Adatok legyünk, vagy szabadok? – akár így is feltehetnénk az előbbi kérdést, mondja Keleti Arthur, az ITBN főszervezője. A legvalószínűbb válasz, hogy a kapcsolat kölcsönös, mindkettő hat egymásra. "Ennek kapcsán igen érdekes felvetés, hogy ha az egy munkahelyen dolgozó emberek 10 százalékába már be lesz építve valami, például az összes bejövő hívást képesek lesznek a retinájukon olvasni, akkor hogyan kezeljük őket?" – teszi fel a kérdést a szakember. Mi a jobb, ha úgy állunk hozzájuk, mint a hagyományos emberekhez, vagy a különleges képességeik okán privilégiumaik lesznek? Netán épp az ellenkezője lenne a logikus, vagyis jobb, ha bizonyos helyekre nem juthatnak be?

GDPR, vagy amikor a hóhért akasztják

Továbbá kérdés az is, hogy ezek nyomán, hogyan és mennyi idő alatt változnak a társadalmi szabályok. Lesz-e például a jövőben értelme a kvízműsoroknak? A szakember szerint kicsit már be is léptünk ebbe a korszakba, igaz ezek az "elemek" még nincsenek belénk építve, de valójában már az nyer, aki a legkorszerűbb technológia segítségét is képes igénybe venni a szükséges információk megszerzéséhez.

A big data apropóján érdekes témának ígérkezik a személyes adatok védelmével kapcsolatban nemrég hatályba lépett európai szabályozás, a GDPR is, ahol az ITBN szervezői részletesen és őszintén beszámolnak immár fél éve futtatott ezirányú projektjük tapasztalatairól. "Ami rosszabb, mint amikor a hóhért akasztják" – fogalmaz Keleti Arthur. A hóhér ebben az esetben ugyanis saját magát akasztja. A rendezvényre várt kétezer szakértő mindegyike ért ugyanis valamilyen szinten az adatvédelemhez, a szervezőknek az ő adataikat kell kezelniük. A téma egyik 22-es csapdája, hogyan vegyék fel valakivel addig is a kapcsolatot, amíg meg nem kérdezték tőle, hogy beszélhetnek-e egyáltalán vele.

De tudjuk-e egyáltalán mi a személyes adat, amit meg akarunk védeni? "Nemcsak a személyim meg az orvosi papírjaim számítanak annak, hanem akár a gyerekem csecsemőkori fotója is" – mutat rá a szakértő. Szerinte a GDPR-tól ne azt várjuk, hogy jobban meg tudjuk védeni ennek révén az adatainkat, hanem, hogy általában több szó esik róla és hogy "áthangoljuk" magunkat és a környezetünket az adatvédelem iránti nagyobb érzékenységre. Ebből aztán következhet akár magának a védelemnek megerősítése is, de a gyakorlatban sokszor nem érjük el még a kívánt védelmi szintet.

Egyre több az adatszivárgás, a nagyságrendjük is nő

Az IT-biztonságról beszélve egyre inkább felvetődik az a kérdés is, hogy ha ennyi biztonsági eszközünk van már, miért rosszabb mégis a helyzet. Egyre több az adatszivárgás, az incidens, a nagyságrendjük is változik. Emlékezzünk rá, hogy évekkel ez előtt még felszisszentünk egy több százezres vagy milliós adatszivárgás hírére, ma száz millió alatt többen már nem is veszik komolyan az esetet. A biztonsági gyártók, amelyeknek az érdeke, hogy minél több terméket eladjanak - miközben az egyre drágább és gyorsabban piacra dobott fejlesztésektől várható erősebb védelem -, hogy jönnek ki ebből a kilátástalannak tűnő helyzetből? A válasz sokféle lehet, csak az nem, hogy akkor inkább ne is használjunk semmilyen védelmet. És különösen nem az, hogy "nem megyünk a felhőbe, mert az nem biztonságos".

A szakértő szerint szintén baljós tény az is, hogy nagyon sok biztonsági szakértőnek fogalma sincs arról, hogyan működik az ember. Nekik az a legjobb, ha egyáltalán nincs humán szereplő a folyamatban, hiszen a biteknek, bájtoknak nincs lelkük, nem zsarolhatóak, nem mennek szabadságra sem. Ráadásul a másik oldalról is nehezített a pálya: az emberek jelentős részéről lepereg a biztonsági oktatásokon elhangzó tudnivalók többsége, hasonlóképpen ahhoz, ahogy régen a munkavédelmi oktatások folytak. Nem véletlen, hogy egy ország lakosságának egy-két százalékából lesz biztonsági őr, rendőr vagy katona, ők gyanakvóbbak, fogékonyak a kockázat alapú megközelítésre, és a védelem fókuszú logikára.

Mit csinál a digitális énünk?

Vajon tisztában vannak-e az emberek azzal, hogy a mai világban mindenkinek van egy digitális énje, amiről nem biztos, hogy tudjuk mikor, mit csinál. Az a kérdés is felmerül majd a rendezvény több előadásában, hogy értik-e a cégek, hogy mit lehet kezdeni ezzel.

"Azt tudjuk, hogy a Facebook már látja, és így termel magának 40 milliárd dollárt, de vajon a magyar vállalkozások ismerik-e az ügyfeleiket? Egy részüknél működnek a CRM-rendszerek, de mondjuk egy biztosító ezek alapján valóban tudja-e, hogy adott ügyfele tényleg olyan veszélyes életet él-e? A Google tudja, sőt rögtön ajánl is neki veszélyes élet elleni tablettát" – emeli ki Keleti Arthur.

Hozzáteszi, manapság már gazdasági szervezetek és nem a politika kezében összpontosulnak az emberek adatai. Nem véletlen, hogy az amerikai elnökválasztásnál és a Brexitnél az történt, ami. A Cambridge Analytica-botrány arra is felhívta a figyelmet, hogy a manipulátorok kezében már hatalmas eszközkészlet áll rendelkezésre, sokrétűek és összetettebbek lehetnek a támadások és nagyon nehéz őket észrevenni. Megakadályozásukra pedig sok esetben nem az állam, hanem a gazdasági szereplők képesek, vagy legalábbis nélkülük megvalósíthatatlan a védekezés.

Keleti Arthur

Az Informatikai Biztonság Napja (ITBN) konferencia ötletgazdája és a rendezvény 2004-es indulásától fő szervezője is. Közel húsz éve dolgozik a T-Systems Magyarországnál, jelenlegi beosztása IT-biztonsági stratéga. Egyik alapítója a 2011-ben létrehozott Önkéntes Kibervédelmi Összefogásnak (KIBEV). 2016-ban jelent meg The Imperfect Secret c. könyve.

De hogyan tudják ezt a nagy felelősséget kezelni ezek a cégek? Most a Facebookra van bízva, hogy eldöntse, mi az, amit káros, mi az, amit jó tartalomnak tekinthetünk. A másik probléma a folyamat sebessége, amivel nehezen tudnak lépést tartani a gazdasági szereplők, például a pénzintézetek.

Az idén szeptember 26-án és 27-én megrendezett ITBN CONF-EXPO-n szó esik majd a fenti kérdésekről – például adatvezérelt döntéshozatalról, a big data kezelésének etikai és morális összefüggéseiről, a GDPR gyakorlatáról, de bemutatkozik a hazai szörnyraktár is. Hogy ez mi? Rengeteg ma már a veszélyes kórokozó, melyek raktározásával itthon a CrysysLab foglalkozik. Nagy a felelősségük abban, hogy azok, hasonlóan a vírus- és baktérium laboratóriumokhoz, ne szabaduljanak ki. A technikai világ kórokozóira nagy a kereslet a szürkezónában, meglehetősen drágán adják-veszik őket a feketepiacon.

(Ismét) legyen saját biztonsági technológiánk?

Komoly nehézségeket okoz manapság az IT-biztonsági piacon is tapasztalható hatalmas munkaerőhiány. A biztonsági cégek már az egyetemi évek alatt levadásszák a legígéretesebb hallgatókat. Keleti Arthur szerint megoldást jelenthetnek a biztonsági elemző központok (SOC), amelyek szolgáltatásai iránt várhatóan megnőnek az igények.

Szakértők szerint az egyik megoldást az egyes országok globális kitettségének csökkentésére a saját technológiák alkalmazása jelentheti, ebben azonban Európa lemaradásban van - ma elsősorban amerikai, kínai, izraeli, orosz technológiákat használunk. Magyarországon is voltak jó példák, lásd a Vírusbuster, csak ezeket a lehetőségeket elengedtük, mint ahogy például ma a legtöbb helyen nem hazai gyártású tűzfalakkal védjük a hálózati határt. "Kérdés, hogy mennyit tudunk saját fejlesztésből, eszközökből, gyártani, mi az, amiben kiszolgáltatottak maradunk. Az adatok például többnyire nem nálunk vannak, vagy ha igen, nincs meg a képességünk, hogy megfelelően elemezzük azokat. Ehhez is mások technológiáját kell megvennünk" – összegzi a szakember.

Az ITBN CONF-EXPO 2018 két napja alatt az érdeklődők 80 programpont keretében ismerhetik meg majd a hazai és nemzetközi gyártók és disztribútorok kínálatát. Az esemény célkitűzése ugyanis nem más, mint közel hozni a szakmán belül a trendeket, friss információkat, illetve helyszínt biztosítani a debütáló innovációknak, és nem utolsósorban a kapcsolatteremtésnek is, illetve az olyan nyílt vitáknak, amelyek a fenti kérdésekre adhatnak válaszokat.