Titok, biztonság, adatvédelem

Fekete Gizella, 2000. március 1. 14:17
Negyedéven belül második alkalommal rendezett az internet üzleti alkalmazásával foglalkozó konferenciát a Figyelő Fórum, s mindkettő jóval nagyobb érdeklődést váltott ki a vártnál.
Már az első, az elektronikus kereskedelmet érintő rendezvényen is előkerültek a biztonsági kérdések a konferencia egyik szponzora, a DTI Consulting jóvoltából, de február 16-án az elektronikus üzletvitel témakörén belül kimondottan a titkosítás és adatvédelem került terítékre. A főszponzor most az adatvédelmi ágazatának sikeréről is ismert Montana volt, de a Sun, valamint kiadónk lapja, a Business Online is támogatta a rendezvényt.

Remekbe szabott előadások, lankadatlan érdeklődés - ez lehetne a konferencia rövid jellemzése; de vajon mi lehet a kíváncsiság mögött? (A közelmúltban egy más témában tartott rendezvény 150 résztvevőjéből mindössze 3 érdeklődött üzleti szempontból a téma iránt, a többiek csak tájékozódni kívántak az adott terület - nevezetesen az informatikai outsourcing - hazai helyzetéről.) A résztvevők névsorát átnézve egyértelművé vált, hogy itt jóval többről van szó egyszerű kíváncsiságnál. A 250 megjelent mintegy 140 vállalkozást, szervezetet, hivatalt képviselt, ezen belül körülbelül tíz-tíz százalék a telekommunikációs, a pénzügyi, valamint az állam- és közigazgatási szférából érkezett, de a kereskedőktől a gyártókon át a szolgáltatókig csaknem minden gazdasági terület képviseltette magát. A szintén változatos összetételű előadók legfontosabb megállapításait az alábbiakban összegezzük.

Embert próbáló

Az MTA Matematikai Kutató Intézetének tudományos tanácsadója, Nemetz Tibor professzor előadásában (enyhe iróniával) "holtbiztosan elavultnak" titulálta az általuk tavaly készített, a száz legnagyobb hazai nagyvállalatra vonatkozó statisztikát. A "százak" közül 1999 elején mindössze 44 érezte fontosnak a weben való megjelenést, és a 38 hazai bank közül is csak 16-nak volt saját weboldala, közülük csupán három nyújtott internetes szolgáltatást (ez a szám a mai napig sem változott) akkor összesen 3100 ügyfélnek (mára ez 23 000-re növekedett).

A száz cég felső vezetői közül 11-et tekinthettünk az internethasználat úttörőjének, 18-an felismerték a benne rejlő lehetőségeket, de kivártak, és 50 százaléknál kevesebbnek volt e-mail címe. Saját bevallásuk alapján a cégek 73 százaléka sértette meg saját biztonsági szabályzatát - egyötödüknél pedig nem is volt mit megsérteni.

Hivatalos álláspont

Magyar Zsuzsa, a Miniszterelnöki Hivatal főosztályvezetője azt foglalta össze, hogyan is fest a titkosítás és adatvédelem problémaköre a kormányzat megközelítésében. Mint mondta, az informatika és a telekommunikációs vívmányok utat nyitottak a termelékenységet növelő és költséget csökkentő módszerek felé, amivel új fejezet nyílt a kormánynak az állampolgárokkal és az üzleti élet szereplőivel való kapcsolattartásában is. Azonban ahhoz, hogy hivatalosan, törvényi szinten is elismert legyen az ilyen irat-, illetve okmánykészítés, -kezelés és -továbbítás, a papír alapúak hitelesítési eljárásához hasonlóan az elektronikus dokumentumok törvényi szintű szabályozását is meg kell oldani. A majdani törvény, megszüntetve az elektronikus úton köthető szerződések és fizetési tranzakciók iránti bizalmatlanságot (mivel jogi megítélésük megegyezik majd a papír alapú dokumentumokéval), az elektronikus kereskedelemre éppen úgy pezsdítően hat majd, mint az elektronikus dokumentumkezelést érintő más területekre.

Az "elektronikus kormányzat" pedig tovább javíthatja az állampolgár és a hatóság kapcsolatát, és megszünteti az állam (pl. APEH, VPOP) és a gazdálkodó szervezetek közötti elektronikus elszámolások, bevallások széles körű elterjedésének akadályait. Az Európai Unió ide vonatkozó irányelveivel összhangban lévő, a fentieket általános érvénynyel elfogadó jogszabályoknak technológiafüggetlen szabályozást kell alkotniuk. A szabályozás alapelvei érintik az elektronikus formában nem érvényes iratok körét, az aláírás-hitelesítés piaciszolgáltatás-jellegét és a hitelesítési szolgáltatás önkéntes alapon való minősíttetési rendszerének megteremtését is. A készülő ITB-ajánlások többek között az elektronikus aláírással és a hitelesítésszolgáltatókkal szembeni követelményeket is tartalmazzák majd.

Pénzügyi szektor

Jakab Péter, a Magyar Külkereskedelmi Bank Rt. bankbiztonsági szolgálatának vezetője "Az adatvédelem és titkosítás stratégiai vetületei, veszélyeztetett területek, különös tekintettel a pénzügyi folyamatokra" címmel tartott előadásában elmondta, hogy a mai technológiai környezetben egyre nagyobb szerepe lesz a pénzintézetek egymás közti versengésében a megbízható azonosításnak. Mindez kiterjed az ügyfelekre, a szolgáltatásokra, az eszközökre, illetve a tranzakcióra.

A védelem feladata egyre bonyolultabb, hiszen az információk koncentráltsága és értéke is rohamosan nő, s ezért egyre komolyabb érdekek fűződnek megszerzésükhöz. A pénzintézeteknek a publikus csatornák felé való nyitása is negatívan befolyásolja az említetteket, hiszen a hálózati kapcsolatok révén nő IT-rendszereik támadási felülete, és a kockázatot csak tovább fokozzák az egyre bővülő elektronikus szolgáltatások. Ezért egyre hangsúlyosabbá válik például az elektronikus pénzügyi műveletek adatátviteli csatornáinak és kártyarendszereinek védelme, a fizikai és logikai hozzáférés-, a bankjegy-, az okmány- és a vírusvédelem. Mindezek kapcsán - mivel az információvédelem és -biztonság megteremtése komplex feladat - óva intett a csupán a kriptográfiára koncentráló lépésektől.

Globális feladatok

Nemetz Tibor professzor "Digitális aláírás, titkosítás" című előadásában a nemzetközi gyakorlatról és a szabványosításról szólt. Mint elmondta, 1997-ben Bonnban az Európai Szabadkereskedelmi Társaság és az EU miniszteri értekezlete kinyilvánította, hogy a "Global Information Society" kialakulásához az információ biztonsága létfontosságú. Már ott elhangzott, hogy az elektronikus kereskedelemhez hatékony nyilvános kulcsú rejtjelezési technológiákra lesz szükség, hiszen az információs társadalomban egymást nem ismerő partnereknek kell megbízható elektronikus kapcsolatot teremteniük és titkos üzenetet váltaniuk. A nyilvános hálózatok biztonsága pedig már nem a néhány belső végpontot tartalmazó, zárt láncokra jellemző titkos kulcsú, hanem a nyilvános kulcsú kriptográfiát alkalmazva teremthető meg. Ez esetben a felhasználók két választott kulcsuk egyikét nyilvánosságra hozzák, míg a másikat "titkosítják". A kulcsok egyikét a felhasználó rejtjelezésre, a másikat a címzett a megfejtéshez használja. Egy közös, könnyű kódolást biztosító algoritmussal élnek, amelynek dekódolása a fentiek miatt szinte lehetetlen - a titkos kulcs birtokosát kivéve, aki ezt könnyen megeheti. Az előadásban elhangzott további és a fentiekkel összefüggő fogalmakat, szabványokat, szervezeteket az alábbi keretes anyag tartalmazza.

Rizikó, az van!

A Montana-csoport tagjaként a titkosítás témakörében érintett Noreg Kft.-től dr. Körös Zsolt ügyvezető igazgató "Információ-kockázatmenedzselés" címmel tartott előadást. Az ISS termékeinek bemutatásán keresztül a fenyegetettség kérdését taglalva világított rá, mi mindennel szemben kell manapság az elektronikus üzletvitelt folytató felhasználónak felvérteznie magát. Említette a mostanában gyakori külső, szervezetlen, a website-ok feltörését, az említett tevékenység megbénítását célzó vagy információszerzés céljával indított szervezett támadásokat. A tapasztalatok azt mutatják, hogy igen gyakoriak a belülről, szervezetten (például a hozzáférési jogosultság kihasználásával) vagy egyedi indíttatásból (a "levéltitkok" megsértésére, illetve belső információk megszerzésére irányuló) kártékonykodó munkatársak. Bármelyik végeredménye a hírnevet, a szolgáltatás minőségét, a működés folyamatosságát és a megbízhatóságot negatív irányban befolyásoló veszteség lehet. Ezért olyan biztonsági szabályzatra van szükség, amellyel figyelhetők a történések, detektálhatók a negatívumok, és azokra megfelelő válasz is születik.

A továbbiakban képet kaphattak a résztvevők, hogyan tesz eleget a fenti követelményeknek az ISS komplett, adaptív biztonsági termékekből álló SAFEsuite Információ Rizikó Menedzsment programcsomagja, amellyel nemcsak létrehozható, de fenn is tartható egy megfelelően védett, IP alapú hálózat. A csomagban lévő szkennerek végzik - az eredményről részletes riportot adva - a hálózat, az operációs rendszerek, az adatbázisok és az egyes applikációk vizsgálatát, míg a real-time monitorok hálózat- és operációsrendszer-szinten is képesek a különböző támadások jellegzetességeit felismerni, illetve megtenni az ellenintézkedéseket. Az előadás az IDC 1999 augusztusában készült felmérésével zárult, amely szerint a piaci szereplők közül a hálózati betörés detektálása esetében a felhasználók 53, a betörési és sérülékenységi, illetve a hálózati sérülékenységi vizsgálatok esetében 48, valamint 49 százaléka döntött az ISS mellett.

Szerencsés meglátások

A Szerencsejáték Rt. hálózatmenedzsere, Takács István az adatbiztonság napi gyakorlatáról szólva az Ernst & Young 4322 IT-szakember körében történt felméréséből származó riasztó statisztikájával kezdett, miszerint 1996-ról 1997-re jelentősen megváltoztak a rendszerek biztonságát könnyedén kijátszó betörési "szokások". Míg korábban az alkalmazottak részéről történt a legtöbb támadás, egy évvel később - csaknem 140 százalékkal nagyobb számot regisztráltak - már csaknem ugyanannyi jött kívülről, és csaknem négyszeresre nőtt a konkurencia támadási kedve. Az ellenlépésekről szólva beszélt a biztonsági audit fontosságáról, valamint a vállalati biztonsági szabályzat meglétéről és betartásáról, s külön felhívta a figyelmet a ma szinte még sehol nem megfelelő eszközhasználatra, nem feledkezve meg olyan "apróságokról" sem, mint a megfelelő szakemberek és védelmi eszközök.

A védelem keretében az operációs rendszer és a tűzfalak oltalma mellett szóba került a hálózati eseményeket online módon elemző és a rendszergazdák felé riasztást küldő, sőt válaszlépésekre is képes IDS, valamint a víruskeresők és a szkennerek. Az előbbieknél fontos az egyszerű frissíthetőség, a több rendszeren való futás, a más szoftverekkel történő együttműködés és a "legfrissebb termés" fellelése - míg az utóbbiaknál többek között az új betörési mintákkal szembeni tettrekészség.

A biztonsági szabályzatnál kiemelte a vezetés támogatási kötelezettségét és felelősségét, s végezetül felhívta a hallgatóság figyelmét a napi aktualitásokat tartalmazó "online fórumokra", amelyek többek között biztonsággal foglalkozó levelezőlistákat és crack site-okat is tartalmaznak.

Kulcsszavak, meghatározások

AES - a jövő adattitkosítási szabványára kiírt NIST (National Institute of Standards and Technology) pályázat követelményrendszere 128 bites blokk- és 128-256 bites kulcsméretű blokkrejtjelező algoritmust ír elő. Jelenleg hárman vannak még versenyben, a döntés 2000 őszén várható.

Betekintési, illetve hozzáférési jog - az információ elérésének, illetve az információ megváltoztatásának joga.

DES (Data Encryption Standard) - az USA 1976-ban született, 56 bites kulcsú titkosítási szabványa, amely a kimenet minden bitjét a bemenet minden bitjétől teszi függővé. Megfejthető, elsőként 1993-ban Biham és Shamir, majd 1994-ben Matsui tette meg.

Digitális okirat - ld. digitális dokumentum. Szerzője és tartalma letagadhatatlan; keletkezési ideje megállapítható (keltezésigazolás); tartalmát sem a szerzője, sem más nem tudja megváltoztatni (sértetlenség); jogtalan hozzáférő nem tudja elolvasni (bizalmasság); meg lehet győződni róla, hogy az a készítője, aki annak vallja magát (hitelesség).

Digitális aláírás - elektronikus adathordozón tárolható, valamint elektronikus csatornán továbbítható, az aláíró személyétől és az aláírt szövegtől függő titkosított digitális sorozat, amely keltezést és a küldött üzenetből képzett "lenyomatot" tartalmaz.

Időpecsét (időbélyegző) - az aláírás megtörténtének időpontját rögzítő központi nyilvántartórendszer elektronikus aláírásával ellátott igazolás.

Digitális lenyomat - dokumentumokhoz rendelt rövid string, amellyel megegyezőt nem lehet más dokumentumhoz konstruálni. Egy dokumentumban egyetlen bitet megváltoztatva az új lenyomatnak a régitől sok bitben kell különböznie. Meghatározása Hash-algoritmussal történik.

SKIP - csomagtitkosítás egy privát kulcsú, akár csomagról csomagra változó algoritmussal.

Tanúsító hatóság (Certification Authority - CA) - igazolja, hogy a felhasználó által alkalmazott, személye igazolására használt paraméterek azonosak azzal a felhasználóéval, akinek vallja magát. Biztonsági nyilvántartással kell rendelkeznie a kilétüket általa igazoltakról, amelynek alapján egy elektronikusan bejelentkező ügyfelet képes azonosítani.

***

Digitális aláírás - hitelesítés, törvényi szabályozás

Ismertebb külföldi hitelesítő központok:

USA: Veri Sign

Európa: BelSign

Hazai kezdeményezések:

MakSign (MAK-honlap)

RITA (előkészületben)

Digitális aláírás törvényesítése:

1997 - NSZK, Ohio

1998-99 - több USA-tagállam

1999. december 13. - az EU elfogadta a tagállamok részére az elektronikus aláírással kapcsolatos egységes irányelvet.

Az európai országok többségében a törvény előkészítés alatt áll (lásd táblázatunkat).

****

Az elektronikus biztonsággal foglalkozó online fórumok:

www.securityportal.com

www.ntbugtraq.com

www.icsa.net

www.phrack.com

www.2600.com

www.rootshell.org

A gyártók biztonsággal foglalkozó weboldalai általában a www.gyarto.com/security képlet alapján megtalálhatók.