A.L.: Problémát leginkább az jelent, ha a biztonsági tervezés egy internet szolgáltatási projekt elején valamint annak átfogó tesztje a végén elmarad. Ekkor a rendszerben lehetnek olyan pontok, amelyek veszélyt jelentenek a biztonságos üzletmenetre.
Tipikus üzletágat kiemelni nem lehet. Ügyfeleink között szerepelnek pénzügyi szervezetek, energetikai és kereskedelmi cégek, utazási szolgáltatók egyaránt.
P: Mit tehet egy felhasználó? Mi alapján lehet választani, például két internetes bank között?
A.L.: A felhasználó leginkább abban bízhat, hogy a biztonságot tényleg nagyon komolyan veszi a bank. Tanácsos elolvasni, hogy a bank mit ír honlapján a biztonságról. Esetleg vannak-e bizonyos elvárásai a felhasználóval szemben (például a jelszavakat illetően).
Persze van egy másik rész, ami szerver oldalon van, amit a bank kontrollál, azaz hogy nem engedi meg a gyenge jelszavak használatát. Érdemes megnézni, hogy amikor záródik a böngészőnk ablakának alsó sarkában az a kis lakat, mit mutat mögötte (rá kell kattintani és megmondja, hogy valóban biztosított-e a kapcsolat). Fel szokták hívni a figyelmet a titkosítás szintjére is, amit a szerver oldalon lehet szabályozni, azaz hogy nem enged meg a bank olyan szintű titkosítási folyamatot, ami nem számít biztonságosnak. Ideális az, hogyha a legtöbb kontrollt maga a szolgáltató kényszeríthet ki. Betörésbiztos rendszer esetén én mint felhasználó nem tudok olyat tenni amivel kockára tenném a biztonságot.
Ha bankkártyáról beszélünk, akkor első, amit megnézhet valaki, hogyha a bankkártyát felhasználom, akkor az védett-e az interneten. Ha a bankkártyám internet "fraud" védett, akkor amennyiben visszaélnek a kártyaszámommal az interneten, én védve vagyok, már ami a dolgok anyagi következményeit illeti.
Fontos, hogy a biztonsági tervezést és implementálást követően internet banki szolgáltatást mind infrastruktúra mind pedig alkalmazás szinten komoly tapasztalattal rendelkező szakértői csapattal teszteljék és a feltárt hibákat elhárítsák és csak ezt követően engedjék az alkalmazást éles környezetbe. Egy ilyen rendszer biztonsági értelemben dinamikus. Megfelelő technika és összehangolt munka kell, hogy a működés során a megcélzott biztonsági szint tartható legyen.
P.: A felhasználó azonban nem tudja, hogy mi van a szerver oldalon Csak annyit tud tenni, hogy bízik a cégben? Megvan ez Magyarországon?
A.L.: Így igaz, ez egy bizalmi dolog. Nagy-Britanniában nagyon nagy mértékben a bizalomra építenek a pénzügyi szolgáltatók, és nagyon eltérőek a két ország szokásai ilyen szempontból. Nagy Britanniában nincs például személyi igazolvány (ez úgy tudom egyedülálló az EU-ban), bár tavaly szeptember 11-e után ismét kérdés volt, hogy legyen-e személyi azonosító. Így ha egy bankhoz megyek és fel szeretnék venni pénzt, bizonyos összeg felett nem tudják elkérni a személyi igazolványomat, hogy azonosítsanak, ehelyett feltesznek biztonsági kérdéseket. Ezeket a biztonsági kérdéseket előre megadhatom a banknak akkor, amikor szerződést kötök. Rendszerint egyébként a PIN kódot sem kérik Nagy-Britanniában, csak a készpénz automatánál elvárt a PIN kód ismerete. Magyarországon ezt ismerjük gyakorlatból, másként működik, hiszen szinte mindenhol kérik a PIN kódot. A bizalomra visszatérve pedig: ha ez a bizalom valahol sérül, akkor annak a következményei nagyon súlyosak. Tehát a reakció, amit a bizalom megsértése kivált, elég drasztikus. A bizalom kétoldalú és nagyon sérülékeny dolog, ezért mindkét félnek vigyáznia kell rá.
P: A vállalati ügyfelek hogyan állnak a biztonsági kérdésekhez? Minden pénzt megér nekik?
A.L.: Mindent az értékének megfelelően kell védeni. A PwC megközelítése mindig abból indul ki, hogy mi az, amit védeni kell. Ügyfeleinkkel közösen meghatározzuk azt, hogy milyen veszélyeknek van az adott erőforrás kitéve. Ezt feltérképezve tudjuk kidolgozni azt, hogy vajon milyen támadás érheti a védett erőforrást. Ezeket a támadásokat szimuláljuk tesztjeink során.
Persze a biztonságra költött pénz kérdésében is megvannak az ésszerűségi határok. A biztonság szerintem nem szűkíthető le egyszerűen pénzkérdésre és a pénz itt sem mindenre orvosság.
P: Hogyan zajlanak ezek a tesztek?
A.L.: Vannak erre alkalmas dedikált számítógépeink biztonsági laborunkban, célprogramok és úgy gondolom kimagasló színvonalú módszertanunk, de mindig a tesztelő tudásának van meghatározó szerepe. Belső akkreditációval rendelkező, kiemelkedő tudású személyek foglalkoznak ezekkel a biztonsági tesztekkel a PwC-világon belül.
Azok, akik komolyan építenek az informatikára - azt vettem észre - ahol segítség kell, ott örömmel fogadnak. Ebből a szempontból nem érzek különbséget Magyarország és Nagy-Britannia között. Van mit behozni a tesztelési műfajban, illetve a biztonsági ellenőrzések területén Magyarországon és azon vagyunk, hogy a lehető legtöbben megismerjék ezeknek a biztonsági teszteknek részleteit, előnyeit.
(X)