Önmagában nem elég

Az IT Business cikket jelentetett meg az etikus hackeléssel kapcsolatban. Bódi Gábor, a Puskás Tivadar Közalapítvány ügyvezető igazgatójával készült riport azonban nem csak ezen utólagos feladatra, hanem a preventív megoldásokra is felhívja a figyelmet és előre vetíti már a Közalapítványon belül működő Nemzeti Hálózatbiztonsági Központ (CERT-Hungary) ilyen irányú – ún. értéknövelt szolgáltatásokat célzó – fejlesztéseit is, amelyek ez év ősztől lesznek igénybe vehetők.

A próbabetörés akkor igazán hasznos, ha az etikus hack a biztonsági folyamatnak az egyik eleme csupán.

Mára – bizonyos cégméret fölött – az etikus hacker szolgálatainak igénybevétele szinte kötelezővé vált, mert tudni kell, hogy a szervezet IT-rendszerében hol vannak biztonsági rések. A trendivé vált próbabetörést – mely leegyszerűsítve: egy pillanatfelvétel arról, hogy e szűrőn át milyen állapotúnak látszik a rendszer – sokan összetévesztik a struktúra egészének védelmével. Bódi Gábor, a Puskás Tivadar Közalapítvány (PTA) ügyvezető igazgatója úgy látja, hogy emellett a megfelelő felkészültségre és a biztonsági munkák folyamatosságára is hangsúlyt kell fektetni. A prevenció ugyanakkor nem helyettesíti a „szintfelmérést”. „Az etikus hackelés fontos biztonsági fokmérője a rendszereknek, de az már egy folyamat vége. Ha valaki innen indul, a rendszere nem lesz biztonságos” – mondja Bódi Gábor.

Egy-egy etikus hack után a cégek figyelmét felhívják arra: a vizsgálatot valamilyen időközönként meg kellene ismételni, hogy láthatóvá váljon, milyen állapotban van a portál. Az etikus támadásnak rendszerint az a végkövetkeztetése, hogy a feltárt hiányosságok nagy része kiküszöbölhető lett volna már a struktúra tervezésekor, illetve a biztonsági paraméterek másféle beállításával. Ezért, már a rendszer tervezésekor érdemes bevonni egy IT-biztonsági minőségbiztosítót.

A CERT-közösségen keresztül folyamatosan publikálják a hibák és a veszélyek megoldókulcsait, amelyek a védelmi rendszerek megfelelő működését is szavatolhatják. A PTA jelenlegi fejlesztései akár teljesen automatikus módon, elektronikusan intézhető megoldás felé haladva próbálják meg összekapcsolni az igényeket a náluk meglévő tudással, hogy azokat az egyes cégek alkalmazás-portfóliójára is paraméterezni lehessen. Így a rendszergazda akár naponta, kockázatelemzéssel támogatva megkaphatja az ismertté vált réseket, és időben elvégezheti a foltozásokat. A szolgáltatást ősztől lehet térítés ellenében igénybe venni.

(IT Business)