, s az ehhez illeszked intzkedsek meghatrozsa. Srl ugyanis a szervezet biztonsga, ha az egynek nem elrsszeren vgzik feladatukat, egy adott biz-tonsgi esemnyre nem megfelelen reaglnak.


23

Vasvri Gyrgy5 szerint az albbi krdsek segtik eldnteni, hogy hol tart a biztonsgi kultra kialak-tsa, s ezeken a terleteken mit szksges fejleszteni:

1. Tudjk-e, indokoltnak tartjk-e jogaikat, ktelezettsgeiket?2. Tevkenysgk sorn azok szerint jrnak-e el? 3. Felismerik-e a vdelmi intzkedsek szksgessgt, van-e veszlyrzetk?4. Felismerik-e, s eltlik-e azokat, akik a biztonsgi szablyokat megsrtik, a vdelmi intzkedse-

ket nem rendeltetsszeren hajtjk vgre? 5. Vllaljk, hogy hatst gyakorolnak a biztonsgi kvetelmnyeket tudatosan vagy vletlenl,

emberi gyengesgk miatt, rszben illetve egszben megsrt kollgkra?6. Felismerik-e, akarjk-e felismerni a nem erklcss, etikus magatartst tanstkat?7. Biztonsgi tudatossguk rvn konstruktv rszesv vlnak-e a szervezeti egysg, csoport

szubkultrjnak?

Milyen a biztonsgtudatos szervezet?

A szervezet biztonsgrt vllalt felelssg, a szervezet vezetse ltal meghatrozott biztonsgi szint-nek, mint kvetelmnynek elfogadsa s a hinya kvetkezmnyeinek elismerse, valamint a biztonsgi szempontbl erklcss, etikus magatartsi kultra egyttesen jellemzi a biztonsg tudatos szervezetet.

Egy szervezetnl akkor j a biztonsgi kultra, ha a munkatrsak ismerik jogaikat s ktelezettsgeiket, s rvnyestik is azokat. Azoknak a munkatrsaknak, akik tudatlansgbl, hanyagsgbl, vagy szndkosan nem biztonsgtudatosan viselkednek, ismtelt biztonsgtudatossgi oktatson kell rszt vennik, illetve el is marasztalhatjk ket. A biztonsgi kultrt teht az egynek biztonsgtudatos magatartsa alaktja ki, ahol kialakult, ott a munkatrsak tudjk, mi veszlyeztet(het)i a biztonsgot, s ennek megfelelen cselekszenek is.

Az egszsges veszlyrzetnl annyiban klnbzik a biztonsgtudatossg, hogy nem csak felismer-jk, hogy a biztonsgi elvrsoktl eltr viselkeds veszlybe sorolhat minket, vagy a szervezetet, hanem azt is, hogy ilyen helyzetben mit tegynk, s mit ne tegynk.

A biztonsgtudatossgra kls (pl. jogszablyok, szabvnyok, politikai hatsok, piaci hatsok, ter-mszeti hatsok, egynek krnyezetnek) s bels tnyezk (pl.: szablyzatok, a kzvetlen vezets utastsai, humnpolitika, az ellenrzs) egyarnt hatssal vannak.

Azrt fontos a vllalati kultra rszv tenni a biztonsgot, mert a szervezeti kultra befolysolja az egynek hovatartozs tudatt, helyzett, szerept a szervezetben. Teht a biztonsgi kultra, s a

5 Vasvri Gyrgy: Vllalati biztonsgirnyts Informatikai biztonsgmenedzsment, Info-Szakknyv Bt., 2007.


24

szintjnek fenntartsa, vagy emelse nmagban is vdelmi intzkeds. Clszer a biztonsgi kultra szintjt vente rtkelni.

A biztonsgtudatossg megjelenhet vllalati szoksokban (pl. minden rtekezlet utn a fali tblt letrljk), a bels kommunikciban hasznlt nyelvezetben, s szimblumok alkalmazsban.

A biztonsgtudatossg hinyban a szervezet nem ismeri fel megfelelen a rendkvli biztonsgi esemnyeket, s nem kpes felmrni azok kvetkezmnyeit. Ez azt eredmnyezheti, hogy a szervezet nem lesz kpes a ktelez s vllalt feladatai elltsra.

Megelzs mdszerei: ismeretszerzs, tudatosts

Alapvet s ms lehetsgekhez kpest olcsbb mdszer az, ha felksztjk a felhasznlkat, szerve-zetnk munkatrsait arra, hogy felelsen, a biztonsgot veszlyeztet tnyezk ismeretben vgez-zk munkjukat. Tovbb legyenek felksztve azoknak az eszkzknek s informcis rendszereknek a hasznlatra, amelyek szksgesek a munkjukhoz, gy is cskkentve az emberi hibkbl fakad biztonsgi esemnyeket. Ennek eredmnyessgt tudja fokozni, ha ezeket az ismereteket jl rthet formban, szakemberek ltal sszelltott megbzhat informcikra ptve, s a felnttkpzs s szervezetfejleszts korszer eszkzeit felhasznlva adjuk t munkatrsainknak.

Jelen tjkoztat anyag is rsze annak a folyamatnak, amelynek eredmnyekppen a kzszfrban dolgoz munkatrsak alapvet ismereteket szerezhetnek, megismerve ez ltal az informatika hasz-nlatnak veszlyeit, gy felkszlhetnek a kockzatok elkerlsre, vagy a bekvetkezett kockzatok felismersre, s a krok cskkentsre.

Az informatikai biztonsgi tudatosts eredmnyes megvalstsa komplex, szemlyre szabott szer-vezeti kultrafejlesztsi program, melynek rsze az adott szervezetet rint kockzatok felmrse, a kockzatkezelsi stratgia meghatrozsa, az informatikai biztonsgi szablyozs kiadsa, s a felhasznlktl elvrt viselkedsi szablyok meghatrozsa. A szksges informcik birtokban vgezhet el a biztonsgtudatostsi program szemlyre szabsa, majd a dolgozk felelssgi s fel-kszltsgi szintjnek legmegfelelbb kpzsi, tudstadsi formk meghatrozsa, a tuds tadsa, visszaellenrzse.


25

Megelzs mdszerei: adatments

A legkzenfekvbb megolds, amely biztostja az elektronikus informcik megsemmisls elleni vdelmt az, ha tbbszrzzk ket. Le kell msolni rendszeresen, s az eredeti helytl eltr biz-tonsgos helyen kell trolni az informcis rendszerekben s adathordozkon (kls merevlemez, DVD stb.) trolt adatokat.

A msolatok meglte vd a rendszerek s adathordozk meghibsodsa, a vletlen adattrls vagy mdosts, s a szndkos krokozs ellen is. A msolsra alkalmazott mszaki megoldsoktl, az adatok visszalltsra hasznlt eljrsoktl fgg, hogy milyen gyorsan lehet visszalltani az adatokat. A mentsek gyakorisga pedig azt hatrozza meg, hogy kt ments kztt elvileg mennyi adat vesz-het el.

Fontos felhvni a figyelmet, hogy adott szervezeten bell az informatikai rszleg vgzi az adatok men-tst, ezrt ltalban szksgtelen, st biztonsgi szempontbl kifejezetten veszlyes, gyakran tiltott is a munkavgzs sorn ksztett dokumentumok, iratok, levelezs sajt adathordozn val tro-lsa, szervezeten kvlre hordozsa. Mirt van ez? ltalban egy olcs kismret adathordozt (pl. memriakrtyt, USB-memrit) hasznlnak erre a munkatrsak, amelyen titkosts nlkl troljk az adatokat. Belthat, hogy ez knnyen nyomtalanul eltnhet. Veszett mr el pldul hordozhat adathordozn tbb milli adz adata, s krhzban kezelt betegek adatai, s nem nyilvnos elter-jesztsek munkaanyaga. Gondoljuk vgig, hogy a magunkkal hordott adatok milyen krt okozhatnak illetktelen kezekben!

A szervezetnk adatait teht csak akkor tegyk sajt adathordoznkra, ha meggyzdtnk arrl, hogy a szablyok megengedik, s felttlen szksges. Ebben az esetben mindig titkostsuk az adatokat (pldul az ingyenes Truecrypt programmal).


26

Megelzs mdszerei: felhasznlk szmtgpeinek vdelme

A kzszfrban dolgoz munkatrsak a szemlyes tulajdonukban lev szmtgpek tekintetben felelsek azok vdelmrt. Ez fokozottan fontos abban az esetben, ha ezeket a szmtgpeket a hivatali kommunikcira, illetve munkavgzsre is ignybe veszik. Minden felhasznltl elvrhat, hogy az alapvet vdelmi intzkedsek belltst s mkdtetst kpes legyen elvgezni. Ide sorol-juk a rendszerszoftverek frisstst (Windows esetn pldul automatikusan elvgzi a rendszer, ha bekapcsoljuk), vrus s krtev vdelmi szoftverek mkdtetst (ingyenesen letlthetek szles kr dokumentci s teleptsi utasts ll rendelkezsre), s szoftveres tzfal mkdtetst (Windows rendszer rsze, de ingyenes egyb tzfalak is elrhetek).

Abban az esetben, ha fokozni szeretnnk a szmtgpeink vdelmt hasznlhatunk kln virtu-lis gpet pldul a hivatali munkra, illetve telepthetnk gynevezett homokozt (sandbox), amely megakadlyozza, hogy programok, klnsen bngszk, a rendszer belltsait megvltoztathassk. Ezek megfelel belltsa mr kzpszint felhasznli ismereteket felttelez.

A kzszfra szervezetei ltal hasznlt szmtgpeiknek vdelmt a szervezet informatikai rszlege, vagy egy kls szolgltat mkdteti. Ebben az esetben a felhasznlk felelssge annyi, hogy ezeket a vdelmi rendszereket ne kapcsoljk ki, illetve jelezzk, ha nem, vagy hibsan mkdnek. Specilis eset, ha szemlyes tulajdon szmtgpet a hivatal bels hlzatn kvn egy munkatrs hasznlni. Ilyenkor ltalban szksges, hogy a hivatal ltal meghatrozott informatikai belltsokat alkalmaz-zk a gpen a megfelel biztonsg rdekben. Ha ehhez a munkatrs nem jrul hozz, akkor ltal-ban maximum internet kapcsolatot fog kapni a bels hlzaton, semmi mshoz nem frhet hozz.

Fontos eszkz a szmtgpek fizikai vdelme is. ltalban a szervezetek bels szablyzatban tiltjk, hogy felgyelet, vagy megfelel vdelem nlkl hagyjuk a hordozhat szmtgpeket. Pldul egy gpjrm utasterben ne hagyjunk szmtgpet. A csomagtart sem biztost megfelel vdelmet, mert a tolvajoknak megvannak az eszkzeik, amellyekkel kifigyelik, hogy van-e szmtgp a gpko-csiban. A szmtgpes eszkzk hasznlatt a szervezetek ltalban a Felhasznli szablyzatban, illetve az Informatikai biztonsgi szablyzatban szablyozzk.


27

Biztonsgi esemnyek bejelentse, kivizsglsa, elhrtsa

Mit is rtnk rendkvli IT biztonsgi esemny (IT biztonsgi incidens) alatt? Az informatikai rendszer vdelmi llapotban bellt illetktelen vltozs, amelynek hatsra az informatikai rendszerben kezelt informci bizalmassga, srtetlensge, hitelessge, funkcionalitsa, rendelkezsre llsa megsrl, vagy a srlsk kockzata megn. Ilyen esemny lehet pldul adathalszok tmadsa, vagy akr az ramellts megsznse.

Szervezeti szinten bels szablyzatban kell definilni (pl. IT Biztonsgi Szablyzat, Katasztrfa Terv) az informatikai zemeltetsi s informatikai biztonsgi feladatokat s azok felelst, valamint a vonatkoz folyamatokat, eljrsokat. J gyakorlat, hogy egy kzponti helyen kezelik az ignyeket, s a rendkvli esemnyeket, mert gy kzpontilag nyilvntartott, s nyomon kvethet a kezelsk. Az informatikai rendszerek felhasznlinak a feladata ltalban ezzel kapcsolatban az, hogy idben beje-lentsk a szokatlan mkdst, illetve mkds megszakadst.

A rendkvli IT biztonsgi esemny kivizsglsa ltalban helyben kezddik. Megnzik, hogy volt-e mr hasonl eset, van-e elkerl megolds, illetve megolds az IT biztonsgi esemnyre. Ahol infor-matikai szolgltatk vesznek ignybe rszben, vagy teljes mrtkben ott a kiszervezett szolgltat-sokra ezt vagy a szolgltat vgzi, vagy egyttmkdnek vele.

Amennyiben csals, vagy kls tmads gyanja merl fel, akkor a biztonsgi terlet is bekapcsol-dik az esemny vizsglatba. Szksg esetn a hatsgok segtsgt is lehet krni, ha olyan jelleg a biztonsgi rendkvli esemny.

Az ismert srlkenysgek azonostsban kormnyzati szinten a kormnyzati s gazati CERT6-ekhez kell fordulni.

Mi a felhasznlk felelssge?

A szervezetben a munkatrsak s szerzdses dolgozk szmra ktelez a jogszablyok s a szer-vezet bels szablyzatainak s a vezeti utastsoknak a betartsa.

ltalban az informcis rendszerek felhasznlitl elvrt viselkedsi normkat felhasznli sza-blyzatban, vagy ms szablyzatok rszeknt hatrozzk meg. Alapveten azt tartalmazza, hogy a

6 CERT hlzatbiztonsgi kzpontok, amelyek f feladata a hlzatbiztonsgi incidensek kezelse, az llami szfra vagy egyes ga-zatok informatikai rendszereinek hlzatbiztonsgi tmogatsa. A CERT-ek megfelel technikai httrrel rendelkeznek ahhoz, hogy idben reagljanak s kezeljenek minden hlzatbiztonsgra s ltfontossg informcis infrastruktrra veszlyes esemnyt. A bejelentett esemnyeket a kzpontok bizalmasan vezetik.


28

rendszereket kizrlag munkavgzs cljra, a munkavgzshez szksges mrtkben lehet hasz-nlni. Gyakran kitr a szablyozs arra is, hogy a rendszerek s a szervezet biztonsga rdekben az informatikai rendszer mkdst, s a felhasznlk tevkenysgt a szervezet figyelemmel ksri.

A Kzigazgatsi s Igazsggyi Minisztrium ltal kiadott etikai kdex tervezet (ZLD KNYV az llami szerveknl rvnyestend etikai kvetelmnyekrl) s a Magyar Kormnytisztviseli Kar ltal a kzszolglati tisztviselkrl szl 2011. vi CXCIX. trvny felhatalmazsa alapjn kiadott Hivatsetikai Kdex7 tovbbi tmutatst nyjt a klnbz szablyzatokban egyrtelmen nem meg-hatrozott elvrsok tekintetben.

7 http://mkk.org.hu/node/102


29

Biztonsgi kultra megvalstsnak alapelvei

Az OECD8 az informcis rendszerek s hlzatok biztonsgra vonatkoz tmutatban9 kilenc alap-elvet hatrozott meg a biztonsgi kultra sikeres megvalstsa rdekben. Ezek az elvek a felhaszn-lkra, a vezetkre, s a szakpolitika szintjre egyarnt eredmnyesen alkalmazhatak. Termszetesen minden szinten az egyni szerepeknek megfelelen vltozik a felelssg. Az alapelvek kvetse segt az informcik megszerzsben, tudatostsban, a szksges kpessgek elsajttsban. Az alap-elvek egymst erstik, ezrt mindegyiket indokolt figyelembe venni a biztonsgi kultra alaktsa sorn! Az OECD felhvja mg a figyelmet arra, hogy egyenslyt kell teremteni a demokratikus trsada-lom rtkei s a biztonsg kztt.

1) Tudatosts elve

Meg kell rtennk s tudatostanunk, hogy az informcis rendszerek s hlzatok hasznt csak gy lvezhetjk, veszlyeiket csak gy kerlhetjk el, ha a biztonsgi kockzatok tudatban hasz-nljuk ket.

Az els vdelmi vonal teht az informatikai kockzatok s a rendelkezsre ll vdelmi lehetsgek tudatostsa. A kockzatok bels s kls irnybl is felmerlhetnek. Ez azt jelenti, hogy egy fel-hasznli, vagy zemeltetsi hiba veszlyeztetheti a sajt, illetve a vele kapcsolatban lev rendszerek s hlzatok biztonsgt. Az integrlt rendszerek megfelel biztonsga rdekben az rintetteknek ismernik kell a rendszerk felptst, a hlzatokban elfoglalt helyt, s a biztonsg rdekben alkalmazhat intzkedseket.

2) Felelssg elve

A felhasznlk, az zemeltetk, a fejlesztk s a tulajdonosok is felelsek az informcis rendsze-rek s hlzatok biztonsgrt. A rendszerek biztonsga fgg a velk sszekttetsben lev helyi s globlis rendszerek biztonsgtl. Ahhoz, hogy a biztonsgot fenn tudjuk tartani, minden rin-tettnek tudatban kell lennie sajt felelssgvel, s ezt szmon kell tudni rajta krni.

Minden szervezetnek rendszeresen fell kell vizsglnia sajt szablyzatait, gyakorlatait, intzkedseit s eljrsait, s rtkelnie kell, hogy ezek megfelelek-e. Minden rintettnek, aki rszt vesz infor-matikai termkek s szolgltatsok fejlesztsben, tervezsben s szlltsban, foglalkoznia kell a rendszerek s hlzatok biztonsgval s a szksges tjkoztatst idben meg kell tennie. Ennek eredmnyeknt a felhasznlk jobban megrtik a termkek s szolgltatsok biztonsgi vonatkoz-sait s a sajt felelssgket a biztonsggal kapcsolatban.

8 OECD: Organisation for Economic Co-operation and Development - Gazdasgi Egyttmkdsi s Fejlesztsi Szervezet9 Guidelines for the Security of Information Systems and Networks, OECD, 2002.


30

3) Vlaszintzkedsek elve

Az rintetteknek kell idben, egymssal egyttmkdve kell a vratlan biztonsgi esemnyeket megelzni, szlelni, illetve az ezekre vonatkoz megfelel vlaszintzkedsek megtenni.

Felismerve az informcis rendszerek s hlzatok sszekapcsoldst, s a gyors s szleskr krokozs lehetsgt, az rintetteknek idben s egyttmkdve kell a vratlan biztonsgi esem-nyeket kezelni. Szksg szerint meg kell osztaniuk egymssal a fenyegetsekkel s sebezhetsgekkel kapcsolatos informcikat, s gyors s hatkony eljrsokat kell alkalmazniuk, hogy egyttmkdve megelzzk, szleljk, illetve reagljanak a vratlan biztonsgi esemnyekre. Ahol lehetsges, ez akr hatrokon keresztli informcicservel s egyttmkdssel is jrhat.

4) etika elve

Az rintetteknek tiszteletben kell tartaniuk msok jogos rdekeit.

Tekintettel arra, hogy az informcis rendszerek s hlzatok alkalmazsa tszvi a trsadalmunkat, az egyneknek fel kell ismernik, hogy cselekedeteik vagy azok hinya adott esetben kros hatssal is lehetnek a tbbi felhasznlra. Az etikus viselkeds ezrt ltfontossg, az rintetteknek trekednik kell arra, hogy a j gyakorlatokat kialaktsk s alkalmazzk, a biztonsg ignyt elfogadjk, s msok jogos rdekeit tiszteljk.

5) demokrcia elve

Az informcis rendszerek s hlzatok biztonsgt megvalst megoldsoknak a demokratikus trsadalmak alapvet rtkeivel sszefrhetnek kell lennik.

A gondolatok s eszmk cserjnek szabadsgt, az informci szabad ramlst, a szemlyes ada-tok megfelel vdelmt, a nyitottsgot s az tlthatsgot indokolatlan mrtkben nem szabad korltozni.

6) kockzatfelmrs elve

A biztonsg tervezse s megvalstsa sorn a relevns lnyeges kockzatokat fel kell mrni.

A kockzatfelmrs azonostja a fenyegetseket s a sebezhetsgeket, kitrve a legfbb bels s kls tnyezkre, gymint a technolgia, a fizikai s emberi tnyezk, politikai irnyelvek s harmadik szemly ltal nyjtott biztonsgi szolgltatsok. A kockzatfelmrs lehetv teszi az elfogadhat szervezeti kockzati szint meghatrozst, s segtsget nyjt az informcis rendszerek s hlzatok biztonsgt fenntart megfelel szablyozsok kialaktsban a megvdend informci jellegvel s


31

fontossgval arnyban. Tekintettel az informcis rendszerek sszekapcsolsra, a kockzatfelm-rsnek ki kell trni a msoktl szrmaz, vagy a msok rszre okozhat hatsokra.

7) Biztonsgtervezs s vgrehajts elve

Az rintetteknek a biztonsgot az informcis rendszerek s hlzatok kialaktsa sorn lnyeges szempontknt kell kezelni, s megvalstani.

A rendszereket, hlzatokat s irnyelveket az optimlis biztonsg megvalstsra kell megtervezni, alkalmazni s koordinlni. Megfelel vintzkedseket kell tervezni s elfogadni annak rdekben, hogy az azonostott fenyegetsekbl s sebezhetsgekbl szrmaz potencilis krokat elkerljk, vagy cskkentsk. A szervezet rendszereiben s hlzataiban tallhat informci rtkvel arnyos mszaki, s nem mszaki vintzkedsekre van szksg. A biztonsgot az sszes termk, szolgl-tats, rendszer s hlzat alapvet elemv, valamint a rendszertervezs s az architektra szerves rszv kell tenni. Az tlagos felhasznlk szmra ez leginkbb sajt ignyeik meghatrozsra, a termkek s szolgltatsok kivlasztsra terjed ki.

8) Biztonsgmenedzsment elve

Az rintetteknek minden szempontra kiterjed mdon kell a biztonsgmenedzsment feladatokat vgeznik.

A biztonsgmenedzsmentnek kockzatfelmrsen kell alapulnia, fellelve az rintettek tevkenys-gnek s mkdsnek minden vonatkozst. A rendkvli esemnyek megelzsre, feltrsra, s velk kapcsolatos vlaszintzkedsekre, rendszer helyrelltsra, karbantartsra, fellvizsglatra s ellenrzsre vonatkoz elremutat vlaszokat kell adnia a kialakul fenyegetsekre vonatkozan. Az informcis rendszerek s hlzatok biztonsgval kapcsolatos irnyelveket, gyakorlatokat, intzke-dseket s eljrsokat ssze kell hangolni az sszefgg biztonsgi rendszer kialaktsa rdekben. A biztonsgmenedzsmentre vonatkoz kvetelmnyek fggenek az rintettsg szintjtl, az rintett szereptl, a szban forg kockzatoktl s rendszerkvetelmnyektl.

9) jrartkels elve

Az rintetteknek az informcis rendszerek s hlzatok biztonsgt fell kell vizsglniuk s jra kell rtkelnik. A biztonsgi irnyelvekben, gyakorlatokban, intzkedsekben s eljrsokban szksges mdostsokat el kell vgeznik.

Folyamatosan jelennek meg j s vltoz fenyegetsek, s sebezhetsgek. Az rintetteknek a biz-tonsg minden aspektust folyamatosan fell kell vizsglniuk, t kell rtkelnik s vltoztatniuk kell, hogy a felmerl kockzatokat kezelhessk.


32

A biztonsgi kultra fejlesztse

A biztonsgtudatossgot, s a kzssgek biztonsgi kultrjnak fejlesztst az egynek, csaldok, kiskzssgek, szervezetek szintjn s orszgos szinten is lehet, s clszer is fejleszteni. Az isme-reteket vgl az egyneknek kell megtanulniuk, de kevs ember kpes arra, hogy magtl megtallja, megrtse s meg is jegyezze ezeket az ismereteket. Szksgesek olyan kztes csatornk, segt szer-vezetek s segdeszkzk, amelyek minden embernek a szmra szksges tudst a szmra meg-emszthet formban juttatja el. A haznkban is elterjedt pldkat rviden ismertetjk.

Biztonsgtudatostst segt szervezetek a trsadalom klnbz szintjein fejtik ki tevkenysgeiket:

A kormnyzati szervezetek ssztrsadalmi s kzigazgatsi szinten is vgeznek ilyen tevkenys-get: szakpolitikai s hatsgi szinten a Nemzeti Fejlesztsi Minisztrium s a minisztrium szer-vezetbe tartoz Nemzeti Elektronikus Informcibiztonsgi Hatsg (a tovbbiakban: NEIH), hatsgi szinten a Nemzeti Biztonsgi Felgyelet (a tovbbiakban: NBF), rendvdelemi szinten az Orszgos Rendr Fkapitnysg s az Orszgos Katasztrfavdelmi Figazgatsg.

A trsadalmi szervezetek inkbb trsadalmi szinten s oktatsi intzmnyekben aktvak: Inftr Egyeslet az informatika trsadalmi hasznossgt kvnja segteni, a Safer Internet hangslyozza a gyerekek felksztst az internet biztonsgos, s felels hasznlatra.

A szakmai szervezetek rszt vesznek a trsadalmi biztonsgtudatostsban, de inkbb a kz-igazgatsi szervezetek s gazdasgi trsasgok biztonsgi kultrjnak fejlesztshez biztostjk a tudatostst vgz szakemberek felksztst, a tudatosts mdszereit s segdeszkzket: informatikai ellenrk, biztonsgi szakemberek s vezetk (ISACA Magyarorszg Egyeslet), hlzatbiztonsgi s infrastruktra vdelmi szakemberek (KIBEV nkntes Kibervdelmi sszefogs), szmtstechnikai szakemberek (Neumann Jnos Szmtgp-tudomnyi Trsa-sg), elektronikus alrs szakrtk (Magyar Elektronikus Alrs Szvetsg), informatikai igaz-sggyi szakrtk.

A gazdasgi trsasgok egy rsze a sajt szervezetn belli biztonsgtudatostson tl trsa-dalmi szinten is vgez tudatostst. Ilyenek pldul a tvkzlsi szolgltatk, akik a szolgltats-biztonsg nvelse, s a trsadalmi felelssgvllals cljbl segtik az informcibiztonsg tudatostst (pl. UPC reklmok).

Biztonsgtudatostst segt csatornk:

hrleveleket biztonsgtudatostsi cllal kzigazgatsi s szakmai szervezetek is kzztesznek, illetve bels felhasznlsra nagyobb szervezetek is ksztenek;

tjkoztat honlapokat minden tpus szervezet alkalmaz, ezek segtik a strukturlt informci tadst s egyszeren frissthet a tartalmuk;

kzssgi hlzaton lev informcis csatornkat szles krben hasznlnak ismerettadsra, gy a szakmai kzssgek biztonsgtudatostst is segtik (pl. Linkedin csoport, Youtube lista);


33

kzssgi tjkoztat programokat ltalban llami tmogats mellett a trsadalmi s szakmai szervezetek tartjk (eMagyarorszg pontok, kzssgi hzak, iskolk);

szervezeteken belli kpzseket a szervezet vezetse utastsra s tmogatsval szerveznek, a szervezet mrettl s a rendelkezsre ll forrsok mrtktl fggen kzpontilag, illetve helyileg ksztett segdeszkzket alkalmazva.

Biztonsgtudatostst segt segdeszkzk:

tjkoztat brosrk: ltalban egy tmt 1-10 oldalban kzrtheten, sznes grafikai elemekkel illusztrl tjkoztat anyagok;

krdvek, s egyszer jtkok: sztnsen segtik a figyelem felkeltst, az ismeretek jtkos megszerzst. Nveli a jtkok ltal elrt clkznsg mrett, ha nem csak a jtk rmrt lehet jtszani, hanem egyedi djakat is lehet nyerni;

figyelemfelhv vide klipek: ltalban 1-5 perc hossz dramatizlt filmanyagok, amelyek egy biztonsgi kockzatot, vagy azok helyes kezelst mutatjk be;

tvoktats (elearning): ltalban egy adott szervezeten bell, a szervezetre szabott mdon vg-zik, amely segtsgvel az egyes felhasznl sajt tempjban vgezhet az ismeretszerzs, s mrhetv vlik az ismeretek tadsnak eredmnyessge;

iskolai oktats: ltalban ltalnos s kzpiskolai szinten iskolai klnrkat szerveznek, az intzmny sajt felkrsre, vagy biztonsgtudatostst vgz trsadalmi s szakmai szervezetek kezdemnyezse alapjn;

ktelez kpzsek szervezse: definilt clcsoport szmra, az elrend kpzsi szint szerint vltoz idtartalm oktats, amely vgn a rsztvevk szmot adnak tudsukrl, a kpz intz-mny pedig a kpzs elvgzsrl igazolst llt ki;

konferencik: eltr clkznsg, az ltalnostl a mly szakmai ismeretek tadsnak, infor-mcik kicserlsnek s megvitatsnak fruma;

az ellenrzsek: biztostjk, hogy a szablyok ltal elrt, s a vezets ltal elvrt gyakorlatok hi-nya kiderljn a vezets szmra, akik a megfelel szankcikat alkalmazzk a szablyszegkkel szemben. A szankcionls eszkzei fontosak a biztonsg megvalstsa sorn, mert ez az eszkz azok szmra, akiket az oktats s a pozitv motivcis eszkzk sem voltak kpesek rvenni a kvnt gyakorlatok szerinti munkavgzsre;

rendkvli esemnyek kirtkelse s a kvetkeztsekrl tjkoztats ksztse: segti a bizton-sg irnti figyelem fenntartst, s megelzheti a rendkvli esemnyek ismtelt elfordulst.

A kzigazgatsi tevkenysget vgz szervezeteknl a biztonsgtudatostst clszer egy felptett szervezeten belli kpzsi s tjkoztat program formjban megvalstani, azonban fontos p-teni a ms csatornkon elrhet tovbbi kpzsi s tjkoztat anyagokra, mivel ezek fokozhatjk a program eredmnyessgt, s gazdasgossgt is. Jelen tjkoztat is szmos hivatkozst tartalmaz tovbbi ismeretszerzsi lehetsgekre.


34

Egy vagy tbb kls szervezettel val kzvetlen egyttmkds szintn segtheti a szervezeten belli szakemberek munkjt:

Az adott gazat ms szervezeteivel kzsen szervezhetnek biztonsgtudatost programot, tart-hatnak biztonsgtudatostst segt szakmai napot, rendezvnyeket.

Az Alkotmnyvdelmi Hivatal biztonsgtudatost programjban val rszvtel kiegszthet a szervezet bels tudatost programjt.

Az ltalnos informcibiztonsgi tjkoztat honlapok anyagt felhasznlhatjuk a bels tjkoz-tat anyagok kialaktsa sorn (ha szksges a felhasznlsi engedlyt megkrve).

Informatikai szolgltatkkal egyttmkdve a kzigazgatsi szervezetek leszmolhatnak zombi hlzatokkal.

Egyetemi s kutat cgekkel egyttmkdve gyorsabban trhatnak fel eddig nem ismert tma-dsi formkat, s a kiber fegyvereket.

A kzpiskolai tanrok s a felsoktats oktatinak felksztse, a kpzk kpzse, kzptvon hozzjrul ahhoz, hogy a kzigazgatsba bekerl fiatalok biztonsgi tudsszintjre mr csak a szervezet sajtossgait kelljen rpteni.

Nagyon fontos a szles kzssgekre hatssal lev szervezetek, pldul a mdia cgek, vagy hr-forml bloggerek bevonsa trsadalmi szinten az informcibiztonsg tudatossg nvelsben. Tjkoztat televzis msorok, a hrekben a rendkvli biztonsgi esemnyek magyarzata s a tanulsgok levonsa eredmnyes eszkz lehet. Tapasztalatok azt mutatjk, hogy a mdia bevo-nsnak hinya inkbb akadlyozza a biztonsgtudatostst, minthogy semleges lenne: az infor-mci hsget kielgteni kvn bulvr hrek gyakran szakmailag nem megalapozott, vagy hibs informcikat tartalmaznak, amely inkbb nveli az emberek fejben a tmtl val flelmet, s rossz gyakorlatokat terjeszt.

A szervezeten belli program sikere azon mlik, hogy ne csak egy kvlrl jtt ktelez gyakorlatknt tekintsen r a szervezet vezetse, hanem rtse meg az adott szervezetre ennek a hatst, s lljon a program lre szemlyes pldamutatssal, s a szksges forrsok biztostsval. Fontos mg, hogy a szervezeten belli program ne csak kvlrl kapott konzerv tjkoztat anyagra pljn, hanem jl alkalmazhat, az adott szervezeten bell is rtelmezhet gyakorlati mdszereket is adjon, s lehe-tleg kszljenek olyan segdletek, amelyek a napi munkavgzsben is hasznlhatak (pl. Outlook biztonsgi belltsa).

Fel kell hvni a figyelmet mg arra, hogy a szervezeten bell betlttt szerephez illeszkedve kell az ismereteket tadni:

ltalnos informci s IT biztonsgi ismeretek ismertetse minden munkatrs rszre, ktelezen.

Az informcis rendszerek felhasznli szmra az informci s IT biztonsggal kapcsolatban ktelez kpzs biztostsa, a jrtassg megszerzsre a biztonsgos munkavgzs rdekben.


35

A szervezet dntshoz illetve vezet munkatrsai rszre a felelssgi szintjknek s szerepk-nek megfelel, ktelez kpzs, s kpessgfejleszts biztostsa.

A biztonsgi szakemberek s vezetk tovbbkpzsi rendszernek kidolgozsa, a szervezetet rint j veszlyek s kezelsk mdjra vonatkoz kpzs, s a gyakorlati eljrsok tadsa.

A biztonsgi kultra fejlesztst a kvetkez lpsenknt clszer megtenni:1. A szervezeti biztonsgi kultra rettsgnek meghatrozsa.2. A vezets a szervezetre vonatkoz elvrsok figyelembe vtelvel meghatrozza a biztonsgi

kultra kvnatos rettsgi szintjt.3. Biztonsgi kultra fejlesztsi programot alaktanak ki s indtanak el.4. A szksges szablyozsokat, intzkedseket, oktatsokat megvalstjk lpsrl lpre.5. A program eredmnyessgnek rendszeres mrse.

A gyakorlati letben az itt ismertet j gyakorlatokat csak azt kveten kezdik el alkalmazni, hogy egy jelents hatssal jr biztonsgi rendkvli esemny bekvetkezett. Megtakarthatunk azonban jelents erforrst, s megelzhetnk komoly presztzs vesztesget, ha el megynk a rendkvli ese-mnyeknek s felksztjk a szervezetnket, ezzel megelzve a bekvetkezsket, illetve ha ez nem lehetsges cskkentve a krt, amit okozhatnak.


36

Szmtgpes visszalsekA SZMTGP FELHASZNLKAT KZVETLENL FENYEGET VESZLYEK S KEZELSK

A kvetkez fejezet nem kevesebbre vllalkozik, mint hogy a napjaink leginkbb elterjedt informatikai biztonsgi veszlyeit ismertesse, s segtse az Olvast azok megrtsben, s a velk kapcsolatos teendk megismersben.

Mikor gyanakodjunk arra, hogy a szmtgpnk (szervezetnk informcis rendszere) nem biztonsgos?

Az informatikai biztonsgi problmk esetben is fontos elv a jobb flni, mint megijedni. Ha a megszokottl eltr mkdst tapasztalunk a szmtgpes eszkzeink hasznlata sorn, clszer utnajrni annak, hogy mi lehet az oka. Ilyen lehet a rendszer elindulsnak, a rendszer mkdsnek vagy az internetezs sebessgnek jelents lassulsa, a rendszerek sszeomlsa, a bngszs sorn felugr ablakokban reklmok megjelense.

Tjkoztatni kell az informatikai rszleget, vagy a szolgltat gyflszolglatt, vagy ennek hinyban a helyi informatikust a tapasztalt helyzetrl.

Milyen hatssal lehetnek a szmtgpes veszlyek adatainkra s tulajdonunkra?

Szertegaz mdon lehetnek az informcis rendszerekre hat veszlyek hatssal rnk s a szerveze-tnkre. A hatsuk a jelentktelentl akr a katasztroflisig terjedhet s jval tlmutathat az egynen, illetve a szervezet hatrain.

Lehetsges hatsok pldul:

szemlyes s klnleges adataink illetktelen kezekbe kerlnek; visszalnek a jogosultsgainkkal, amely segtsgvel pldul munkahelyi rendszerekbl adatokat

tltenek le, vagy akr internetbankbl pnz utalnak t a nevnkben; informcis rendszerek mkdst lasstjk, vagy akadlyozzk meg; az informcis rendszernk erforrsait felhasznlva tovbbi visszalseket kvetnek el (pl.

kretlen levlklds, ms honlapok tmadsa);


37

zleti titkok, vagy minstett informcik srlhetnek; fizikailag eltulajdonthatjk eszkzeinket, rtkeinket.

A szmtgpes veszlyek bemutatsnl arra trekedtnk, hogy a kzszfrban dolgozk szmra rtelmezhet, legvalsznbb mdszereket mutassuk be, ezltal is segtve a lnyeges ismeretek tadst.


38

Veszlyek: jogosulatlan adathozzfrs, mdosts

Mirl beszlnk?

Az informcis rendszerekben kezelt adatok illetkte-len szemlyek ltali mdostsa. A jogosulatlan adat-hozzfrs, vagy mdosts gyakran szemlyhez kttt felhasznli azonostk s jelszavak megszerzsvel, az informatikai rendszerek hinyos vdelme miatt, vagy vdelmnek szndkos kijtszsval trtnik.

Mit veszlyeztet?

Felhasznl: amennyiben nem tudja bizonytani a felhasznl, akkor lehetsges, hogy a jogosulatlan adathozzfrsek kvetkezmnyeit neki kell viselnie.

Rendszermkds: az informcis rendszerek-ben az adatok jogosulatlan mdostsa veszlyez-tetheti a rendszer mkdst, srlhet a rendszer zrtsga.

Informcibiztonsg: a szervezetek ltal kezelt bizalmas s titkos informcik srlhetnek, kerl-hetnek jogosulatlanul nyilvnossgra, amelynek hrnevet veszlyeztet, s anyagi kvetkezmnyei is lehetnek.

Nemzetbiztonsg: a kzigazgatson bell fokozott hatsa lehet a jogosulatlan adathozzfrsnek, az orszg rdekeit, nemzetkzi pozcijt veszlyeztetheti, ha egy vdend informci jogosulat-lanul nyilvnossgra kerl.

Plda:

A mentsi rendszer belltsainak mdostsval pldul hibs mentsek kszlhetnek, s az adatok egy rendszersszeomlst kveten nem llthatak helyre.

A szolgltat csdjt okozta pldul egy biztonsgi szolgltatsokat nyjt cg, a DIGINOTAR 2011-es feltrse. Ebben az esetben hitelesnek ltsz digitlis tanstvnyokat bocstottak ki felteheten irni hekkerek hat hten keresztl, s amikor feltrtk a visszalst, a hrnv csorbulsa s az anyagi kvetkezmnyek miatt hrom ht alatt csdt jelentett a holland cg. Az eset kzvetve hatssal volt a holland elektronikus kzigazgatsi szolgltatsok mkdsre is.



39

Hogyan elzzk meg?

A jogosulatlan adathozzfrs megelzsre tbb mdszert kell prhuzamosan alkalmaznunk:

Fel kell ksztennk a munkatrsakat arra, hogy krltekintek legyenek. A munkahelyen hasznlt jelszavaikat csak olyan szmtgpen hasznljk, amelyek biztonsgosnak tekinthetek. A jelszavakat csak akkor gpeljk be, ha meggyzdtek arrl, hogy a krnyezetkben senki nem tudja leolvasni, s nem rgztheti biztonsgi kamera.

Kockzatoknak megfelel vdelmi rendszert kell kialaktani, amelyben a felhasznlk a minim-lisan szksges jogosultsgokkal rendelkeznek. A vdelmi rendszernek olyan nyomon kvetsi funkcikkal (monitoring) kell rendelkeznie, hogy a rendkvli biztonsgi esemnyek j esllyel megelzhetek, azonosthatak vagy helyesbthetek legyenek.

Az informcis rendszerek tervezse sorn olyan kontrollokat kell elrni s megvalsttatni, mely megakadlyozza, hogy rvnyesen lehessen adatokat mdostani az informcis rendszer fel-hasznli fellett megkerlve.

Magukat az adatokat lehet pldul egy bortkba zrni digitlis alrs technolgia felhasznlsval.

Mit tegynk, ha bekvetkezik?

Haladktalanul rtesteni kell a szervezet biztonsgi vezetjt! Az adatokhoz val jogosulatlan hozz-frs, s azok jogosulatlan mdostsa komoly biztonsgi problma magban, de a vdelmi rendszer nagyobb hinyossgait jelezheti a jghegy cscsaknt egy jogosulatlan hozzfrs.

Ha mg olvasna errl:

http://pcworld.hu/kozosseg/igy-lopjak-el-a-facebookos-jelszavadat.htmlhttp://threatpost.com/final-report-diginotar-hack-shows-total-compromise-ca-servers-103112/http://en.wikipedia.org/wiki/DigiNotar


40

Veszlyek: jelszavak feltrse

Mirl beszlnk?

A jelszavak kitallst, vagy szmtstechnikai kd-fejt eszkzkkel val megszerzst nevezzk jelsz feltrsnek. Tipikus mdszer a gyakran hasznlt jel-szavak s szemlyes adatok prblgatsa, illetve a szavak s azok kombincijnak prblgatsa elekt-ronikus sztrak s jelsztr programok segts-vel. Ha ezek nem mkdnek, akkor marad az gy-nevezett nyers er (brute force) mdszer, amely az sszes lehetsges karakter kombincijt kiprblva tallja meg a jelszt.

Mit veszlyeztet?

Felhasznl: a felhasznlk szemlyes s klnle-ges adatainak biztonsgt veszlyezteti, ha jogo-sulatlanul hozzfrhetnek az adataikhoz (pldul elektronikus postafikjba betrnek).

Rendszermkds: a kiemelt felhasznlk s rendszergazdk jelszavainak megszerzsvel veszlyeztetni lehet a rendszerek zemszer mk-dst, vagy meg is lehet lltani. Nagyobb krokozst jelent visszalsek kezdeti lpse lehet a jelszavak feltrse.

Informcibiztonsg: a kiemelt felhasznlk s rendszergazdk jelszavaival nagy mennyisg adatot lehet jogosulatlanul megszerezni, s akr az esemny megtrtntnek nyomt is el lehet tntetni.

Nemzetbiztonsg: a kzigazgatsban hasznlt informcis rendszerek jelszavainak megszerzs-vel adott esetben hatvnyozottan nagyobb krt lehet okozni: orszgos rendszerek adatait megsze-rezni, infrastruktra elemek mkdst veszlyeztetni.

Plda:

A felh szolgltatk zleti modelljnek terjedsvel egyszeren megvsrolhat rucikk vlt 1 ra szerver kapacitsa, illetve akr prhuzamosan 100 vagy tbb szerver kapacitsa megvsrolhat egy adott esetben akr lopott hitelkrtya segtsgvel. Innentl kezdve relatvv vlt, hogy egy jelsz feltrse elvileg egy tlagos asztali gp kthavi kapacitst ignyli, ezrt elg havonta vltoztatni.



41

Nos ez 60 tlagos asztali gp szmra mr csak 1 nap, de ngyprocesszoros szervergpbl mr elg 15, ha ezekben tbb magos processzor van akkor mg kevesebb

Leggyakoribb jelszavak: 123456, password, telefonszmok, szletsi dtumok, szerettek neve, kisllatok neve, kedvenc csapat.

Hogyan elzzk meg?

Hasznljunk sszetett s kellen hossz jelszavakat, st sokkal inkbb jelmondatokat, amelyek kny-nyen megjegyezhetk, s lehetleg valamilyen mdostst kveten pldul szmok hasznlata magnhangzk helyett sztrakban nem szerepl jelsorozatot kapjunk. Fokozottan vdend rend-szerek esetn a felhasznlnv-jelsz-azonosts mr nem elg, itt tovbbi kiegszt kontrollokat indokolt alkalmazni, pldul kdgenerl eszkzket (token). Ha ez nem lehetsges hasznljunk 8 karakternl nagyobb sszetett jelszavakat, amelyeket jelsztrol s generl alkalmazsok segts-gvel tudunk megjegyezni.

Az alkalmazsok bejelentkezsi fellete kiegszthet olyan funkcival, amely az elrontott jelszavak ismtelt rgztse eltt Touring teszt (CAPTCHA), vagyis kpek felismertetse segtsgvel kizrja az automatizlt jelsz feltrst.

Ne adjuk ki senkinek a jelszavunkat, s ne is mesljk el, hogy milyen logika szerint vlasztunk jelszavakat!


Haladktalanul jelentsk a biztonsgi szakterletnek! Ha van lehetsgnk r, azonnal cserljk le a jelszt, illetve gondoljuk vgig, hogy a megszerzett jelsz segtsgvel esetleg milyen ms szolglta-tst kompromittlhatott a tmad. Pldul ha a postafikunkat trte fel ms szolgltatsokhoz ig-nyelhetett j jelszt, vagy ha mshol is ugyanazt a jelszt hasznltuk, akkor hozzfrhetett azokhoz a szolgltatsokhoz is.

Ha mg olvasna errl:

http://iesb.hu/logikai-biztonsag/biztonsagos-jelszavak-es-a-gyenge-jelszavak-feltorese/http://www.roboform.com/hu/


42

Veszlyek: kretlen levelek (spam)

Mirl beszlnk?

A kretlen levelek, ahogy az elnevezse is mutatja, olyan elektronikus levelek vagy zenetek, amelyet semmilyen mdon nem krt a cmzett, s nem is vrta, hogy rszre kldjk. Gyakran reklmokat, fel-hvsokat tartalmaz, esetenknt illeglis termkek (pldul hamistott gygyszerek) vsrlsra buzdt, de rsze lehet ms csalsi mdoknak (pldul egy rszvny vsrlsra szlt fel). A felad valdi sze-mlyt szinte mindig elrejtik, vagy meghamistjk. Fontos tisztban lennnk azzal, hogy magnszem-lyek cmeire kretlen leveleket kldeni trvnysrts.

Mit veszlyeztet?

Felhasznl: az idnket rabolja leginkbb a kretlen levelek trlse, de ha bedlnk nekik, akkor pldul akr az letnket (nem megfelel minsg illeglis gygyszer), vagy vagyonunkat (cskken r rszvny) is veszlyeztetheti.

Rendszermkds: jelents rendszer erforrsokat kt le a kretlen levek tovbbtsa, szrse. Akr tl is terhelheti a rendszert, ebben az esetben szolgltats kiesst s karbantartsi kltsget is jelent.

Informcibiztonsg: kretlen levelek segtsgvel kiderthet, hogy egy tartomnyon bell milyen aktv postafikok vannak, ha figyelik a levelek olvasst, majd ezek jelszavainak feltrsvel hoz-zfrhetnek a rendszerhez. Veszlyeztethetik a rendszerek rendelkezsre llst a szolgltatsok leterhelsvel.

Nemzetbiztonsg: az Egyeslt llamokban jelents gazdasgi krt okoz az illeglis szolgltatsok rtkestse, a gygyszerhamists elleni harcban ptenek pldul a kretlen levelek forrsnak azonostsra.

Plda:

Jellemz kretlen levl tpusok az illeglis gygyszereket reklmoz levelek, melyek gyakran vgy-fokoz kk tablettk utnzatait hirdetik. Egyik ilyen hlzat feltrsa sorn az FBI arra jutott, hogy



43

egy sszetett csalsi hlzat ll a kretlen levelek mgtt: tbb feltrt szerveren keresztl kldtk a kretlen leveleket, amelyek vgyfokoz gygyszerek megvsrlsra csbtottak. Megrendels alapjn egy indiai gygyszergyr ksztette a tablettkat, egy volt szovjet tagkztrsasgbeli bank llt a web-oldal fizetsi szolgltatsa mgtt, s a megbzk Oroszorszgbl irnytottk az illeglis gazdasgi tevkenysget.

Hogyan elzzk meg?

A kretlen levelek egyik legjellemzbb forrsa az, hogy weboldalakra kitesszk a keresrobotok ltal is olvashat formtumban az e-mail cmnket, vagy ktes hr weboldalakon regisztrlunk adott eset-ben ingyenes erotikus tartalom, vagy nem jogtiszta szoftver remnyben. Ezeket ne tegyk! A rend-szergazdk a levelez szerverek megfelel biztonsgi belltsaival, j esllyel kpesek kiszrni ezeket az zeneteket.


Legjobb tancs a kretlen levelekkel kapcsolatban, hogy olvass nlkl trljk, ha vletlenl a pos-tafikunkban landol! Vletlenl se kattintsunk r a levelekben lev hivatkozsokra, vagy a csatolt llo-mnyokra, mg a leiratkozs linkre sem! Ha a szervezetnk elektronikus postafikjba kapunk ilyen zenetet, akkor azt jelezznk a bels szablyzat szerint. Azrt fontos jelezni egy kretlen levelet is, mert egy sszetett tmads rszei is lehetnek. Jogi lpseket is lehet tenni, ha azonosthat a forrsa, s bejelenthetik az NMHH rszre.

Ha mg olvasna errl:

http://hu.wikipedia.org/wiki/Spamhttp://www.virushirado.hu/oldal.php?hid=44http://infoter.eu/cikk/magyarorszagon_az_e-mailek_70_szazaleka_spam


44

Veszlyek: hamis lnclevelek (hoax)

Mirl beszlnk?

Olyan elektronikus levl, vagy zenet, amely vala-milyen j informcit oszt meg, s arra sztnzi a cmzettet, hogy a levelet minden ismersvel nkntes mdon ossza meg. Els formi pldul egy j fiktv vrusra hvtk fel a figyelmet, ame-lyek fertzst nhny fjl trlsvel megakad-lyozhatjuk, ugyanakkor ezek a fjlok a Windows szksges rszei voltak, gy trlsk a rendszer mkdst akadlyozta meg.

Mit veszlyeztet?

Felhasznl: az idnket raboljk leginkbb a hamis lnclevelek, s gyakran hamis remnyt kel-tenek. Tovbbkldsk rossz fnyben tntet fel minket azon ismerseink eltt, akik ismerik az informcibiztonsgi kockzatokat.

Rendszermkds: jelents rendszer erforrso-kat kt le a tovbbtsuk, szrsk.

Informcibiztonsg: egyik legjobb mdszer az aktv elektronikus levlcmek sszegyjtsre, amelyet a kretlen levelek kldi elszeretettel alkalmaznak. gy a biztonsg elleni tmads elk-sztsre is hasznlhatjk.

Nemzetbiztonsg: szemlyek kapcsolatrendszernek feltrkpezsre alkalmasak a lnclevelek, amelyek segtsgvel tovbbi informci szerezhet meg.

Plda:

Idrl idre felbukkannak hasonl lnclevelek, amely minden x. cmzettnek valamilyen ajndk tele-font, vagy pnzt grnek. Ajndk telefont, de pnzt sem kapott egyetlen tovbbkldjk sem, viszont aki indtotta az a hozz visszajut, mkd elektronikus levlcmeket pldul el tudja adni, vagy kret-len reklmokkal tudja megtlteni.



45

Hogyan elzzk meg?

Hvjuk fel csaldtagjaink s ismerseink figyelmt az informcibiztonsg fontossgra, klnsen, ha kretlen levelet, vagy hamis lnclevelet kldenek, akkor kldjk vissza nekik azt az oldalt, ami iga-zolja, hogy tvers az zenet. Nha srtdshez vezet a mdszer, de hossz tvon bevlik.


Honnan ismerhetjk fel a lncleveleket? Legknnyebb dolgunk akkor van, ha mr az elejn szerepel egy utasts: Kldd el ezt a levelet minl tbb embernek!, emellett gyans, ha szlssges mdon a pozitv rzelmeinkre hat (pl. hallos beteg utols kvnsga), vagy komoly veszllyel fenyeget (pl. vrus tnkreteszi a gped). Szoktak mg hres emberekre, vagy nagyvllalatokra hivatkozni, hogy hihe-tbbnek tnjenek.

Legjobb tancs a hamis lnclevelekkel kapcsolatban, hogy olvass nlkl trljk, ha vletlenl a pos-tafikunkban landol! Vletlenl se higgyk el, ami le van benne rva, ne kldjk tovbb szeretteinknek vagy rosszakarinknak. Ha gyans egy levl szvege, akkor a levl jellemz fogalmait (kulcsszavait)rjuk be egy keres programba, s j esllyel egy lnclevelekrl szl oldalt fogunk kapni.

Ha mg olvasna errl:

http://hu.wikipedia.org/wiki/Hoaxhttp://wwwold.kfki.hu/cnc/email/hoax.htmlhttp://www.infoter.eu/cikk/gitaros_a_libiai_csataban_avagy_a_photoshop_arnyekahttp://www.origo.hu/techbazis/internet/20100924-hoax-uzenetek-amiket-semmikepp-sem-szabad-tovabbkuldeni.html


46

Veszlyek: vrusok

Mirl beszlnk?

Olyan programrszlet, amely a megfertztt program mkdtetse sorn msolja nmagt. Valamilyen meghatrozott felttel (pl. egy adott napon az vben) bekvetkezse esetn figyelmeztet, vagy rombol tevkenysget vgez. Gyakran komoly krokat okoz, szolgltatsok megszakadst, vagy adatvesztst.

Tbb tpusuk van, terjedsk szerint lehetnek a fjlo-kat fertz vrusok (pl. makro vrus) s a rendszerek indtshoz szksges bootszektort fertz vrusok. Abban klnbznek, hogy hogyan kerlnek a szm-tgpre. A fjlokat fertz vrusok indthat llom-nyok, vagy dokumentumok segtsgvel terjednek, magukat belerva az llomnyba. Ha egy ilyen prog-ramot elindtunk, akkor a vrus aktivizldik.

A makrovrusok tbbnyire olyan, szvegszerkesz-tkkel ltrehozott dokumentumok

Documents

IT biztonság érthetően