Előző cikkünkben említettük, hogy vészesen közelít a június vége, ameddig minden érintettnek el kell indítania a NIS2 alkalmazásba vételét. Ennek számos lépése van, de a lényeg egy: az Európai Unióban kiemelt tevékenységet folytató vállalatok általános kiberbiztonsági szintjét magasabbra kell emelni. Mi kell ehhez? Többek között a tárolt, használt és mozgatott adatok védelme, aminek egyik, nagyon fontos eszköze a titkosítás.

Posztkvantum titkosítás
Napjaink titkosításainak feltörése brute force technikával gyakorlatilag lehetetlen, legalábbis akkora erőforrást igényelne, amennyit a támadók nem tudnak mozgósítani. Sokak szerint azonban a kvantumszámítógépek pont ilyen területen teljesítenek majd jól, és a legerősebb hagyományos titkosításokat is pillanatok alatt megtörik. A NIST már 2012 óta dolgozik a kvantumkorszak PQC-ként (post-quantum cryptography – a kifejezés a New Scientist szerint Bernstein találmánya) is emlegetett titkosítási szabványán, ami kvatumszámítógépekkel sem törhető.

Az NSA homályos szerepe a szabványosítási folyamatban arra utal, hogy az amerikai kiberkémek szeretnék gyengíteni a titkosítást, illetve a szabványba csempésznének olyan gyenge pontokat, melyeken keresztül később az implemetációkat fel tudják törni. Mivel a NIST szabványait világszerte használják, ezeknek a hibáknak óriási lehet a hatása.

További részletek a témában.

Alice és Bob végre nyugodtan beszélgethet

A NIS2 nem pontos technikai útmutató, hanem keretrendszer, ami előírja, hogy milyen elveknek kell érvényesülniük adott helyzetben. Nincsen ez másként a kriptográfia területén sem, melyben szabályozói oldalról hazánkban még nincsen annyira letisztult állapot, mint amit például a személyes adatok védelmével foglalkozó, szintén európai uniós GDPR terén már élvezhetnek az érintettek.

Nem maradnak kapaszkodó nélkül azért a szervezetek, hiszen a keretrendszer leírása több helyen is kitér a teendőkre. Alapelv, hogy végpontok közötti (end-to-end) titkosítást kell használnia az érintett szervezeteknek, ezzel védve a nyilvános elektronikus kommunikációs hálózatok és rajtuk keresztül zajló kommunikációs szolgáltatások biztonságát. Vagyis a két különböző lokáció közötti adatforgalom (in motion) titkosításáról gondoskodni kell, a digitális közegben utazó adatok nem maradhatnak védtelenek.

Mit jelent ez a gyakorlatban? Például olyan biztonsági kommunikációs protokollok alkalmazását, mint a webes böngészésben a HTTPS (melynek használatára már évek óta kényszerítik a felhasználókat a web nagyágyúi, mint a Google vagy a Mozilla) vagy a virtuális magánhálózatok (VPN). Szintén egyre gyakrabban alkalmazott módszer az SSL/TLS (Secure Sockets Layer / Transport Layer Security) vagy a hálózati útválasztók közötti forgalmat "alagútba" terelő GRE (Generic Routing Encapsulation) protokollok alkalmazása.

E-mailes titkosítással ez az adatátviteli közeg is védhető az információlopással szemben, illetve az olyan biztonságos file-átviteli módszerek alkalmazásával, mint a titkosított e-mailcsatolmányok vagy a nyilvános kulcsú titkosítás (PKE).

Tárolni is biztonságosan kell

Figyelembe kell venni, hogy a végpontok közötti titkosítás önmagában még nem elegendő a teljes adatvédelemhez, hiszen az információ biztonságos tárolásáról is gondoskodni kell. A végponti titkosítás jelenti az utolsó védelmi vonalat ebben a tekintetben, vagyis a különböző tárolókon (at rest) levő információ a mozgatás fázisán túlmenően illetve azt megelőzően is biztonságban kell, hogy legyen. Ezt a kitételt egyébként nem lesz nehéz biztosítania az érintett szervezeteknek; a GDPR megfelelősség miatt már évek óta alkalmazniuk kell a feladatra valamilyen módszert.

Nézzünk néhány kézzelfogható lehetőséget! A meghajtók teljes titkosítása, a kiemelt fontosságú állományok és mappák titkosított konténereben való tárolása lehetővé teszi, hogy külső fél ne tudjon mit kezdeni az adatokkal még akkor sem, ha illegális módon hozzáférés birtokába jutott.

Szabályozott hozzáféréssel és különböző – például többfaktoros – hitelesítéssel ugyancsak mérsékelhető annak veszélye, hogy illetéktelenek birtokába kerülnek fontos adatok. A biztonsági másolatokat is titkosítottan és biztonságos lokáción kell tárolni, amivel nem csak az adatvesztés kockázata minimalizálható, hanem az adatszivárgásé is.

A legsérülékenyebb állapot

Végül, és talán ez jelenti a legnagyobb kihívást, a használatban levő (in use) adatok védelméről ugyancsak gondoskodni kell. Ezalatt azokat az információkat értjük, melyekhez a felhasználók vagy alkalmazások éppen hozzáférnek, megnyitnak. A használatban levő adatok védelmében jellemzően nem vesznek részt kriptográf szoftverek, vagyis az ilyen típusú információ feletti őrködés kihívást jelenthet az érintett szervezetek számára. Hiába van ugyanis titkosítottan tárolva és mozgatva az információ, ennek a titkosításnak a feloldását, vagyis a megnyitását követően kvázi védtelenné válik az adatlopással szemben.

A probléma alól feloldozást az adatfeldolgozás közbeni védelmi technikák alkalmazása jelent. A személyazonosság-felügyelet (identity management) az egyik leghasznosabb eszköz; alkalmazásával felfedhetők a felhasználói viselkedés anomáliái, és megakadályozható a személyazonosság-lopás (identity theft). Ezt jellemzően egyszeri bejelentkezéssel (SSO), két- vagy többfaktoros felhasználói hitelesítéssel és hozzáférés-kezeléssel lehet biztosítani.

Az ellenállás hasztalan

Nem (csak) azért hiányozhat egy szervezet eszköztárából a titkosítás, mint védelmi megoldás, mert nem gondoltak az alkalmazására. Számos ellenállási pont azonosítható be a biztonsági funkcionalitás kibővítésére tett erőfeszítések során. Ezek jellemzően a tervezéséhez és bevezetéséhez szükséges idő és erőforrások hiányára, a megnövekedő költségekre és a bevett gyakorlatokra rárakódó komplexitástól való tartózkodásra (vagy ezek kombinációira) vezethetők vissza.

A jó/rossz hír (nézőpont kérdése) az, hogy a témával már muszáj foglalkozni. Noha eddig sem kedv kérdése volt az elhatározás, a NIS2-ben érintett szervezeteket hamarosan komoly büntetési tételek szorítják rá a biztonság növelésére. A befektetés ugyanakkor megéri, hiszen a védettebbé váló rendszerekben kisebb eséllyel történik biztonsági incidens, ami jótékony hatást gyakorolhat az üzletmenetre és a vállalati jó hírnévre is.

A feladat ráadásul adott tevékenységi körben – bizonyos méret felett – minden felet érint. Nem jelentenek tehát versenyhátrányt rövidtávon a megugró költségek, azokat ugyanis a piac összes szereplőjének be kell fektetnie, ha korábban nem, vagy csak részben kerítettek rá sort. Könnyebbé teszi a feladat elvégzését, hogy egyetlen szervezet sem köteles a feladatot kizárólag saját maga ellátni. Az IT-biztonsági piac számos szereplője nyújt átfogó, gyakorlati megoldásokat azokra a kihívásokra, melyeket a NIS2 szabályozói oldalról hivatott kezelni.

Ez a cikk független szerkesztőségi tartalom, mely a Balasys IT Zrt. támogatásával készült. Részletek »