Embed Size (px)
Citation preview
IT-BIZTONSÁGI HELYZETKÉP 2014 Q2A KIBERBIZTONSÁG AKTUÁLIS HAZAI KÉRDÉSEIRŐL – „A SZERVEZETEK NEM MINDIG ARRA KONCENTRÁLNAK, AMIRE KELLENE”
A T-Systems Magyarország Zrt. 2014 során kiemelt figyelemmel kísérte a kiberbiztonsággal kapcsolatos vállalati és államigazgatási trendeket, különösen fókuszálva arra, hogy a sajtó és a szakmai területek által feltárt biztonsági problémák, illetve kockázatok megismerése milyen hatással van az üzleti és költségvetési döntéshozatalra. Napi munkánk során szintén érdeklődésünk tárgya volt, hogy a nyugat-európai és tengerentúli informatikai biztonsági trendek, valamint a hazánkat is érintő biztonsági fenyegetettségek hatása milyen mértékben mutatkozik meg a magyarországi kiberbiztonsági intézkedésekben és szervezeti gyakorlatban.
SZERVEZETI KÉRDÉSEKAz informatika és információbiztonság szervezeti hierarchiában elfoglalandó helyéről és függetlenségéről a hazai és nemzetközi szakma egyértelműen foglal állást. A legjobb gyakorlat szerint a CSO (Chief Security Officer) és CISO (Chief Information Security Officer) az informatikától függetlenül, önálló költségvetéssel működik, hatáskörét tekintve a szervezetet teljes mértékben átfogja, és közvetlenül a felső vezetésnek jelent. Tapasztalatunk szerint a pénzintézeti terület, különösképpen a banki szektor kivételével ez a követelmény általában nem teljesül. A szervezetek 90%-ánál a biztonsági szakemberek vagy az informatikai terület alá tartoznak, vagy nem rendelkeznek önálló büdzsével. Szintén jellemző, hogy vállalatonként egyetlen teljes vagy akár részmunkaidős ember felel a biztonságért közvetlen beosztottak vagy segítő munkatársak nélkül. Ez alapjaiban teszi lehetetlenné az incidensek naprakész kezelését vagy a biztonság fejlesztését. A nyugat-európai és amerikai gyakorlat az ilyen helyzetekre folyamatos külső biztonsági erőforrások igénybevételét javasolja, ennek hazai gyakorlata azonban még nem forrott ki, finanszírozása is sok szervezetnél ütközik problémákba.
ÚJ FENYEGETETTSÉGEKA T-Systems Magyarország Zrt. által üzemeltetett vagy támogatott informatikai rendszerek kórokozó-védelmi programjai 80%-ban trójai programok jelenlétére utaló riasztásokat adnak. A maradék 20% jelentős része IRC botok, downloaderek, kém- és reklámprogramok. Különösen veszélyesek a ransomware-ek, amelyek például titkosítják a számítógépen tárolt adatállományokat, és csak anyagi ellen szolgáltatás fejében hajlandóak kikódolni, és ezáltal „visszaadni” a vállalati adatokat. Az Advanced Persistent Threat (APT) olyan
informatikai támadási forma, amely akár több hackelési technika folyamatos használatával, általában emberi beavatkozással vagy háttérrel konkrét célokat valósít meg. Folyamatosan emelkedő számban tapasztalunk ilyen jellegű támadásokat is, amelyekből az államigazgatási területen is egyre több van. A világtrendek mutatta növekedés az ilyen veszélyek vonatkozásában tehát Magyarországon is tetten érhető. A hazai szervezetek elsősorban a biztonsági technológiák gyártóinak képességeiben bízhatnak, jó esetben naprakészen tartják a hagyományos kórokozók elleni védelmi szoftvereket. Ez azonban csak a támadások 70-80%-ának kezelésére alkalmas, de az új, komplex fenyegetettségekkel járó adatlopást vagy adatszivárgást, a vállalati alaptevékenységeket fenyegető problémákat sok esetben észre sem veszik. Az ilyen kérdések kezelésére új technológiák kellenek, folyamatos incidenskezelést végző háttér szervezetre, a naplóadatok elemzésére van szükség, és olyan gyakorlati tapasztalatokra, amelyek az üzemeltetők jelentős részének nem állnak rendelkezésére.
A mobilfenyegetettségek száma is ugrásszerűen nőtt 2013-ról 2014-re. A Snowden-kiszivárogtatások további gyanúba keverték a hordozható informatikai eszközöket, amelyek kiváló alapot biztosítanak egy szervezet vagy személy érzékeny adatainak ellopására, tevékeny ségének megfigyelésére. Eddigi megfigyeléseink alapján a hazai vállalatok körében is a rugalmas Android platform a leginkább kitett veszélyforrás, amelyre Magyarországon is a világ trendeknek megfelelő mennyiségben és változatosságban jutnak el kórokozók. Az elmúlt egy évben a T-Systems Magyarország Zrt. által indított MDM-(Mobile Device Management-)projektek több mint 50%-a biztonsági okokból indult el, de elmondható, hogy az összes hordozható informatikai eszközök üzemeltetésével kapcsolatos projekt egyik fő eleme a biztonság, az adatok távoli törlése, az eszközök hollétének megállapítása és a telepített vagy telepíthető alkalmazások felügyelete. Úgy gondoljuk, hogy 2014-ben egy átlagos magyarországi vállalatnak kétszer akkora esélye van a működését jelentősen befolyásoló informatikai incidens bekövetkezésére, mint egy évvel korábban.
A BIZTONSÁG MŰKÖDTETÉSEA biztonság megteremtésének folyamatában az első lépés a „tudjuk, hogy mit védünk” kellene, hogy legyen. Tapasztalatunk szerint a hazai szervezetek sokszor a biztonsági projektek által megfogalmazott alapkérdések megválaszolásakor szembesülnek azzal, hogy adatvagyonuk és informatikai rendszereik feltérképezésében rosszul állnak. A T-Systems Magyarország Zrt. által végrehajtott biztonsági naplóelemzési projektek több mint felében azt tapasztaltuk, hogy a vállalatok informatikája egyre nehezebben tudja egyben tartani a vállalati eszközökről, adatokról szóló információkat, nem tudja meghatározni, hogy pontosan mit is akar megvédeni. A működtetett rendszerek alacsony dokumentáltsága és a magas fluktuáció az informatikai üzemeltetésben szintén nincs jó hatással erre az állapotra.
A megfelelő biztonság létrehozásának és fenntartásának másik eleme a biztonság üzemeltetése és az incidensek kezelése. Mivel a magyarországi szervezetekre jellemző, hogy nem rendelkeznek többfős, dedikált biztonsági csapattal, a legtöbb esetben a biztonság üzemeltetése is az informatikai rendszerek üzemeltetőire marad. Ez kielégítő megoldás a napi üzemeltetés (pl. a mentés és karbantartás) esetében, de már jóval kevésbé működik a módosítások vagy fejlesztések végrehajtásában, az aktuális biztonsági fenyegetettségek napi követésében, és szinte egyáltalán nem működik az incidensek
kezelésében. A biztonsági gyártók világszerte a kiberbiztonsági incidensek kezeléséhez alkalmas technológiákkal, felületekkel és adatszolgáltatásokkal látják el termékeiket. A gyártók két alapvető feltételezéssel élnek. Először, hogy a biztonsági beruházások költségkeretei a régi, hagyományos technológiák (pl. tűzfalak, behatolásvédők és vírusvédelmi eszközök) mellett elegendőek a modernebb megoldásokra (pl. naplóelemzők és mobilbiztonság), és ezeken túl rendelkeznek elég forrással az incidensek menedzseléséhez szükséges technológiák megvásárlásához. Másodszor, hogy az ilyen modern biztonsági alkalmazások által jelzett incidenseket egy vállalati SOC (Security Operations Center) kezeli le, lehetőség szerint 7x24 órában. Becsléseink szerint a magyar szervezetek 99%-ának nem áll rendelkezésére egyik lehetőség sem, vagyis sem anyagi, sem emberi erőforrás nem áll rendelkezésre az incidensek kezelésére. Ezt jelzi az a tény is, hogy a T-Systems Magyarország Zrt. által megvalósított naplóelemzési projektek jelentős részében az ügyféloldali üzemeltető személyzet a frissen beérkezett naplóadatokat egy hónapon belül nem tudja feldolgozni, abban nem keres incidenseket. Tapasztalatunk szerint az ilyen fel nem dolgozott naplóadatok már később sem kerülnek átvizsgálásra, kivéve, ha azt valamely később – gyakran más módon – felfedezett incidens nem indokolja.
A T-Systems Magyarország Zrt. által működtetett Menedzselt Informatikai Biztonsági Központba több ezer informatikai eszközből a 2013. év folyamán napi több mint 640 millió esemény érkezett be feldolgozására, ami havonta 20 milliárd eseményt jelent. Egy nagyobb SOC-központban ebben az eseményfolyamban kell megtalálni azt a körülbelül 10-20 incidenst, amelyre valódi figyelmet kell fordítani. A sávszélességek növekedésével több terabit/sec adatfolyamban kell ugyanezt végrehajtani.
Meggyőződésünk, hogy megfelelő tapasztalattal rendelkező, incidensek kezelésére alkalmas biztonsági csapatok felállítása vagy ilyen jellegű piaci szolgáltatások igénybevétele nélkül a hazai szervezetek biztonsági kitettsége nagyságrendekkel nő, miközben bármely bekövetkező biztonsági incidens által okozott kár hasonló mértékben növekszik.
IPARI RENDSZEREKKomoly problémaként azonosítjuk 2014-ben, hogy miközben az ipari kiszolgáló rendszerekben – melyeket az összes kritikus infrastruktúra és termelő vállalat használ – a világ vezető biztonsági szakértői
A 2013-as év alapvetően megváltoztatta azt, ahogy ma az informatikai rendszerek és eszközök biztonságára tekintünk. A szokásos évi vírus- és programhiba-publikációk mellett Edward Snowden tényfeltáró kiszivárogtatásai két dolgot tettek világossá minden informatikát használó ember számára. Egyrészt a világban használt informatikai eszközök sérülékenyek, hátsó kapuk és tervezési hibák vannak bennük. Másrészt ezeket a sérülékenységeket a kormányzati szervek – és más erők – kihasználják, és megfigyelik a rendszereken folytatott tevékenységet. A megfigyelés globális, a megfigyelt tartalom pedig közel teljes körű. Ennek köszönhetően 2013–2014 fordulójára a magyarországi sajtó figyelme is az informatikai biztonsági hibák és megfigyelések témájára terelődött, és a kiberbiztonsággal kapcsolatos hírek eljutottak a hazai vállalatok menedzsmentmegbeszéléseire is. A 2013. év közepén pedig napvilágot látott az L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról.
és gyártói folyamatosan fedezik fel a kritikus biztonsági hibákat, az ilyen rendszereket használó legtöbb hazai vállalat törekvései között nem látjuk az ipari rendszerekben található informatikai biztonsági kockázataik elemzésének szándékát. Azok a szervezetek, amelyeknek „termelési” folyamata eleve számítástechnikához kötődik (pl. pénzintézetek), illetve létezik olyan külső szervezet, amely számon kéri a kockázatok kezelését, jóval előbbre járnak a gyenge pontjaik és sérülékenységeik megismerésében. Tapasztalatunk szerint az ipari rendszerek biztonságára rendszerint nem terjed ki a biztonsági vezető hatásköre, és a fejlesztési költségvetésben sem szerepel külön ipari kiberbiztonsági keret.
Tekintettel arra, hogy a katasztrófavédelemről szóló hatályos törvények egyértelműen azonosítják az informatikai biztonságot mint alapvető, a létfontosságú infrastruktúrák megfelelő üzemeltetéséhez szükséges elemet, meglátásunk szerint az ipari rendszerek informatikai kockázatainak feltárása és azok kezelése kiemelt prioritású projektként azonosítandóak minden létfontosságú és saját működésének, termelésének érdekét szem előtt tartó szervezet számára. A világ vezető biztonsági gyártói 2013–2014-ben további új megoldásokkal álltak elő a kérdés kezelésére, amelyeket tapasztalatunk szerint a hazai vállalatok több mint 90%-a nem használ.
A T-Systems Magyarország Zrt. becslése szerint az ipari szegmenst érintő biztonsági incidensek jelentős része rejtve maradhat az üzemeltető személyzet elől. A legtöbb ilyen rendszerben a tűzfalakon kívül nem működik megfelelő kockázatfeltáró és -kezelő kiberbiztonsági megoldás, illetve naplóadatokat összegyűjtő és elemző rendszer. Ezért úgy gondoljuk, hogy az elmúlt 3 évben felerősödött, kifejezetten az ipari célpontokra koncentráló szervezett támadások nagyon komoly és alulértékelt problémát jelentenek a hazai rendszerek üzemeltetőinek.
ÖSSZEFOGLALÓA T-Systems Magyarország Zrt. a hazai kiberbiztonság kérdésében 2014-ben alapvető problémaként azonosítja
¦ az informatikai rendszerek biztonságának szervezeti alulreprezentáltságát és a CISO, CSO informatikai biztonsági hatáskörének deficitjét,
¦ a legtöbb vállalat gyenge képességét az új jellegű fenyegetettségek (pl. APT- és mobilkockázatok) felismerésében és kezelésében,
¦ a szervezetek alapvetően nem létező képességét a biztonsági incidensek kezelésében (SOC-funkció hiánya),
¦ az ipari rendszerek informatikai biztonsági kockázatainak negligálását és alulértékeltségét.
