Egyre több cég látja abban a biztonság növelésének legjobb lehetőségét, hogy a védelmi indormációkat megosztják egymással. Persze az ilyen együttműködésekkel mindig van egy kis gond: meddig terjeszthető ki a megosztható információk köre anélkül, hogy az ne veszélyeztesse az adott cég piaci pozícióit. A témáról a Biztonságportál készített összeállítást.

Régebben ilyen kezdeményezés volt az AlienVault Open Threat Exchange (OTX), a HP Threat Central vagy a Check Point ThreatStore Intellistore. Tavaly nyáron pedig – több nagy incidens után – az e-kereskedelmi cégek szövetkeztek, és létrehozták az R-CISC-et (Retail Cyber Intelligence Sharing Center).

Tavaly májusban a Fortinet és a Palo Alto Networks életre hívta a Cyber Threat Alliance (CTA) szövetséget, amely szintén információcserére épül. Azóta ez utóbbihoz csatlakozott a McAfee (Intel Security) és a Symantec is.

Cégek helyett szervezetek harca?

A kezdeményezések gyarapodása jól mutatja: van igény az együttműködésre. De egyben azt is, hogy nehéz kidolgozni a mindenkinek megfelelő kereteket. A fenti kezdeményezések ma még egymástól függetlenül működnek, ráadásul mindegyikük más kereteket szab az információátadásnak.

Redmondban gondoltak egy nagyot: a A Microsoft lesz az a cég, amelyik egységes mederbe tereli az információk megosztását. Ehhez kidolgoztak egy keretrendszert, amelyben lefektették azokat az irányelveket, eljárásokat, melyek követésével bizonyos értelemben "szabványosabban" és hatékonyabbá lehet tenni az információcserét.

A Microsoft keretrendszere azt is rögzíti, hogy kiknek kell – pontosabban kellene – részt venniük az információáramlásban: a kormányzati szerveknek, a kritikus infrastruktúrák üzemeletetőinek, a vállalatoknak, az informatikai és biztonsági cégeknek, no és nem utolsósorban a biztonsági kutatóknak. Közöttük kell megteremteni a megfelelő adatcsere feltételeit.

A keretrendszer meghatározza a megosztandó információk körére is. A feleknek át kellene adniuk egymásnak  az incidensek részleteit, a fenyegetettségek leírását, a kihasznált sérülékenységeket, az elemzéseket és legjobb gyakorlatokat.

De mi lesz az adatvédelmi aggályokkal?

A Microsoft elgondolása szerint a védelmi információk megosztására több szinten kell meghatározni, melyek között természetesen lehetnek átfedések. Például lenne nemzetközi, regionális és nemzeti szintű adatcsere, melyeken belül további bontásként meg lehetne határozni a szektorspecifikus és általános érdeklődésre számot tartó információkat.

Ugyanakkor bármilyen típusú információmegosztásról legyen szó, egy dolgot mindig szem előtt kell tartani. Mégpedig az adatvédelem kérdését. Az információk átadása során – akár az incidensek, akár az érintett adatok körének ismertetésekor – ugyanis felvetődhetnek olyan esetek, amikor mérlegelniük kell a szervezeteknek a megosztandó adatok körét illetőn, hiszen nem szeghetik meg a jogszabályi, illetve az adatvédelmi előírásokat.

És ez arra az esetre is igaz, ha emberek között történik az információcsere, és akkor is, ha a biztonsági rendszerek között automatikusan áramolnak az adatok.

Ha jól belegondolunk, ott vagyunk, mint korábban. Az egyéni érdekek továbbra is legyőzik a nagy közös célt: végső csapást mérni a kibertámadásokra. És még csak azt sem mondhatjuk, hogy ez rossz. Amúgy meg talán naivitás is volna azt hinni, hogy lehetséges a cél elérése.