NEMZETVÉDELMI EGYETEMI KÖZLEMÉNYEK
SCHUTZBACH MÁRTONNÉ DR. JOHAN ERZSÉBET
AZ INFORMATIKAI RENDSZEREK BIZTONSÁGA, A KOCKÁZAT MEGHATÁROZÁSA „Zérus kockázat nem létezik.” Kemény János1
Technikai rendszerekben nem létezik tökéletes biztonság, a 100%-os álomhatár csak nagy ráfordítással közelíthető meg.2 Így előtérbe kerül a kockázatelemzés, amelynek alapvető célja olyan objektív információk szolgáltatása, amelyek segítségével lehetőség van a kockázatok elfogadására vagy csökkentésére, a rendkívüli vagy katasztrofális események elkerülésére. Az ellenőrzések során feltárt hiányosságok képezik azon védelmi intézkedések alapját, amelyek biztosítják, hogy minimális legyen a védelmi képességek kívánt és valós szintje közötti különbség. A kockázatok meghatározása elősegíti az egyenszilárdságú védelem kialakítását is. A cikkben az informatikai rendszerek biztonságával, a biztonság és a kockázat kapcsolatával, a kockázat matematikai és gyakorlati megközelítésével, a kockázat kiszámításának különböző lehetőségeivel foglalkozom.
A BIZTONSÁG ÉS A KOCKÁZAT KAPCSOLATA A biztonság fogalma pozitív oldalról közelíti meg az informatikai rendszer kívánt állapotát, a kockázat a rendszert fenyegető tényezőkről ad információt. Célszerű, ha az informatikai biztonságot a kockázat függvényében definiáljuk. (1. sz. ábra) Eszerint egy rendszer biztonságos, ha minden esemény vagy fenyegető tényező kockázata kisebb egy előre meghatározott határ-kockázatnál. A határkockázat a legnagyobb, még megengedhető kockázat, átlépve ezt a határt a már nem biztonságos területre érünk. 1 2
Kemény János (1926–1992) matematikus, a BASIC programozási nyelv kifejlesztője. 1987-ben Charles Perrow (Professor of Sociology Emeritus at the University of Yale) gyakorlati események elemzésével és elméleti úton is kimutatta, hogy a magasan fejlett technológiai rendszerekben nem létezik abszolút biztonság.
140
VEZETÉS- ÉS SZERVEZÉSTUDOMÁNY
1. sz. ábra. Informatikai biztonság a kockázat függvényében A kockázatelemzés során meg kell határozni a rendszer határ-kockázatát (Kh), valamint a fenyegető tényezők kockázatát (Ki) Ki ≤ Kh (i =1,2,…,n)
(1)
Amennyiben a kockázatot a fenyegető tényezők bekövetkezési valószínűségének (Pi) és a kár nagyságának Si szorzataként számítjuk ki, akkor felírható a következő összefüggés: Pi Si ≤ Ph Sh (i =1,2,…,n)
(2)
Az informatikai biztonsági kockázatelemzés során a kockázat kvantitatív vagy kvalitatív módon határozható meg. A kvantitatív kockázatelemzés a lehetséges informatikai kockázatok számszerűsítése. Az előre megadott kockázati skálán való értelmezés és ábrázolás szemléletesebbé teszi az informatikai rendszerben történő változtatások, javítások szükségességét. A kvalitatív kockázatelemzés során nem valószínűségeket, biztonsági mérőszámokat állapítanak meg, hanem súlyossági és kockázati szinteknek egy fogalmi meghatározását adják.
A KOCKÁZAT MÉRTÉKÉNEK MATEMATIKAI DEFINÍCIÓJA A kockázat kiszámításához a független fenyegető tényezők közel teljes körű feltárásával lehet eljutni. A közel teljes körű feltárás azt jelenti, hogy a fenye141
NEMZETVÉDELMI EGYETEMI KÖZLEMÉNYEK
gető tényezők halmaza általában nem fedi le a teljes eseményteret, de arra kell törekedni, hogy ezeket a tényezőket mind teljesebben írjuk le. A teljes valószínűség tételét alkalmazva kapjuk a kockázat becslését: P =P(A1)P(K|A1)+P(A2)P(K|A2)+ … +P(An)P(K|An) = n
∑ P( A ) P( K| A ) i
i
(3)
i =1
ahol: P(Ai) ≠ 0 ; i ∈ N+; P — a kockázat valószínűsége; P(Ai) — az i. fenyegető tényező bekövetkezésének a valószínűsége; P(K|Ai) — az i. fenyegető tényező bekövetkezésekor keletkező kár feltételes valószínűsége. A kockázat ilyen módon való meghatározásának nagy előnye a szilárd elméleti alap és a jól definiált fogalmak, de a gyakorlatban több probléma is felmerülhet: ¾ a teljes eseményrendszer megadásának a nehézsége; ¾ a képletben szereplő valószínűségek meghatározásához nem áll rendelkezésre elég statisztikai, tapasztalati érték; ¾ sok valószínűséget kell meghatározni és megadni; ¾ valamilyen változás esetén az értékeket újra meg kell határozni; ¾ a keletkezett károk becslése is problémát jelenthet. Egy informatikai rendszerben elsődleges, másodlagos3 stb. kárról is beszélnünk kell. Tehát fel kell tárni az áttételes hatásokat, meg kell becsülni az elsődleges, másodlagos, n-edleges károk nagyságát.
GYAKORLATI MEGVALÓSÍTÁS A matematikai definíció után meg kell vizsgálni a megvalósítási lehetőségeket. Az egyes esetek pozitívumait és negatívumait vizsgálva megtalálható az adott helyzetben alkalmazható megoldás. 1. A kockázatot meghatározhatjuk a kárérték, pl. forintban kifejezett és a kár előfordulási valószínűségének, pl. 1/év formában meghatározott értékének a szorzataként. A kár- és a valószínűség-értékekre a gyakorlatban többnyire még nagyságrendi becslést is nehezen lehet adni, mert kevés a rendelkezésre álló statisztikai adat, másrészt a kárértéket sokszor nagyon nehéz vagy esetleg lehetetlen pénzben mérni. 3
Elsődleges kár lehet pl. a winchester meghibásodása, másodlagos kár a tárolón lévő adatok elvesztése, harmadlagos kár esetleg a jó hírnévben vagy üzletmenetben esett kár.
142
VEZETÉS- ÉS SZERVEZÉSTUDOMÁNY
2. Amennyiben a konkrét forint összeg és az évenkénti gyakoriság nehezen határozható meg, akkor a kár nagyságrendjét vagy a gyakoriságát sorrendivagy intervallumskálán is becsülhetjük. Így a kockázat a kár és a gyakorisági nagyságrend szorzata. Ennél a módszernél a nagyságrendek durva szubjektív becslése okozhat problémát, amelyet esetleg kis számú megfigyelés alapján, néhány személy szempontjait figyelembe véve teszünk. 3. A kockázat kiszámításánál nem a szorzás az egyetlen alkalmazható művelet. Előfordulhat, hogy a kockázatot a két alaptényezőnek — a kár és a gyakoriság nagyságrendje — nem a szorzataként, hanem más művelettel vagy műveletekkel számítjuk ki. A károkhoz és a gyakoriságokhoz skálaértékeket rendelünk, ezért a kárérték és a gyakoriság skálaértékének az összege fejezi ki a kockázatot. Ezt az elképzelést a kockázati mátrix elkészítésének szabálya támasztja alá, a mátrix celláiba kerülő értékek meghatározott szabálybázis alapján tölthetők ki. Ez a szabálybázis sugallja, hogy a kockázatot a megfelelő skálaértékek összege adja. Az informatikai rendszerek biztonságának kockázatelemzésénél is használható a projekt sikerének előzetes kockázatelemzésénél alkalmazott kockázat kiszámítási módszer, amely szerint: kockázat = a gyakoriság skálaértéke + a kárérték skálaértékének kétszerese. 4. A német nyelvű szakirodalomban4 olvasható a következő számítási mód: K = (C1 + C2 + C3 + C4 + C5) ˙ W ˙ P
(4)
Ahol: K: kockázat; C1: az eredeti állapot helyreállításának költsége; C2: a rendelkezésre-állás költsége; C3 : a követelmények összehangolásának költsége; C4: az információ kiáramlás költsége; C5: a büntetetések vagy biztosítások költsége; W: súlyosság, nem anyagi érték, pl. a jó hír elvesztése; P: a kár bekövetkezésének valószínűsége. 5. A veszélynek való kitettség időtartamának figyelembevétele a kockázat számításánál. Az informatikai rendszerekben a kockázat meghatározásához más területek kockázatszámítási módszerei is felhasználhatók, vagy hasznos tapasztalatok szerezhetők a már meglevő egyéb területek kockázatszámítási módszereinek tanulmányozásával. Az egészségügyben például a káros hatások kockázatának számításánál elengedhetetlen, hogy a hatásnak való kitettséget is figyelembe vegyék. Az 4
http://agn-www.informatik.uni-hamburg.de/papers/doc/diparb_michaelsen.pdf.
143
NEMZETVÉDELMI EGYETEMI KÖZLEMÉNYEK
informatikai rendszerek kockázatelemzésénél kevésbé gondolunk erre a tényezőre, pedig pl. az internethez való csatlakozás időtartama növeli a számítógépes rendszerek biztonsági kockázatát. Ezen tényező figyelembe vételével a kockázatot a kár súlyosságának, bekövetkezési valószínűségének és a veszélynek való kitettség időtartamának szorzataként határozhatjuk meg. Itt kell megemlíteni a honeypot megfigyelő eszközt, amit magyarul mézesbödönnek fordíthatnánk. A mézesbödön egy speciális, látszólag védtelen szerver és adatbázis, amely valójában a behatolásokat rögzíti és analizálja. A honeypot számítógépeket felkínálják a betörésre, s naplózzák a történteket. A honeypot segítségével a támadás korán felismerhető, hatástalanítható, ismeretek szerezhetők a betörő tevékenységéről, a hálózatot ért támadások gyakoriságáról. Így ez segítséget ad abban, hogy az egyes részterületek kockázatszámításánál a támadások gyakoriságát jobb megközelítéssel adjuk meg. 6. Biztosítási kockázat. Az informatikai biztonság következő megközelítése elsődlegesen pénzügyi szemléletet tükröz. Descartes-féle koordinátarendszerben ábrázoljuk a biztonsági szintet a ráfordítás függvényében (2. sz. ábra). Nagyobb biztonság egyre nagyobb ráfordítással érhető el.
2. sz. ábra. A biztonsági szint a ráfordítás függvényében Az értékelendő biztonsági szintekhez meg kell határozni, hogy az adott helyzetben a biztonsági hiányosságok miatt mekkora a kockázatnak kitett érték. Ha az előbbi, azaz egy koordinátarendszerben ábrázoljuk ezeket az értékeket, akkor meghatározható az a biztonsági szint, ahol optimális a kockázati érték és a biztonsági kiadás. A vízszintes tengelyen a ráfordítás és a kockázati érték forintban kifejezett értékét, a függőleges tengelyen a biztonsági szintet %-ban ábrázoljuk 144
VEZETÉS- ÉS SZERVEZÉSTUDOMÁNY
(3. sz. ábra). Keressük azt a biztonsági szintet, ahol a kockázat és a biztonsági kiadások összege minimális (A pont).
3. sz. ábra. Optimális kockázati érték és biztonsági kiadás a görbék metszéspontjában A minimális kockázati érték és a biztonsági kiadás nem feltétlen a görbék metszéspontjában van, hanem ott, ahol meredekségük ellentétes, azaz a ráfordítás egységnyi növekedése megegyezik a kockázati érték egységnyi csökkenésével (4. sz. ábra). A B pont az a biztonsági szint, ahol a kockázat és a biztonsági kiadások összege minimális.
4. sz. ábra. Optimális kockázati érték és biztonsági kiadás a görbék meredekségéből következtetve 145
NEMZETVÉDELMI EGYETEMI KÖZLEMÉNYEK
A módszer gyenge pontja a kockázati érték meghatározása, de nagyon jól használható, ha a kockázati érték könnyen összegezhető. 7. Fuzzy logika alkalmazása a kockázatok meghatározásánál A gyakorlati életben használatos kockázatelemzési módszerek, módszertanok nehezen alkalmazhatók a homályosan megfogalmazott, nem strukturált problémák elemzésére. Ha a problématerület nem körvonalazott eléggé pontosan, nehéz azonosítani, felismerni és formálisan megfogalmazni, ott segédeszközként alkalmazható a Fuzzy logika. Egy fuzzy algoritmus felépítése: Számszerű bemenő értékek
Fuzzyfikálás
¾
¾
Fuzzy input Fuzzy szabályok Ha…akkor Ha…akkor … Ha…akkor
¾
Fuzzy output
¾
Fuzzyfikálás: a bemeneti értéket fuzzy értékre alakítja át, tehát meghatározzuk a bemenő paraméterek tagsági fokát. Következtetés: A szabályrendszer feladata, hogy alkalmazza a szabálybázisban leírt szabályokat és létrehozza a kimeneti fuzzy típusú értékeket. Összeépítés: Az egyes kimenetek esetében egy halmazba öszsze kell fogni az összes szabályt, mely hat rá. Defuzzyfikálás: A kapott matematikai eredményt vissza kell alakítani számértékké.
defuzzyfikálás
Számszerű kimenő értékek 5. sz. ábra. Fuzzy algoritmus 146
A fuzzy logikával támogatott kockázatelemzésnél első lépésként a szabálybázist és a hozzá kapcsolódó fogalmakat és kategóriákat kell definiálni, ez a kockázati mátrix, valamint a súlyossági és valószínűségi fogalmak meghatározását jelenti.
VEZETÉS- ÉS SZERVEZÉSTUDOMÁNY
A szabálybázis meghatározása a kockázati mátrix felírásával:
A kár súlyossága
Előfordulási valószínűségek gyakori
valószínű
katasztrofális nagyon magas nagyon magas kritikus nagyon magas magas csekély magas közepes elhanyagolható közepes alacsony
eseti
ritka
magas magas közepes alacsony
magas közepes alacsony alacsony
nem valószínű közepes alacsony alacsony alacsony
A kár súlyossági kategóriáinak tagsági függvényei:
µ(x)
Jelölések: elhanyagolható:
1
csekély: kritikus:
x 1
2
3 4
5 6
7
8
9 10
katasztrofális:
6. sz. ábra. A súlyossági kategóriák tagsági függvényei (A kár súlyosságát [0;10] skálán vettem fel) Az előfordulási valószínűség kategóriák tagsági függvényei:
µ(x)
Jelölések:
nem valószínű: ritka: eseti: valószínű: x 0
0,0001 0,001 0,01
0,1
0,2
1
gyakori:
7. sz. ábra. A valószínűségi kategóriák tagsági függvényei (A valószínűség kategóriái a [0;1] skálán) 147
NEMZETVÉDELMI EGYETEMI KÖZLEMÉNYEK
µ(x) 1
x 0,001
0,005
0,007
8. sz. ábra. A valószínűségi kategóriák tagsági függvényei, a 7. sz. ábra egy részének nagyítása Kockázati kategóriák:
µ(x)
Jelölések: alacsony: közepes: magas: nagyon magas:
1
x 1
2 3
4
5 6
7 8
9 10
9. ábra. A kockázati kategóriák tagsági függvényei (A kockázat kategóriáit [0;10] skálán vettem fel) A konkrét megoldásnál a kockázati kategóriák tagsági függvényei ábrába berajzolható az összeépítés eredménye.
10. sz. ábra. Az összeépítés eredménye 148
VEZETÉS- ÉS SZERVEZÉSTUDOMÁNY
Defuzzyfikálás: Többféle defuzzyfikáló eljárás használatos, amelyek numerikus értéket rendelnek a végeredmény fuzzy halmazához. A különböző eljárások másmás eredményt hozhatnak ki, de a tagsági függvények formájának megváltoztatása kompenzálni tudja a defuzzyfikáció eltéréseit. A fuzzy elmélet alkalmazásának előnyei a kockázatelemzésnél: ¾ lehetőség van a számszerű eredmények további felhasználására; ¾ a rendszer egyszerű felépítésű, a szabálybázis felépítése könnyen érthető; ¾ precíz és pontatlanul definiált adatokat egyaránt tud kezelni; ¾ szemléletmódja közel áll az ember napi valóság-szemléletéhez. Hátránya, hogy elméletileg nem eléggé megalapozott. 8. Egyedi jelenségek kockázata: A valószínűség fogalmát a következőképpen adjuk meg: Ha n kísérletből az A esemény pontosan k-szor következik be, akkor a hányadost az A esemény relatív gyakoriságának nevezzük. Vannak olyan véletlen események, amelyeknél a relatív gyakoriság stabilitást mutat. Azt a számot, amely körül egy esemény relatív gyakorisága ingadozik, az illető esemény valószínűségének nevezzük. A valószínűségnek a relatív gyakoriságot felhasználó definíciójából következik, hogy a kis valószínűséggel várható, de igen súlyos következményű esetek kockázatának meghatározásával külön kell foglalkoznunk, mivel a szokásos számítási módszernél (kockázat = kár · gyakoriság) az egyik tényező a 0-hoz tart, a másik tényező pedig nagyon nagy is lehet. Az egyedi jelenségek kockázatának meghatározásánál más problémák is felvetődnek: ¾ általában a ritka események gyakorisága, nehezen becsülhető. Például a nukleáris balesetek bekövetkezésének valószínűsége 10-3-10-6. Tehát 103-106 üzemév alatt várható egy baleset bekövetkezése. A megtörtént több száz eset azonban nem ezt a számítást igazolja; ¾ a kár nagyságát is nehéz számszerűsíteni, mivel vagy nem rendelkezünk elég adattal vagy az adatok nem elég megbízhatók. A kár nagyságával kapcsolatos elemi események nem függetlenek, nem rendszeresen jelentkeznek, az események egyidejű bekövetkezése azok hatását jelentősen megnövelheti; ¾ esetleg be kell vezetni az érzékelt kockázat fogalmát is, ami azt jelenti, hogy a társadalom mekkora kockázatot, veszélyt érez egy-egy esemény mögött. Az érzékelt kockázat nagymértékben eltérhet a számított kockázattól, a kockázat szubjektív érzete nem csökken a gyakorisággal arányosan. A nukleáris baleset példájánál maradva egy atomerőműi balesetet nem érzünk századannyira kevésbé veszélyes149
NEMZETVÉDELMI EGYETEMI KÖZLEMÉNYEK
¾
nek attól, hogy valamilyen biztonsági szigorítás által a baleset százszor ritkább lett;5 a problémák kiküszöbölésére alkalmazzák a valószínűségi biztonságelemzést6, ahol a rendszerek tervezésének alapja egy teljes negatív esemény valószínűségének becslése, figyelembe véve a betervezett valamennyi védelem egyidejű megsérülésének lehetőségét is.
ÖSSZEFOGLALÁS Egy cikk keretén belül nem lehet kimerítően tárgyalni a kockázat meghatározásának témakörét. Célom annak az illusztrálása volt, hogy az informatikai rendszerek biztonságának kockázatelemzése során a kockázat meghatározásának többféle lehetősége van, más szakterületek kockázatszámítási módja is alkalmazható, figyelembe véve az informatikai rendszer sajátosságait. A munkámat azzal a nagyon gyakran megfogalmazott gondolattal szeretném zárni, ami az egész cikket is végig kíséri, hogy nincs teljes biztonság, csak tudatos kockázatvállalás. FELHASZNÁLT IRODALOM http://agn-www.informatik.uni-hamburg.de/papers/doc/diparb_michaelsen.pdf. POKORÁDI LÁSZLÓ: Döntés előkészítési módszerek a repülőgépek üzemeltetésében. Habilitációs tézisek, 2002. http://infosrv.tech.klte.hu/~pokoradi/tezis_fuzet.pdf. RÉNYI ALFRÉD: Valószínűségszámítás. Tankönyvkiadó, Budapest, 1968. Reaktorta. Nukleáris erőművek és környezetünk. http://www.energiaklub.hu/doc/kiadvanyok/14.pdf. SCHUTZBACH MÁRTONNÉ: Az informatikai rendszerek biztonságának kockázatelemzése a védelmi szférában. PhD értekezés, 2004.
5
Fechner-Weber-féle pszichofizikai törvény: az inger által kiváltott szubjektív érzet mértéke az inger fizikai mértékének logaritmusával arányos. 6 Probabilistic Safety Assessment — PSA.
150
