Bár Várfi András a Közinformatika frissen kinevezett információbiztonsági felelőse sohasem viselt "fekete kalapot", az általa végrehajtott sérülékenységvizsgálatok mégis azt a területet célozták, amelyet a megbízó előzetes engedélye és felkérése különböztet meg az igazi hekkerektől. Ebbéli tevékenységét természetesen kinevezését követően sem adta fel, de új pozíciójában már a hagyományos - a 2013. évi L. törvényben pontosan meghatározott - feladatokat is a portfóliójába emelte azoknál az önkormányzatoknál, ahol a Közinformatika szerződött a hivatalokkal erre a feladatra. Interjú.
Várfi András informatikával 2010 óta, kiemelten kiberbiztonsággal pedig 2016 óta foglalkozik. 2017-ben végzett a Budapesti Műszaki és Gazdaságtudományi Egyetemen. Etikus hacker oklevelét a Cyber Institute képzésén szerezte. Szabadidejében különböző fehérkalapos hekker versenyekkel és programozással fejleszti technikai tudását.
Jerabek György (JGy.): A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézete rendszeresen küld riasztásokat a törvény hatálya alá tartozó szervezetek részére, melyek közül legutóbb egy olyan sérülékenységre hívta fel a figyelmet, amelyhez készítettél egy segédprogramot. A Közinformatika ügyfelei részére természetesen kiküldésre kerülnek ezek az extrák, de most úgy értesültem, hogy a Jegyző és Közigazgatás olvasóival is megosztod a részleteket!
Várfi András (VA.): Igen, a Kibervédelmi Intézet nagy segítséget nyújt az újonnan felfedezett sérülékenységek közlésével, hiszen hatékonyan csak akkor tudunk védekezni, ha időben tudomásunkra jut, hogy mivel állunk szemben. A felfedezett sérülékenységek gyakran nulladik napi (zero day) sérülékenységek, ami azt jelenti, hogy a közlés idején nincs még rá javítási módszer a gyártó részéről. Különösen nagy probléma, ha az adott sérülékenységre már megjelent az interneten az azt kihasználó programkód, amit mi exploitnak hívunk. Ekkor akár egy képzetlen hekker is képes lehet vele betörni a rendszerünkbe, illetve a bűnözői csoportok is azonnal rávetik magukat erre a lehetőségre. A Microsoft diagnosztikai eszközét érintő Follina (CVE-2022-30190) sérülékenység is ilyen volt.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
