Internetes biztonság: A hálózathoz biztonságosan kapcsolódó társadalom alapköve
Tyson Storch* Megbízható számítógép-használat Microsoft Corporation 2012. március 9.
* Az ismertető több közreműködő segítségével készült.
A munkához hozzájáruló személyek listája a B. függelékben olvasható.
1
Tartalom I. rész: Bevezetés ........................................................................................................................................................... 3 II. rész: Mi az az internetes biztonság? .............................................................................................................. 3 III. rész: A Microsoft megközelítése .................................................................................................................... 5 A.
A fenyegetettségi környezet megismerése .............................................................................................. 6 1.
Internetes támadás – Indítékok................................................................................................................ 6
2.
Internetes támadás − Főbb útvonalak .................................................................................................. 7
B
A Microsoft kockázatkezelési megközelítése .......................................................................................... 7 1.
Biztonságos termékfejlesztés kialakítása a termékek biztonsági rései jelentette
problémák megoldására ...................................................................................................................................... 8 2.
Az ellátási lánc biztonságának növelése ............................................................................................... 9
3.
Az üzemeltetési biztonság javítása ...................................................................................................... 10
4.
A biztonság javítása a Social Engineering jelenséggel szemben .............................................. 12
IV. rész: Új nemzeti törekvések az internetes biztonság terén ........................................................... 13 V. rész: Együttműködési megközelítések egy biztonságosabb internetes közeg érdekében ............................................................................................................................................................................................. 14 A.
Koordinált nemzeti internetbiztonsági stratégia................................................................................. 14
B
Rugalmas és gyors kockázatkezelés ......................................................................................................... 15
C.
Az információk innovatív megosztása ..................................................................................................... 17
D. Nemzetközi vonatkozások............................................................................................................................ 17 VI. rész: Összefoglalás. ............................................................................................................................................ 18
2
I. rész: Bevezetés Az internetes biztonság a hálózatba kapcsolt világ alapköve. A jövőben az internethasználók, valamint a készülékek számában, továbbá az adatok mennyiségében példa nélküli növekedés várható, ami hatalmas lehetőségeket, de egyben ijesztő kihívásokat is jelent. Az ismertető célközönségét alkotó állami döntéshozók számára ilyen kihívás például a közegészségügy és a közbiztonság, a gazdasági biztonság védelme, valamint a nemzetvédelem, amelyek mindegyike alapvető fontosságú egy modern ország irányításában. Mivel a Microsoft több mint egymilliárd ügyfél esetében szerzett tapasztalatot az internetes biztonsági kockázatok kezelése terén, kellő ismeretekkel rendelkezünk a jelenlegi és jövőbeni kihívásokról. Tíz éve indult útjára a Microsoft Megbízható számítógép-használat kezdeményezése. A jobb biztonság, hatékonyabb adatvédelem és megbízhatóság iránti elkötelezettségünk keretében továbbra is hangsúlyt fektetünk a kormányzati szervekkel, vállalatokkal és az állampolgárokkal folytatott együttműködésre. Egy szorosabban összekapcsolt társadalomban közösen tevékenykedve biztonságosabb, megbízhatóbb számítógépes élményt érhetünk el. Az ismertető 1) bemutatja a Megbízható számítógép-használat kezdeményezés internetes biztonsággal kapcsolatos megközelítését, 2) észrevételeket tesz a most megjelenő nemzeti álláspontokra vonatkozóan, 3) ajánlásokat tesz a kormányzati döntéshozók számára arra vonatkozóan, hogy milyen álláspontokat érdemes figyelembe venni az internetes biztonsággal kapcsolatos legfontosabb aggályok kezelésére szolgáló szabályzatok és gyakorlatok kidolgozása során. Ezen erőfeszítések sikere szempontjából központi fontosságú a koordinált nemzeti szintű internetes biztonsági stratégia, a rugalmas és gyors kockázatkezelés, valamint az információk globális szintű megosztása.
II. rész: Mi az az internetes biztonság? Az internetes biztonság több különböző elemből áll össze, az információbiztonságtól kezdve, az üzemeltetés biztonságán át, egészen a számítógépes rendszer biztonságáig. Az internetes biztonság különböző dolgokat jelent a különböző csoportok számára. Az átlagos felhasználók számára azt jelenti, hogy biztonságban érezhetik magukat és személyes adataik védelme is biztosítva van. A vállalatok számára az internetes biztonság a kritikus fontosságú üzleti funkciók rendelkezésre állásának biztosításáról, valamint a bizalmas adatok védelméről szól, amelyet az üzemeltetés biztonságának és az információbiztonságnak a fenntartásával érnek el. A kormányok számára az állampolgárok, a vállalatok, a kritikus fontosságú infrastruktúra, valamint a kormányzati számítógépes rendszerek támadástól vagy károkozástól való védelme a fontos. Bár 3
a definíciók eltérőek, az internetes biztonság alapvetően azokat a kollektív tevékenységeket és erőforrásokat jelenti, amelyek segítségével az állampolgárok, a vállalatok és a kormányok képesek biztonságos, egyedi és megbízható módon megvalósítani a számítástechnikai célkitűzéseiket. A kormányzati döntéshozók számára az ilyen célkitűzések között szerepel a közegészségügy és közbiztonság, a gazdasági biztonság védelme és a nemzetvédelem, amelyek alapvető fontosságúak egy modern nemzet vezetésében. Napjainkban az információs és kommunikációs technológiák (IKT) létfontosságú támaszt jelentenek a modern társadalom számára. Ez határozza meg továbbá azt is, ahogyan a kormány a közszolgáltatásokat, a gazdasági növekedést és a nemzetbiztonságot kezeli. Az Európai Unióban például az IKT-ágazat önmagában kiteszi a bruttó hazai termék öt százalékát.1 Ennél talán fontosabb az IKT-ágazat hatása a többi ágazatra, amely az internet összesített gazdasági hatásának hetvenöt százalékát teszi ki.2 Az IKT segíthet a kulcsfontosságú kormányzati célkitűzések, például a gazdasági stabilitás, biztonság, szabadság, társadalmi stabilitás, közbiztonság és oktatás céljainak megvalósításában, amelyek mindegyike a nemzet általános jóllétének és az állampolgárok életminőségének javulásához vezethet. Az információs és kommunikációs technikáktól való függőség ugyanakkor egyre több kockázattal is jár. Sokféle szereplő – az államoktól kezdve az igen kifinomult módszereket alkalmazó, és pénzzel jól ellátott bűnszervezetekig és a „hacktivisták” lazán kapcsolódó csoportjaiig – összpontosítja arra az energiáit, hogy kihasználja és megtámadja ezt az egyre inkább hálózatba kapcsolt környezetet. Ez új kihívásokat jelent a kormányzati döntéshozók számára, beleértve többek között a következőket: a támadók képesek távolról, névtelenül és villámgyorsan (egyetlen billentyűlenyomás százötven milliszekundum alatt kerüli meg a Földet) csapást mérni a rendszerre; a hagyományos személyi számítógépekhez és a kevésbé hordozható készülékekhez képest a biztonság terén esetlegesen elmaradó mobilkészülékek elburjánzása; valamint az internethasználók globális számának növekedése, amely felhasználók a saját tevékenységeiken keresztül újabb sebezhető pontokat hozhatnak létre. Figyelembe véve ezt a dinamikát, az internetes biztonság továbbra is szükséges alapkő lesz az IKT-ágazat egészében, hogy az ágazat fenntarthassa az innováció, a növekedés, a foglalkoztatás és társadalmi fejlődés motorjaként betöltött szerepét. Az internetes tér fejlődésével az IKTágazat egyre nagyobb hatással van a gazdaság többi ágazatára, ezért az internetes biztonságnak az új környezetek és fenyegetések megjelenésével összhangban kell fejlődnie. Mivel a fenyegetések és a technológiák képesek sokkal gyorsabban fejlődni, mint ahogy a szabályozási 1
Lásd: Az Európai Bizottság közleménye: Az európai digitális menetrend COM (2010) 245 Lásd: A McKinsey Global Institute jelentése: Internet matters: The Net’s sweeping impact on growth, jobs and prosperity (Az internet számít: Az internet mélyreható hatása a növekedésre, foglalkoztatottságra és a prosperitásra (2011) 2
4
folyamatok változnak, a kormánynak és az iparágnak közösen kell dolgoznia olyan megfelelő keretrendszerek kialakításán, amelyek lehetővé teszik, hogy az internetes biztonsági megoldások lépést tartsanak a dinamikusan változó fenyegetésekkel, miközben lehetővé teszik az innovációt is. A változó fenyegetésekkel való lépéstartás egyik fontos módja annak biztosítása, hogy a kormány és az iparág a kimeneten alapuló eredményekre is összpontosítson, ne csak az azokat eredményező folyamatokra. Röviden: inkább kockázatalapú biztonsági megoldásokról van szó, semmint a megfelelőség „kipipálásáról”.
III. rész: A Microsoft megközelítése Javasoljuk a kormányzati döntéshozók számára, hogy fontolják meg az ebben a III. részben bemutatott Microsoft gyakorlatok alkalmazását, amikor a saját szabályzataikat és gyakorlataikat alakítják ki az állampolgáraik számára. A Microsoft Megbízható számítógép-használat kezdeményezése tíz éve indult útjára, és tisztában vagyunk azzal, hogy a nagyobb biztonság, hatékonyabb adatvédelem és megbízhatóság iránti elkötelezettségünk3 a termékeink és szolgáltatásaink tekintetében minden eddiginél fontosabb. Az internetes biztonsági kockázatok kezelése terén szerzett tapasztalatunk révén kellő ismeretekkel rendelkezünk azon jelenlegi és jövőbeni kihívásokról, amelyekkel a kormányzati döntéshozók szembesülnek az internetes biztonsággal kapcsolatos stratégiák, tervek és szabályozások összeállításakor. Olyan módszereket és eszközöket fejlesztettünk ki, mint például a biztonsági fejlesztési életciklus (SDL), amelynek segítségével csökkenthető termékeink biztonsági réseinek száma, valamint olyan védelmi képességeket, mint például a Microsoft Security Response Center által kifejlesztettek, amelyek segítségével biztosítható a hatékony reagálás, amikor új biztonsági rések vagy támadási lehetőségek kerülnek azonosításra. Ezek az erőfeszítések mérhető pozitív hatással voltak a termékeink és szolgáltatásaink biztonsági profiljára. A Microsoft a biztonsági iparág és az ITökoszisztéma egészét felölelve végzi a tevékenységét. Együttműködünk kormányzati döntéshozókkal, műszaki és üzleti vezetőkkel, szabványügyi testületekkel és olyan érdekvédelmi csoportokkal, mint például a SAFECode,4 hogy támogassuk a biztonsági innovációt és mindenki számára javítsuk a számítógép-használat nyújtotta élményt. Az alábbiakban röviden áttekintjük a Microsoft kockázatkezelési megközelítését, beleértve a változó fenyegetettségi környezet megismerését, illetve ennek a tudásnak az alkalmazását a termékeink és szolgáltatásaink támadási felületének csökkentésére. Bár a kockázat sohasem
3
Bár ez az ismertető részletesen nem foglalkozik az adatvédelemmel vagy a megbízhatósággal, azok is alapvető pillérei a Megbízható számítógép-használat kezdeményezésnek. Az adatvédelemre és a megbízhatóságra vonatkozó további információkat lásd a Megbízható számítógép-használat oldalon. 4
A kód kiválóságára vonatkozó szoftvergaranciával kapcsolatban lásd: www.safecode.org.
5
szüntethető meg teljes mértékben, de kezelhető (például elfogadható, áthelyezhető vagy csökkenthető). Ugyan a kockázatkezelés valószínűleg nem újdonság a kormányok számára, az internetes biztonság jelentősen eltérő kihívásokat vonultat fel, és tapasztalatunk, valamint gyakorlataink a kormányok, a vállalatok és az állampolgárok hasznára válhatnak, miközben próbálják jobban megérteni és kezelni a náluk jelentkező internetes biztonsági kockázatot.
A. A fenyegetettségi környezet megismerése Amikor a kormányok azon dolgoznak, hogy a nemzetbiztonsági céljaikat hatékony internetes biztonságon keresztül mozdítsák előre, a támadások fő indítékainak és irányainak megismerése létfontosságú ahhoz, hogy az erőforrások hatékonyan és hatásosan alkalmazhatók legyenek ezen célkitűzések elérésére, és hogy a kockázatot a minimális szintre lehessen csökkenteni.
1. Internetes támadás – Indítékok Rethinking the Cyber Threat - A Framework and Path Forward (Az internetes biztonság új nézőpontból – keretrendszer és fejlődési út) című ismertetőjében Scott Charney5 az internetes támadások indítékait négy fő kategóriába sorolja be:
5
Számítógépes bűnözés: ide tartozik a legnagyobb számú elkövető (a fiatalkorú elkövetőktől kezdve a visszaesőkig) és a legváltozatosabb indítékok és tevékenységek (az összetett családi tevékenységtől kezdve egy adott IT-rendszer jelentős károsításáig nem háborús viszonyok között). Gazdasági kémkedés: bejutás a vállalatok és egyéb szervezetek rendszereibe szellemi tulajdonjogok, üzleti titkok és egyéb értékes adatok megszerzése érdekében. Gazdasági kémkedést általában egyedül dolgozó tisztességtelen szereplők végeznek, illetve a hazai ipart más nemzetek szellemi tulajdona ellopásával támogató (vagy hazai vállalat által végrehajtott, külföldi versenytársaitól való információlopást tétlenül néző) országok nevében dolgozó, az adott kormány által támogatott szereplők. Ebben a kategóriában egyértelműen felfogásbeli különbségek vannak a kormányok között arra vonatkozóan, hogy mi minősül elfogadható viselkedésnek. Több országban például úgy vélekednek, hogy a vállalkozásoknak egyenlő feltételek között kell versenyezniük, és a jogrendszereknek védeniük kell azok jogait, akik új ötleteket fejlesztenek ki, hogy azokkal anyagi haszonra tegyenek szert. A filozófiai vita másik területe – amely talán a gazdasági kémkedésnél még nagyobb kihívást rejt magában – a szólásszabadsággal kapcsolatos. Katonai kémkedés: azon állításokkal kapcsolatos, hogy egy adott nemzeti kormány beférkőzik egy másik nemzeti kormány rendszereibe (pl. kormányzati ügynökségekhez és/vagy katonai ipari bázisokba) és onnan adatokat szűr ki. Ezen állítások jelentőségének kisebbítése nélkül fontos felismerni, hogy a katonai kémkedés időtlen idők óta jelen van, és a katonai kémkedés áldozatai akár maguk is folytathatnak ilyen kémkedési tevékenységet.
Scott Charney a Microsoft Megbízható számítógép-használat kezdeményezéséért felelős vállalati alelnöke.
6
Internetes hadviselés: ez különösen bonyolult terület, mivel az internet megosztott és integrált tartomány. A fizikai világban könnyebb egymástól elválasztani a katonai és civil célpontokat. Az interneten nincs lehetőség ilyen egyértelmű szétválasztásra.
Az indítéktól függetlenül az internetes támadások komoly kihívást jelentenek, mivel az internet segítségével egy potenciálisan anonim és vissza nem követhető egyén gyakorlatilag minden erőforrás nélkül képes egy nemzeti kormány vagy vállalat kulcsfontosságú műveleteit fenyegetésnek kitenni, kockáztatva az állampolgárok és a gazdaság biztonságát.
2. Internetes támadás − Főbb útvonalak Az indítékon túl a kormányzati döntéshozóknak fontos ismerniük azokat a potenciális útvonalakat, amelyeket a tisztességtelen szereplők használhatnak a támadásokhoz:6
Termékek biztonsági rései. Az első terület, amelyre a támadók összpontosíthatnak, a termék előállítása során a termékbe kerülő biztonsági rések. Mivel az IKT-termékek egyre összetettebbek, ráadásul emberek állítják elő őket, ezért sosem lesznek tökéletesek. A támadók a hardverekben és szoftverekben (beleértve az operációs rendszert, az alkalmazásokat és a szolgáltatásokat) található biztonsági rések kihasználásra törekszenek. Ellátási lánc, beleértve a termékek integrálását és szállítását. A második olyan terület, amelyet a támadók megcélozhatnak, annak érdekében, hogy biztonsági réseket juttassanak be az ügyfél által átvett termékbe vagy szolgáltatásba. Ezeket a tevékenységeket közös néven ellátásilánc-problémáknak nevezzük, és ide tartoznak a termékszállítókat és alvállalkozókat ért támadások, a rosszindulatú belső munkatársak tevékenysége, valamint az olyan, nem eredeti termékek, amelyeket a szállítás vagy az ügyfélnél történő telepítés során illetéktelenül módosíthattak. Az üzemeltetés biztonsága. A termék előállítását és az ügyfélhez történő biztonságos leszállítását követően a támadó megfigyeli, hogyan van telepítve és milyen házirendeket használ a termék, valamint gyenge pontokat keres a szervezet üzemeltetési biztonságában. Potenciális gyenge pontokról beszélünk, ha a vállalat nem törekszik a lehető legkevesebb jogosultságot biztosító fiókok alkalmazására a hálózaton, illetve ha nem követeli meg erős jelszók használatát, szoftverfrissítések és biztonsági javítások időben történő alkalmazását, vagy nem megfelelően jár el az új munkatársak kiválasztása során. Social Engineering (felhasználói közreműködés). A termékek és szolgáltatások biztonságának javulásával egyre inkább a social engineering lesz a választott támadási útvonal. Az internetes támadók egyre ügyesebben hoznak létre valósnak tűnő e-mail üzeneteket, amelyek rosszindulatú kódot tartalmaznak. Például valaki IT-munkatársnak adja ki magát, és jelszó megadását kéri. A social engineering elleni védelem és a jelenség visszaszorítására irányuló tervezési erőfeszítések korábban az üzemeltetési biztonság részeként szerepeltek, de a Microsoft most már külön területnek tekinti ezt.
Matt Thomlinson, a Microsoft Megbízható számítógép-használat kezdeményezéséért felelős főigazgatója négy olyan területet említett, amelyre a támadók koncentrálhatnak. Lásd a vitaindító beszédet, amely a NATO 2011-es Információbiztonsági Szimpóziumán hangzott el. 6
7
B. A Microsoft kockázatkezelési megközelítése A fentiekben körvonalazott internetes támadási útvonalakra reagálva a Microsoft folyamatos erőfeszítéseket tesz a kockázatok kezelésére, hogy előmozdítsa a biztonságos terméktelepítést, az ellátási lánc biztonsági kockázatainak kezelésére szolgáló gyakorlatokat, javítsa az üzemeltetési biztonságot, valamint többet tudjon meg a social engineering jelenségről. Különböző belső kockázatkezelési programokra és módszerekre (beleértve az érettségi modelleket, a kockázatprofil- és értékelési eszközöket) építve a Microsoft folyamatosan javítani kívánja kockázatkezelési megközelítéseinek hatékonyságát és hatásosságát. A Microsoft szükség szerint megosztja ezeket a gyakorlatokat az iparággal és a kormányzati döntéshozókkal.
1. Biztonságos termékfejlesztés kialakítása a termékek biztonsági rései jelentette problémák megoldására A termékfejlesztés kezdetétől a Microsoft szigorú folyamatokat és eszközöket alkalmaz a biztonsági rések számának csökkentése érdekében. A Biztonsági fejlesztési életciklust (SDL) minden termékre alkalmazzuk a fejlesztés során, és ez az eszköz bizonyítottan képes növelni a szoftverek biztonságát. Az SDL-folyamatot és számos egyéb eszközünket mások számára is elérhetővé tettük, melyek az alábbi weboldalról tölthetők le: http://microsoft.com/SDL.7 Az SDL úgy ér el eredményeket, hogy csökkenti a termék biztonsági réseinek számát, valamint növeli a támadás költségeit. Azt tapasztaljuk, hogy a támadók kezdenek kevésbé érdeklődni a Microsoft termékei iránt, ahogy azokat egyre nehezebb megtámadni. Az IT Threat Evolution (ITfenyegetettségek alakulása) jelentés 2011 augusztusi kiadásában8 a 10 legfontosabb szoftveres biztonsági rés felsorolásában nem szerepelt Microsoft termék. Mostanra számos kormány és vállalat alkalmazza az SDL folyamatot a saját belső szoftver- és szolgáltatásfejlesztési erőfeszítéseik során.9 Enyhítő eszközökbe is befektetünk, így ha egy támadó felfedez valamilyen szoftveres biztonsági rést, sokkal nehezebb lesz kihasználnia. Ezek az enyhítő eszközök (mint például a Windows Vista rendszerben és a későbbi termékverziókban is megtalálható Address Space Layout Randomization 10) be van építve a termékbe és általában alapértelmezés szerint engedélyezett az 7
A Microsoft-erőforrások válogatott listáját lásd az A. függelékben.
8
Lásd: „IT Threat Evolution: Q2 2011” Kaspersky Labs, 2011. augusztus 11. 9 Lásd: „Defense Information Systems Agency Application Security and Development Security Technical Implementation Guide (STIG) (Védelmi információs rendszerek ügynöksége: Alkalmazásbiztonsági és feljesztésbiztonsági műszaki telepítési útmutató) (2. változat, REL. 1) (2008. júl. 24.); Lásd még a Microsoft ismertetőjét: „MidAmerican Energy Holdings Company uses Microsoft SDL to make its Software More Secure (Közép-amerikai energiaholding-vállalat a Microsoft SDL-folyamata segítségével teszi a szoftvereit biztonságosabbá“ 2011. március. 10
Az ASLR általános definícióját lásd: https://secure.wikimedia.org/wikipedia/en/wiki/Address_space_layout_randomization
8
operációs rendszerben. Bár ezek nem tűnnek fel a számítógép használata közben, segítenek a támadási felületek csökkentésében. Végezetül fontos még a szoftverfrissítések alkalmazása, hogy gyorsan reagálni lehessen a különböző problémákra, és csökkenteni lehessen az ismeret biztonsági rések ellen irányuló támadások valószínűségét. A Microsoft mindent elkövet annak érdekében, hogy ezek a frissítések naprakészek, könnyen telepíthetőek és megbízhatóak legyenek.
2. Az ellátási lánc biztonságának növelése A Microsoft ellátási lánca biztonságának növelésére tett erőfeszítések részét képezik kockázatkezelési megközelítésünknek. Az ilyen erőfeszítéseknek a normál eljárás részét kell képezniük a kormányok esetében is. Az elmúlt néhány évtized fantasztikus globális átalakulása a globális szabad kereskedelem és az IKT-innováció eredménye. Azonban a kormányok világszerte elkezdték kifejezni aggályaikat az IKT-termékek globális ellátási lánca miatt az IKTrendszereiket érintő fenyegetésekkel kapcsolatban. Ezek az aggályok azon a kockázaton alapulnak, hogy egy adott ellenfél illetéktelenül módosíthatja a termékeket azok fejlesztése, gyártása, előállítása vagy szállítása során. Ezen aggályokra válaszul egyes kormányok megkezdték az ilyen ellátásilánc-kockázatok csökkentésére szolgáló szabályzatok és követelmények kidolgozását. A Microsoft megérti ezeket az aggályokat. A különféle és egymással versenyző gazdasági, politikai és katonai érdekek világában egyetlen ország sem kíván olyan termékektől és szolgáltatásoktól függeni, amelyeket valamely ellenfelük esetlegesen manipulált. A kormányok és az őket támogató beszállítók (mint például a Microsoft) számára az ellátásilánckockázat kezelése jelentette kihívást kiegészíti az ellátási láncokból fakadó összetettség is. Az információs és kommunikációs termékek és szolgáltatások szállítását támogató ellátási láncok emberek, folyamatok és technológiák globálisan eloszló és dinamikus csoportjaiból állnak, amelyek számos hardver- és szoftverösszetevőre kiterjednek. A kockázatokat ezért nem egyszerű számszerűsíteni és javítani; nehéz megállapítani, hogy egy adott folyamat, hardverösszetevő vagy egy komplex szoftver ki volt-e téve rosszindulatú manipulációnak vagy módosításnak, mivel a rendelkezésre álló tesztelési lehetőségek nem tudnak kielégítő választ adni erre a kérdésre. 2011-ben a Microsoft két ismertetőt adott közre a számítógépes ellátási lánc kockázatainak kezeléséről. Az első ismertető, a Cyber Supply Chain Risk Management: Toward a Global Vision of Transparency and Trust (A számítógépes ellátási lánc kockázatainak kezelése: az átláthatóság és
9
bizalom globális jövőképe felé) bemutat néhány olyan alapvető elvet, amely segítségével a kormányok és a szállítók hatékonyabban tudják kezelni az ellátási láncra vonatkozó szabályzatokat. A második ismertető, a Toward a Trusted Supply Chain: A Risk-Based Approach to Managing Software Integrity (Egy megbízható ellátási lánc létrehozása: Kockázatalapú megközelítés a szoftverek sértetlenségének kezelésére) keretet biztosít a szoftversértetlenségi kockázatkezelési gyakorlatok pragmatikus létrehozásához és értékeléséhez a termékfejlesztési folyamat és az online szolgáltatási műveletek során. Miközben egyes országok lépéseket tesznek a külföldi termékektől való függőség csökkentésére és (érthetően) a hazai innováció támogatása érdekében, a Microsoft úgy véli, hogy a hazai szállítók favorizálását rögzítő nemzeti politikák kereskedelmi korlátokat hoznak létre, aláássák a külföldi befektetéseket és megfosztják a hazai ipart a világ más részeiről származó technológiai innovációk jelentette előnyöktől. A kérdés ezért így vetődik fel: „Hogyan védhetik meg az egyes országok nemzetbiztonsági érdekeiket anélkül, hogy szükségtelen mértékben aláásnák a globális ellátási lánc által előállított értéket?”. A kérdés megválaszolásához ismerni kell a megbízhatósági probléma elemeit, valamint ésszerű és megvalósítható keretrendszert kell kialakítani az ellátásilánc-kockázatok kezelésére. Azt javasoljuk, hogy az ellátásilánc-problémákra vonatkozó nemzeti kockázatkezelési megközelítés kidolgozásakor a kormányok négy alapelvet vegyenek figyelembe az ellátási lánccal kapcsolatos munka során: (1) kockázatalapúak legyenek, közösen kialakított szabványokat alkalmazzanak; (2) legyenek átláthatóak; (3) rugalmasak; és (4) kölcsönösek.11
3. Az üzembiztonság javítása A nívós üzembiztonság és a legjobb gyakorlatok használata létfontosságú bármely kockázatkezelési megközelítés esetében, és minden kormánynak kritikus összetevőként kell figyelembe vennie ezeket. A fentiekben leírtak szerint a támadók gyakran olyan telepítési problémákat keresnek, mint például a javítócsomaggal nem frissített vagy nem megfelelően konfigurált számítógépek, illetve gyenge jelszavak. A támadások másik kedvelt útja a vállalati vagy kormányzati hálózatot véletlenül az internethez csatlakoztató vagy jóvá nem hagyott fájlmegosztó szoftvert futtató számítógépek, amelyek a belső dokumentumokat nyilvánosan elérhetővé teszik. Az üzembiztonsággal kapcsolatos kockázatok kezelhetők legjobb gyakorlatok használatával, beleértve az erős biztonsági házirendek alkalmazását, a szoftverek intenzív frissítését, a hálózat ellenőrzését, azon fenyegetettségeket keresve, mélyreható biztonsági
11
Lásd a Microsoft ismertetőjét: Cyber Supply Chain Risk Management: Toward a Global Vision of Transparency and Trust (A számítógépes ellátási lánc kockázatainak kezelése: az átláthatóság és bizalom globális jövőképe felé) Scott Charney és Eric T. Werner, 2011. július, . oldal. 9.
10
megoldások alkalmazását, valamint annak biztosítását, hogy a vállalat rendelkezik biztonsági eseményre való reagálásra szolgáló eljárásokkal. A Microsoft javításkezelő rendszerét (amely minden hónap második keddjén automatikusan új kiadásokat biztosít) az üzemeltetési biztonság javítására tervezték, hogy havonta rendelkezésre álljanak szabványos, előre várható szoftverjavítás-kiadások. A rendszer továbbá azt is jelzi,hogy a frissítések kritikus vagy mérsékelt fontosságúak-e, valamint leíró útmutatást biztosít a telepítésükre vonatkozóan. A megbízható üzembiztonsági intézkedések (például a biztonsági frissítések állandó alkalmazása) bármely kormány kockázatkezelési gyakorlatában alapvető fontosságúak. Nyomon követtük a Microsoft Office biztonsági réseinek kihasználását a Biztonsági jelentés (SIR) 8. kötetében. Ez kimutatta az új szoftververziók alkalmazásával elért naprakészség hatékonyságát, valamint az alábbiakat állapította meg: „Ha a mintában szereplő Office 2003 RTM felhasználók telepítették volna az SP3 szervizcsomagot, és emellett semmilyen egyéb biztonsági frissítést nem telepítettek volna, akkor az észlelt támadások 96 százaléka ellen védve lettek volna; hasonlóképpen az Office 2007 RTM felhasználói a támadások 99 százalékával szemben védve lettek volna, ha telepítik az SP2 szervizcsomagot.” Az üzembiztonság a legjobb gyakorlatok alkalmazásával javítható:
A leválasztásra szolgáló architektúra. A jelenlegi fenyegetettségi környezetben a kitartó és elszánt ellenfelek, a támadók megkísérlik, hogy titokban bejussanak a számítógépes rendszerbe, majd kihasználják a tényt, hogy a már legyőzött, kemény külső egy gyenge belsőt takar, amely hosszú időn keresztül könnyedén irányítható12. Így a fenyegetettségek megelőzés és válaszlépések segítségével történő megakadályozására kialakított biztonsági stratégiát ki kell egészíteni a leválasztással (pl. a hálózat szegmentálása, a felhasználói hozzáférés korlátozása a lehető legkevesebb jogosultságra) annak biztosítására, hogy ha a hálózat egy részét támadás éri, az ellenfél nem férjen hozzá túl sok elemhez.
Mélyreható biztonsági megoldások alkalmazása. A hálózati védelemnek mélynek és több, egymást átfedő és kölcsönösen támogató védelmi rendszert integrálónak kell lennie. A védelmi rendszereknek tartalmazniuk kell tűzfalakat, átjárónál alkalmazott vírusvédelmet, behatolásérzékelést, behatolásérzékelő rendszereket, valamint internetes biztonsági átjáró-megoldásokat. Intenzív frissítés. Elengedhetetlen az intenzív biztonsági frissítési program. Az operációs rendszereket, alkalmazásokat és böngészőbe épülő modulokat mindig frissíteni kell új kód kiadásakor. Amikor csak lehetséges, automatikus biztonságifrissítés-telepítést kell alkalmazni, hogy az egész szervezetben
Lásd a Microsoft Trustworthy Computing Next (Megbízható számítógép-használat – Következő fokozat) című ismertetőjét Scott Charney-től, 2012. február 12
11
fenntartható legyen a naprakész védelem. Továbbá a biztonsági óvintézkedéseket, beleértve a vírusdefiníciókat és a behatolásérzékelést is, folyamatosan frissíteni kell. Fenyegetések keresése. Proaktív módon keresni kell az infrastruktúrában a hálózati behatolásokat, a rosszindulatú kód terjesztésére szolgáló kísérleteket, a gyanús forgalmi mintázatokat, az ismert rosszindulatú vagy gyanús gazdagépekhez történő csatlakozási kísérleteket, valamint a megbízható weboldalak meghamisítására irányuló kísérleteket. Az is fontos, hogy folyamatosan tudatában legyünk az újabb biztonságirés-fenyegetettségeknek és kövessük a javításra vonatkozó útmutatást. Megfelelő eljárások biztosítása a biztonsági eseményekre való reagáláshoz. A biztonsági eseményekre való megfelelő reagálás az általános biztonsági szabályzat és kockázatcsökkentési stratégia szerves része. Ennek magában kell foglalnia reagálási tervek proaktív létrehozását, valamint egy csapat létrehozását, amelynek feladata, hogy reagáljon a biztonsági eseményekre.
A fenti részben olyan gyakorlatokra vonatkozó javaslatok vannak, amelyek fontosak az alapvető műveletek szempontjából, de ezek nem feltétlenül védik meg a felhasználókat saját maguktól. A kormányoknak és vállalatoknak közösen kell dolgozniuk olyan gyakorlatok kialakításán, amelyek segítségével hatékonyan tájékoztathatják a felhasználókat a social engineering veszélyeiről, valamint azon legjobb gyakorlatok azonosításán, amelyek segítségével a termékek ellenállóbbá tehetők a social engineering technikákkal szemben.
4. A biztonság javítása a Social Engineering jelenséggel szemben Néha a felhasználók olyan rossz döntéseket hoznak, amelyek rontják készülékeik és adataik biztonságát. Ha az ilyen döntések meghozatala mögött egy támadó áll, akkor beszélünk a social engineering (felhasználói közreműködés) jelenségéről. A social engineering támadások ellen nehéz védekezni, hiszen egy félrevezetett felhasználó egyébként jogszerű lépéseiről van szó. A védelem része a tájékoztatás. A szervezeteknek növelniük kell az ilyen fenyegetésekkel kapcsolatos tudatosságot, és képzéseket kell biztosítaniuk, hogy elősegíthessék a social engineering esetek felfedezését és megelőzését. Például a felhasználóknak gyanakodniuk kell az ismeretlen felektől érkező megkeresésekkel kapcsolatban, különösen, ha az csatolt fájlt is tartalmaz, illetve a közösségi oldalakon közreadott, díjakat vagy egyéb szokatlan előnyöket ígérő URL-címekkel kapcsolatosan. A webböngészők URL-címek hírét ellenőrző megoldásaik, mint például az Internet Explorer SmartScreen megoldása, segíthet a rosszindulatú oldalak vagy letöltések letiltásával. A szervezetek úgy is védhetik a felhasználókat saját cselekedeteiktől, ha olyan legjobb gyakorlatokat vezetnek be, mint például az alábbiak:
Titkosítás használata. Az érzékeny adatok védelmére titkosítást kell használni, beleértve az olyan meghajtótitkosítást is, mint például a Windows BitLocker, amely segítségével biztosíthatók az adatok, ha a számítógépet ellopják vagy elvész. Hatékony jelszószabályzat alkalmazása. Biztosítani kell, hogy a jelszavak legalább 8-10 karakter hosszúak legyenek, valamint betűk és számok keverékét tartalmazzák. A felhasználókat arra kell
12
ösztönözni, hogy ne használják ugyanazokat a jelszavakat különböző weboldalakon, és ne osszák meg egymással a jelszavakat. A jelszavakat legalább kilencven naponta le kell cserélni. A lehető legkevesebb jogosultságot biztosító fiókok és szoftverkorlátozási szabályok alkalmazása, az adott helyzetnek megfelelően.
A Microsoft továbbra is befektet olyan kutatási, innovációs és fejlesztési tevékenységbe, amelynek célja a termékek biztonsági réseinek csökkentése, az ellátási lánc kockázatkezelésének javítása, az üzemeltetési biztonság javítása, valamint a social engineering támadásokhoz kapcsolódó biztonság növelése. Az alábbiakban kifejtettek szerint a nemzetek arra törekszenek, hogy javítsák az internetes biztonságot, és felismerjék annak fontosságát az olyan kritikus célkitűzéseik tekintetében, mint például a gazdasági biztonság, a nemzetbiztonság, az állampolgárok biztonsága és az innováció.
IV. rész: Új nemzeti törekvések az internetes biztonság terén A nemzeti célkitűzések megvalósítása érdekében a kormányok számára kritikus fontosságú, hogy a nemzetbiztonsági tervük részeként kialakítsanak az internetes biztonságot szolgáló képességeket. Ez egyéb előnyökkel is jár. Például az internetes biztonság javítására szolgáló képességeket létrehozó kormányzati vezető szerep és szabályzatok segíthetnek az állampolgárok biztonságának javításában, a kritikus infrastruktúra védelmére képes képzett munkaerő kialakításában, a kereskedelem és befektetések élénkítésére az alapul szolgáló infrastruktúra biztonságába vetett nagyobb bizalom eredményeképpen, és végső soron új munkahelyek és közösségek teremtésében, amely hozzájárulnak az életminőség javulásához. Felismerve a biztonságos IKT előnyeit, egyes kormányok megkezdték kiegészítő tervek és programok kialakítását, hogy megfelelhessenek ezeknek a követelményeknek. Az International Critical Information Infrastructure Protection Handbook (Nemzetközi kritikusinformációinfrastruktúrák védelmének kézikönyve) szerint több mint harminc nemzet hozott létre a kritikus információkat tároló infrastruktúrák védelmére vonatkozó szabályzatokat.13 Az ENSZ Leszereléskutatási Intézete (UNIDIR) megállapította, hogy harminchárom állam hozott létre a honvédelemmel kapcsolatos internetbiztonsági stratégiát.14 A Gazdasági Együttműködési és Fejlesztési Szervezet (OECD) szintén nyomon követte az internetes biztonság növeléséhez kapcsolódó nemzeti identitások megjelenését, és a közelmúltban jelentést adott ki, amelyben az identitáskezelést szolgáló nemzeti stratégiával már rendelkező vagy annak kialakítását tervező 13
International CIIP Handbook 2008/2009, Andreas Wenger, Victor Mauer és Myriam Dunn Caveltry, Center for Security Studies, ETH Zürich 14
ENSZ Leszereléskutatási Intézete (UNIDIR), Cybersecurity and Cyberwarfare, Preliminary Assessment of National Doctrine and Organization (Internetes biztonság és internetes hadviselés, nemzeti tan és szervezet előzetes értékelése), p.3 (2011)
13
tizennyolc országot vizsgálva kapott eredményeket tesz közzé.15 A sorra megjelenő kormányzati stratégiákat vizsgálva találhatunk közös elemeket, mint például: Identitás és Hozzáférés; Szoftver- és Rendszerbiztosítás – az ellátási lánc kockázatkezelésével együtt; Megfelelőség és Felügyelet; Adatvédelem; Rugalmasság és Kockázatkezelés; és Eseményre adott válaszlépés. Ezen elemeken túl számos kormány a felhőszolgáltatások használatának lehetőségét is vizsgálja, mivel azok növelik az innováció lehetőségét és csökkentik a szolgáltatási költségeket; valamint azt vizsgálják, hogyan lehet a felhőszolgáltatásokat beilleszteni a nemzeti internetes biztonsági stratégiába. Nem meglepő, hogy a kormányoknak aggályaik vannak a felhővel kapcsolatos biztonsági és fennhatósági kérdések kapcsán. A kormányok a magánszektorral közösen dolgoznak ezen kockázatok azonosításán és kezelésén, beleértve az olyan erőfeszítéseket, mint például a Cloud Security Alliance (Felhőbiztonsági Szövetség), amely a számítási felhőn belüli biztonság garantálására szolgáló legjobb gyakorlatok használatát kívánja népszerűsíteni, illetve képzést biztosít a számítási felhő felhasználási lehetőségeivel kapcsolatban, hogy segítse biztonságossá tenni a számítástechnika minden egyéb formáját is.
V. rész: Együttműködési megközelítések egy biztonságosabb internetes közeg érdekében Négy fő tényező van, amelyet a kormányoknak gondosan figyelembe kell venniük, ha rövid távon javítani kívánják az internetes biztonságot, valamint hosszú távon az innovációt kívánják támogatni és vezető szerepet kívánnak elérni. Ezek a tényezők a nemzeti, koordinált internetbiztonsági stratégia; a rugalmas és gyors internetbiztonsági kockázatkezelési megközelítés; a megfelelő képességek az információk megosztására; valamint az esetleges szabályzatok vagy gyakorlatok nemzetközi vonatkozásai (pl. kölcsönösség).
A. Koordinált nemzeti internetbiztonsági stratégia A kormányoknak egyértelmű, koordinált és végrehajtható internetbiztonsági stratégiára van szükségük, amelyet úgy alakítottak ki, hogy biztosítsa a nemzetbiztonságot, a gazdaság Gazdasági Együttműködési és Fejlesztési Szervezet, OECD (2011), „National Strategies and Policies for Digital Identity Management in OECD Countries” (Nemzeti stratégiák és szabályzatok a digitális identitáskezeléshez az OECD-országokban), OECD Digital Economy Papers, No. 177, OECD Publishing, p. 4. http://dx.doi.org/10.1787/5kgdzvn5rfs2-en 15
14
biztonságát, a közbiztonságot, valamint a kritikus szolgáltatások nyújtását az állampolgárok részére. Fontos, hogy minden kormánynak ügyelnie kell, hogy az internetbiztonsági szabályzatai technológiasemlegesek legyenek és ne fogják vissza az innovációt. A technológiasemleges szabályzatok nem támogatják, írják elő és nem részesítik egyéb módon előnyben egy adott technológiát képviselő terméket vagy termékek csoportját más termékek kizárásával; a szabályzatok inkább a megkívánt eredményt írják le, hogy a piac megtalálhassa az adott eredmény elérésének leginkább innovatív módját. A kormányoknak továbbá integrálniuk és harmonizálniuk kell internetes szabályzataikat, felismerve, hogy az egyes kormányok által tett lépéseknek a saját határaikon túl is vannak hatásai. A kormányzati döntéshozóknak tudatában kell lenniük cselekedeteik teljes következményeinek, és biztosítaniuk kell, hogy az egymással versenyben álló érdekek megfelelően ki legyenek egyenlítve.
B. Rugalmas és gyors kockázatkezelés Az internetes biztonsággal kapcsolatos kockázatok kezelésére szolgáló minden keretrendszernek kellően rugalmasnak kell lennie a biztonság terén a jövőben bekövetkező változások érdekében – ez fontos követelmény, mivel a számítógépes fenyegetések idővel változnak. A kormányok, vállalatok és állampolgárok függnek az információs infrastruktúrától és az IT-rendszerek által tartalmazott adatoktól, és gyakran nincs alternatív fizikai eszköz az alapvető funkciók végrehajtására. Azonban – ahogyan fentebb is bemutattuk – az információs infrastruktúrának milliárdnyi, állandóan változó fenyegetettséggel kell szembesülnie. A kockázatkezelés a megfelelő módszer az IKT-rendszerek biztonságának növelésére, amely rendszerektől mindannyian függünk. Egyszerűen nincs elegendő erőforrás vagy idő, hogy minden kockázattal foglalkozzunk. Bár a kockázatkezelés általánosságban jól ismert tudományág, a számítógépes kockázatok kezelése különösen bonyolult feladat, különösen kormányzati környezetben. Ennek oka, hogy a számítógépes kockázatok összetettek; az infrastruktúra és az információs rendszerek különbözőek és felosztottak; nehéz lehet a kockázatok és a potenciális kockázatcsökkentések számszerűsítése; valamint fontos, hogy ne hátráltassuk az innovációt és a gyors reagálást. Ezért, bár a kormányoknak és vállalatoknak továbbra is meg kell határozniuk az információs infrastruktúra biztosítására szolgáló kockázatkezelési megközelítéseket, azt is ki kell alakítaniuk, hogyan alkalmazzák ezt a tudományágat a számítógépes kockázatok egyedülálló természetére. Mindeközben fontos megjegyezni, hogy a kormánynak és az iparágnak arra kell törekednie, hogy az általuk alkalmazott megközelítés megfelelően legyen kialakítva az legfontosabb nemzetbiztonsági és közbiztonsági problémák kezelésére, de kellően rugalmas maradjon ahhoz, hogy lehetővé tegye a szervezetek számára a dinamikus internetes fenyegetettségi környezetben zajló kockázatkezelést. Az információs infrastruktúra internetes kockázatainak kezelése során a kormánynak kettős és gyakran egymáshoz kapcsolódó szerepeket kell egyensúlyban tartania. Elsőként, közrendi szervezetként a kormány
15
felel a közbiztonság, valamint a gazdasági biztonság és nemzetbiztonság védelméért, és figyelembe kell vennie, mely infrastruktúrák támogatják őt ezekben a feladatokban. A nemzeti kormányok egyben olyanok is, mint egy hatalmas, igen nagy mértékben felosztott vállalat, amelynek számtalan ügyfele (pl. állampolgárok, akik kapcsolatba szeretnének lépni a kormánnyal), partnere, művelete, hálózata és erőforrása van. Bár elkülönülnek egymástól, de a politikai és a vállalati szerepkör nem teljesen határolódik el: mindkettő hatással van a másikra és információt biztosít számára. A kormánynak és az iparágnak különösen gondosan kell eljárnia, amikor meghatározza az információs infrastruktúra azon elemeit, amelyek valóban kritikusak a nemzetbiztonság és a közbiztonság szempontjából. Azt javasoljuk, hogy a kormányok dolgozzanak rajta, hogy a legnagyobb prioritással rendelkező kockázatokat válasszák ki. A Microsoft úgy véli, hogy minden egyes kockázatot értékelni kell, hogy meghatározható legyen a komolysága; meg kell érteni egy esetleges sikeres kihasználás következményeit, valamint értékelni kell a károkozás valószínűségét. Ha a prioritásként kezelendő rendszerek és eszközök, valamint a kezelendő kockázatok megfelelően azonosítva vannak, akkor a kormány és a magánszektor vezetői egyaránt hatékonyabban tudják biztosítani a nemzet kritikus információs infrastruktúrájának biztonságát. Hasonlóképpen a kormányoknak létre kell hozniuk egy kockázatkezelési keretrendszert, amely lehetővé teszi a szükséges gyorsaságot, hogy reagáljanak a gyorsan változó internetes fenyegetésekre.16 Fontos megérteni, hogy a kockázatokat korábban „vertikális” irányítottsággal (pl., bankok, egészségügy) kezeltük, de az informatika horizontálisan van jelen, az összes vertikum alatt. A kockázatkezelési modellnek (1) fel kell ismernie ezt a horizontális réteget (azaz az IT-kockázatokat közös módszerekkel kell kezelni), ugyanakkor (2) tisztában kell lennie azzal, hogy a különböző vertikumoknak eltérő igényeik vannak. Ezért egy hibrid modellt javasolunk, amely az alábbiakat tartalmazza:
Központilag kezelt horizontális biztonsági funkció, amely alapot biztosít a széles körben érvényes szabályzathoz, biztonsági eredményekhez és szabványokhoz; valamint Vertikális biztonsági funkciók, amelyek az egyedi szervezeteknél találhatók meg, hogy képesek legyenek a rájuk jellemző kockázatok gyors kezelésére.
A horizontális és vertikális funkciók e kombinációja garantálja a minimális biztonsági célkitűzések és szabványok meghatározását, ugyanakkor a szervezetek kellő rugalmassággal rendelkeznek a saját üzemeltetési környezetükből fakadó egyedi kockázatok kezelésére.
Lásd: „Scott Charney, a Microsoft Corporation Megbízható számítógép-kezelés kezdeményezéséért felelős vállalati alelnök írásos vallomása a Szenátus Nemzetbiztonsági és Kormányzati Ügyek Bizottságának meghallgatásán: „Securing America’s Future: The Cyber-Security Act of 2012” (Amerika jövőjének biztonsága: Az internetes biztonságról szóló 2012-es törvény) 2012. február 16., p. 4. 16
16
C. Információk megosztása A sikeres kockázatkezelés az információk hatékony megosztásán alapul. Az információk megosztása akkor sikeres, ha speciális problémák és kihívások megoldására irányul. Az információk megosztása önmagában nem cél, inkább eszköz, és ha csak saját magáért történik, akkor nem hasznos. A fenyegetések és kockázatok kezelése nem akkor a leghatékonyabb, ha minden információt megosztunk minden féllel, hanem ha a megfelelő információkat osztjuk meg a megfelelő felekkel (azaz azokkal a felekkel, akik olyan pozícióban vannak, hogy hasznos lépéseket tudnak tenni). A célzott információmegosztás jobban védi az érzékeny információkat is (akár a kormány, akár a magánszektor kezében vannak), segít az adatok védelmében, és lehetővé teszi az adatok ésszerűbb megosztását. A Microsoft azt ajánlja, hogy a kormányok az iparággal közösen két, egymást kiegészítő információmegosztási rendszert hozzanak létre: egyet, amely a kormány nemzetbiztonsági és közbiztonsági feladata szempontjából legjelentősebb fenyegetésekre összpontosít, és egy másikat, amely az IT-biztonsági megfelelőség szélesebb körű, automatikus kezelését teszi lehetővé a kormányzati „vállalat” egészében.17 A kormány részben ösztönözheti a hatékony információmegosztást például az alábbiakkal: Műszaki adatok cseréje olyan szabályok és mechanizmusok segítségével, amelyek mindkét féltől megkövetelik az érzékeny adatok védelmét; A kockázatok holisztikus elemzése és ezen kockázatok kezelésére szolgáló stratégiák kialakítása; valamint Az internetes fenyegetések és kockázatok elemzésének kidolgozása megosztott területként. Ahhoz, hogy egy ilyen kormányzati szervezet sikeres legyen, rendelkeznie kell a megfelelő jogi környezettel (beleértve a jogi védelmeket is) az ilyen jellegű információmegosztáshoz és tevékenységhez, valamint saját magának is meg kell osztania a megfelelő információkat a magánszektorral.
D. Nemzetközi vonatkozások Ahogyan az internetes biztonság egyre fontosabb alapként szolgál majd az összekapcsolt világban, a kormányoknak szem előtt kell tartaniuk, hogy a belföldi internetbiztonsági szabályzatoknak mostantól már nemzetközi vonatkozásaik is vannak. Miközben fontos, hogy a kormányok megfelelően alakítsák ki a szabályzatokat és rendeleteket az Identitás és Hozzáférés, Szoftver- és Rendszerbiztosítás, Megfelelőség és Felügyelet, Adatvédelem, Rugalmasság, Kockázatkezelés és Eseményre adott válaszlépés – azaz minden alapvető internetbiztonsági 17
Ibid., p. 7
17
erőfeszítés – tekintetében, a kormányoknak azzal is tisztában kell lenniük, hogy ezek a szabályzatok nem légüres térben léteznek. Egy kormány, valamint vállalatai és állampolgárai védelmére szolgáló rendeletek és követelmények valójában korlátozhatják a kormány hosszú távú céljait az innováció, a gazdaságfejlesztés, valamint a nagyobb biztonság tekintetében. Ahogyan a kereskedelmi kapcsolatok is arra épülnek, hogy a piacok kölcsönös megnyitása kereskedelmi lehetőséget biztosítson a részt vevő országok számára, azt is fel kell ismerni, hogy a piachoz való hozzáférést korlátozó internetbiztonsági követelmények létrehozása hasonló „kölcsönös” viselkedéshez vezethet, potenciálisan töredezetté téve az internethasználatot, és megtagadva az emberektől az igen innovatív, alacsony költségű termékeket, amelyeket csak egy globális ellátási lánc képes biztosítani. A kormányoknak ezért meg kell vizsgálniuk szabályzataik lehetséges következményeit, vagy meg kell érteniük a kölcsönösségből fakadó potenciális problémákat.
VI. rész: Összefoglalás Az elkövetkező évek során a világban az internethasználók, készülékek és adatok terén korábban példa nélküli növekedés várható, ami hatalmas lehetőségeket, de egyben ijesztő kihívásokat is magával hoz. Az internetes biztonság a hálózatba kapcsolt világ alapköve. Hatékonyabb internetbiztonsági szabályzatok és gyakorlatok csak együttműködéssel és a gyakorlatok fejlesztésével (például biztonságos termékfejlesztés, ellátási lánc biztonsága és üzemeltetési biztonság) hozhatók létre. Az ilyen szabályzatok és gyakorlatok segítenek a közegészség és a közbiztonság védelmében, az gazdasági innováció növelésében, a nemzetvédelem megszilárdításában és a kollektív jövő ígéretének biztosításában. Egy szorosabban összekapcsolt társadalomban közösen tevékenykedve biztonságosabb, megbízhatóbb számítógépes élményt érhetünk el.
18
A. függelék: Válogatott Microsoft biztonsági erőforrások 2002 óta a Microsoft erőforrások gazdag választékát fejlesztette ki, és ezeket nyíltan megosztja az IT-ökoszisztéma minden szereplőjével az internetes tér biztonságának növelése érdekében. Az alábbi lista további információkat tartalmaz az ebben az ismertetőben említett egyes erőforrásokról:
Biztonsági fejlesztési életciklus. A Biztonsági fejlesztési életciklus (SDL) egy olyan szoftverfejlesztési biztonsági folyamat, amely hét szakaszba – képzés, követelmények, tervezés, telepítés, ellenőrzés, kiadás és reagálás – csoportosított biztonsági gyakorlatokból áll. A Microsoft vállalatnál szerzett tapasztalat azt mutatja, hogy az időrendi sorrendben végrehajtott biztonsági gyakorlatok segítettek a nagyobb biztonság megvalósításában, valamint költségmegtakarítás elérésében az ad hoc telepítéshez képest. Az SDL folyamat nem Microsoft- vagy Windows-specifikus: más operációs rendszerekre, platformokra, fejlesztési módszerekre, valamint bármilyen méretű projektekre is alkalmazható. A Microsoft mindenki számára elérhetővé teszi az SDL folyamatot. Microsoft Security Engineering Center. Az MSEC a Microsoft ügyfeleit azzal védi, hogy természeténél fogva biztonságosabb termékeket és szolgáltatásokat kínál a Biztonsági fejlesztési életciklus (SDL), a szoftverfejlesztés biztonságát garantáló átfogó rendszer, valamint a csúcstechnológiájú biztonsági tudományos megoldások révén. Az MSEC a szoftverbiztonságot három fő területen célozza meg: Folyamat, Emberek és Technológia. Microsoft Security Response Center. Az MSRC azonosítja, nyomon követi, megoldja és elhárítja a biztonsági eseteket és a Microsoft szoftverek biztonsági réseit, a nap huszonnégy órájában, hogy megakadályozza az egész világra kiterjedő biztonsági eseményeket, illetve biztonságosabb, megbízhatóbb internethasználatot hozzon létre. A központ a vállalat egészére kiterjedő biztonságifrissítés-kiadási folyamatot kezel, és közös koordinációs és kommunikációs pontként szolgál. Az MSRC biztonsági kutatók és partnerek világszintű hálózatának része; szorosan nyomon követi a biztonsági híreket és fórumbejegyzéseket. Microsoft Active Protections Program. Mivel a támadások nagy többsége nem az operációs rendszerek, hanem a böngészők és alkalmazások ellen irányul, ezért a beszállítók közötti kommunikáció és együttműködés létfontosságú a biztonság javítása érdekében. A biztonsági rések kezelése érdekében a Microsoft szorosan együttműködik a versenytársakkal és a partnerekkel. A Microsoft Active Protections Program (MAPP) a partnerek számára még a korai szakaszban átadja a biztonsági résekre vonatkozó információkat, hogy megerősíthessék a szoftveres védelmet az ügyfeleik számára. A Microsoft Vulnerability Research Program (Biztonsági rések kutatásával foglalkozó program) segítségével garantálható a Windows-platformon futó szoftverek biztonsága a harmadik fél szoftvereiben található biztonsági rések megkeresésével, azokról tájékoztatva az érintett szállítókat, valamint segítve őket a Windows-platformba beépített biztonsági funkció telepítésében.
19
B. függelék – Hozzájáruló személyek listája A lábjegyzetekben említett anyagokon túl az ismertető készítéséhez sokan hozzájárultak. Különösen jelentős véleményeket kaptam az alábbi személyektől: Paul Nicholas, Eric Werner, Cristin Goodwin, Angela McKay, Aaron Kleiner, Andrew Cushman és Lori Woehler. Külön szeretném mindenkinek megköszönni, aki rászánta az időt, hogy elolvassa az anyagot és visszajelzést adjon.
Internetes biztonság: A biztonságos, csatlakoztatott társadalom alapköve © 2012 Microsoft Corp. Minden jog fenntartva. Ez a dokumentumot a „jelen állapotában” bocsátjuk rendelkezésre. Fenntartjuk a dokumentumban szereplő információ és itt kifejtett vélemények – köztük az URL-ek és más weboldal-hivatkozások – előzetes értesítés nélküli megváltoztatásának jogát. A felhasználó vállalja a használat kockázatait. Jelen dokumentum révén Ön nem szerez szellemi tulajdonjogra vonatkozó semmilyen jogot a Microsoft egyetlen termékére vonatkozóan sem. Belső, tájékoztatási célra lemásolhatja és felhasználhatja ezt a dokumentumot. Licenc: Creative Commons Attribution-Non Commercial-Share Alike 3.0 Unported
20
