Megrendelés

Győrffyné Holló Krisztina: Információbiztonság, avagy incidens kontra biztonságtudatos viselkedés (IJ, 2021/1. (76.), 17-23. o.)

Napjainkban az új digitális technológiák okozta fizikai korlátok lebontásával, a határvonalak elmosódásával egészen új értékek jöttek létre különösen az adatgyűjtés és az internetes hálózaton keresztül megszerzett információ és tudás, az adatkezelés és adatfeldolgozás, és az elektronikus szolgáltatások által. A folyamatok digitalizálása és automatizálása megkönnyíti az optimalizálást, valamint hatékonyságot és versenyképesebb tevékenységet eredményezhet a termelés és szolgáltatás bármely területén. Az információ és a tudás értéke sok esetben felbecsülhetetlen jelentőséggel bír, ezért az érdekelt feleknek kell gondoskodniuk a megfelelő technikai védelemről, valamint az információbiztonsági és adatvédelmi szabályok alkalmazásáról. Ugyanakkor a hackerek aktív képviselői a biztonsági réseket kihasználva, egyre fejlettebb technikával szerzik be a számukra értékes információkat. Az incidensek elkerülésére és kezelésére egyre kifinomultabb és költségesebb megoldássokkal találkozhatunk. Bár jogszabályi és technikai lehetőségek is rendelkezésre állnak, mégis egyre nagyobb méreteket ölt a károkozás és egyre nagyobb az anyagi veszteség. Ebben az esetben két témával foglalkozhatunk, mégpedig miért vállaljuk az áldozat szerepét, amikor gyanítjuk, hogy támadási kísérlet áldozatává válhatunk, és milyen módszert alakíthatunk ki a felhasználói biztonságtudatosság megerősítésére? Az első kérdésnek pszichológiai vonzata van, amely többek között a tudatlanságon, a jóhiszeműségen, valamint a téves eszméken alapszik. Az utóbbi kérdés jogszabályi előírások, oktatási és technológiai módszerek együttes alkalmazását igényli. Jelen tanulmány kiemeli a biztonságtudatos magatartás hiányának következtében növekvő incidensek számát, az információbiztonsági intézkedésekre fordított és az incidensek által okozott kár költségeinek növekedését. A probléma felvázolását követően bemutatom a biztonságtudatos magatartás eléréséhez vezető, a kidolgozandó módszerre vonatkozó javaslataimat. A biztonságtudatos viselkedés fejlesztésének módszerei közé sorolhatók különösen az információbiztonsági oktatás és szakmai tréningek, a vonatkozó jogszabályi, adatvédelmi tudatosítás és az információbiztonsági alapelvek tisztázása, valamint a technikai támogatás bemutatása. Az elméletet három említett területről származó tanulmánnyal és kapcsolódó példákkal támasztom alá. A tanulmány nem foglalkozik az adatkategóriák, úgymint személyes, üzleti vagy minősített adatok és adatvédelmi alapelvek bemutatásával, ugyanakkor helyenként szükségesnek tartottam az adatvédelem területéről származó információkkal igazolni elméletemet.

1. Bevezetés

2018 egy olyan év volt, amely jelentős változásokat hozott a számítógépes fenyegetettségben, és a kibertámadások száma 2019-ben tovább nőtt. Az Egyesült Államok Stratégiai és Nemzetközi Tanulmányok Központjának (CSIS) 2017. évre vonatkozó felmérése alapján megállapították, hogy globális szinten, a világgazdaságának a számítógépes bűnözés által okozott kár mértéke csaknem 608 milliárd USA dollár. Megállapították továbbá, hogy a világszintű kár mértéke 3 év alatt 150 milliárd USA dollárral nőtt, ami önmagában is tetemesnek mondható. A költségek nagy része az Egyesült Államokat terheli, de például Németországban veszteségként 64 milliárd USA dollárt mutattak ki, ami az előző, 2014. évi felmérési adatokhoz képest 5 milliárd USA dollárral nőtt. A felmérések azt is megmutatták, hogy a bankszektor, pénzügyi szolgáltatók és az egészségügyi ágazat viselte, az információbiztonsággal és a számítógépes bűnözéssel kapcsolatos költségek jó részét.[1] A statisztikai adatok által kimutatott költségek mértéke valóban hihetetlen mértékűnek tűnik. A kiberbiztonsági szakemberek részéről sikerült a támadások nagy részét kivédeni, köszönhető ez a technikai és a tudásfejlődésnek is. Az aktív védekezés elemeként megjelenő profilozás, a támadási gyakorlatok és a rosszindulatú programok hatékonyabb azonosításához, ezáltal hatékonyabb védekezési technikákhoz és elhárítási arányokhoz vezetett. A kezdeti sikereket a számítógépes fenyegetések intelligenciájának (CTI) és a hagyományos intelligenciának a kombinálásával érték el. Ez egyértelműen jelzi, hogy a kiberfenyegetés-intelligenciát meg kell nyitni más kapcsolódó tudományterületek felé az értékelések és a hozzárendelés minőségének javítása céljából.[2] A 2018. évi kiberfenyegetettség fő tendenciái szerint, még mindig a rosszindulatú e-mail és az adathalász üzenetek állnak az első helyen, valamint az automatizált támadások és a programozott eszközök segítik elő a támadások sikerességét. Az alacsony szintű IoT-eszközök és -szolgáltatások hiányzó védelmi mechanizmusai elősegítik az incidenseket, ezért az ENISA szervezete is sürgeti a mielőbbi megoldásokat és a hatékony gyakorlati megvalósítást, mivel az alacsony képességű szervezetek, illetve végfelhasználók számára a kiberfenyegetés-elhárítási megoldások hiányával a gazdaság szereplőinek ugyanúgy foglalkozniuk kell, nem csak az adott kormánynak.

Nemcsak az Európai közösség, de Amerika és a Távol-Kelet is napi szinten küzd a különböző irányból érkező incidensek ellen, egyre fejlettebb IT-szabályokkal, -technológiával és kibervédelmi szakember csapat segítségével. A kibertér és a való világ határai kezdenek összemosódni. Erre mutat rá egy szingapúri kormányzati döntés, amely értelmében immár a térfigyelő kamerák adatbázisát, a banki adatbázisokat, valamint a kormányzati hivatali adatbázisokat is összekötnék[3] és az adatokat egységes bűnüldözői rendszerben használnák fel. Az Ipar 4.0 teret hódít, és a fejlesztés nem állhat meg. Szingapúr törpeállama számos technológia terén a világ egyik legambiciózusabb állama, így érthető, hogy jelen esetben az információbiztonságra vonatkozó biztosítékot maga a GovTech cég vállalta. Nyilatkozatuk alapján, az alkalmazás sikeressége mögött az emberi arcok felismerésének valódisága áll, amely szerint az arcok mögött valós személyek lesznek, valós karakterrel, nem pedig egy retusált kép. A technológiát integrálják az ország digitális azonosítási rendszerébe, amelyet összekötnek az adóhatósággal is. Így a bűnüldözői tevékenységet kiterjesztik más funkciót ellátó térbe is. Számos magánvállalkozás és pénzintézet is segítheti a projekt megvalósulását. A nagymértékű digitális fejlesztésnek árnyoldalai is vannak, némi ellentmondással a háttérben, miszerint hogyan egyeztethető össze és feleltethető meg a gyakorlatban az interoperabilitási elvekkel a különböző informatikai rendszerek együttműködésével, az adatvédelmi szabályozással, az etikai alapelvekkel és az információbiztonsági előírásokkal, valamint az egyének reakciójával. A felhasználói közösség érti a bűnüldözés fontosságát, de a társadalmat valóban az ember bűnözői hajlamának oldaláról kell vizsgálni vagy lenne erre más módszer is, mint például a technikai és információbiztonsági módszerek alkalmazása,[4] társadalom tudatosítása, jogi és önvédelmi módszerek kifejlesztése és alkalmazása a kibertérben és a nyilvános tereken egyaránt.

A teljes tartalom megtekintéséhez jogosultság szükséges.

A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.

Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!

Tartalomjegyzék

Visszaugrás

Ugrás az oldal tetejére