Nyomtatás

Biztonsági stratégiák

Az alábbiakban felsorolunk néhány olyan alapvető stratégiát, amely az Internetet sokkal elviselhetőbbé, biztonságossá tehetik. Ezek némelyike már megvalósulófélben van, egyes elemek messze túlmutatnak az egyéni felhasználó lehetőségein, felelősségi körén, de fontosnak tartottam csokorba szedni őket. Soha sem lehet előre tudni, mikor kerülünk olyan helyzetbe, hogy a dolgokat jó irányba mozdítsuk. A felelősség, ha tetszik, ha nem, közös!


 

A felhasználók biztonsága

Az utóbbi időben számos tanulmány jelent meg az Internet (és általában az IT szektor) javasolt jövőbeli stratégáját illetően. A több (tíz)ezer sornyi anyagban a biztonságról gyakorlatilag nem esik szó, holott a potenciális ügyfelek bizalmán (tehát a szervereken tárolt információk és a hálózati kommunikáció biztonságán) áll vagy bukik az, hogy

Ezt a bizalmat megszerezni nem a problémák elhallgatásával kellene, hanem azzal, hogy megtanítjuk az Internet felhasználóit a különböző szolgáltatások biztonságos alkalmazására, és felhívjuk a figyelmüket a hálózat használata során felmerülő veszélyekre.

Hitelkártyás vásárlás

Ezen a területen is a bizalom hiánya legfőbb hátráltató tényező: számtalan esetről hallani, amelyekben Internetes vásárlásaik során megkárosították egyeseket, mert - mint utólag kiderült - egy szélhámosnak adták meg hitelkártyájuk adatait. Az eddig megismert eseteket megvizsgálva megállapítható, hogy szinte valamennyi ilyen esetben egyértelműen előre látható lett volna, hogy szélhámos áll a háttérben (minimális ismeretek birtokában).

Meg kell magyarázni az embereknek, hogy mely jelek utalnak kétes hátterű cégre, szélhámosságra, esetleg kevésbé biztonságos tranzakcióra.

Meg kell értetni velük, hogy mindazon cégek, akik a hosszú távon szeretnének hitelkártyás kereskedelmet folytatni, nem engedhetik meg maguknak, hogy ügyfeleik adatait ne kezeljék a lehető legnagyobb biztonsággal.

Ki kell dolgozni egy ajánlást az ilyen jellegű adatkezeléssel és adattárolással kapcsolatban a kereskedők, a weblapok készítői és a tranzakciókkal foglakozó bankok számára (ne fordulhasson elő nálunk az, ami külföldön már többször, hogy számítógépes bűnözők ezresével jutottak hitelkártya adatokhoz).

Digitális aláírás

Valamennyi érdekelt tisztában van azzal, hogy a digitális aláírás jelenleg nem, vagy legalábbis iszonyatosan nehezen hamisítható. Azt azonban kevesen tudják, hogy léteznek módszerek, amelyek segítségével - bizonyos feltételek mellett - megkerülhető a rendszer, illetve rá lehet venni a felhasználó számítógépét arra, hogy egy távolból érkező parancsra végrehajtsa az aláírási procedúrát (a tulajdonos számára észrevétlenül).

Ha ezek a feltételek hiányoznak, akkor valóban biztonságban lehet használni a digitális aláírást.

E-MAIL - klasszikus levelezés

Ma már elérhetők olyan vírusfigyelő/irtó rendszerek, amelyek lehetővé teszik, hogy egy-egy levelező szerver segítségével ne lehessen vírust tartalmazó email-t elküldeni. Támogatni kell azokat az e-mail szolgáltatókat, akik korszerű vírusvédelmi rendszert telepítenek a levelezést végző szerverükre. A támogatottak számára kötelező legyen a vírus-adatbázis rendszeres frissítése.

Szabályozni (korlátozni) kellene azon email-be építhető trükköket, amelyek lehetővé teszik

Mindenki megteheti, hogy egy olyan e-mail klienst választ, pl. Thunderbird-et ami nagymértékben korlátozza ezeket a lehetőségeket.

Nagy mennyiségben küldött levelek (spam) + e-mail cím gyűjtés

Ha nem tiltjuk meg (tehát engedélyezzük) a tömeges (spam jellegű pl. kereskedelmi célú) levelezést, úgy szigorúan szabályozni kellene azt, hogy melyek azok a módszerek, amelyekkel hozzá lehet jutni egy-egy e-mail címhez.

Ahol ilyen céllal kérnek valakitől címet, vagy a kért címet ilyen célra is fel kívánják használni, ott kötelező legyen feltüntetni ezt az információt.

Az e-mail címek és címlisták kereskedelme (adás-vétele) ne legyen megengedett.

Bárkinek - ha megkérdi, hogy hogyan jutottak az e-mail címéhez - pontos, valódi, és leellenőrizhető információkkal kell szolgálni (minimum a cím megadásának pontos helye és időpontja).

Ha az e-mail cím tulajdonosa meggondolná magát - minden listáról legyen leiratkozási lehetőség (unsubscribe), és fokozottan ügyelni kell arra, hogy a címre ezután valóban ne érkezzen kéretlen levél.

A fenti feltételek megszegői kártérítési felelősséggel kellene tartozzanak. Egy érdekes lehetőség, aminek a bevezetése a közeljövőben megtörténhet, egy szimbolikus ár bevezetése minden elküldött e-mailra. Bármilyen kicsi összeg komoly akadályt jelenthet a manapság oly nagy teret kapott tömeges szemétlevelek - a spam - további burjánzása számára.

Összegzés:

Az embereket meg kell ismertetni a várható veszélyekkel, és el kell magyarázni, hogy mely feltételek azok, amikor nagy biztonsággal böngészhet, levelezhet, használhatja hitelkártyáját, pénzt utalhat vagy értékpapírokkal kereskedhet, stb.

Mivel nem lehet mindenki számítástechnikus és tűzfalszakértő, a védelmi feladatokat nem lehet kizárólag a (jobbára gyakorlatlan) Internet felhasználókra hárítani.

Az Internet biztonságos használatához szükséges oktatás az állam feladatvállalása, határozott fellépése. a védelem technikai feladatait a különböző Internet szolgáltatóknak és az alhálózatok tulajdonosainak kell ellátnia (különböző védelmi rendszerek kiépítése és üzemeltetése), szükség esetén állami támogatással (például vírusfigyelővel ellátott ingyenes e-mail szolgáltatások támogatása).

Az oktatási rendszerek egyik nagy hibája, hogy ezt elhanyagolják. például az embereknek már gyerekkorban elmagyarázzák, hogy "nézz körül, mielőtt átszaladsz az úton", "ne állj szóba gyanús idegennel", de senki sem mondta el nekik, hogy "figyeld a lakatot a böngésződ alján" vagy "ne kattints rá minden csatolt állományra" esetleg "ne tölts le programot gyanús helyről" - pedig ezek is feltételei annak, hogy "életben maradjunk" a virtuális világban.


 

Az Internetes tartalomszolgáltatók felelőssége

Az internet tartalmát szolgáltató szerverekre a jogosult felhasználók közül bárki bármikor felcsatlakozhat és módosíthatja a weboldala tartalmát (sok szerver több ezer ilyen felhasználóval rendelkezik). ezért ha egy weboldalon nem odavaló anyag jelenik meg, azért a szerver tulajdonosát (üzemeltetőjét) nem lehet felelőssé tenni.

Viszont amennyiben - tartalma miatt - szükségessé válhat egy weboldal megszüntetése, a szerver tulajdonosa (rendszergazdája) köteles legyen azt záros határidőn belül végrehajtani (maximum ennek elmaradását lehetne szankcionálni).

A rendszergazdának szóló értesítés másolata olvasható legyen egy nyilvános helyen is (pontos időponttal).

Az Interneten mindenki által könnyen megtalálhatóan el kell helyezni azt hivatalos (jogászok által ellenőrzött) dokumentumot, amely egyértelműen elmagyarázza azt, hogy mit NEM tartalmazhat egy weboldal, a határesetek közérthető leírásával (NEM jogi szöveg - mindenki megértse).


 

Törvények

A Nagy-Britanniában érvényes Internet törvények szerint gyakorlatilag mindenki, aki bármiféle illegális hálózati tevékenységet folytat, automatikusan a "terrorista" kategóriába kerül, és lebukása esetén ennek megfelelő büntetés vár rá. Mivel az esetek többségében félrevezetett fiatalkorúakkal állunk szemben, túlzónak tartanám őket (sokszor több tíz éves) börtönbüntetésre ítélni.
Csak remélni merem, hogy a tervezett EU-szintű, a számítógépes biztonságról szóló törvénytervezet nem az angol rendszert fogja átvenni.

A meglévő törvények bőségesen elegendőek a legtöbb bűncselekmény kezelésére. Sok esetben tulajdonképpen egyszerű károkozás történik, ha a bíróságok pusztán a REÁLIS értékű kártalanítást ítélnék meg (tényleges kár, helyreállítási költségek, eszmei kár, elmaradt haszon, perköltségek, stb.), az önmagában visszatartó hatású lenne.

A különböző (egyelőre) határesetek kezelhetõsége végett mindazonáltal szükségesnek tartanék még egy pár jogszabályt:

A privát számítógépes szféra védelme

A javaslat szerint ennek szabálysértésnek, halmozott esetben bűncselekménynek kellene minősülnie, a törvényben meg kell határozni azt, hogy milyen jellegű adatgyűjtés számít a privát szféra megsértésének (pl. különböző információk gyűjtése idegen számítógépekről távolból történő letapogatás (portscan-nelés) vagy más módszer segítségével, gyengepont-keresés). Ki kell dolgozni azt a feltételrendszert, amely kivételt jelenthet ez alól (pl. elõre megbeszélt és bejelentett biztonsági ellenőrzés). Jelenleg létezik az adatvédelmi törvény, ami ennek bizonyos elemeit tartalmazza, de túlságosan megengedő, erőtlen, nem jelent semmiféle akadályt a jelen formájában.

Meg kell határozni továbbá, hogy

Ha egy alhálózat tulajdonosa a saját hálózatán bármilyen felügyelő (biztonságtechnikai, adatvédelmi, vírusvédelmi, stb.) tevékenységet folytat, azt az összes felhasználóval előre közölnie kelljen, a felügyeleti rendszer pontos leírásával. Ettől előzetes értesítés nélkül - a szigorúbb hálózati felügyelet irányában - büntetőjogi felelősség terhe mellett ne térhessen el.

Meg kell határozni, hogy mi számít magán (védett) információnak pl. egy munkahelyi számítógépen (általános elvek kidolgozása a hasonló határesetekre).

Számítógépes károkozás kísérlete ill. számítógépes károkozás lehetővé tétele (jav:szabálysértés).

Sok, az Internet-re kapcsolt számítógépről különösebb adatgyűjtés nélkül is "látszik", hogy a rendszernek hol vannak a gyenge pontjai. Fontos lenne azok szankcionálása, akik ezen pontok kihasználásával igyekeznek kárt okozni. A lebukott kísérletező számos esetben azzal védekezik, hogy még nem történt károkozás, csak... ezt kell megelőzni.

Ugyanebbe a kategóriába tartozna a különböző helyekről letölthető, károkozásra alkalmas (pl.vírussal vagy beépített trójai) programmal fertőzött dokumentumok, illegális trükköket alkalmazó weboldalak Interneten való elhelyezése, és a károkozásra alkalmas programok egyéb módon (pl. email-ben) történő továbbítása.

A bizonyítás sok esetben rendkívül nehéz lesz (a szándékosság olykor lehetetlen), és mivel nagyon kényes terület, ezért csak 100%-osan biztos esetekben lenne szabad elmarasztaló ítéletet hozni. Ezen törvény esetében a lényeg a visszatartó erő lenne.

Nemzetközi Internet tartalmi egyezmény

Egyre több esetben fordul elő, hogy egy-egy ország a saját törvényeit próbálja érvényesíteni egy külföldi szerveren található, az ő törvényeit sértő weblappal szemben. Mivel az egyes kormányok egyre gyakrabban ébrednek rá az Internet fontosságára, az ilyen esetek a jövőben várhatóan szaporodni fognak.

Nemzetközi egyezményben kell lefektetni, hogy melyek az általános szabályok, amelyek kötelezőek az összes aláíró országra nézve. Az egyezmény megszövegezésében vegyenek részt a különböző tartalomszolgáltatók és civil csoportosulások képviselői is. Az egyezményben foglaltakat az Interneten is elérhetővé kell tenni (közérthető formában és minél több nyelven).


 

Összegzés:

Magyarországon és Romániában az Internet felhasználók biztonságtechnikai oktatásával és a vírusok elleni védekezés módszereinek megismertetésével ma hivatásszerűen senki sem foglalkozik.

Magyarországon és Romániában az Internet felhasználóknak a számítógépes bűnözők elleni védelmével és az Interneten automatikusan terjedő számítógépes vírusfertőzések megállításával ma hivatásszerűen senki sem foglalkozik.

Magyarországon és Romániában az Internetre kapcsolt kis- és közepes vállalkozások biztonságtechnikájával (tájékoztatásával) ma hivatásszerűen senki sem foglalkozik.

Magyarországon és Romániában a különböző hálózati biztonságtechnikusok és rendszergazdák biztonságtechnikai oktatásával (továbbképzésével) ma hivatásszerűen senki sem foglalkozik.

Az Internettel és hálózatokkal kapcsolatos programokban - sajnos meglehetősen gyakran - különböző biztonsági hibák válnak ismertté. Rendkívül fontos lenne ezen hibák veszélyességének megállapítása, és az érdekeltek (rendszergazdák) haladéktalan értesítése. Ezzel ma Magyarországon és Romániában hivatásszerűen senki sem foglalkozik.

Találatok: 33737