Az infrastruktúrával foglalkozó szekcióban főleg az üzemeltetés kiszervezéséről beszélgettek a résztvevők és egy esettanulmányt is hallottunk. Szokás szerint a legpörgősebb a biztonsági "ügyosztály" délutánja volt.
A plenáris programok után három kisebb teremben speciális témakörökkel folytatódott
a CIO'11 konferencia első napja. Ezeken "beszélgetősebb" előadások és kerekasztal-beszélgetések során lehetett mélyebben megismerni a különféle szakterületeket.
Szervezés és kiszervezés ■ Dr. Szentiványi Gábor, az ULX Nyílt Forráskódú Tanácsadó és Disztribúciós Kft. ügyvezetője nyitotta meg az infrastruktúra-szekciót a felhő-szolgáltatásokról és a nyílt rendszerek előnyeiről szóló előadásával.
Ezután
Ritter Dávid, az ELTE informatikai vezetője ismertette, hogy az oktatási intézmény miért, és hogyan váltott private cloud megközelítésre. Az esettanulmányból kiderült, hogy sokszor az emberi tényező sokkal erősebb lassító tényező, mint maga a technológia. Épp ezért az egyetem átállását nem kevesebb, mint három éves előkészítés előzte meg, melyben a szolgáltatásleltártól a szabályzatok áttekintésén és a műszaki előzetes tesztelésen át a belső képzésekig sokféle folyamatot kellett végigvinni. Egy ilyen körülményes fázis után a jól megválasztott hardver-és szoftverkörnyezet segítségével nagy fejlődésen ment át az ELTE informatikai rendszere. Javult a szakembergárda hatékonysága, és bár kevesebb a fizikai gép, de a felhőben jóval kevesebb a kritikus hibalehetőség.
A vállalati környezetben átalakuló infrastruktúrákról beszélt
Kovács Attila, a Delta Services ügyvezetője. Külön fejezetet szentelt a kiszervezésnek, amely nem minden, de sok esetben hatékony és költségvetés-barát lehet. Persze érdemes előre megkérdezni magunktól, milyen területet szeretnénk kiszerverzni, vagy épp milyen üzemeltetőket érdemes megversenyeztetni. Fontos ilyenkor a helpdesk feladata is, hiszen a vállalat működése lassulhat vagy időnként le is állhat, ha nem tudjuk, hová forduljunk, vagy épp nem kapunk azonnali segítséget.
Kovács Attila szerint az a döntés, hogy kiszervezzük az üzemeltetést, elsőre könnyűnek tűnik, pedig a folyamat megkezdéséig nagyon sok dolgunk lesz: munkaszervezés, folyamatszabályozás, szabványok összeállítása mellett a hardveroldali fejlesztések sem maradhatnak el - csak ezek után lehet igaz az, hogy a kiszervezés valóban kevesebb munkát eredményez.
Az emberi tényező ■ A konferencia biztonsági szekciója a vállalati adatok védelmét vette górcső alá.
Keleti Arthur, az ITBN konferencia főszervezője moderátorként egy történettel vezette fel a szekciót. Eszerint egy informatikai vezető úgy titkolózott a cégénél lévő szoftveres háttérről, hogy a mögötte lévő monitoron minden lényeges információ látható volt. Ez is azt mutatja, hogy az információszivárgás milyen sokrétű formában jelenik meg a vállalati életben.
Antal Lajos, a Deloitte partnere az információszivárgás miértjeire és mikéntjeire próbált választ keresni előadásában. A szakember szerint a vállalatok egyre inkább kötődnek az informatikától és éppen ezért nő a kiberfenyegetettség kockázata is. Az erre adott céges reakció azonban rendszerint lassabb, mint ami ildomos lenne. Az ilyen irányú fejlesztések és törekvések nagyobb része is elsősorban jogi kötelezettségek miatt jön létre. A mai támadásokat már nem cégek, hanem konkrét személyek ellen végezik, ráadásul célzott és szofisztikált formában. Nem ritkán szervezett bűnözés keretein belül.
Az információszivárgásnak két formája van, a véletlenszerű és a szándékos eset. Előbbire példa egy vállalati laptop elvesztése, míg a másik csoportba tartozik a lehallgatás, megfigyelés és egyéb, direkt módszerek. A kiszivárogtató motiváció között a kézenfekvő pénz mellett a szívesség szintén szerepet játszik.
Magyarországon sajnos jellemzően nincs saját költségvetése az információbiztonságnak, miközben a Deloitte által kezelt biztonsági incidensek száma az éves 4-5-ről jelenleg már egy adott időpillanatban produkál ilyen nagyságrendet.
Az adatszivárgás elkerülésére számos eszköz áll rendelkezésre. A beépített biztonság például nem helyet, hanem magát a védendő anyagot vigyázza (például egy dokmentumnál nem a könyvtárat, amelyben van, hanem magát a fájlt). De fontos az oktatás és a megfelelő belső ellenőrzési metódus is.
A biztonság ára ■ Tanos Áron, a Mobil-Cash Europe projektmenedzsere a készpénzre váltott biztonságról beszélt. A cég bankkártyákkal, POS-terminálokkal és online fizetési tranzakciókkal foglalkozik. A bankkártya adatokat a szakember a kerozinhoz hasonlította. Mindkettőt zárt tartályban kell szállítani, és lefejtéskor vigyázni kell, hogy ne érintkezzenek levegővel, mert gyorsan párolognak. Jellemző a felderítés nehézségére, hogy 2007-ben egy nemzetközi cég 4 millió kezelt bankkártyaadatát szerezték meg, de csak egy év múlva jöttek rá.
A biztonság érdekében mindent rögzíteni kell. Ezt végponttól végpontig elvileg nem lehetséges a titkosítás miatt, de egy Man-in-the-middle támadással, azaz egy hackerek által használt trükkel ez a cégek számára is elérhető. A megoldás alapvetően annyi, hogy félúton „megállítják” a csomagot, ott rögzítik, majd útjára indítják az eredeti célhoz. Ezzel a módszerrel dolgozik a Balabit Shell Control Box tevékenység-felügyelő szoftvere, amely jelentős megtakarítást hozott a rendszert bevezető Mobil-Cash Europe-nak.
Hordozható veszélyforrások ■ Az egyre nagyobb területet hódító mobil eszközök biztonságáról
Gaidosch Tamás, a KPMG képviseletében beszélt. Az okostelefonok a fejlett országokban már az emberek több mint felénél ott vannak, de a feltörekvő régiókban az körülbelül csak a tizede, azaz a fejlődési potenciál még mindig nagyon magas. A hagyományos mobilok sem voltak mentesek a sebezhetőségtől (például Bluetooth, WAP), de az okostelefonoknál nagyságrendekkel több probléma merülhet fel.
Egy felmérés szerint a felhasználók 84 százaléka ugyanazt az okostelefont használja munkára és magáncélra egyaránt. Ez természetesen nagyon vonzó célponttá teszi az eszközöket a bűnözők számára. Ráadásul az emberek többsége úgy nyilatkozott, hogy egyáltalán nem néz utána, milyen forrásból tölt le például egy új alkalmazást.
A mobil biztonsági kockázatok és támadási lehetőségek rendkívül szerteágazóak. Kezdve a földrajzi követéstől, a pénzügyi adatok megszerzését célzó akciókon át a megtévesztő applikációkon keresztül egészen a hagyományos elvesztésig. Ez utóbbi akkor is veszélyes lehet, ha csak néhány percre nincs a felhasználónál a készülék, ugyanis ennyi idő bőven elegendő lehet a kritikus adatok megszerzéséhez.
A szekció zárásaként az előadók mellé
Ragó István, a Raiffeisen Bank, illetve
Rónaszéki Péter, a Lufthansa Systems Hungary biztonsági vezetője csatlakozott a kerekasztalban a nagyvállalati felhasználók oldaláról. A miért nincs elég pénz a biztonságra alapkérdésre a BalaBit technikai igazgatója azt felelte, hogy a cégek a válság miatt inkább a közvetlenül forintosítható üzleti folyamatokra koncentrálnak, és kevésbé a rizikófaktorként elkönyvelt IT-biztonságról.
Rónaszéki Péter szerint az evangelizáció fontos eleme annak a folyamatnak, amellyel a vállalatok eljutnak odáig, hogy helyén kezeljék a biztonság kérdését. A Raiffeisen Bank biztonsági vezetője abban látja a megoldást, hogy személyessé kell tenni a fenyegetettség mértékét, azaz az üzleti vezetés és partnerek számára érthető módon kell kommunikálni a biztonsági kockázatokat és azok következményeit.