Svájci kutatók 2021-ben 62,8 billió számjegyig számolták ki a pi (3,14) pontos értékét. A munka 108 napot és 200 órát vett igénybe. Ha az informatika ilyen elképzelhetetlenül nagy értékeket nem is, de azért irdatlan adat mennyiségeket produkál naponta. Ezek feldolgozása, ellenőrzése, elemzése most került fókuszba azon vállalkozásoknál, amelyek meglévő ISO 27001-es rendszerüket a közeljövőben szeretnék tanúsíttatni. Az információbiztonság cégeket érintő aktuális kérdéseiről és kihívásairól a CertUnion Tudásközpont hallgatóinak körében rendkívül népszerű előadóval, információbiztonsági tanácsadóval: Kapitány Sándorral beszélgettünk.
– Az IBIR (Információbiztonsági rendszerszabvány) valaha kifejezetten elit rendszernek számított – kezdi a magyarázatot a szakértő.
– Akkoriban a rendszer működtetését a magas követelmények okán nem akárki engedhette meg magának és ennek megfelelően az auditok is igen rigorózusak voltak. Az ISO 27001 iránti igény fokozódásával és a rendszer bevezetésének/működtetésének elterjedésével aztán lazult ez a szigor. A 2022-ben kiadott új szabvány részben újra vissza kívánja hozni a korábbi szemléletet, a magasabb követelményeket.
Kapitány Sándor szerint a szabvány lényegi változásait – akár még szemantikai szinten is (erről később lesz szó) – nem a standard törzsrészében, hanem a kiegészítésében kell keresnünk. Már nem elég ugyanis a “jó szándék”, a technikai megoldásokat tekintve magasabb biztonsági fokozatra kell kapcsolnia a cégeknek.
Kedves Naplóm!
Ennek egyik jó példája a követelmények között szereplő logelemzés is.
Mielőtt azonban ennek részleteibe elmélyednénk, érdemes a log fogalmát értelmeznünk.
– A log az informatikai működés térfigyelő kamera felvétele. Szinte minden – beleértve a kritikus és nem kritikus, a felhasználó által kezdeményezett vagy automatikus – tevékenységről készül egy szöveges file szintű rövid bejegyzés.
Ha úgy tetszik, nevezhetjük akár naplózásnak is, amelynek biztonsági hasznát nemigen kell magyarázni, ám ezen logok ellenőrzése éppen számosságuk okán igen komoly feladat elé állítja a vállalkozásokat.
Adódik a kérdés, hogy kinek a feladata ezen irdatlan mennyiségű adat napi szintű átfésülése. A szakértő szerint minden rendszer monitorozza a tevékenységeinket (ugye ismerős: belépés, sikertelen belépés stb.?), amelyek többsége alapértelmezett naplóbejegyzés, de ezen túlmenően az informatika sokkal részletesebb visszajelzésre is képes.
Szinonímák vagy teljesen más tartalmú szavak?
Ez tehát nem újdonság. A szabvány eddig is elvárta a feedback-et, az adatok biztonságos tárolását és tiltotta a naplózást kikapcsolását.
Az igazi nóvumot nem itt, hanem a követelmények vizsgálata közben találjuk, ott ugyanis a korábbiakkal ellentétben a standard nem elégszik meg azzal, hogy időnként ellenőrizzük a bejegyzéseket, hanem a logok elemzését várja el tőlünk.
Jelentéstanilag árnyalatnyi a különbség a két szó között, tartalmát tekintve utóbbi mégis jelentős többletet hordoz. Ha pedig figyelembe vesszük, hogy a logok hányféle rendszerből és milyen mennyiségben csordogálnak be hozzánk, máris nyilvánvalóvá válik a feladat fajsúlya. Igaz azt, hogy ezt a bizonyos log ellenőrzést milyen módszerrel és eszközzel tesszük, a standard legalább nem köti ki.
A rendszerek log detektívei
Természetesen a probléma megoldására már léteznek megoldások, például olyan célszoftverek, amelyek összegereblyézik a naplóállományokat majd a saját logikájuk szerint összerendezik azokat, és amelyeken be lehet állítani a számunkra kritikus eseményeket/együttállásokat. Ha ez így nem annyira egyértelmű Kapitány Sándor egy életből vett példával teszi a dolgot érthetővé.
– A rendszer számára minimum gyanús, ha valaki nem lép be a gyárkapun (a beléptető rendszer nem érzékelte őt) ugyanakkor az illető bejelentkezik a benti, asztali számítógépén.
Ilyen esetben a rendszer riasztást küld – akár valós időben (ez a megoldás rendkívül erőforrás igényes, cserébe kiemelkedően magas biztonsági színvonalat garantál), akár utólagos jelzéssel.
Nyolc számjegy
Ennyi pozitívum mellett akár elnézőek is lehetnénk a logellenőrző szoftverek egyetlen szépséghibájával – jelesül az árával – szemben, a nyolc számjegyű összeget ugyanis vélhetően csak a legnagyobbak és a kiemelten magas kockázatú vállalatok engedhetik majd meg maguknak.
A vékonyabb pénztárcájú gazdasági társaságok a logok manuális kezelésével, (kérdéseket vet fel, hogy a feladattal megbízott személy a szóban forgó gigantikus adathalom átvizsgálását hogyan tudja összeegyeztetni a napi munkájával) vagy külső szolgáltatótól bérelt szoftverrel igyekeznek majd megfelelni a követelményeknek. Ez utóbbi biztatóan hangzik, leszámítva azt, hogy a szolgáltatók a megfelelő visszajelzés eléréséhez szükséges folyamatos információ begyűjtést és log elemzést is minden bizonnyal beárazzák majd.
Képességek és kockázatok
Kapitány Sándor szerint a szerényebb költségvetésű, ám ISO 27001 auditra készülő vállalkozások számára a szabvány “menedzsment jellegű szemlélete” adhat némi könnyebbséget. A standard ugyanis kimondja: minden követelményt a szervezet kockázatainak figyelembevételével kell bevezetni. Tehát eszközt ad a tulajdonos kezébe, hogy az elvárásokat a képességei szintjén teljesítse és adott esetben – jobb híján – rizikót vállaljon.
– Szakmailag ez nem igazán jó megoldás, de mindenképpen egyfajta irány. Hogy mit lehet tenni ebben a helyzetben, azt jelenleg ezen az oldalon sem látjuk kristály tisztán. Még a kérdés felvetését is újdonság erejűnek tartom – osztja meg kétségeit az információbiztonsági szakértő.
Régi/új időszámítás
A kihívások ellenére Kapitány Sándor üdvözli az újfajta, a logelemzésre is fókuszáló elvárásrendszert, mert mint mondja – a biztonság a legfőbb szempont. Véleménye szerint az ISO 27001 nem bízza ránk a számunkra ideális biztonsági szint meghatározását. Az IBIR a magasabb fokú biztonsági előírások teljesítése okán egy igen komoly ranggal ruházza fel a rendszert üzemeltető vállalkozást. Ez a rang pedig adott esetben figyelmen kívül kell, hogy hagyja: hogyan és miből felelünk meg a kritériumoknak.
A fenti kérdésekre hamarosan választ kapunk, most kezdődnek ugyanis az újfajta követelmény szerinti ISO 27001-es auditok. Vagy fogalmazhatunk úgy is, az információbiztonság frontján újfajta időszámítás kezdődik: visszatér az elit rendszer.