Szuperszámítógépek vs. szuperbaktériumok 38 Lehetnek-e etikus gépeink? 32 Szingapúr, a high-tech város 30 Az észt e-rezidensek 36 A felhõ és a kkv-k boldogulása 29
digital business I. évfolyam 1. szám
KIBERHÁBORÚK Virtuális hadseregek, valódi pusztítás 6-10 Az orosz maffia e-milliárdjai 11 Selyemúton a rács mögé 11 A kiberdzsihad offenzívája 12-13
16 STÚDIÓ DIGITÁLIS FRONTOK
20 STÚDIÓ A JELSZAVAK EREJE
24 STÚDIÓ FOLYAMATTUDATOSSÁG
46 VOX BALABIT: MACHINE LEARNING
52 VOX BARION: A PÉNZ HARMADIK ARCA
ÜZENET
digital business www.dibiz.hu KIADJA A NEXT PROJECT KFT. BUDAPESTEN Felelõs kiadó Meixner Zoltán ügyvezetõ E-mail:
[email protected] SZERKESZTÕBIZOTTSÁG Fehér Péter (elnök) Czakó Erzsébet Drótos György Dunavölgyi Mária Kõ Andrea A szerkesztõbizottság titkára Vas Réka SZERKESZTÕSÉG Fõszerkesztõ: Meixner Zoltán
[email protected] Mûvészeti vezetõ: Szalay Béla ÜZLETI ÜGYEK Golubeff Róbert
[email protected] A DIBIZ munkáját a BUDAPESTI CORVINUS EGYETEM munkatársai tanácsaikkal támogatják.
* A szerkesztõség minden érdeklõdési körébe tartozó tartalmat (megjegyzést, kéziratot, adatot, képi és hanganyagot) szívesen fogad, de a kérés nélkül beérkezõ tartalommal kapcsolatos minden nemû felelõsséget kizár, beleértve a tartalom megõrzésének, feldolgozásának vagy honorálásának lehetõségét. Next Project Kft. 2015 Minden jog fenntartva.
BESZÁLLÓKÁRTYA! Észre sem vettük, és néhány év (na, jó – évtized) alatt a fizikai valóságból a GDP-termelés döntõ része, sõt a hatalmi dominanciáért folyó harc legfontosabb terepe is átcsúszott a digitális világba. Máshogyan élünk, máshogyan fogyasztunk, máshogyan gyógyulunk, máshogyan érintkezünk, máshogyan érvényesítjük az akaratunkat, máshogyan csinálunk üzletet, máshogyan tartjuk mûködésben a világunkat. És a változásoknak (amelyek folyamatos gyorsulása biztosra vehetõ) még csak az elején járunk. E folyamatokról, tulajdonképpen az életünk folyamatos és gyors átalakulásáról szól a DIBIZ (digital business) magazin, és a köré épülõ tartalomszolgáltatás. A DIBIZ elsõsorban üzleti lap, amely azonban a fenntartható fejlõdés és a társadalmi folyamatok szemszögébõl is vizsgálja a világot. Tartalmát újságírók, az adott tématerületek felkért szakértõi, a kifejezetten tudományos publikációk céljára fenntartott rovatát (STÚDIÓ) kutatók, egyetemi oktatók, illetve a cégek szemléletét tükrözõ natív tartalmait (VOX NATIVA) vállalati szakemberek állítják elõ. A DIBIZ kimondott célja, hogy vitákat indukáljon, serkentse a szakmai közéletet a digitális átalakulás által érintett területeken. Ezért szoros szakmai együttmûködést alakít ki a felsõoktatási intézményekkel (elsõként a Budapesti Corvinus Egyetemmel), és szakmai szervezetekkel. Ez a kapcsolatrendszer lehetõvé teszi, hogy tartalmai (a digitális magazinon, a weboldalon, a hírleveleken és szakmai rendezvényeken stb. keresztül) olyan tízezrekhez jussanak el, akik vagy már ma, vagy a jövõben sokat tehetnek az átalakulás irányának befolyásolásáért, vagy az új vívmányok kihasználásáért. Digitális magazinunk elsõ száma a biztonság kérdéskörével foglalkozik. Aki nem ismeri, annak talán úgy tûnhet, hogy a kibertér egy veszélyes, kiszámíthatatlanul sötét hely. A kibervilágot valójában – habár a biztonság ott kétségtelenül fontos kérdés – leginkább a légi közlekedéshez lehetne hasonlítani. Ha baleset történik, arra mindenki felkapja a fejét, és sajnálkozva beszél róla, de tudja közben, hogy a sokmillió biztonságban megtett utaskilométer jelenti a normális állapotot. A DIBIZ gépe a kifutón van, és az a csodálatos benne, hogy menet közben is bármikor fel lehet rá szállni, mindenkinek jut hely a business osztályon, ragyogó kilátással.
MEIXNER ZOLTÁN fõszerkesztõ
29
TARTALOM
TARTALOM
SPOT
KIS CÉGEK A FELHÕBEN 29 A felhõszolgáltatások jól segítik a kkv-k boldogulását SZINGAPÚRI ANZIX 30-31 Ahol a high-tech olyan, mint a levegõ
IMPRESSZUM - A SZERKESZTÕ ÜZENETE
03
MESTERSÉGES INTELLIGENCIA 32-34 Viselkedhetnek-e gépeink etikusan velünk? És mi velük?
BESZÁLLÓKÁRTYA 03 A DIBIZ a digitális átalakulás üzleti magazinja
TARTALOM TREND
04 38
STÚDIÓ
40
16
30
42 46
ÖNVÉDELMI SZABÁLYOK 19-21 Dinya Péter cikke a jelszavak erejérõl
MACHINE LEARNING4 46-47 Kulcs az emberfeletti mesterséges intelligenciához? SZIMULÁCIÓ ÉS TANULÁS 48-49 A jól alkalmazott high-tech segíti a befogadóképességet
27
JELENTÉS A KIBERBIZTONSÁGI PIACRÓL 27-28 Tavaly 71 milliárd dollárt költött a világ a kibertér védelmére
38
VOX NATIVA Ebben a rovatban olyan cikkek jelennek meg, amelyeket partnereink állítottak össze. Szerkesztõségünk az itt megjelenõ tartalom létrehozásában nem vesz rész, csupán a megjelenéshez nyújt technikai segítséget.
PIACFEJLESZTÉS ÉS BIZALOM 22-23 Papp Tamás cikke a Snowden-ügy hatásáról a felhõpiacra
32
KÚL LOG A LEGÚJABB TECHNIKAI CSODÁK ÉS MICSODÁK 42-45 Hûtõ-hangsugárzó, 3D ételnyomtató, okos cumi és bõrönd, robotlódarázs, kiberkesztyû, világító papír, mozdulatazonosítás, gondolatvezérelt bionikus láb
VÁLLALATI BELÜGYEK 24-26 Fehér Péter és Varga Krisztián cikke a folyamattudatosság és a szabályozás szerepérõl a vállalatok életében
27
ADATGAZDASÁG 41 A big data ökoszisztémája
HADITUDÓSÍTÁS A DIGITÁLIS FRONTOKRÓL 16-18 Racskó Péter cikke a kibertér támadóiról, védekezõirõl és fegyvereirõl
ADATBÁNYA
KÖNYV SZTORIPROFIT 40 A történetfeldolgozás módszertana
Ebben a rovatban tudományos szempontok alapján készült cikkeket közlünk. A tartalmak mindenben megfelelnek a tudományos folyóiratok által támasztott követelményeknek mind a feldolgozás módját, forrásmegjelöléseit, hivatkozásait és ellenõrzését tekintve.
19
FUTURA BAKTERIÁLIS APOKALIPSZIS 38-39 Hogyan harcolnak a szuperszámítógépek a szuperbaktériumokkal?
BIZTONSÁGI SZEMPONTOK 14-15 A Forrester piacelemzõ cég 12 ajánlást fogalmazott meg a vállalatok számára
11 12
TE IS LEHETSZ E-REZIDENS 36-37 Észtország ez egész világról várja virtuális terébe a betelepülõket
06
KIBERHÁBORÚK 06-13 Virtuális hadseregek, valódi pusztítás 6-10 Az orosz maffia e-milliárdjai 11 Selyemúton a rács mögé 11 A kiberdzsihad offenzívája 12-13
06
BIG DATA ÉS SPORT 35 Játékelemzés gyepen és jégen
TOP 10-BEN A KIBERKOCKÁZAT 50-51 Nyomulnak a hackerek, a bûnözõk és a kétbalkezesek ELEKTRONIKUS FIZETÉS 52-53 Barion, a pénz harmadik arca
42
42
48
50
TREND KIBERHÁBORÚK
VIRTUÁLIS HADSEREGEK, VALÓDI PUSZTÍTÁS A valódi és a virtuális világ olyannyira összefonódott, hogy egyes államok, különféle militáns szervezetek és esetenként a szervezett bûnözés alakulatai mára kibertérben tevékenykedõ, speciális hadtesteket állítottak fel. E szervezetek veszélyességben és pusztító erõben olykor versenyre kelhetnek a való világ fizikai rombolásra szervezett egységeivel is. Idén áprilisban az amerikai szakszolgálatok felfedezték, hogy a washingtoni Fehér Ház szituációs szobájának elkülönített, de nem titkosított infokommunikációs rendszerébe valószínûleg orosz hackerek hatoltak be. Egy név nélkül nyilatkozó illetékes szerint csak annyit sikerült megállapítani, hogy bejutottak a rendszerbe, és talán még ott is vannak. A titkosított rendszer, ahol az érzékeny információk találhatók, a jelentés szerint nem sérült. Korábban azt is bevallották, hogy szintén orosz hackerek hónapokig jártak ki és be a külügyi hálózatba, mire felfedezték õket. És ez csak a jéghegy csúcsa. Mára a nemzetgazdaságok, következésképpen a világgazdaság mûködését szép lassan átszõtték a digitális hálózatok. Ezek a rendszerek támasztják meg többek között a védelmi rendszereket, a tervezõrendszerek mûködtetését, a pénzügyek kezelését, a logisztikát, az emberi erõforrások allokálását, a víz- és az áramellátást, akárcsak a többi közszolgáltatást. A digitális fejlettség új sérülékenységet teremtett, amely egyaránt kínál nyilvánvaló taktikai és stratégiai célpontokat. Minden és mindenki támadható a kibertérbõl.
FELFORRÓSODOTT HELYZET
06
Amikor 2010 júniusában felfedezték a Stuxnet nevû digitális kártevõt, egyszer és mindenkorra világossá vált, hogy a kibertérre is kiterjedt a forró hadviselés. Ezt a komputerférget ugyanis arra tervezték, hogy ipari programozható logikai kontrollereket (PLC) támadjon. A PLC-k lehetõvé teszik az elektromechnikai folyamatok automatizálását, éppen olyanokat, amelyeket a gyártóberendezések, összeszerelõ sorok vagy éppen nukleáris centrifugák mûködését felügyelik. Beszámolók szerint a feltehetõen az amerikai titkosszolgálatokhoz köthetõ Stuxnet tönkretette az iráni nukleáris centrifugák csaknem egyötödét. Patryk Pawlak és Gergana Petkova, az Európai Unió Biztonságpolitikai Kutatóintézetének (EUISS) elemzõi a kibertámadásokat elemzõ írásukban megállapítják, hogy ezek a fajta konfliktusok ritkán szakadnak el a politikai realitásoktól. Az ukrán konfliktus oroszbarát oldalán álló, „hazafias” KiberBerkut csoport például a sokatmondó „Mi nem felejtünk! Mi nem bocsátunk meg!” jelmondatok alatt intézi támadásait. Ezek jegyében német kormányzati weboldalakat tört fel, amiért Berlin a kijevi kormányzat mellé állt a szakadárokkal szemben. A szíriai elektronikus hadsereg – egy Bassár el-Aszad szíriai elnökhöz köthetõ hackertársulat – rendszeresen a nyugati médiát veszi célba, nemtetszése jeléül feltörte például a vezetõ francia lap, a Le Monde weboldalát is.
Kiemelkedõ a kínai-japán ellentét is. Minden évben megemlékeznek arról az 1931. szeptember 18-án kezdõdött konfliktusról, amely három kínai tartomány megszállásával teljesedett ki. Ezt az évfordulót fontos japán webhelyek sohasem ússzák meg támadások nélkül. E villongásokról a média szinte sohasem számol be, pedig ezek a "9/18-as" kibercsapások az elmúlt években már diplomáciai vitákat is kiváltottak.
A HÁBORÚ ELÕÉRZETE A virtuális térben létrejövõ tûzfészkeket komolyan kell venni. Soros György magyar származású milliárdos befektetõ a MarketWatch üzleti portál szerint kifejezetten aggódik egy újabb világháború lehetõsége miatt. A befektetõ úgy véli, ha sikerül az exportorientált kínai gazdaságot átalakítani egy belsõ keresletre épülõ rendszerré, akkor megmaradhat a nyugalom. De ha ez kudarcot vall, az ország irányítói akár külsõ konfliktusokat is generálhatnak hatalmuk megõrzése és az ország egyben tartása érdekében. A háborús forgatókönyv elkerülésére az érdekelteknek (köztük Kínának és az Egyesült Államoknak is) kölcsönös engedményeket kell tenniük. Az intenzív kínai fegyverkezés – amelynek gyors haladása a hírek szerint részben amerikai katonai tervek kiberkémkedéssel való megszerzésén alapul – egyre nyilvánvalóbban irányul az amerikai tengeri hegemónia megtörésére, és ez elég plasztikusan mutatja Soros gondolatainak valóságtartalmát.
A fenti példáknak köszönhetõen a kormányok – amelyek mára már jól ismerik az államokhoz nem köthetõ szereplõket e színtéren – idõvel kénytelenek voltak szembenézni a hasonlóképpen ellenséges, amorf és gyakran államilag támogatott hackercsapatokkal is.
ÁLLAMILAG SZERVEZETT „HAZAFIK” A rendelkezésre álló adatok arra utalnak, hogy kiberkémkedésben résztvevõ, államilag irányított csoportok száma emelkedik. A Verizon amerikai távközlési cég 2014-es adatsérülésekrõl szóló jelentése szerint az összes ilyen incidens 87 százaléka (511 eset) 2013-ban államilag irányított csoportokhoz volt köthetõ. Ez az arány Kelet-Ázsiában 49 százalék, Kelet-Európában pedig 21 százalék. A nem állami kiberhaderõk alkalmazása azért kényelmes, mert ritkán mutatható ki közvetlen politikai felelõsség. Abból ugyanis csúnya diplomáciai bonyodalmak keletkezhettek volna, ha például a KiberBerkut támadását német, ukrán és lengyel kormányzati honlapok, illetve három NATO honlap ellen össze lehetett volna kapcsolni orosz kormányzati körökkel. Kisebb és katonailag kevésbé fejlett országokban a „hazafias” hackerek a taktikai aszimmetria elõnyeit kihasználva egyfajta virtuális gerillahadviselést folytatnak – állítják az EUISS szakértõi. A szíriai elektronikus hadsereg – amely a 2011-es tüntetések kitörésétõl fogva igen aktív – például azt állítja, hogy csak a hazafiság hajtja, és tagadja a kormányhoz fûzõdõ hivatalos kapcsolatát. A csoport mögött számos merész támadás áll, köztük a BBC, a Guardian, a New York Times, a Human Rights Watch és a Forbes Twitter oldalának idõleges megbénítása, az ellenzék Facebook oldalainak blokkolása, a Skype és a Viber üzenetküldõk mûködésének akadályozása, valamint külföldi állami intézmények (így a szaúdi védelmi minisztérium) elleni akciók.
A NAGY CÉGEKNEK SOKKAL KÖLTSÉGESEBBEK A KIBERTÁMADÁSOK Átlagos pénzügyi veszteség egy támadás miatt. MIllió dollár
5,5 5
A BIZTONSÁGI INCIDENSEK SZÁMA Az összes felfedezett eset, millió darab
4,5
3,5
42,8
43m
3
38m
2,5
33m
2
28,9
28m
22,7
23m
07
1,5
24,9
1,3 1,0
1
0,65
0,5
18m
0,41
0
13m
9,4
8m
3,4 2009
Forrás: PwC
3,9
4
48m
3m
5,9
6
2010
2011
2012
2013
2014
2013 2014
2013 2014
Kisebb cégek, éves 100 millió dollár bevétel alatt
Közepes cégek, éves 100 millió és 1 milliárd dollár bevétel között
Forrás: PwC
2013 2014 Nagy cégek, éves 1 milliárd dollár bevétel felett
Folytatás a 8-ik oldalon
TREND KIBERHÁBORÚK
Folytatás a 7-ik oldalról
A VÁLLALATOK SINCSENEK BIZTONSÁGBAN A támadások a vállalati világot sem kímélik. A PricewaterhouseCoopers jelentése szerint 2014-ben a nagyvállalatokat globálisan 48 százalékkal több kibertámadás érte, mint egy évvel korábban, ami a legnagyobb ugrás 2010 óta. A tanácsadó cég közel 10 ezer szervezetet és magánszemélyt kérdezett meg világszerte, az innen származó adatok szerint az adatsértésekbõl származó kár a szervezetek mintegy 10 százalékánál elérte a 10 millió dollárt éves szinten. Stuart Poole-Robb, a KCS hírszerzési és biztonsági vállalatcsoport feje emlékeztetett például arra az esetre, amikor a szaúdi állami olajvállalat, Aramco informatikai rendszerének 2012-es megtámadása során a PC-ken lévõ adatok háromnegyedét törölték, és az e-mailek, dokumentumok és táblázatok helyén csak egy lángoló amerikai zászlót ábrázoló kép maradt. A közelmúltban egy másik csoport, az állítólag Észak-Koreához kapcsolódó úgynevezett Békegárdisták (Guardians of Peace) vállaltak felelõsséget a Sony Entertainment Pictures elleni támadásért, amely a munkavállalók és családtagjaik személyes információinak, valamint a vezetõi szintû fizetések és a cég e-mailjeinek ellopásával végzõdött. Az Europol kiberbûnözés elleni részlege szerint a bûnözés megjelent a számítási felhõkben is (Crime-as-a-Service– CaaS). Ezt az üzleti modellt a digitális feketegazdaság által nyújtott széles körû kereskedelmi szolgáltatások hajtják, amelyek elõsegítik szinte bármilyen típusú számítógépes bûnözés mûvelését. A bûnözõk szabadon bérelhetnek botneteket, megrendelhetnek túlterheléses támadást, malware fejlesztést, adatlopást és jelszó feltörést, ha maguk szeretnék elvégezni a piszkos munkát is. (A RAND Corporation felmérte ezt a http:/ www.rand.org/contentaz /dam/rand/árlistát pubs/research_reportsis/RR600/közzétette.) RR610/RAND_RR610.pdf piacot és tanulmányában A részben cloud computingon (számítási felhõkön) alapuló szolgáltatási filozófia megkönnyíti a hagyományos szervezett bûnözõi csoportok térnyerését a számítógépes bûnözés területein. A pénzügyi nyereség abból származik, hogy a piszkos kezû szakértõk e szolgáltatásokkal kommercializálják a kiberbûnözést, de elõsegítik a sötét oldalon az innovációt és a mélyebb kifinomultság elérését is.
MEGELÕZÕ CSAPÁSOK?
08
A számítógépes fenyegetések természete régiónként eltérõ. A kínai hackereknél a hangsúly a szellemi tulajdon lopásán van, az oroszok tevékenységét a kémkedés, a vandalizmus és a bûnözés hajtja. Az Egyesült Államokban és NagyBritanniában e bûnös tevékenységek középpontjában az ellenõrzés megszerzése és a telekommunikáció meghackelése áll – az EUISS szakértõi szerint. A jelenlegi és a jövõbeni fejlesztések – mint például a big data, a gyors adatátvitel, a dolgok internete, a viselhetõ eszközök, a kibõvített valóság, a számítási felhõk, a mesterséges intelligencia és az átmenet az IPv6 webes platformra – további támadási irányokat és szélesebb támadási felületet adnak a bûnözõknek. Ezt súlyosbíthatja, ahogyan az újabb és újabb technológiákat az emberek használni fogják, és ahogyan ezek befolyásolják majd a felhasználók online viselkedését – vetítik elõre a kérdéses jövõt az Europol kiberelemzõi. Mind az állami és nem állami szereplõk egyre inkább érdeklõdnek a támadó és a védekezõ kiberképességeik fejlesztése iránt egyaránt, ami egyre bonyolultabbá teszi az itt folyó játszmákat – állapítja meg Pawlak és Petkova. A tekintélyelvû rezsimek jelentõs szabadságot élveznek abban, ahogy a szabályokat kialakítják és alkalmazzák. Az ellenfeleiknek korláto-
zottabbak a lehetõségeik, különösen azokban az országokban, ahol a kormányokat köti a jogállamiság, és a mûködés szigorú állami ellenõrzést kíván meg. Az egyetlen hatékony védekezésnek a jövõbeni támadások visszatartására ma az látszik, ha megelõzõ csapást mérnek azoknak az országoknak a számítógép-hálózataira, amelyek támogatják a hackereket vagy kiberterroristákat. Ezek az akciók azonban hosszú távon alááshatják az infokommunikáció rendszerét, és tovább nehezíthetik a kibernormákról folyó nemzetközi vitákat – állítják az EUISS szakértõi.
A NAGYOBB CÉGEKET GYAKRABBAN TÁMADJÁK. Az átlagos esetszám cégenként, darab 14000
13138
13000 12000 11000 10000
9155
9000 8000 7000 6000 5000
4227
4000 3000
2581
2000
1151 1091
1000
2013 2014
2013 2014
Kisebb cégek, éves 100 millió dollár bevétel alatt
Közepes cégek, éves 100 millió és 1 milliárd dollár bevétel között
Forrás: PwC
2013 2014 Nagy cégek, éves 1 milliárd dollár bevétel felett
INFORMÁCIÓBIZTONSÁGI BÜDZSÉ VÁLLALATMÉRETENKÉNT Millió dollár 11
10,3
10,8
10 9 8 7 6 5 4
2,8
3
3,0
2
0,92
1
0,73
0
2013 2014
2013 2014
Kisebb cégek, éves 100 millió dollár bevétel alatt
Közepes cégek, éves 100 millió és 1 milliárd dollár bevétel között
Forrás: PwC
2013 2014 Nagy cégek, éves 1 milliárd dollár bevétel felett
TREND KIBERHÁBORÚK
Folytatás a 7-ik oldalról
HOLTÁIGLAN
A BIZTONSÁGI ESEMÉNYEKBEN RÉSZTVEVÕ KÜLSÕ EMBEREK ARÁNYA százalékban Terroristák
Szervezett bûnözõk Aktivisták, aktivista szervezetek, hacktivisták
Információ brókerek
Versenytársak
Külfödi szervezetek
Idegen államok
Belsõ hírszerzés
Hackerek
2013
8%
12%
10%
10%
14%
6%
4%
NA
32%
2014
10%
15%
16%
16%
24%
9%
7%
6%
24%
Forrás: PwC
A LEGHÍRHEDTEBB WEBES KÁRTEVÕK FLAME: Szakértõk szerint a valaha volt legkifinomultabb kiberfegyver. Elsõsorban a Közel-Keleten mutatták ki. Több jellemzõjében hasonlóságot mutat a Duqu és Stuxnet kártevõkhöz. A Flame megszûri a hálózati forgalmat, screenshotokat készít, hangfelvételeken rögzíti beszélgetéseket, és megjegyzi a billentyû leütéseket.
AZ ELSÕ ÉLETFOGYTIGLAN KIBERBÛNÖKÉRT Ross Ulbricht korszakos alak lett a web sötét oldalán. A most 31 éves fizikus ugyanis az elsõ ember, akit életfogytig tartó börtönre ítéltek kiberbûnök miatt. Õ annak az illegális piactérnek, a Silk Roadnak (Selyemút) az alapítója, amelyen 2011 és 2013 között nagyban ment az illegális árucikkekkel, különösen kábítószerrel való üzletelés. Katherine Forrest, a Manhattani déli kerületi bíróság bírája a május végi záró tárgyaláson annak ellenére sem kegyelmezett a férfinak, hogy az öregkora szabadságának meghagyásáért könyörgött megváltozott személyiségére hivatkozva. Aligha Ulbricht volt a legelvetemültebb gazember a dark weben, s láthatóan megbánta, hogy az illegális piacterén beszerzett drog elfogyasztása emberek halálához vezetett, de neki kellett „elvinnie a balhét” mert kétséget kizáróan Dread Pirate Roberts (Gonosz Kalóz Roberts) néven õ alapította a világ számos mocskát áruló feketepiacot. Forrester bíró többek között ezekkel a szavakkal indokolta az ítéletet: „A Silk Road kinyilvánított célja az volt, hogy megkerülje a törvényt. Abban a világban, amit ön létrehozott az idõk során, a demokrácia nem létezett. Ön volt a kapitánya a hajónak, a Gonosz Kalóz Roberts, aki önmaga alkotta meg a sajt szabályait.”
A Silk Road volt a valaha kiépült legnagyobb illegális piac a sötét weben, ahol 2013 márciusában mintegy 10 ezer eladó tétel szerepelt, amelyek közül 7000 volt kábítószer (fõleg kannabisz, MDMA és heroin). Az ügyészek szerint a Silk Road közel 214 millió dollár forgalmat generált, amelybõl a rendszernek 13,2 millió dollár értékesítési jutaléka származott azelõtt, hogy a rendõrség 2013 õszén leállította volna. A Silk Roadon egyébként csak a bitcoin e-pénzzel lehetett vásárolni. Az ügy pikantériája, hogy a Silk Road úgy tudott az internet úgynevezett Deep Web (mély hálózat) részén az avatatlan szemek elõl elrejtve mûködni, hogy csak a nyílt forráskódú Tor programon keresztül lehetett kapcsolódni hozzá. Azt pedig eredetileg az USA tengerészete használta hírszerzési célokra, például a Közel-Keleten. Ez a szoftver lehetõvé teszi, hogy a felhasználók névtelenül és biztonságosan böngészhessenek anélkül, hogy az adatforgalmat bárki is (beleértve a hatóságokat) ellenõrizhetné. A Silk Road utódait nem lehetett eltüntetni a webrõl. Egy kis keresgéléssel bárki könnyen a nyomukra akadhat. Az Ulbrichtra kiszabott ítélet mindenesetre tudatja a web sötét oldalán machinálókkal, hogy nem babra megy a játék.
https://www.torproject.org/about/overview
RED OCTOBER: A kártevõt kiberkémkedésre használták, amely különféle szervezetek százait érintette, köztük diplomáciai és kormányzati szerveket, a kutatóintézeteket, az energiaipari és a nukleáris csoportokat, valamint a kereskedelmi és ûrhajózási szervezeteket. MINIDUKE: Ez a kártevõ a kormányzati szervek és kutatóintézetek adatait lopja. A Kaspersky Labs 23 országban 59 jelentõs szervezetet fedezett fel az áldozatai között Belgiumban, Csehországban, Magyarországon, Írországban, Portugáliában, Romániában, Ukrajnában és az Egyesült Államokban. GHOSTNET: Ezt az állítólag Kínából származó rosszindulatú kódot összesen 103 országban fedezték fel, és olyan érzékeny helyekre is bejutott, mint a NATO SHAPE központjának rendszere, számos nagykövetség és különféle országok minisztériumai vagy a Dalai Láma hivatala. MOONLIGHT MAZE: Feltehetõen államilag támogatott orosz hackerek vették vele célba a Pentagont, az amerikai Energiaügyi Minisztériumot, a NASA-t, több egyetemet és kutató laboratóriumot. TITAN RAIN: Valószínûleg államilag támogatott kínai hackerek használták amerikai védelmi beszállítók számítógépes hálózatainak feltörésére, hogy katonai titkokhoz jussanak. A brit és a német kormány hálózatai szintén a célpontok között szerepeltek.
A BIZTONSÁGI ESEMÉNYEKBEN RÉSZTVEVÕ BELSÕ EMBEREK ARÁNYA százalékban A cég jelenlegi alkalmazottai
A cég korábbi alkalmazottai
A cég jelenlegi szolgáltatói, A cég korábbi szolgáltatói, tanácsadói, beszállítói tanácsadói, beszállítói
A cég beszállítói, partnerei
A cég termékeinek, szolgáltatásainak fogyasztói
10 2013
31%
27%
16%
13%
12%
10%
2014
35%
30%
18%
15%
13%
11%
Forrás: PwC
AZ OROSZ MAFFIA E-MILLIÁRDJAI Amikor 2013 decemberében meghackelték az amerikai Target kiskereskedelmi lánc számítógépes hálózatát, 110 millió fogyasztó adatai kerültek illetéktelen kezekbe. Alighanem ez a legnagyobb adatbiztonsági bûncselekmény az Egyesült Államok történetében. Hamarosan kiderült, hogy a hackerek egy orosz gyártmányú kártékony kódot használtak a támadás kivitelezésére. Bár ezt nem sikerült egyértelmûen megerõsíteni, sok elemzõ azon az állásponton van, hogy a jogsértésért az orosz maffia felelõs. Oroszországban rendkívül jövedelmezõ és nagyon professzionális számítógépes bûnözési ipar alakult ki. Összességében az orosz hackerek nagymértékben felelõsek az egyre hatalmasabbá váló nemzetközi komputeres bûnözés kialakulásáért. Becslések szerint 2013-ban, az orosz kiberbûnözési iparág (írja Daniel Ortner, a Brigham Young University jogi tanulmányában) fakultásán készült legalább http://papers.ssrn.com/sol 3/papers.cfm?abstract_i d=2576480 1,9 milliárd dollár bevételt termelt. Egy másik tanulmány – amely tartalmazza a támadás utáni helyreállítás költségeit is, de nem számol azokkal a többletköltségekkel, amelyek az adatsértések miatti perekbõl származnak –, arra a következtetésre jutott, hogy a számítógépes bûnözés költsége 113 milliárd dollárt tett ki. Kiberbiztonsági konferenciákon széles körben terjed a szóbeszéd, hogy az orosz maffia bevétele a számítógépes bûnözésbõl már magasabb lehet, mint amire a kábítószer kereskedelembõl szert tesz. A hackerrészlegei úgy mûködnek, mint a jól szervezett vállalatok, minõségbiztosítási és marketing-
részlegekkel. Sokan tudni vélik, hogy az ilyen helyeken írt kártékony kódok addig nem kerülhetnek piacra, amíg az ismert korszerû vírusvédelmi rendszereken nem tudnak gond nélkül áthatolni. Az ilyenfajta fejlõdés csak úgy képzelhetõ el, ha az orosz hatóságok nem üldözik elég keményen a kiberbûnözést. Ezt gyakran az oroszok szemére is vetik, hiszen sokak szerint – a bûncselekmények nemzetközi jellege miatt – Oroszországnak kötelessége volna keményen fellépni a megakadályozásuk érdekében. Oroszország azonban eddig nem volt hajlandó aláírni az Európa Tanács számítógépes bûnözésre vonatkozó egyezményét, amely elõírná számára az együttmûködést az olyan komputeres támadások kivizsgálásában, amelyek a polgáraihoz köthetõk vagy orosz infrastruktúrát használtak. Ebben az esetben ugyanis azokról a támadásokról is számot kellene adni, amelyek ugyan nem köthetõk a kormányhoz, de sejthetõen politikai és hatalmi érdekeket szolgáltak kül- és belföldön. Ugyan Oroszország nem csatlakozott az említett szakegyezményhez, de aláírta a nemzetközi szervezett bûnözés elleni Palermói Egyezményt, amely kötelezettséget ró rá, hogy kellõ gondossággal lépjen fel a határokon átlépõ bûnözéssel szemben. A kérdés csak az, miként értelmezik Oroszországban a nemzetközi kiberbûnözés esetében a kellõ gondosságot.
Folytatás a 12-ik oldalon
11
TREND KIBERHÁBORÚK
Folytatás a 11-ik oldalról
KIBERDZSIHÁD! A KIBERDZSIHÁD OFFENZÍVÁJA Azok után, hogy a régi al-Kaida legfelsõ vezetõit megölték 2010 és 2012 között, a szervezet elemeire hullott. A megmaradt aktivisták belátták, hogy a felülrõl lefelé szervezett modell nem elég hatékony, túl könnyû a vezetõk likvidálásával Anvar megbénítani. Ekkor került htelõtérbe tp:/ www.origo.hu/nagyvilag/20110524oszama-bin-laal-Avlaki den-lehetseges-utodjai-szaif-aelképzeladel-anvar-alavlaki.html lése, hogy a közösségi hálózatokon keresztül szerezzenek támogatást a globális dzsihádista üzenetnek. Az amerikai születésû, de jemeni származású nagyszerû szónok, al-Avlaki, akit az internet bin Ládenjeként is emlegettek, azt a stratégiai célt tûzte maga elé, hogy mobilizálja a kreatív terrorizmust. Ez azon a feltételezésen alapult, hogy ha videók alapján tortát lehet sütni, vagy elsajátítható egy recept, akkor az is lehetséges, hogy terrortámadásra is így képezzenek embereket. Az imám (akivel 2011 szeptemberében dróntámadás végzett Jemenben) mindenféle internetes csatornát felhasznált követõi gondolkodásának befolyásolására.
HATÁSOS STRATÉGIA
12
A kiberdzsihád elõretörésére azonban az iraki és szíriai konfliktusok hozták meg az igazi lehetõséget, ugyanis az ottani eseményekrõl a Twitteren és a Facebookon szinte élõben közvetítettek. Az ISIS és a Szíriában 2012-ben színre lépõ al-Nusra Front (Jabhat al-Nusrah) az események sodró erejét kihasználva gyorsan teret hódított a virtuális világban is – írta tanulmányában az EUISS két elemzõje, Beatrice Berton és Patryk Pawlak. A kommunikáció azóta kiszélesedett, és a dzsihádisták a különféle üzenõhálózatokat vagy a Skype-ot is használják már. Az ISIS internetes stratégiája végül bevált, mert a világ 80 országából mintegy 20 ezer embert tudtak mozgósítani az Irakból induló szent háborúra. Az EUISS adatai szerint csak Európából 3 ezren álltak be a szervezet fekete lobogója alá. Az internet nemcsak a dzsihádisták informálódását, kommunikációját és az iszlám elvein alapuló rezsimek megalapozásáról szóló üzenetek terjesztését segítette, hanem egyre jobb eszközzé vált az új tagok toborozására, anyagi források felhajtására, nem beszélve a különféle új típusú támadások lefolytatására, amelyek nem a korlátozott hatású fizikai rombolásra építenek. Az al-Kaida és az internet kapcsolata hosszú idõre nyúlik vissza, hiszen az internetet a mozgalom mindig is használta propagandacélokra. Az elsõ weboldaluk, az Azzam.com alapítása húsz évvel ezelõtt történt. A washingtoni Stratégiai és Nemzetközi Tanulmányok Központja (CIS) által készített beszámoló is megerõsíti, hogy a dzsihádisták dokumentálják, és szinte valós idõben közzéteszik a konfliktusokról szóló videókat és képeket a közösségi médiában, ami lényeges eleme háborús erõfeszítéseiknek. Ezen túl az online Technical Mujahid Magazine, a Cyber Jihadist'd Enciklopedia és az Inspire magazin motivációs anyagokat terjesztenek, amelyeket a támogatók feltüzelésére terveztek. A University of Maryland szakemberei az Inspire részletes tartalmi elemzése alapján arra jutottak, hogy a maga-
zin vallási érveket és prominens amerikai személyektõl provokatív idézetek használ, hogy radikalizálja a potenciális rekrutálási bázisát, különösen a fiatalokat a nyugati világban. Emellett kiemelt cikkek foglalkoznak azzal, miként lehet egy közönséges háztartásban fellelhetõ tárgyakból, például fõzõedényekbõl (ahogyan ez a 2013-as bostoni maraton elleni terrortámadásnál történt) halálos fegyvereket elõállítani.
A CÉL SZENTESÍTI AZ ESZKÖZT A kiberdzsihádisták gyakran ugyanazt a taktikát alkalmazzák, mint a komputeres bûnözõk. Adatokat halásznak vagy lopott hitelkártyák adataival manipulálnak. Például a brit születésû Younis Tsouli (internetes nick nevén Irhabi 007) és társai 2,5 millió fontot (több mint egymilliárd forintot) gyûjtöttek össze ilyen módszerekkel. A pénzt elsõsorban a propagandaköltségek fedezésére, toborzási tevékenységre, valamint internetszolgáltatások kifizetésére használták. Persze a szervezet használja az internetet az al-Kaida globális adománygyûjtõ hálózatának mûködtetésére, amely ráépül olyan jótékonysági és civil szervezetekre, amelyek kiterjedt kommunikációt folytatnak a közösségi médiában és az online fórumokon a potenciális adományozókkal. Az ISIS újítása az Örömhír hajnala (Dawn of Glad Tidings) nevû mobilalkalmazás, amely a felhasználóknak rendszeresen küld értesítéseket, és automatikusan tweetel a saját személyes fiókjukon keresztül, hozzásegítve a dzsihadistákat minél több támogató, köztük potenciális adományozók eléréséhez.
A kiberdzsihád azonban itt nem állt meg. Nagyobb sikereket akartak, olyanokat, amelyeket például (a Charlie Hebdo szerkesztõségét ért támadás óta ellenségükké vált) Anonymous hackercsoport teljesen más indíttatásból elért. Nyugati kormányok, szervezetek és intézmények, például a média weboldalait támadják, mert a kiberdzsihád szerint minden muszlimnak szent kötelessége az erkölcsileg korrupt oldalak meghackelése.
KIFINOMULNAK A dzsihádista kiberhadsereg egyre kiterjedtebb és kifinomultabb mûveletekre képes. Az ISIS-hez kötõdõ Kiber kalifátus csoport például – amelyet az EUISS szerint állítólag egy brit, hacker néven Abu Hussain Al Britani vezet – képes volt kontrollja alá vonni az amerikai központi parancsnokság Twitter és YouTube csatornáját, illetve mintegy 20 ezer honlapot támadott meg Franciaországban január eleji terrorcselekmények levezetéseként. A szervezettség erõsödését mutatja, hogy az al-Kaida elkezdte titkosítani saját online kommunikációját, méghozzá a saját termékeivel (Tashfeer al-JAWWAL és AMN al-Mujahid) annak érdekében, hogy távol tartsák a hírszerzõ szervezeteket az érzékeny információktól – állapította meg Beatrice Berton és Patryk Pawlak, a Kiberdzsihádisták és hálózatuk címû tanulmányban. A fellépés a még oly felkészült titkosszolgálatok számára is nehéz e szervezetek ellen, hiszen meg kell õrizni az internet nyíltságát, és fenn kell tartani a biztonságosságát. Ez valószínûleg csak szorosabb nemzetközi összefogással lehetséges. Ebbe nem tartozik bele a kommunikációs technológiák használatának korlátozása, mert – mint legutóbb a török elnökválasztás idején – az ilyesmi nem a szélsõségesek elleni fellépést erõsíti, hanem az autoriter szándékok érvényre jutását.
13
TREND STÚDIÓ
TREND FORRESTER: BIZTONSÁGI AJÁNLÁSOK
RÉMES KIBERFENYEGETÉSEK, AZONNALI VÁLASZCSAPÁSOK Manapság minden az ügyfélrõl szól. Még a vállalati biztonsági fõnököknek (CISO) is törõdniük kell vele, hogy hozzájáruljanak a bevételek növekedéséhez. A biztonsággal és kockázatokkal foglalkozó szakembereknek az idén a privát szféra iránti növekvõ aggodalmak mérséklésére, a csalások megelõzésére és a kiberbiztonság fokozására kell fókuszálni. MEGOKOSKODÓ VILÁG A dolgok internete (Internet of Things – IoT) egyre erõteljesebben jelenik meg életünkben. Egymással összekötött, mind intelligensebb új generációs termékek és megoldások változtatják meg a szokásainkat a magánéletben és üzleti területen egyaránt. Az ebbõl eredõ tapasztalatok, a mindenféle eszköz által a legkülönbözõbb helyzetekben generált adatok, a kezelésükre kifejlesztett üzleti intelligenciák nemcsak az ügyfelek élményein javítanak és tapasztalataikat bõvítik, hanem – az üzletileg fontos, vagy személyesen bizalmas adatok biztonsága miatt – az ezzel együtt járó aggodalmakat is.
A BIG DATA MEGNÖVELI A HARCKÉPESSÉGET A biztonsági elemzõszoftverek, analitikák és fenyegetések felderítését lehetõvé tévõ nyomozó alkalmazások jelentõsen megnövelik a vállalatok és szervezetek azirányú képességét, hogy megvédjék digitális tevékenységüket. A biztonsági és kockázatkezelési szakemberek a gépi tanulás eszközeinek segítségével hatalmas mennyiségû külsõ fenyegetésrõl szóló adatot gyûjthetnek össze és elemezhetnek, ami lehetõvé teszi számukra, hogy intelligensebb és cselekvõképesebb automatizált választ adjanak a kibertérbõl érkezõ behatásokra.
AZ ÚJ HIDEGHÁBORÚ A KIBERTÉRBEN BONTAKOZIK KI
14
Tavaly az egyes országokhoz, államokhoz köthetõ, globális politikai következménnyel járó biztonsági incidensek száma igen jelentõs volt, példaként elég csupán a Sonyt ért kínai informatikai támadásokat, vagy az európai bankok ellen végrehajtott orosz támadásokat megemlíteni. A támadások motivációjától függetlenül elmondható, hogy a hackerek tevékenységének kereszttüzében az üzleti élet szereplõi, ügyfelei lesznek majd.
A CISO SZEREPET JÁTSZIK ÜGYFÉLKAPCSOLATOK ÉPÍTÉSÉBEN A növekvõ számú adatsértés és informatikai támadás a vállalatok ügyfeleit ráébresztette arra, hogy a kibertér veszélyei egyértelmû kockázatot jelentenek pénzügyeikre és személyes jólétükre. Ha a CISOk sikerre szeretnék vezetni az õket alkalmazó vállalkozást, meg kell erõsíteniük az ügyfelek szervezetbe vetett hitét és bizalmát. Éppen ezért a kiberbiztonságért felelõs vezetõk szignifikáns szerepet játszhatnak a biztonság kialakításában egy olyan technológiai eszközkészlet megtervezésével, amely képes megvédeni az üzleti tevékenységeket az értéklánc teljes hosszában. El kell fogadtatniuk azt is, hogy a kiberbiztonság fontos része az értékteremtésnek. A biztonsági és kockázati szakértõknek meg kell kettõzniük az erõfeszítéseiket a következõ területeken:
■ A cég brandjének védelme a biztonsági csapat legfontosabb feladata. A CISOnak ki kell terjesztenie a brand megóvását a kockázatok szélesebb körének ellenõrzésére, beleértve a csalást, a fizikai biztonság fenntartását, a védjegy megsértését, a peres kérdéseket, a bizalmas információkról szóló társalgást, az adathalászatot, és így tovább. A márkavédelemre való fókuszálás segítheti a biztonsági és kockázatkezelési szakembereket abban, hogy támogatást szerezzenek a marketingvezetõktõl, bõvítsék a biztonsági csapat profilját, és a cég figyelmét erõsebben tereljék azokra a biztonsági intézkedésekre, amelyek segítenek elkerülni a márkát károsító eseményeket. ■ Fókuszban kell tartani a mobilélmények és tapasztalatok biztonságát, az ügyfelek ugyanis elvárják, hogy képesek legyenek a márkát elérni a mobilkészülékeken is. Sajnos azonban – miközben sok biztonsági és kockázati vezetõ mélyen elkötelezett az alkalmazottak által használt mobilalkalmazások és a mobilszolgáltatások biztonsága iránt – a munkatársak
A FORRESTER JAVASLATAI NÉGY FÕ TÉMA KÖRÉ CSOPORTOSULNAK. 1. A fogyasztói bizalom megszerzése és megtartása továbbra is fontos. 2. A dolgok internete felgyújtja a fogyasztók fantáziáját, de komplex biztonsági és adatvédelmi kihívásokat is létrehoz. 3. A big data át fogja alakítani a biztonsági mûveleteket. 4. A politikai instabilitás és a kiberterrorizmus növeli a nyomást az információbiztonsági vezetõkön és a szakértõi csapatokon.
felkészületlenek az ügyfeleket célzó vállalati mobilstratégia támogatására. Különösen a biztonság és a privát szféra védelmét érintõ megfontolások kezelésében mutatkoznak nagy elmaradások. Ennek megoldására a biztonsági és kockázati vezetõknek részt kell vállalniuk az elképzelések kidolgozásában, a mérnöki feladatokban és a fogyasztókat célzó kezdeményezések elemzésében is.
■Használni kell a big data lehetõségeit a kiberbiztonsági stratégia és mûveletek átalakítására. E téren a biztonsági és kockázati szakértõk sokat tanulhatnak a marketingesektõl, akik hatalmas adattárakból szerzett fontos információikkal képesek irányítani a cég stratégiai döntéseit, és jobban kiszolgálni az ügyfeleket. Biztonsági téren ugyanerre lenne szükség: a big data technikákat felhasználva gyorsan azonosíthatóvá és megelõzhetõvé válnának az összetett fenyegetések, felfedezhetõk lennének a sérülékenységek és a folyamatban lévõ támadások (amikre azonnal válaszolni is lehetne). E változtatások bevezetésével a biztonsági stratégiai folyamatosan módosíthatóvá válna.
A FORRESTER EZEK ALAPJÁN A KÖVETKEZÕ 12 AJÁNLÁST TETTE: 1. Fókuszálj az adatbiztonságra, hogy megerõsítsd az ügyfélkapcsolatokat! 2. Ismerd fel, hogy az a biztonsági stratégia, amely csak az elõírásoknak kíván megfelelni, nem mûködik! 3. A vállalati kockázatok grádicsán a biztonságot helyezd magasabbra! 4. A dolgok internete érkezõben van, légy rá felkészült! 5. Telepíts fenyegetéseket felderítõ szoftvereket és biztonsági analitikákat! 6. Légy vele tisztában, hogy eredeténél fogva nem minden adat azonos értékû! 7. Automatizáld a biztonsági folyamatokat és válaszokat!
■Elébe kell menni a dolgok internete (IoT) kiépülése által ho-
8. Tedd a felhõbiztonság központi elemévé a titkosítást!
zott változásoknak. Új IoT alkalmazásokat kell indítani, lehetõleg még ebben az évben, mert ezek hatással lesznek az egész üzleti technológiára. Az IoT a viselhetõ technológiáktól egészen intelligens városokig radikálisan meg fogja változtatni, ahogy a fogyasztók kölcsönhatásba kerülnek a technológiával. Sajnos a legtöbb, ha nem az összes ilyen az új alkalmazás és megoldás biztonsági kérdéseit a fogyasztók csak utólag gondolják át. A biztonsági és kockázati szakértõknek bele kell ásniuk magukat az IoT fejlesztési folyamataiba annak érdekében, hogy tanácsokat adhassanak a tervezõknek adatvédelmi és a kiberbiztonsági kérdésekben.
9. Terjeszd ki vagy helyettesítsd a határvédelemre épülõ biztonságot identitáskezelésre és titkosításra! 10. Mûködj úgy, mint egy vállalkozó, arra gondolva, hogy a felhõk hajtják elõre a következõ generációs outsourcingot. 11. Értsd meg, hogy a kibertérben zajló hidegháború következményei katasztrofálisak lehetnek az üzletmenet számára. 12. Ne légy rest érvényesíteni a biztonsági szakértelmet, ha jön az alkalmazási boom.
15
STÚDIÓ TÁMADÓK, VÉDEKEZÕK, FEGYVEREK
TÁMADÓK, VÉDEKEZÕK, FEGYVEREK STÚDIÓ
HADITUDÓSÍTÁS A DIGITÁLIS FRONTOKRÓL Dr. RACSKÓ PÉTER
BUDAPESTI CORVINUS EGYETEM - INFORMATIKAI INTÉZET
A kibertérben folyó ütközetek jobb megértése érdekében szükség van a kiberbiztonság rendszerszintû gyengeségeinek elemzésére, illetve a korszerû támadó fegyverek és a védekezési módszerek áttekintésére.
16
A kibertér jelenleg az internetet jelenti, akár vezetékes, akár mobil, akár mûholdas technológiára épül. Az internet úttörõi az 1960-as és 70-es évek amerikai kormányzati elvárásait kielégítve teremtették meg azt a kommunikációs technológiát, amely ellenáll a fizikai hálózat elleni támadásoknak. Az internet kizárólagos feladatának szabványos bitsorozatok, úgynevezett csomagok továbbítását tekintették, amit kiválóan meg is valósított. Az alapelvek az elmúlt évtizedekben gyakorlatilag semmit sem változtak, a hálózat feladata továbbra is a csomagok továbbítása maradt. Sem akkor, sem most nem tekintették a fejlesztõk feladatuknak a csomagok tartalmi vizsgálatát, így az internetnek mindegy, hogy jó-, vagy káros üzeneteket továbbít-e. Következésképpen, az információ és az infrastruktúra sértetlenségét minden használónak magának kellene biztosítania. A számítógép-, tablet- és okostelefon-használók döntõ többsége azonban tudomást sem akar venni arról, hogy adatai és eszközei védelme folyamatos feladatot jelentene számukra. A felhasználók úgy gondolják, hogy ez kizárólag az eszköz gyártójának feladata. Viszont, ha valaki figyelmesen elolvassa a szerzõdések kisbetûs részét is, kiderül, hogy errõl szó sincs. A problémának két megoldása lehet: az egyik az internet központosított felügyelete (aminek még a felvetése is politikai botrány lenne, esélye pedig a nullával egyenlõ), a másik pedig az eszközhasználók biztonságtudatosságának és képzettségének növelése. Ez utóbbi nem lehetetlen feladat, hiszen a történelem során az emberek megtanulták bezárni házuk kapuját, õrizetlenül hagyott kerékpárjukat odaláncolni egy oszlophoz, és azt sem híresztelik boldog-boldogtalannak, ha elutaznak, és lakásuk hetekig üresen áll (kivéve azokat, akik még tanulják a Facebook és a biztonságos információmegosztás mûködését). Ameddig nem jutunk el idáig a digitális térben, a kiberháború mindennapjaink része lesz, amit nem delegálhatunk szakértõkre.
A DIGITÁLIS HADSZÍNTÉREN ALKALMAZOTT KORSZERÛ FEGYVEREK A jelen digitális arzenáljának számbavételekor az ENISA Threat Landscape 2014 jelentés sorrendjét vettük alapul. (1) A lista élén jelenleg a rosszindulatú programok, elsõsorban az úgynevezett trójaiak állnak, amelyeket a személyazonosságlopástól az ipari kémkedésig a legkülönbözõbb funkciók végrehajtására fejlesztettek. A korszerû rosszindulatú szoftverek sok újdonsággal lepték meg a biztonsági szakembereket. Ilyenek például az alkalmazott nem szabványos titkosítási eljárások, amelyek lehetetlenné teszik az irányító központokkal való kommunikáció megfejtését, vagy a fájl nélküli kódok elterjedése, amelyeket a rendszer nem ír a háttértárba, így felfedezésük a merevlemez vagy más tárolók vizsgálatával nem lehetséges. Megfigyelhetõ a pontosan célzott adatgyûjtésre szakosodott kémszoftverek gyors terjedése is, a több operációs rendszerben egyaránt mûködõ nem kívánt szoftverek térnyerése, valamint az interneten lévõ anonim hálózatok (például TOR) használata a rosszindulatú programok és irányítóik közötti kommunikációban. Új vonás a magas szintû maszkírozás (a programfunkciók legnagyobb része csak a félrevezetést szolgálja), és az öngyilkos hajlam is (azaz ha elkezdik a programot elemezni, az magával együtt örökre titkosítja a tárat, megakadályozva ezzel a védekezéshez szükséges információ begyûjtését). Naponta mintegy 350 ezer új rosszindulatú szoftvervariáns jelenik meg, és – figyelembe véve a fenti minõségi változásokat is – a hagyományos, a már ismert vírusok felismerésén alapuló antivírus technológia egyre kevésbé hatékony, a létezõ kártevõk csak kevesebb, mint felét képes felfedezni. (2) A maradék, azaz a vírusok nagyobbik fele háborítatlanul lopja adatainkat és használja erõforrásainkat.
A nagymennyiségû új kártékony kód megjelenését az utóbbi években könnyen elérhetõ, sokszor ingyenes fejlesztõ eszközök segítik (nevük a szakzsargonban exploit kit), amelyek lehetõvé teszik, hogy a felhasználók minimális programozói tudással is képesek legyenek jól mûködõ vírusokat írni. Nem nehéz kitalálni, milyen üzleti modellek rejtõznek az ingyenes fejlesztõ eszközök mögött: minél több az interneten megjelenõ vírus, annál nagyobb erõforrásokat kell fordítani ezek semlegesítésére, és annál kevesebb erõforrás marad a nagy halak kifogására. A legismertebb illegális fejlesztõ eszköz a Blackhole, amelyet egy orosz programozó készített. Az egyesek által a kiberháború tömegpusztító fegyverének nevezett programot eleinte havi 500 dollárért lehetett bérelni, késõbb ingyenessé tette a tulajdonos, mert megjelentetett egy sokkal többet tudó változatot (Cool), amelyet már havi 10 ezer dollárért adott bérbe. A Blackhole-lal fejlesztett kártékony programok megnézték, hogy egy adott gépen léteznek-e támadható pontok, és ha igen, akkor ezeket jelszavak lopására, banki információk megszerzésére, egyéb programok telepítésére használták. (Megjegyezzük, hogy a Blackhole fejlesztõjét az orosz rendõrség 2014-ben letartóztatta, ami azzal járt, hogy a hasonló szoftverek piaca kiegyenlítõdött). Világossá vált, hogy a ma már széles tömegek számára elérhetõ, korszerû kiberfegyverek ellen új védelmi stratégiát kell kidolgozni. A jelenlegi, a végponti eszközöket védõeljárások alacsony hatékonyságúak, mert a szoftverfejlesztés és értékesítés öldöklõ piaci versenyében nem létezik gyenge pontok nélküli szoftver. Az internet magasabb szintjén kellene beavatkozni, de mint tudjuk, az internet neutrális, és nincs magasabb szintje, központi irányító szerve.
WEBES TÁMADÁSOK, CÉLBE VETT ALKALMAZÁSOK A lista második helyét a webes támadások foglalják el. Az idén 145 millió rosszindulatú programot terjesztõ weboldalt azonosítottak, azonban e támadásoknak csak a 40 százalékát
kezdeményezték, a maradék 60 százalék ismeretlen eredetû. A 40 százalék jelentõs része rövid életciklusú, átlagosan két napig létezõ weboldal, ami azt jelenti, hogy az úgynevezett feketelisták használata egyre kevésbé eredményes (feketelistának nevezzük azokat az egyes biztonsági szervezetek által vezetett nyilvános listákat, amelyek a káros szoftvereket terjesztõ oldalak címeit tartalmazzák). A webes támadások után a webes alkalmazások elleni támadások következnek a veszélyességi sorban. Ezeknél egy számítógépes alkalmazás meghív egy weboldalt, amely nem kívánt programot „injektál” az alkalmazásba, elsõsorban a Java programokba. Természetesen a támadó weboldal itt is kihasználja a támadott alkalmazás gyengeségeit. Csökkenõ trendet mutat, de még lényeges tényezõ a zombihálózatok, más néven botnetek elterjedtsége, amelyek akár több tízezer személyi számítógép jogosulatlan felhasználásával küldenek nagymennyiségû kéretlen levelet, vagy indítanak úgynevezett túlterheléses vagy szolgáltatásmegtagadásos támadást egyes fontos szerverek ellen. A csökkenés oka itt a hatóságok és a szoftvergyártók határokon átnyúló közös védelmi munkája: a gazdáiknak Bitcoin virtuális pénzt termelõ és bevételszerzésre szintén alkalmas reklámklikkeket generáló ZeroAccess kódnevû botnet kiiktatásában például több ország mellett a Microsoft és a Symantec is részt vett. Sajnos, a hálózat 2015 januárjában visszatért a küzdõtérre. (4) Ha egy számítógép botnet vírussal fertõzött, a tulajdonos errõl a legtöbb esetben nem tud, így nem is tesz ellene. A botnetek ellen csak az irányítási szinten lehet tenni, ehhez viszont szoros nemzetközi és szektorok közötti együttmûködés szükséges. Ha sikerül felszámolni az irányító központokat, akkor a botnet elõbb-utóbb kihal, mert a szoftverfrissítésekkel vagy a gépek lecserélésével csökken a fertõzött gépek száma. A botnetek kiváló megélhetést nyújtanak létrehozóik és mûködtetõik számára. A spam- vagy adathalászati levelek írói, vagy egyéb visszaélések kezdeményezõi a botnet „tulajdonosától” megrendelik a levelek sokmillió példányos terjesztését, amiért díjat fizetnek.
17
STÚDIÓ TÁMADÓK, VÉDEKEZÕK, FEGYVEREK
ÖNVÉDELMI SZABÁLYOK STÚDIÓ
A JELSZAVAK EREJE
DINYA PÉTER BUDAPESTI CORVINUS EGYETEM
Legyen legalább nyolc karakter hosszú, álljon kis- és nagybetûkbõl, számokból és speciális karakterekbõl. A jelszókreálás mantrája sokak számára ismerõs, ám kevesen járnak utána, hogy ezek a megkötések miben segítenek, és mi ellen védenek.
18
Amikor a felsõ vezetõket képbe kell helyezni az elöregedett infrastruktúra speciális költségeirõl és kockázatairól, az informatikai fõnökök elkezdik számszerûsíteni az IT szervezetek technikai adósságát. Mivel az utóbbi idõben szinte lehetetlen pénzt szerezni olyan beruházásokra, nemmodellek hozhatók A kéretlen reklámlevelek esetén amelyek a díjfizetési azonosak a legális digitális marketing világban alkalmazott közvetlen összefüggésbe a profittermeléssel, az egyes részlegek modellekkel, azaz kiküldött levelek, kattintások, vásárlások vezetõinek kreatív megközelítésekkel kell elõállniuk, ha át alapján számítják a jutalékot. botnetek adósság gazdái – kiszámítása tapasztalva is akarják hágni ezt az akadályt. A technikai az üzlet hanyatlását – a közelmúltban stratéerrõl a tõrõl fakad, hiszen nélküle nem megújították tudnák alátámasztani, giájukat, és az újvan botnetekbe neméskis kapacitású pénzekre. PC-ket, hahogy szükségük IT-beruházási karbantartási nemAnagy kapacitású szervereket igyekeznek bevonni. Ezértés technikai adósság koncepciója eredetileg a gyors aztán természetesen a botnet elleni védekezõ mechaniztisztátlan kódolási gyakorlatra vonatkozott, mára azonban musoknak is meg kell újulniuk. területekre is, beleértve az infraalkalmazzák egyéb informatikai Fontos szólni még a botnetek üzemeltetõitõl szintén igény-is. struktúrát, az architektúrát, az integrációt és a folyamatokat be vehetõ szolgáltatásmegtagadásos amelyek a Mike Habeck, a Deloitte tanácsadócégtámadásokról, igazgatója nemrégiben egy-egy mûködését legális Wall Streetszerver Journalban fejtette ki, hogy szolgáltatákérésekkel egyre több CIO szentel lassítják blokkolják. Ezek a támadások legtöbbszörés figyelmetle avagy technikai adósságnak. Leginkábbaazonosítani nem öncélúak,akarják, hanemilletve például politikai indítékuk van (gyakokategorizálni meg akarják határozni e költségek riak a kormányzati szerverek elleni atámadások) egy a mértékét, illetve annak a haszonnak nagyságát is,vagy amelyet versenytárs webes megjelenését gátolják. A szolgáltatástechnikai adósság alacsonyabb szintre szállításával elérhetnek. megtagadásos támadások technológiája fejlõdött A tanácsadócég egy másik igazgatója,hatalmasat Scott Buchholz pedig az míg hogy korábban támadás okoknál egy-egy fogva jól arrautóbbi hívta felidõben: a figyelmet, a CIOkakülönbözõ meghatározott, szûk keresztmetszetre az újabb, igyekeznek megmérni a technikaiirányult, adósságot az úgyüzleti nevezett dinamikus támadások egyszerre több kommuniépítkezéstõl fogva, a központi projektek megújításán keresztül, a kációs szintet vesznek célba. Illetve megemlékezhetünk karbantartási összegek megnöveléséig, illetve az üzleti diszazokról évek óta terjedõ zsaroló szoftverekrõl is, érdekében amelyek funkciókazkialakulásának megelõzéséig. A CIOk ennek titkosítják egy számítógép fájljait, majd némi hajlandók belevágni a technikai adósság egész pénzért portfóliót hajlandók megfontolni, hogy hogy visszafejtsék-e azokat. Mellesleg felölelõ felértékelésbe, feltárják az informatikai részlegek nem szokták visszafejteni, lényegtelen, hogy fizet-e valaki, legköltségesebb és súlyosabb problémáit, ami segít fontossági vagy nem. sorrendbe tenni a karbantartási munkákat. Buchholz rámutatott, hogy a módszerek nem egyformán fejlettek a különféle területeken. A gyenge kódolásból származó ÚJ TECHNOLÓGIÁK, ÚJ sokkal VESZÉLYFORRÁSOK minõségi adósság kiszûrésére fejlettebb és a számszerûsítést jobban és támogató folyamatokat használnak, mint az Az információs kommunikációs technológiák és mûköinformatikai az architektúra, az integráció és a dési modellekinfrastruktúra, köre az utóbbi években gyorsuló tempóban folyamatok területén tapasztalható technikai adósságamelyek meghatábõvült. Általánossá vált az okostelefonok használata, biztonsági szempontból a hagyományos kockázatok mellett rozására. Habár ez méréstechnikai adósság, de az utóbbi terüújakat létrehoztak. A telefon számos kommunikációs leteken is még mindig inkább mûvészet, mint tudomány a helyes csatornája (GPS, WIFI, Bluetooth stb.), a számítógépekkel becslés kialakítása. A Deloitte szakértõi szerint azonban az inforösszemérhetõ adattárolási kapacitása sokféle támadási módra matikai vezetõk mégis helyesen orientáló becsült költségekhez ad lehetõséget. Ugyanakkor az okostelefonok biztonsági jutnak a gyenge költséghatékonyságú rendszerekrõl és az elavédelme messze elmarad a számítógépekétõl, ráadásul vult infrastruktúráról. fizikailag is könnyen ellophatók. Jelentõs kockázati forrás lehet a jövõ internetének egyik fõ pillére, a dolgok internete (Internet of Things – IoT), ami azt
Az IT vezetõknek fontos magukban tisztázniuk, hogy miféle eredményt kívánnak elérni, hiszen a felhasználhatóságuk is ettõl függ majd. Például az a CIO, aki cserélni szeretne egy öreg rendszert, nem tart igényt egy listára, amely minden kódolási hibát tartalmaz. Ehelyett azt kell kimutatnia, mennyivelhordozó jár jobjelenti, hogy sokmilliárd, különfélehogy kockázatokat eszköz méri ha és befolyásolja környezetünket. ban a vállalat, a cserét elvégzi. Ezzel szemben az a CIO, aki ki erényei miatt népszerûbb a felhõ alapú kívánjaGazdasági javítani a rendszert, megegyre kell, hogy határozza a problészámítástechnika, amelyben adatainkat az interneten tároljuk mákat, azok súlyosságát, valamint a javítási költségeket. vagy dolgozzuk fel. Mindez ma még sem talált támadási Az informatikai vezetõ így aztán egykicélt szem elõtt tartva módozatokra is lehetõséget ad, de abbanalkalmazza biztosak lehetünk, választhatja ki, hogy melyik megközelítést a techhogy a felhõ elleni támadásokAlapvetõen új fejezetetkét nyitnak majd a nikai adósság meghatározásához. út kínálkozik: kiberháborúban. (5) lefelé. alulról felfelé és felülrõl megállapítható, hogyaa kódolás digitális minõsévilágban AzÖsszefoglalóan alulról felfelé technikát elsõsorban a jó vizsgálatánál oldal egyelõre nem áll amikor nyerésre, bár jelentõs lépések gének használják, a legalacsonyabb költtörténnek és hatásuk A sötét ségszintet ésaatámadások legmagasabb javítási csökkentésére. költségeket vetik összeerõk az birtokában igen komoly erõforrás és Azután, szakértelem és adósság értékének meghatározásához. hogyvan, meggyakortaanemzetállamok támogatását magukmár mögött tudhatározták hibák számát, súlyosságát és istípusát, kiszámíthatják. Védekezni csak jelentõs erõforrások hatóvá válik, hogy ez mekkora technikai adósságotbevetésével, hordoz, bele-a technikai eszközökön a közönséges felhasználók biztonértve a jelenlegi rendszerkívül fenntartását és az üzleti zavarok potenságtudatának és moráljának radikális javításával, a kibertérben ciális költségét. Végül ennek alapján az adóssággal kapcsolatba alkalmazható teljes körû jogi szabályozással, erõsanemzetközi hozható munkaerõköltség is kalkulálhatóvá válik ráfordított összefogással, és az eszközgyártók felelõsségének növelésével munkaidõ alapján. lehet. A felülrõl lefelé megközelítés inkább az IT infrastruktúra, az architektúra, integráció és folyamatok esetében alkalmazható. Ez sokkal szubjektívebb az elõbb ismertetett eljárásnál, és sokkal erõsebben támaszkodik a benchmarkokra, becslésekre. Ha a CIO FELHASZNÁLT IRODALOM: szabványosítani szeretné a gépparkot, akkor tisztában szeretne lenni vele, hogy a rendszerben telepített szerverek hányfélék, - ENISAvan Threat Landscape 2014mekkora Overviewaofhibaarány current and mennyi belõlük, ezeknél és a karbanemerging cyber-threats 2014 www.enisa.europa.eu tartási költség, az egy December rendszeradminisztrátorra jutó szerverAccessed 05/14/2015 esõ munkaerõköltség. Az adatok birszám, e munkatársakra tokában már ki tudja mutatni, hogy a szabványosítás mennyivel - NTT Group: Global Threat Intelligence Reportköltségeket, 2014 csökkentheti a munkaerõés karbantartási az inforhttp://www.nttcomsecurity.com/en/services/managedmatikai rendszer bonyolultságát vagy a hardverhiba esélyét. security-services/threatintelligence/, Accessed 05/14/2015 A technikai adósság kiszámítása, különösen az alulról felfelé haladó elemzést használva az egész alkalmazás portfólióban, - http://resources.infosecinstitute.com/cyber-weapon-ofigen jelentõs vállalkozás. Buchholz szerint ez könnyen hómass-destruction-the-blackhole-exploit-kit/. napokig is eltarthat. Ezzel szemben az egyetlen rendszerben alulról felfelé haladó vizsgálat, vagy az infrastruktúra technikai - http://www.computerworld.com/article/2877923/theadóságának felülrõl lefelé való becslése lényegesen rövidebb zeroaccess-botnet-is-back-in-business.html idõ alatt elvégezhetõ. - Racskó Péter: A számítási felhõ az Európai Unió egén. Vezetéstudomány 43. kötet, 2012. január
A Ponemon Institue 2014-et a nagy adatszivárgások évének nevezte (Ponemon Institute, 2014a). Számításaik szerint a hírekben megfordult és nagy figyelmet keltõ esetek során összesen több, mint 350 millió sornyi adat szivárgott ki. Azaz felhasználói azonosítók, e-mailcímek, személyi azonosítók és gyakran jelszavak kerültek a támadók birtokába. Ha ehhez hozzávesszük, hogy Európában átlagosan mintegy 170 dollárra értékeltek egy elvesztett sornyi adatot (Ponemon Institute, 2014b), számokkal is kifejezhetõ ezeknek az incidenseknek a jelentõs súlya. A támadók direkt és indirekt módon is megpróbálnak jelszavakhoz jutni. Elõbbi esetben a támadó egyetlen specifikus jelszóra kíváncsi, és azt igyekszik megszerezni (például, hogy hozzáférjen az áldozat webes postafiókjához). Ezeknél a támadásoknál a jelszó erõssége nem sokat számít. Egyrészt a támadónak ritkán nyílik lehetõsége annyiszor próbálkozni – például egy belépési felületen –, hogy akár egy gyengébb jelszót is feltörjön, másrészt az esetek döntõ többségében nincs is erre szüksége, mert a legtöbb célzott támadás során megkerülik a jelszavakat. A jelszavak erejének tehát inkább az indirekt támadásoknál van igazán jelentõsége, vagyis azokban az esetekben, amikor egy adatszivárgás során kerül a támadó birtokába egy adatbázis a jelszavunkkal együtt (jó esetben titkosítva). Ha nincs titkosítás, akkor a behatoló egy azonnal használható kulcsot kapott, és nem számít a jelszavak semmilyen tulajdonsága –
azt csinál, amit akar. Abban az esetben viszont, ha jelszavaink titkosítva vannak, a támadó olyat akar találni közöttük, amelyet fel tud törni, és a számára fontos jogosultságokkal felruházott felhasználóhoz tartozik. Minél több idõ telik el azonban a szivárgás után, annál valószínûbb, hogy a behatolást felfedezik, és újakra cserélik a jelszavakat. Ezért aztán az idõ által sürgetett támadó a legkönnyebben feltörhetõ jelszavakkal kezdi a munkát, és halad fokozatosan a nehezebbek felé. Ilyen esetekben az erõs jelszavakkal védett fiókokhoz nem fog hozzáférni, hiszen nagy esélílyel talál megfelelõ felhasználót, könnyebben feltörhetõ jelszóval. Ideális esetben a lista minden jelszava annyira nehezen törhetõ fel, hogy a támadó egyiket sem tudja megfejteni, mielõtt kiderül az adatlopás.
19
TITKOSÍTVA TÁROLJÁK? Elõfordulhat, hogy egy szolgáltatásnál a felhasználók jelszavait titkosítás nélkül tárolják. Intõ jelként szolgálhat, ha a szolgáltató meg tudja adni a felhasználó jelszavát, hiszen ez azt jelenti, hogy vagy titkosítás nélkül tárolja, vagy dekódolható (kétirányú) titkosítást használ. Az utóbbi eset nagyon ritka, mert pontosan a jelszavak védelmének érdekében visszafejthetetlen (egyirányú) titkosítást szokás használni.
Folytatás a 20-ik oldalon
STÚDIÓ ÖNVÉDELMI SZABÁLYOK
ÖNVÉDELMI SZABÁLYOK STÚDIÓ
Folytatás a 19-ik oldalról
20
HOGYAN TÖRIK?
MITÕL ERÕS?
A KARAKTERKÉSZLET JELENTÕSÉGE
A NAGY KÉP
A jelszavak feltörésének is megvan a jól kialakult módszertana. A folyamat rendkívül egyszerû: a támadó valamilyen metodika szerint különbözõ kifejezéseket választ, és ezeket titkosítja azzal a módszerrel, amelyet az áldozat is használt. Ha talál az eredményei között olyan karaktersort, amely a listában is szerepel, tudni fogja annak eredeti kifejezését. Egy példán bemutatva: ha a támadó titkosítja az„alma” kifejezést, kaphatja az „ebbc3c26a34b609dc46f5c3378f96e08” karaktersort. Ha ezt megtalálja a titkosított jelszavak listájában, tudja, hogy annak a felhasználónak a jelszava„alma”. Ez a mûvelet számítási kapacitástól függõen másodpercenként akár többmilliárdszor is végrehajtható. Egy átlagos laptop akár másodpercenként 7670 milliószor tudna kifejezéseket titkosítani az almás példában szereplõ módszerrel. A titkosítandó kifejezések kiválasztásáak alapvetõen két irányzata van: a brute force és szótáras. A brute force minden lehetséges karakter-kombinációt végigpróbál egyesével (pl. aaaa, aaab, ..., alma), természetesen bizonyos keretek között. Gyakran használják csak rövid, egyszerûen törhetõ kifejezések keresésére (például 6 és 8 karakter közötti, csak kisbetûkkel írott jelszavak esetén), mert ez jelentõsen megrövidíti a futási idõt. A támadás elõnye, hogy ugyan erõforrás-igényes, viszont végül mindenképpen megtalálja a keresett jelszót. Szótáras támadásoknál elõre megadott kifejezések listáját titkosítja a támadó. Ezek a szótárak nemcsak az adott nyelv szavait tartalmazzák, hanem korábban feltört adatbázisok jelszavait is, esetleg egy célzott szakma sajátos kifejezéseit és ezek permutációit. Utóbbi fontos pont, ugyanis tökéletesen mutatja az áldozatok és támadók közötti macska-egér játékot. Amikor az áldozatok körében elterjed egy újfajta jelszógyártási megoldás (például szótári kifejezések pontokkal elválasztva: alma.banan.korte), azt a támadók azonnal felveszik törõ alkalmazásaikba. A két irány röviden összefoglalva: a brute force lassú, de biztosan talál eredményt, míg a szótáras jelentõsen gyorsabb, viszont nem biztos, hogy sikerrel jár.
Az erõs jelszavak kijelölésének feladata így egyértelmû: olyan karaktersort kell kreálni, amelynek visszafejtéséhez mind a brute force, mind a szótáras töréssel több idõ szükséges, mint amennyi a felhasználónak kell a jelszó megváltoztatásához. Ez az idõ egyéntõl és szervezettõl függõ. Az egyszerûség kedvéért a számításokhoz válasszuk az egy évet. A jelszó ereje három jellemzõbõl fakad: a hosszából, a karakterkészletébõl és hogy vannak-e benne szótári kifejezések. A tényezõk súlyának szemléltetésére a táblázatokban lévõ számítások szolgálnak. Az Amatõr és Titán kifejezések a törést végzõ rendszer számítási kapacitására utalnak, ahol az Amatõr egy átlagosnak mondható, felsõ-középkategóriás laptop, míg a Titán a világ második legerõsebb szuperszámítógépe (eredeti kutatásaimat a témában 2013 elején végeztem, akkor még az elsõ helyen állt). Titkosítási megoldásnak az MD5-öt választottam, mert ez egy kellõen ismert, sebezhetõ és gyorsan elvégezhetõ módszer. Természetesen fejlettebb titkosítás esetén a törési idõk növekednek, de a különbözõ erõsségû jelszavak közötti drasztikus különbségek bemutatására ez is megfelelõ. A hossz arra utal, hogy a jelszó hány karakterbõl áll. Fontos belátni, hogy önmagában vizsgálva a jelszó hossza csak brute force támadás esetén releváns. A szótáralapú támadások szavak kombinációit fogják próbálni, így ott az, hogy hány kifejezésbõl áll a karaktersor, fontosabb a karakterek számánál. A hossz jelentõségét bemutató táblázatban arra láthatók becslések, hogy a teljes, 94 karakteres készletbõl gyártott jelszavak különbözõ hossz esetén mennyi idõ alatt törhetõk fel brute force módszerrel. Jól látható az exponenciális növekedés, ahogy egy-egy karakternyi különbség másodpercekbõl órákat, napokat, végül éveket csinál az Amatõr rendszernél is. Mivel még a Titánnak is több, mint két év számítás kell hozzá, 11 karakternél kezdõdik az a hossz, amelyet kellõen biztonságosnak lehet mondani.
A jelszavaknál használt karakterkészlet azért kritikus, mert az összes fajta támadást képes hátráltatni. Brute force töréseknél jelentõsen meghatározza a szükséges számítások mennyiségét, szótáras támadások esetében pedig, ha egy kifejezés olyan permutációját sikerül választania a felhasználónak, amit a támadó nem ellenõriz, máris feltörhetetlen lesz a jelszava. Ezért érdemes kis- és nagybetûket, számokat és speciális karaktereket is használni jelszavainkban (már ha engedi az adott rendszer). A csak kisbetûkbõl álló kifejezések használata nagymértékben csökkenti a törésnél keresett karakterek halmazát, ami a karakterkészlet jelentõségét szemléltetõ táblázatban érezhetõ igazán. Abban egy 8 karakter hosszú jelszó brute force töréséhez szükséges idõ becslései láthatók, karakterkészlettõl függõen. Hasonlóan a hossznál, a másodpercekbõl itt is napok lesznek, ha minden lehetséges karaktertípusból van a jelszóban. A szótári kifejezések használata alatt különbözõ értelmes szavak, mondások, fogalmak használatát értjük a jelszóban. Ennek súlyát nem lehet egyszerûen számokkal kifejezni, viszont szemléltetés céljából a következõ példa megfelelõ lehet: ha egy jelentõs méretû, például 32 millió kifejezésbõl álló szótárnál minden kifejezést 64 módon próbálunk ki (kis- és nagybetûk variálása, évszámok hozzáadása, stb.), az Amatõr konfiguráció az így kialakított listán egy másodperc negyede alatt végigmegy. Ez remélem kellõen számottevõ különbség a brute force törésekhez képest, hogy rámutasson a szótári kifejezések gyengeségére. Röviden összefoglalva, az erõs jelszó legalább 11 karakter hosszú, tartalmaz kis- és nagybetûket, számokat és speciális karaktereket, és nem tartalmaz szótári kifejezéseket.
A jelszavak erejének forrása így már remélhetõleg kitisztult, ahogy az is, mi mikor számít, és mi ellen véd. A jelszavak azonban nem alkalmasak minden biztonsági probléma megoldására, és nem is ez a céljuk. A védekezéshez az egyetlen igazán jó, általános módszer a védelem erejét addig fokozni, míg annak sikeres leküzdéséhez a támadók erõforrásai már nem elegendõk. Ha a célpont ezt védelme minden pontján képes elérni, el tudja rettenteni a támadót. Az IT biztonság ebbõl a szempontból egy fal, amelynek egyik téglája a jelszavak erõssége.
TÁMADÓRENDSZER AMATÕR
JELSZAVAK ERÕSSÉGE JELSZAVAK VÉDELME ADATVÉDELEM IT BIZTONSÁG
KISBETÛK
+ NAGYBETÛK
+ SZÁMOK
+ SPECIÁLIS KARAKTEREK
27 mp
2 óra
8 óra
9 nap
TÁMADÓRENDSZER
6
7
8
9
10
11
FELHASZNÁLT IRODALOM:
AMATÕR
90 mp
2,35 óra
9,2 nap
2,4 év
226 év
21222 év
TITAN
0,01 mp
1 mp
1,61 perc
2,52 óra
9,9 nap
2,58 év
- Ponemon Institute (2014a). 2014: A Year of Mega Breaches - Ponemon Institute (2014b). 2014 Cost of Data Breach Study: Global Analysis - Dinya Péter (2013). Jelszavak használatával kapcsolatos megoldások, módszerek és szokások elemzése
21
STÚDIÓ PIACFEJLESZTÉS ÉS BIZALOM
FELHÕTÁRHELYEK SNOWDEN UTÁN SZABADON PAPP TAMÁS
BUDAPESTI CORVINUS EGYETEM
Közel két év telt el azóta, hogy Edward Snowden fényt derített az Amerikai Nemzetbiztonsági Hivatal (NSA) lehallgatási programjaira. A megfigyelési gyakorlat kiterjedtsége és mélysége kétségeket ébresztett aziránt, létezik-e egyáltalán online biztonság. A felhõalapú számítástechnika iránt megerõsödõ viszolygás arra késztette a piac szereplõit, hogy átgondolják a helyzetüket.
22
A biztonságosság kérdése már Snowden színrelépése elõtt is fontos szerepet játszott a felhõalapú számítástechnikában (cloud computing), hiszen a felhasználók – elveszítve az adataik feletti fizikai kontrollt – rendkívül fontosnak érezték, hogy kihelyezett adataik hasonló vagy még magasabb szintû védelemben részesüljenek, mint saját eszközeiken voltak. A szivárogtatás után pedig különösen fontos üzleti kérdéssé vált, hogy a lehallgatási botrány hullámai mennyiben érintik a szektort, és hogyan érdemes reagálniuk a piaci szereplõknek. Az NSA megfigyelési programjairól szóló dokumentumok kiszivárogtatását követõen a világ nagy figyelemmel fordult a biztonságosság felé. Ennek hatására az elmúlt két esztendõben felmérések, jelentések és médiaelemzések garmadája készült arról, milyen általános felhasználói vélekedés alakult ki a biztonságról. A fejlettebb piacgazdaságokban – erre mutat az amerikai Pew Research Center és a CIO.hu magyar kutatása is – nagyjából ugyanaz a folyamat ment végbe: a megfigyelési programok részleteinek megismerése és a felhasználói aggodalom kéz a kézben növekedett. Az amerikai jelentés fontos megállapítása, hogy a válaszadók többsége többet szeretne tenni magánjellegû adatai megvédésre, még akkor is, ha az általános vélekedés szerint az online anonimitás gyakorlatilag elérhetetlen. A személyes adatok kezelése a felmérésben résztvevõk számára érzékeny pont volt, és a nagy többség kifejezett szándékot mutatott kiegészítõ lépésekre privát adatai biztonságának érdekében. A kutatásokból kiderül, hogy bár növekszik az igény a felhõalapú szolgáltatásokra, egyéni és emiatt vállalati szinten is egyre nagyobbak az aggodalmak a technológia biztonságosságát illetõen. A felhõszolgáltatásokra való áttérés eldöntésekor az adatvédelmi megfontolások, az egyéb biztonsági kockázatok, valamint a jogi környezet játszották az elsõdleges szerepet, ehhez képest az esetleges magas költségek miatt jóval kevesebben aggódtak (lévén a cloud szolgáltatás költsége jóval alacsonyabb, mint egy saját szerverpark üzemeltetése, így a befektetés belátható idõn belül megtérülhet). A felhasználók biztonságtudatossága tehát mind egyéni, mind vállalati szinten jelentõsen nõtt. Különösen a tárolt adatok biztonságát illetõen mutattak a kutatások egyfajta keresletváltozást. Az informatika dinamikus változása láthatóan lehetõvé teszi a piaci elõnyszerzést, ha a felhõszolgáltatók helyesen reagálnak.
1
1,5
2
2,5
3
3,5
4
4,5
5
1
1,5
2
2,5
3
3,5
4
4,5
5
Adatvédelmi privacy megfontolások Biztonsági kérdések Jogi környezet Szolgáltatói kiszolgáltatottság (vender lock) Szabályozásoknak való megfelelés Integrálás a meglevõ IT architektúránkba Csökkenõ kontroll a szolgáltatásokon Megbízhatóság szolgáltatási színvonal Szolgáltatóval való együttmûködés Használati esetek hiánya Magas átállási költségek
1. ábra: A felhõszolgáltatások elterjedésének gátjai, forrás: CIO.hu kutatás (Fehér, 2014)
JELENLEGI SZOLGÁLTATÓI MEGOLDÁSOK A BIZTONSÁGOSSÁG ÉRDEKÉBEN A felhõalapú tárhelyszolgáltatók döntõ többsége matematikai formulákon alapuló titkosítási algoritmusokat alkalmaz. A titkosítási eljárások széles palettája áll a szolgáltatók rendelkezésre, az elterjedt megoldások száma azonban már korántsem ilyen nagy. Csak néhány olyan szabványosított megoldás létezik ugyanis, amelyet magas szintû tesztelésnek vetettek már alá, és ezzel segítették az adaptációját (például az RSA, az AES és az ECC kódolás). Ha a kriptográfiai módszerek ilyen szélesen elterjedtek a felhõszolgáltatók körében, akkor mi különbözteti meg õket egymástól a biztonság tekintetében? A választ nemcsak a titkosítási algoritmusokban, hanem azok alkalmazásbeli eltéréseiben kell keresni. A titkosítás minõségét gyakorta éppen ez határozza meg. Az alkalmazásbeli – például a kliensoldali titkosítás során elõálló – különbségek kihasználásával elérhetõ magasabb biztonsági szintet jelenleg csak néhány szolgáltató kínálja a piacon (például a Tresorit vagy Wuala), talán a megvalósítás nehézségei miatt. Csakhogy a Snowden-ügy miatt növekvõ felhasználói biztonságtudatosság hatására a magasabb biztonsági szintet kínáló szolgáltatók szerepe felértékelõdött a piacon.
ÉRTÉK-E A BIZTONSÁG? A feltételezés helyességének ellenõrzéséhez – azaz, hogy a magasabb biztonsági szintet eredményezõ titkosítási eljárások jelentõs mértékben hozzájárulnak a piaci részesedés növekedéséhez a cloud szolgáltatók között – érdemes statisztikai számításokat is elvégezni (a modell a dibiz.hu oldalról letölthetõ). Ezek azt mutatják, hogy a biztonság mértéke 42 százalékban magyarázza a felhõszolgáltatók alkalmazásainak letöltésszám-változását az elemzés idõszakában. Ez közepesen erõs összefüggést jelent, ami önmagában is arra utal, hogy a biztonság fokát érdemes jól megválasztaniuk a szolgáltatók-nak. Végsõ soron a legjelentõsebb mértékben a magas biztonsági szintet elérõ szolgáltatók profitálhatnak leginkább. A 2. ábra szemlélteti az erõsebb biztonsági szintet teljesítõ szolgáltatók népszerûségnövekedését. Bár a számítások becsült adatokon alapulnak, a szignifikáns eltérés az egyes biztonsági szintek értéke között még magas hibahatár feltételezése mellett is meggyõzõ. Összefoglalásként elmondható, hogy a statisztikai elemzés alapján a felhõtárhely-szolgáltatóknak a jövõben valószínûleg megéri majd magasabb biztonsági szintet kínálni, mert ezzel növelhetik népszerûségüket és magasabb piaci részesedést érhetnek el. A biztonság ugyanis érték lett, aminek elismerése a nagyobb profitrealizálásában is megjelenhet.
http:/ dibiz.hu/wp-content/uploads/2015/06/ertek-biztonsag.pdf
ÁTLAGOS FELHASZNÁLÓSZÁM NÖVEKEDÉS A BIZTONSÁGI SZINT FÜGGVÉNYÉBEN 180%
168,47%
180%
160%
160%
140%
140%
120%
120%
100%
100%
80%
80%
60,64%
60% 40%
60% 40%
28,54%
20%
20%
0%
0%
GYENGE
KÖZEPES
MAGAS
2. ábra: Felhasználói szám növekedése a biztonság függvényében, forrás: saját kutatás, adatok: xyo.net, 2015
http://dibiz.hu/wp-content/uploads/2015/06/ertek-biztonsag.pdf Az elemzés további részletei a dibiz.hu oldalról letölthetõk!
23
STÚDIÓ VÁLLALATI BELÜGYEK
VÁLLALATI BELÜGYEK
FOLYAMATTUDATOSSÁG ÉS SZABÁLYOZÁS Dr. FEHÉR PÉTER - Dr. VARGA KRISZTIÁN
BUDAPESTI CORVINUS EGYETEM - INFORMATIKAI INTÉZET
A vállalati szervezeteket átszövi a számos és bonyolult egymástól is függõ folyamat, emiatt pedig nehéz, vagy egyenesen megoldhatatlan a kezelésük megfelelõ felsõ szintû szemlélet nélkül. Ebben segít a folyamatmenedzsment. A vállalatok mûködését nehezen lehet áttekinteni és kézben tartani, ha a szervezetek folyamatai túlságosan komplexé vállnak. Ebben nagyon sokszor a szabályozási keretnek való megfelelés kényszere (compliance) is felelõssé tehetõ, hiszen különféle szabályzatok, elõírások határozzák meg a cég mûködési terét és szabadságát. Az elõírások sokszor inkább a törvényi elvárásokat tükrözik, és kevésbé tûzik ki célul a közérthetõséget. Ilyen szabályzatokkal mind a közszférában, mind a piaci szervezetek esetében sokan találkozhatnak: pénzforgalmi szabályzat, kötelezettségvállalási szabályzat, kiküldetési szabályzat, stb. E szabályzatok alkalmazása a jellemzõen jogi szemlélet miatt nehézségekbe ütközik, és gyakran nem találkozik a vállalatok mûködésének logikájával. Emiatt a vállalatok alkalmazottai, sokszor vezetõi is inkább szükséges rosszként, hátráltató tényezõként tekintenek a szabályzatokra, amelyeknek a lehetõ legkisebb energiával igyekeznek megfelelni. A szabályzatok gyakori változásai pedig megnehezítik a jó szándékú szabálykövetõk dolgát is. Ha a vállalati értékteremtõ folyamatok és a hozzájuk kapcsolódó szabályozások egymástól elkülönülnek, és eltérõ logika mentén szervezõdnek, az elõbb-utóbb zavart okoz. Éppen ezért fontos a vállalati folyamatokat egységes szemlélettel kezelni, amely egyaránt szem elõtt tartja a folyamatszervezési, hatékonyságnövelési, használhatósági és szabályozási célokat is.
MI IS A FOLYAMATMENEDZSMENT?
24
A folyamat egy olyan tevékenységsorozat, amelynek során bemenetek (inputok) átalakítása történik meg kimenetekké (outputokká), valamilyen célnak alárendelten (Davenport, 1993). Az üzleti folyamat e fenti átalakítást valósítja meg, üzleti környezetben, üzleti szereplõkkel (Hammer-Champy, 2000). Az üzleti folyamatok rendszert alkotnak. Egymástól tehát nem elszigetelten mennek végbe, mégis pontosan kijelölt kiindulóés végpontjuk kell, hogy legyen. A hagyományos, funkcionális elven mûködõ vállalatoknál azonban a folyamatok legtöbbször felszabdaltak, láthatatlanok, nem menedzseltek, nem mértek és nem ellenõrzöttek. A folyamatmenedzsment az üzleti folyamatokat olyan eszközökként kezeli, amelyek közvetlenül hozzájárulnak a vállalat teljesítményéhez a mûködési kiválóság és az üzleti agilitás megteremtésével, a folyamatok tervezésén, szabályozásán, dokumentálásán és fejlesztésén keresztül (Scheer et al, 2002). A folyamatok nagy száma, bonyolultsága, és egymástól való
függése miatt a kezelésük nehézkes, vagy megfelelõ felsõ szintû szemlélet nélkül megoldhatatlan. Ennek a kihívásnak segít megfelelni a folyamatmenedzsment.
A VÁLLALATI FOLYAMATOK RÖGZÍTÉSE A folyamatmodellezés célja, hogy felmérjük, majd pedig elemezzük és fejlesszük a folyamatainkat. A folyamatmodellek különbözõ információkat hordozhatnak és változó lehet a befogadó fél is, így nem mindegy, milyen szemszögébõl nézve készítjük el õket (Gábor-Szabó, 2013). A folyamatok leírására többféle lehetõségünk is van: készülhet szöveges folyamatleírás vagy táblázatos leírás is, de a legcélravezetõbb a grafikus, modellorientált leírás, amelynek segítségével sokkal egyértelmûbben, és átláthatóbban ábrázolhatjuk az adott folyamatokat. Az elsõ típus, a szöveges leírás rendkívül egyszerû megoldás, könnyen kivitelezhetõ, azonban ez a módszer többféle hibát is magában hordoz. Például a szövegek egyéni értelmezésébõl adódó eltérések miatt könnyen átláthatatlanná válik, nehezen ellenõrizhetõ és értékelhetõ. A következõ megoldás a táblázatos ábrázolás, amely már jóval strukturáltabban és átláthatóbban jeleníti meg a folyamatokat, azonban az összefüggések és komplexebb folyamatok még mindig nehézkesen ábrázolhatók, például a döntési pontok mentén kialakuló ágak miatt, amelyeket ebben a formában még nehezen lehet kezelni. A legfejlettebb módszer a grafikus, modellorientált ábrázolás, amely folyamatábrák segítségével mutatja be a folyamatokat, így szavatolva a modell átláthatóságát. Az egységes ábrázolásmód megteremtése érdekében bevezettek olyan modellezõ nyelveket, mint a BPMN és az EPC módszertanok. Ezek egységes objektumrendszert és logikát kínálnak a folyamatok ábrázolására.
FOLYAMATMODELLEZÉS A GYAKORLATBAN A Budapesti Corvinus Egyetem Informatikai Intézetének kutatása szerint (1) a hazai vállalatok többsége törekszik a szervezeti folyamatok valamilyen szinten történõ rögzítésére. Igaz, csak a válaszadók ötöde jelezte, hogy ezt valamilyen folyamatmodellezõ céleszközzel támogatja. Ugyanakkor igen elterjedt az egyszerû – ha nem is tökéletes – megoldások alkalmazása: Visio vagy Powerpoint alapú rajzolást a válaszadók harmada, illetve szöveges vagy táblázatos formában történõ leírást a válaszadók további harmada alkalmaz.
1 A kutatás során 79 vállalat képviselõje osztotta meg tapasztalatait vállalatának informatikai gyakorlatáról. A válaszadók közel fele felsõvezetõi, összességében 86 százaléka vezetõi pozícióban van. A minta kiegyensúlyozottan tartalmaz KKV-kat és nagyvállalatokat, valamint lefedi mind az állami, mind a belföldi és külföldi tulajdonú piaci szektort is.
HASZNÁLNAK-E VALAMILYEN ESZKÖZT A VÁLLALATI FOLYAMATOK RÖGZÍTÉSÉRE? Nincs formális folyamatrögzítés
9%
21%
Vállalati folyamatmodellezõ eszköz
35% Szöveges vagy táblázatos rögzítés
35%
ITSM KUTATÁS 2015
1-49 fõ: 10% 50-249 fõ: 30% 250-1499 fõ: 31% 1500+ fõ: 29%
Tulajdonos Állami: 29% Belföldi: 26% Külföldi: 45%
Rajzolóeszköz, prezentációkészítõ
Válaszadó Felsõvezetõ: 47% Középvezetõ: 39% Egyéb: 14%
Budapesti Corvinus Egyetem Informatikai Intézet További információ: www.it-kutatas.hu
Mint látható, a vállalatok többsége a folyamatait megpróbálja valamilyen módon rögzíteni. A kutatás kimutatta, hogy e rögzítés elsõdleges célja éppen a különféle szabályzatok kialakításának támogatása, a szervezetfejlesztés és szervezeti felelõsség rögzítése. A felmérés alapján tehát megvan rá az igény, hogy a vállalati folyamatok, és a szabályzatok találkozzanak egymással. A legtöbb folyamatmodellezõ eszköz azonban a szabályzatok kezelését nem intézi kellõ részletességgel. A folyamatmodell képe exportálható, de a vállalat által elvárt szabályzatstruktúra már nem adható meg. Jellemzõen a folyamatdokumentáció a grafika beszúrását, és az attribútumokban megadott szöveges elemek listázását foglalja magába, a testreszabási lehetõségek pedig alacsonyak.
0%
10%
20%
30% 40%
50%
60%
70%
80%
0%
10%
20%
30% 40%
50%
60%
70%
80%
Szabályzatok kialakítása Folyamatok fejlesztése Szervezeti felelõsségek meghatározása Workflow kialakítása Compliance (szabályzati elvárások teljesítése) Informatikai rendszerterv kialakítása Munkaköri leírások létrehozása Informatikai követelményspecifikáció létrehozása Folyamatokra vonatkozó mérések kialakítása Szükséges végrehajtói tudás és képességek azonosítása
1-49 fõ: 10% 50-249 fõ: 30% 250-1499 fõ: 31% 1500+ fõ: 29%
Tulajdonos Állami: 29% Belföldi: 26% Külföldi: 45%
Válaszadó Felsõvezetõ: 47% Középvezetõ: 39% Egyéb: 14%
kezelésére, használatuk nehézkes és nem teljes körû. A megoldáshoz vizsgálni kell a folyamatmodellek és a szabályzatok adattartalmát. A folyamatmodellekben leírják a szervezeti folyamatokat alkotó tevékenységeket, a szükséges kimeneteket és bemeneteket, a végrehajtókat, és a támogató IT rendszereket. A végrehajtókat a szervezeti hierarchia megadásával szokás egyértelmûvé tenni: ebben a hierarchiában jelenik meg a szervezet struktúrája. Minden objektumhoz leírás rendelhetõ, ezáltal egyértelmûen leírható, mit ért a modellezõ a tevékenységen, mégis a grafikus ábrázolás során lényegre törõ, kompakt ábraméret érhetõ el. Több vállalat szabályzatainak felépítését vizsgálva kijelenthetõ, hogy bár az áttekintett sémák eltérõek, mégis meghatározhatók azonos egységek. Az azonosított blokkok a következõk: ? Címlap ? Dokumentum metaadatok (kiadás dátuma, verzió, jóváhagyó, stb) ? Dokumentum célja, vezetõi összefoglaló ? Használt fogalmak ? Folyamatábra ? Folyamatábra szöveges magyarázata ? Kapcsolódó folyamatok felsorolása ? Szervezeti felelõsségek meghatározása Bármilyen folyamatmodellezési eljárást is alkalmazunk, a fenti információtartalom meglétén túl elvárt, hogy a szabályzatok és a folyamatok ne váljanak el egymástól, azaz a szabályzatok változását a folyamatok változtatásán keresztül tudjuk elérni. Hasonlóképpen szükséges, hogy kezelhetõ legyen a szabályzatok hivatalos jóváhagyása és kiadása, valamint bármely idõpillanatra vonatkozóan visszakereshetõ legyen az érvényes szabályozás.
FOLYAMAT ALAPÚ SZABÁLYZATOK KIALAKÍTÁSA EGY MAGYAR VÁLLALATNÁL
MILYEN CÉLLAL RÖGZÍTIK VÁLLALATI FOLYAMATAIKAT?
ITSM KUTATÁS 2015
STÚDIÓ
Budapesti Corvinus Egyetem Informatikai Intézet További információ: www.it-kutatas.hu
A FOLYAMATMODELLEK ÉS A SZABÁLYZATOK KÖZÖTTI SZAKADÉK ÁTHIDALÁSA Körvonalazódni látszik tehát az a vállalati igény, hogy a kialakított folyamatmodellekbõl egyszerûen, akár automatikusan szabályzatok legyenek elõállíthatók. Habár a folyamatmodellezõ eszközök majdnem mindegyike tud dokumentumot generálni, ez ugyanakkor nem több a különbözõ objektumok strukturált formába rendezett felsorolásánál. Mi több, ezeket az eszközöket – mint láttuk – csak egy szûk kör használja. A szélesebb körben elterjedt félformális megoldások ugyanakkor nem képesek a vállalati komplexitás teljes
A fent bemutatott kihívások jelentek meg egy multinacionális társaság magyar leányvállalatának mûködésében is. A vállalat az olyan gyorsan növekvõ szervezetek tipikus példája, ahol a vállalati mûködés átláthatósága, a szabályozások, valamint a folyamatok formalizálása elvált egymástól. Míg az IT rendszerek bevezetése idõszakos igényként jelölte meg a folyamatok áttekinthetõ rögzítését, addig a fejlõdéssel együtt járó szabályozási igény már formalizált szabályzatok kialakítását követelte meg. A vállalat egy jól meghatározott területen elindította elsõ ilyen projektjét. A projektet a vállalat oldaláról az informatikai igazgató vezette. Így adott volt a gondolat, hogy a kialakítandó szabályzatok és a felmérendõ folyamatok az informatika területérõl kerüljenek ki, kiegészítve azokkal a folyamatokkal, amelyek erõsen az informatikától függnek, informatikai folyamatokhoz kapcsolódnak. Kiemeltnek tekintette a vállalat például a beszerzési folyamatait, amelyek felmérése során világosan láthatóvá vált, hogy az érintettek nem látják a kapcsolódási pontokat, nincsenek tisztában azzal, hogy a saját feladatukkal miként támaszkodnak a korábbi szereplõk által végrehajtott feladatokra, és azzal sem, hogy az általuk végrehajtott lépések kinek teremtenek értéket. A beszerzési folyamatok felmérése során világossá vált, hogy a felmért folyamat gyakorlatilag nem ábrázolható strukturált modellezõ eszközben, abban ugyanis olyan kezeletlen döntési ágak, tisztázatlan szerepkörök és össze nem kapcsolható tevékenységek vannak, amelyeket a vállalat a felmérés nélkül nem ismert volna fel, csak a hatását érezte már egy ideje. Folytatás a 26-ik oldalon
25
STÚDIÓ VÁLLALATI BELÜGYEK
CYBERSECURITY VENTURES JELENTÉS ADATBÁNYA
Folytatás a 25-ik oldalról
Ennek megfelelõen, az alapvetõen felmerült szabályozási igényhez képest vissza kellett lépni, és a cél már a folyamattudatosság kialakítása volt a vállalaton belül. Ebben is nagy segítséget jelent egy folyamatmenedzsment eszköz használata, amely szükségszerûen kikényszeríti a folyamatszemlélet alkalmazását.
A FOLYAMATTUDATOSSÁG KIALAKÍTÁSA A projekt során felmérték és optimalizálták az informatikai és a fent már említett kiemelt jelentõségû folyamatokat. A felmérést a vállalat két szakembere végezte, két tanácsadó mentorálása mellett. Ennek a módszernek nagy elõnye volt, hogy a folyamatfelmérési kompetenciák a vállalaton belül kialakulhattak, a folyamatgazdák szervezeten belüli kollégáknak adták át tudásukat, ezáltal a szervezeti ellenállás mértéke minimalizálható volt. A projekt során az e probléma megoldására kifejlesztett PRUEXX folyamatmodellezõ eszközt használtuk, amely a nemzetközi szabványnak tekinthetõ BPMN módszertant alkalmazza olyan egyszerû szinten, hogy a folyamatábra könnyen elkészíthetõ és megérthetõ is legyen, ám a szabályzatok létrehozásához minden szükséges és elégséges információ, illetve segítség a felhasználó rendelkezésére álljon. A megfelelõen felmért és optimalizált folyamatmodellek a PRUEXX-ben már alkalmasak voltak arra, hogy belõlük jól strukturált, a vállalati igényeknek megfelelõen testre szabott szabályzat legyen elõállítható. E szabályzatok kialakításánál a vállalat elvárásai között kiemelten szerepelt, hogy a folyamatok szabályozási jellegén túl karakteresen jelenjen meg, hogy a szervezet-
ben kinek, milyen felelõssége van. A fent ismertetett felelõsségek a folyamatmodellekben RACI hozzárendelések segítségével adhatók meg egyértelmûen. A RACI mátrix négy kifejezés betûszava, amelyek a tevékenység során betöltött szerepet jelképezik (Jacka - Keller, 2009): ? a Responsible, azaz a Végrehajtó szerepkör (aki az adott tevékenységet elvégzi); ? az Accountable, azaz a Felelõs szerepkör (aki a feladat végrehajtását jóváhagyja, vagy aki a végrehajtásért elszámoltatható); ? a Consulted, azaz a Konzultált szerepkör (aki a tevékenységben indirekt, tanácsaival, vagy társként vesz részt) ? az Informed, az a Tájékoztatott szerepkör (akinek a tevékenység végrehajtása során információkat kell kapnia, vagy a végrehajtásról tudomást kell szereznie). A RACI mátrix a folyamatmodellekben egyértelmûvé teszi a felelõsségeket és hatásköröket, ezzel együtt azonban egy tevékenységhez több szerepkört is kapcsolhat. A PRUEXX-ben lehetõség nyílik a RACI szerepek beállítására minden egyes tevékenységnél, és a generált szabályzatban ennek alapján elõáll a RACI mátrix. Ennek megfelelõen a PRUEXX használatával mind a folyamatmodellekbõl kinyerhetõ, vállalati igények mentén testreszabott szabályzat iránti igényt, mind pedig a pontosan megadható felelõsségi körök megadása iránti igényt teljesítettük. Összességében tudatos folyamatmenedzsment megközelítéssel, és a szabályozási problémára kialakított céleszközzel sikerült a folyamatok és szabályzatok összhangját megteremteni, és fenntartani.
26
HIVATKOZÁSOK - Davenport, T. H. (1993): Process Innovation: Reegineering Work Through Information Technology, Harvard Business School Press, Cambridge, MA - Gábor, A.; Szabó, Z. (2013) Semantic Technologies in Business Process Management, In: Madjid Fathi (szerk.) Integration of practice-oriented knowledge technology: trends and prospectives,Berlin; Heidelberg: Springer Verlag, pp. 17-28. (ISBN:978-3-642-34470-1) - Hammer, M.; Champy, J. (2000): Vállalatok újraszervezése. Panem Könyvkiadó, Budapest - Jacka, M.; Keller, P. (2009): Business Process Mapping: Improving Customer Satisfaction. John Wiley and Sons. p. 257. ISBN 0-470-44458-4. - Scheer, A.-W.; Abolhassan, F.; Jost, W.; Kirchmer M. (2002): Business Process Excellence - ARIS in Practice, Springer
GIGANTIKUSRA HÍZÓ KIBERBIZTONSÁGI PIAC A globális kiberbiztonsági piacot a szakértõk mintegy 71 milliárd dollárosra becsülték 2014ben, a fejlõdés azonban szélsebes: egy 2019-es prognózis már több mint 155 milliárd dollárról szól. A Gartner piacelemzõ cég a 71,1 milliárdos teljes piacon belül az adatvesztés elleni szegmens növekedését találta a leggyorsabbnak. A 18,9 százalékos éves bõvülés hatalmas, figyelembe véve, hogy az összes információbiztonsági kiadás várhatóan 8,2 százalékkal fog növekedni az idén, elérve a 76,9 milliárd dollárt. A kiberbiztonsági piac mérete a Markets and Markets becslése szerint 155,74 milliárd dollárra bõvül 2019-re, és az éves összetett növekedési ütem 10,3 százalékos lesz 2014 és 2019 között. A növekedéshez az ûrrepülés, a védelmi és hírszerzési vertikum járul hozzá továbbra is a legnagyobb mértékben, a legnagyobb piac pedig várhatóan Észak-Amerika lesz. A The Wall Street Journal szerint a következõ generációs kiberbiztonsági kiadások ebben az évben 20 százalékkal emelkednek, mivel a vállalatok túllépnek a hagyományos tûzfal és végponti szállítók kínálatán a felhõ és a big data megoldások felé. A vállalkozásoknak és a kormányzati szerveknek mintegy 10 százaléka már áttért a következõ generációs biztonsági szoftverre. A tûzfalak az alkalmazások szintjén észlelik és blokkolják fenyegetéseket, vagy big data elemzések szolgáltatnak plusz biztonságot az FBR Capital Markets szerint. Ezeknek a szoftvereszközöknek a piaca 15-20 milliárd dolláros lehet a következõ három évben. A hackerek és egyes államok szervezetei egyre célzottabban támadnak weboldalakat, hogy illegális hozzáférést szerezzenek vállalati hálózatok és igen értékes digitális eszközök felett – állítják a Frost & Sullivan hálózatbiztonsági cég szakértõi. Mivel a webes alkalmazások számos egyedi biztonsági kihívást jelentenek a szervezetek számára, a nagy horderejû adatsértések elkerülése érdekében felszökött a kereslet a WAF (Web Application Firewall – web alkalmazás tûzfal) rendszerek iránt. Ezek globális forgalma a világpiacon várhatóan eléri a 777,3 millió dollárt 2018-ban. A számítógépes bûnözés méretérõl többféle becslés is forgalomban van, de abban nagyjából megegyeznek, hogy globálisan több százmilliárd dollárt forgalmaz évente a feketegazdaság ezen ága. A világ vállalatai minden iparágat beleértve arról számoltak be, hogy összesen 42,8 millió támadást észleltek 2014-ben. A PricewaterhouseCoopers jelentése (Global State of Information Security Survey 2015) szerint az egy évvel korábbihoz képest 48 százalékos volt a bõvülés. A Center for Strategic and International Studies (Stratégiai és Nemzetközi Tanulmányok Központja) 2014-es riportja pedig úgy értékeli, hogy a bûnözéshez kapcsolódó számítógépek és hálózatok költsége a világgazdaságnak több mint 445 milliárd dollárjába kerül évente.
ERÕSÕDÕ MOBIL HANGSÚLYOK A mobil és hálózati biztonsági kiadásokat éves szinten 11 milliárd dollárosra becsülik, de a piac gyorsan növekszik. Tavaly közel 2,2 milliárd okostelefont és táblagépet adtak el a végfelhasználóknak, a Gartner pedig azt jósolja, hogy 2017-re a mobilbiztonság megsértése közel 75 százalékban a mobilalkalmazások félrekonfigurálásból fog eredni. Már 2015-ben a mobilalkalmazások lesznek a hackerek elsõdleges célpontjai, különösen azok az appok, amelyeket a fejlesztõk nem tartottak karban, de elérhetõk maradtak az alkalmazásboltokban. Az Ernst & Young 2014-es kutatási jelentése (Global Information Security Survey) szerint a biztonsági részlegek a kiadásaikat legnagyobb mértékben a mobiltechnológia (46 százalék) területén fogják emelni, ezt követi a felhõ és a virtualizáció (43 százalék), az adatszivárgás (41 százalék), majd az identitás és hozzáférés-kezelés (39 százalék). Habár a fejlõdés látható, az Infonetics Research becslése szerint a mobileszközök biztonsági piacán még csak 3,4 milliárd dollár fordul meg majd 2018-ban. Az SNS Research becslése szerint azonban a mobileszközök és a hálózat biztonsága érdekében tett befektetések közel 11 milliárd dollárt tettek ki csak 2014-ben, és a piac további évi 20 százalékos növekedése várható a következõ hat évben. Azt is megállapították, hogy az antimalware és antivírus szoftverek használata rohamosan terjed, és követelménnyé válik a legtöbb okostelefonon és a tableten. Ezeken túl a mobileszközökbe be fognak építeni fejlett biometrikus azonosítókat (például ujjlenyomat-érzékelõt) is a mobilfizetések népszerûségének terjedésével.
MENEDZSELT SZOLGÁLTATÁSOK ÉS BIG DATA Mivel a vállalatok egyre jelentõsebb része szeretné kiszervezni a kiberbiztonságot, a menedzselt biztonsági szolgáltatások (Managed Security Services Provider – MSSP) piaca folyamatosan növekszik. Az Infonetics Research szerint e piac mérete meg fogja haladni a 9 milliárd dollárt 2017-ig. Az ABI Research értékelése alapján a globális menedzselt biztonsági szolgáltatások piaca idén mintegy 15,4 milliárd dolláros lesz, de 2020-ra már eléri a 32,9 milliárd dollárt. A Frost & Sullivan kutatói azt jósolják, hogy az EMEA MSSP piac eléri az 5 milliárd dollárt 2018-ig. A fenyegetéseket elemzõ üzleti intelligencia, a kutatás, a detektálás és a kármentõ Folytatás a 28-ik oldalon
27
KIS CÉGEK A FELHÕBEN SPOT
ADATBÁNYA CYBERSECURITY VENTURES JELENTÉS
Folytatás a 27-ik oldalról
szolgáltatások igénybevétele valószínûleg kétszer akkora ütemben nõ, mint a biztonsági eszközök felügyelete és menedzsmentje. Ez a tendencia fogja valószínûleg megkülönböztetni a piacvezetõket a többiektõl. A következõ három évben a szervezeteknek több mint a fele lesz már az ügyfele a biztonsági szolgáltató cégeknek, amelyek adatvédelmi, biztonsági kockázatkezelési és biztonsági infrastruktúra menedzsment szolgáltatásokat nyújtanak – állítja a Gartner. A piacelemzõ cég szerint már az idén a teljes IT-biztonsági vállalati termékkör mintegy 10 százalékát felhõbõl lehet elérni, mint felhõalapú szolgáltatást vagy felhõbõl menedzselt terméket. Az elemzés szerint idén a biztonsági ellenõrzések 30 százaléka lesz a felhõalapú. Egy másik fontos trendrõl az IDC piacelemzõ cég számolt be. Elemzésük szerint a big data világpiac 2015-ben eléri a 125 milliárd dolláros méretet. A big data elemzési eszközök jelentik az elsõ védelmi vonalat, amelyek egyesítik a gépi tanulás, a szövegbányászat és ontológia modellezés módszereit és lehetõségeit, hogy holisztikus és integrált elõrejelzéseket adhassanak a biztonsági fenyegetésekrõl, továbbá felderítõ, elrettentõ és a megelõzési programokat használhassanak védekezésül – állítja az International Institute of Analytics (IIA). Az Internet of Thing (IoT – dolgok internete) analitikája igazi forró ponttá válik a piacon, az IDC 30 százalékos éves (CAGR) növekedést jósol a következõ öt évre.
ÉLENJÁRÓ ÉS LEMARADÓ VESZÉLYEZTETETTEK A kibertámadásokra válaszul a nagy bankok és pénzügyi szolgáltató cégek már megnövelték kiberbiztonsági kiadásaikat, és ez a trend a jövõben is folytatódik. Csak az amerikai banki és pénzügyi szolgáltatások számítógépes biztonságára 2015-ben 9,5 milliárd dollárt költenek a Homeland Security Re-
search Corp. (HSRC) szerint, és így ez a legnagyobb nem-kormányzati szegmens a kiberbiztonsági piacon (összehasonlításképp: az amerikai kormány 2016-ban 14 milliárd dollárt tervez közvetlenül a saját hálózatai és a szövetségi hálózatok védelmére költeni a kiberfenyegetések kivédésére). A jelentés szerint 2015 és 2020 között a pénzügyi piacon lesz a leggyorsabb a növekedés, ahol a cégek összesen 77 milliárd dollárt fognak áldozni számítógépes biztonságukra. A PricewaterhouseCoopers szerint a pénzügyi szolgáltató vállalatok két milliárd dollárral fogják növelni a kiberbiztonság kiadásokat a következõ két évben. A cég által megkérdezett 758 bank, biztosító és egyéb pénzügyi szolgáltató együtt 4,1 milliárd dollárt költött ilyen célra. Az egészségügy kiberbiztonsága elmarad más ágazatokétól, pedig a betegek adatai egyre kívánatosabb célpontjai a személyes adatok feketekereskedõinek. Az ABI Research szerint a kórházak, klinikák és biztosító társaságok folyamatos támadás alatt állnak, az iparág mégis keveset költ más területekhez képest. A kutatócég becslése szerint az egészségügy virtuális környezetének védelmére szolgáló kiadások csak 2020-ra érik el a 10 milliárd dollár globálisan, és ez az összeg a kritikus infrastruktúra biztonságára fordított kiadásoknak mindössze 10 százaléka körül mozog. Pedig a személyes egészségügyi adatok könnyen hozzáférhetõk az elektronikus egészségügyi nyilvántartásokon keresztül, tízszer könnyebben, mint ahogy a pénzügyi adatokat, például hitelkártyaszámokat lehet elérni. Az orvosi személyazonosság ellopása és az ezzel kapcsolatos csalások is növekszenek, és az egészségügyi szolgáltatók nehezen birkóznak meg az olyan esetekkel, amikor milliók személyes adatai ömlenek ki. Az egészségügyi kiberbiztonsági piaca még kicsi és töredezett piac, de a potenciális lehetõségek bõvítése nagy, és tovább növekszik a folyamatos támadások következtében.
MILYEN BIZTONSÁGI CÉLOKRA KÖLTENEK A CÉGEK? A PwC által megkérdezettek százaléka
MEGELÕZÉS
VÉDELEM
28
DETEKTÁLÁS
27%
24%
23%
19%
18%
Biztonság tudatossági képzés a munkatársaknak
A felhasználói hozzáférések felülvizsgálata
Viselkedés profilozás és ellenõrzés
Szerepfüggõ hozzáférés kontroll
Privilegizált hozzáférés engedélyezés
22%
21%
20%
18%
19%
Mobiltelefonok titkosítása
Adatvesztést megelõzõ eszközök
Illetéktelen felhasználást érzékelõ eszközök
Rosszindulatú kódokat detektáló eszközök
Szoftverjavításokat menedzselõ eszközök
22%
20%
20%
18%
18%
Mobil károkozó érzékelés
VÁLASZ
Forrás: PwC
22%
Jogosulatlan hozzáférést érzékelõ eszközök
21%
Biztonsági események Az információbiztonsági korrelációját kimutató eszköz intelligencia aktív monitorozása és elemzése
Sérülékenységet felfedezõ eszközök
Engedély nélküli elérést vagy használatot monitorozó eszközök
Rosszindulatú kódokat érzékelõ eszközök
18%
17%
14%
Fenyegetés felértékelés
Biztonsági információs és esemény menedzsment (SIEM) technológiák
Incidens menedzsment válaszainak feldolgozása
NEM CSAK A NAGYOKNAK
ÁLL A VILÁG Soha nem volt még ilyen egyszerû a belépés az üzleti életbe – vagy a továbblépés – a kis- és közepes vállalatok számára, mint ma, a felhõalapú szolgáltatások világában.
Sok nagyvállalat IT rendszereinek gazdag, ám kusza örökségével küzd meg nap, mint nap. Szigetrendszerek, egyedi fejlesztések, drágán vásárolt és körülményesen fejleszthetõ dobozos termékek, egymással nem kommunikáló megoldások, toldozott interfészek, korlátozott távoli elérés, korlátozott megjelenítés a különbözõ eszközökön. Bármilyen fejlesztést, egyszerûsítést csak a mûködés megszakítása nélkül, illetve a kollégák, valamint a vezetõk tanulási és tûrési hajlandóságán belül lehet elkezdeni. Kevés a példa arra a bátorságra, hogy egy vállalat koncepcionálisan új alapra helyezze IT rendszereit. Kétségtelen elõnyben vannak a startup vállalatok, amelyek kezdettõl fogva olyan igényeikre szabott rendszer kialakításába kezdhetnek, amely egyszerû, átjárható, rugalmasan hangolható, bõvíthetõ, nem zárja gúzsba a fejlesztéseket, és mindenhonnan, minden platformról biztonságosan elérhetõ.
KIUGRÁSI LEHETÕSÉG Emellett azonban van még egy szegmens, amely méretébõl adódóan sokkal hamarabb elõbbre léphet a korszerû informatikai lehetõségek kiaknázásában, ezek pedig a kisvállalatok, amelyek számára a felhõalapú, weben elérhetõ megoldások reális alternatívát jelentenek minden más rendszerrel szemben. Szabadon, vagy csekély díjért elérhetõ, egymással összehangolható megoldásokkal mûködésük teljes spektrumát lefedhetik a termeléstõl az értékesítésen és az ügyfélkapcsolatokon át a számlázásig. A hazai jogszabályi környezet miatt ez utóbbira egészen biztosan egy hazai, a NAV által jóváhagyott szolgáltatót kell találni, de szerencsésebb országokban – ahol akár vécépapírra is hiteles számla írható – még nagyobb a felhozatal. Ha a tulajdonos, vagy az elsõ számú vezetõ hisz a jól felépített informatika hozzáadott értékében, egy kis szervezetben a változtatás könnyen végbemegy. Amennyiben a cég bõvül, újabb accountokat és modulokat szerezhet be, ha pedig nem alakulnak olyan jól a dolgok, le is mondhatja õket.
KONKRÉT MEGOLDÁSOK Nézzük meg egy konkrét eseten keresztül, milyen felhõalapú, rugalmasan kezelhetõ alkalmazásokat vehet igénybe részben ingyenesen, részben csekély elõfizetési díjért például egy kis autókölcsönzõ. Természetesen más termékekkel is ugyanígy elképzelhetõ egy kisvállalat mûködtetése, sõt kifejezetten hasznos volna minél több ilyennel megismerkedni. Azaz várjuk az információt, javaslatot ezekrõl. A példánkban szereplõ autókölcsönzõ leveleit üzleti Google Maillel kezelik, céges címvégzõdéssel. A kölcsönzési dokumentumokat a minden eszközzel jól elérhetõ Dropboxon tárolják, nem üzemeltetnek szervert, és a biztonsági mentésen kívül nem mentenek semmit lokális számítógépre. A számlázást a Szamlazz.hu alkalmazásával oldják meg. Kizárólag elektronikus számlát állítanak ki, ezért a hazai szabályoknak megfelelõen potenciális ügyfeleiket tájékoztatják megrendelésük egyben az elektronikus számla befogadását is jelenti. Mivel lehetõvé teszik a webes fizetést kártyával, és banki átutalásokat is fogadnak, a fizetési folyamatot számlázóval integrált Pay4u-val intézik. Az ügyfelek és sales lead-ek adatait a Mini CRM-ben tárolják. Havi akcióikat Mailchimppel összeállított hírlevélben tudatják fogyasztóikkal. Egy-egy leadott autó után Surveymonkey-val tudakolják meg ügyfeleik elégedettségét és javaslatait, és erre épülõ projektjeiket Basecamppel irányítják.
RUGALMASSÁG ÉS MOBILITÁS MINDENEK FELETT E rugalmas rendszer lehetõvé teszi, hogy a szerzõdések, számlák, megrendelések menedzselése bárhonnan, bármikor, akár egy mobiltelefon segítségével intézhetõ legyen, továbbá profilbõvülés (például magánsofõr bérlésének bevezetése) esetén csak a felhasználók számát, funkciókat kell bõvíteni.
INTÕDY GÁBOR
29
SPOT
SPOT CORVINUSOSOK ÉS A VÁROSÁLLAM
SZINGAPÚR
30
A legfantáziadúsabb hollywoodi posztapokaliptikus Rejtõ Jenõ leírásában Szingapúrban a kínai negyed után következõ „klubváros” tele van katakombákkal, gengszterekkel, vörös lámpás házakkal, ópiumtanyákkal és illegális szerencsejátékbarlangokkal. A mai látogató a rejtõi világnak ezekkel az elemeivel már egyáltalán nem találkozhat. Habár a szigetország kikötõi jellege megmaradt, a városképet mégis az európai és amerikai stílusú felhõkarcolók, bevásárlóközpontok, modern szórakoztatóközpontok és szállodák uralják. Nyoma sincs a két világháború közötti rossz hírû negyedeknek, mi több, a világ metropoliszai közül éppen itt az egyik legalacsonyabb a bûnözési ráta. Hosszú utat kellett megtennie Szingapúrnak, míg DélkeletÁzsia egyik legfontosabb üzleti központjává vált. A második http://www.entrepreneurial-insights.com/singapore-startup-hubs-around-world/ világháború után – de fõleg a Malajziától történõ 1965-ös elszakadás óta – a brit gyarmati örökség nyújtotta elõnyökre erõsen építõ szigetország rohamos fejlõdésnek indult. Ennek köszönhetõen ma a világ egyik leggazdagabb állama. A gazdaságot fûti a világ egyik legforgalmasabb kikötõje, és az egyik legnagyobb olajfinomító kapacitása. A hagyományos kereskedelmi tevékenység mellé azonban felfejlesztették a pénzügyi szektort is, amely ma már szintén a világ élvonalába tartozik. Szingapúr mindent megtesz azért, hogy magához vonzza az üzletet, és folyamatosan keresi az újabb és újabb kitörési pontokat: miközben megtartja vezetõ pozícióját a hagyományos területeken, olyan új területeken vív ki vezetõ helyet, mint az információtechnológia, vagy a világelsõ kaszinóipar. A látogató a látványos épületeken, renden és tisztaságon túl nem igazán veszi észre, hogy a világ egyik legjobban szervezett és szabályozott országába érkezett.
GONDNÉLKÜLI KÖZLEKEDÉS Az egyre bõvülõ útvonalakon közlekedõ járatok pontosak, tiszták, elbírják a kapacitásokat, az igen drága autós közlekedés pedig még a legnagyobb forgalomban is kezelhetõ. Ennek fenntartása érdekében a szingapúri hatóságok igénybe veszik az adatgyûjtési és adatelemzési technológiai lehetõségeket. A városállamban 1975-ben vezették be a dugódíjat, amely ma már a forgalom monitorozására is alkalmas elektronikus
AHOL A HIGH-TECH OLYAN, MINT A LEVEGÕ
díjbeszedési rendszerként mûködik. A teljes úthálózatot lefedõ szenzorrendszer és a városállam 9500 taxijának adatait felhasználva folyamatosan követik mind az úthálózat állapotát, mind a forgalmat. Ha szükséges, egy automata rendszer (GLIDE: Green Link Determining System) több mint 2 ezer jelzõlámpát állíthat át a forgalmi viszonyok javítására. A több forrásból származó adatok integrált feldolgozása többféle beavatkozásra is lehetõséget nyújt, a forgalmi információk pedig automatikusan kikerülnek a jelzõtáblákra és a netre. A tömegközlekedésben a fõbb közlekedési csomópontokban kamerával figyelik a tömeget, valamint az utazók magatartásának elõrejelzése érdekében követik a mobileszközök mozgását is. Ennek a valós idejû adatgyûjtésnek és feldolgozásnak akkor van igazán jelentõsége, ha valamilyen közlekedési incidens történik, és be kell avatkozni az utasszállítási teljesítmény fenntartása érdekében, illetve tájékoztatni kell az utasokat.
ELEMZÉSEK AZ ÉLET MINDEN TERÜLETÉN A hajózási és kereskedelmi forgalom, a pénzügyi szolgáltatások, és egy sor egyéb iparág mûködése során Szingapúrban rengeteg feldolgozható adat keletkezik. Mind az állam, mind a cégek felismerték, hogy az adatok elemzésével minden területen javítható a mûködési hatékonyság, mi több új üzleti lehetõségek bontakoznak ki. Ami gyorsan feltûnik a látogatónak, hogy Szingapúrban egymást érik, vagy inkább egymásba érnek a bevásárlóközpontok. A városállamban igen erõs a fogyasztói társadalom, az intenzív munkavégzés mellett a lakosok sokat és gyakran fogyasztanak. Az elemzési kutatások egy iránya ezért a fogyasztói magatartás vizsgálatát állítja a középpontba. A mobiltechnológia felhasználásával megállapítható a vásárlók mozgása egy bevásárlóközponton belül, tudható, hol alakul ki tömeg és várakozás, kik mozognak egyedül, kik párban, baráti társaságban vagy éppen családdal. Megállapítható, sõt elõre jelezhetõ a fogyasztói magatartás is, vagyis hogy csak nézelõdik, vagy céltudatos vásárlási szándékkal érkezett valaki. Így aztán személyre vagy csoportokra szabott, valós idejû célzott vásárlásösztönzõ akciók alakíthatók ki, akár automatikusan is.
A JÖVÕ ÉPÍTÉSE Szingapúr a világ leggazdagabb országai közé tartozik, mégsem elégednek meg az elért eredményekkel. Habár a startup vállalkozás hallatán legtöbbünknek a Szilícium-völgy jut az eszébe, Szingapúr erõsen dolgozik azon, hogy rácáfoljon e sztereotípiára. Ugyan a városállam a maga több mint ötmillió lakosával még nem nagy piac, ám az ötletek kipróbálására teljesen megfelelõ, sõt innen kiindulva kétmilliárdnál is több ázsiai fogyasztó érhetõ el. Nagyon sok külföldi települ át – még Amerikából is – Szingapúrba: gyorsan és könnyen lehet céget alapítani, jó az üzleti kultúra, minimális a korrupció, a kormányzat pedig bõkezûen bánik a támogatásokkal. Habár a betelepülõ vállalkozások közül egyelõre kevés marad meg itt, a városállam befektetése megtérülni látszik. A startup ökoszisztémák sorában Szingapúr már a 17-ik, Ázsiában pedig a legjobbnak számít. A vállalkozói kultúra beépült az oktatásba, a helyi egyetemek – a National University of Singapore, a Nanyang Technological University vagy a Singapore Management University – pedig a világ élvonalába tartoznak, és ontják magukból a világviszonylatban is élenjáró szakembereket. Szingapúrban nagyon erõs a folyamatos fejlõdésre törekvés: a szingapúri diákok erõsen motiváltak a teljesítményre, az állam folyamatosan javítja a szolgáltatásokat, a vállalatok pedig újabb és újabb megoldásokkal javítják a versenyképességüket és teljesítményüket. Ebbõl a látogató ugyanakkor csak annyit vesz észre, hogy a város szinte észrevehetetlenül, ámde tökéletesen mûködik.
FEHÉR PÉTER, Szingapúr
APEX A Budapesti Corvinus Egyetem diákjai 2011 óta vesznek részt az APEX Global Biz-IT Global Case Challenge nemzetközi gazdaságinformatikai esettanulmány versenyen, amelyet Szingapúrban a Singapore Management University szervez. A verseny során a hallgatók elõször cégvezetõkkel, kutatókkal találkozhatnak, akik az adott témában felkészítik a versenyzõket. A verseny harmadik napján a három fõs csapatokat 24 órára elzárják a külvilágtól, hogy aztán egy valós esetbõl kiinduló problémára dolgozzanak ki megoldási javaslatokat. Az átdolgozott éjszaka után a következõ nap több fordulóban mutatják be megoldásaikat, ahol meg kell gyõzni az akadémiai és gyakorlati szakemberekbõl – a döntõben pedig az esetet adó vállalat képviselõibõl is – álló zsûrit megoldásuk helyességérõl. A kidolgozandó témát 2011-ben a hajózási iparágak adatelemzési támogatása, 2012-ben a mobilanalitika, míg 2013-ban egy Szilícium-völgybõl áttelepült, volt Microsoft dolgozók által alapított startup elemzõ cég szolgáltatta. Idén a szingapúri egészségügyi rendszer bizonyos területeit kellett fejleszteni. A Budapesti Corvinus Egyetem csapatai minden évben jól https://www.facebook.com/corvinusBizIT szerepelnek. Az idén májusban megrendezett versenyen a hallgatók – Dócs Kristóf, Forgács Ádám, Matzner Dániel – az egyetem eddigi legjobb eredményét elérve bejutottak a világ legjobbjai közé, a döntõbe.
31
MESTERSÉGES INTELLIGENCIA SPOT
SPOT MESTERSÉGES INTELLIGENCIA
VISELKEDHETNEK-E A GÉPEINK ETIKUSAN VELÜNK? ÉS MI VELÜK? A mesterséges intelligencia (MI vagy angol rövidítéssel AI) egyre kevésbé teoretikus, mindinkább gyakorlatias fogalommá válik. Alkalmazásával egyre többször lehet találkozni a legváltozatosabb területeken, a kereskedelemtõl az orvostudományon és logisztikán át a hadiiparig. Ahol azonban az intelligencia megjelenik, fel kell tûnnie az etika kérdésének is. Miként értelmezhetõ ez az ember–gép kapcsolatokban? A magyar piac – méretébõl és fejlettségébõl adódóan – folyamatosan követõ üzemmódban van. Egy-egy innovatív technológia csupán akkor találja meg a helyét a hazai gazdaságban, ha már kellõen olcsóvá vált a világ fejlettebb piacain. Hiába van meg ugyanis itthon az alapos technológiai ismeret, hiába jön a kreatív, „isteni szikra”, a megvalósítás a legritkább esetben képzelhetõ el honi talajon. Mindez különösen igaz olyan átfogó iparágegyüttes esetében, mint amilyen a mesterséges intelligencia. Õszintén: ki merne a mai magyar utakra engedni egy vezetõ nélküli autót? Ilyen tesztet nem lehet modellezni, nem lehet tanulni. Még a közlekedési-infrastrukturális-kulturális fejlettségükben nálunk elõrébb járó országokban is jelentõs kérdéseket kell megoldani, ha az intelligens autók technológiája eléri az emberi teljesítõképességet – állítják a szakemberek. Napjaink autóvezetõi ugyanis gyakran fittyet hánynak a szabályokra: nem állnak meg a stoptáblánál, jóval a megengedett sebességhatár felett közlekednek. Vajon hogyan lenne képes egy udvarias és törvénytisztelõ robotjármû boldogulni egy ilyen környezetben? Szerencsére azonban az MI uralta technológiák megvalósításukkor nem állnak meg az ipar vagy a gazdaság határvonalánál: teljes értékû társadalmi-szociális-kulturális változ(tat)ásokat követelnek meg.
A GÉPI MEGISMERÉS ÉS AZ MI ETIKÁJA 32
A mesterséges intelligencia fejlesztésére szakosodott Association for the Advancement of Artificial Intelligence (AAAI) nevû szervezet huszonkilencedik konferenciáján – amelyet idén januárban tartottak a Texas állambeli Austinban – a szakemberek mélyreható vitát folytattak a mesterséges intelligencia és az etika viszonyáról. Melanie Swan technológiai újító és filozófus a Kurzweil AI blogon vonta le ezzel kapcsolatos következtetéseit. Swan szerint ugyan többféle számítógépes etikai rendszer létezik, ugyanakkor nincsenek átfogó szabványok, nem jöttek létre általános érvényû etikai modulok, és a meglévõkbe sem sikerült beilleszteni olyan egyetemes elveket, mint amilyen például az emberi méltóság védelme, a tájékozott beleegyezés, a magánélet szentsége vagy az elõnyök és károk elemzése.
A számítógépes etikai rendszerekkel szembeni fontos követelmény, hogy képesek legyenek rugalmasan alkalmazni a különbözõ etikai rendszereket, pontosabban tükrözve az intelligens emberek valós helyzetekben történõ viselkedését. Az egyszerû modellek ugyanis nem elég hatékonyak ahhoz, hogy a közvetlenül elõttük álló döntések során kezelni tudnának például az igazságossághoz hasonló, átfogó emberi fogalmakat. Fontos, hogy a gépi rendszerek létrehozzák a haszonelvûséget meghaladó olyan kiterjedtebb modelljeiket, mint amilyen az „elsõ látásra” megközelítés. Ez bonyolultabb fogalmakkal operál: intuitív kötelezettségekkel, megjelenik benne a reputáció, valamint a világ számára hasznos célok bõvítése és a lehetséges károk minimalizálásának célkitûzése. Mindez jól tükrözi azokat a valós élethelyzeteket, ahol egyszerre többféle etikai kötelezettségnek eleget téve kell megtenni a megfelelõ lépéseket. A filozófiához hasonlóan a számítógépes etika területén létezõ modulok között is teret nyert a metaetika gondolata: megtöbbszörözött etikai keretek hivatottak az értékelés és integráció megvalósítására. Integrált rendszerre van például szükség ahhoz, hogy egy intelligens autó közlekedhessen a „felokosított” autópályán. A francia ETHICAA (Ethics and Autonomous Agents – szabadon fordítva: az etika és automatikus jogosultság) projekt célja, hogy beágyazott integrált metaetikus rendszereket fejlesszen.
MODULÁRISAN VAGY KÖZVETLENÜL Éles vita bontakozott ki a szakemberek körében arról is, hogy vajon a gépi etikának külön modulokként kell-e integrálódnia, vagy közvetlenül kell-e részt vennie a rendszeres döntéshozatalban. Annak ellenére, hogy a legjobb az lenne bármilyen döntéshozatal során, hogy az etikai alapon történjen, most – a fejlesztés korai szakaszában – a legkönnyebben különálló modulként kivitelezhetõk az etikai rendszerek. Más kérdés, hogy az egyes etikai modellek jelentõs kulturális eltéréseket tükrözhetnek: érdemes csak például a kollektivista és individualista társadalmak különbözõségére gondolni – valamint arra, hogy ezeket az eszményeket hogyan lehet lefordítani az etikai modulok kódnyelvére.
MEGGYÕZÉS ÉS TÖBBIRÁNYÚ ÉRZELEM Emberként még mindig ugyanazt a három eszközt használjuk a meggyõzés céljaira, mint amit évszázadokkal ezelõtt Arisztotelész felvázolt. Az éthosz a beszélõ kvalitásaira (így a karizmájára) támaszkodik; a pátosz révén érzelmeket és szenvedélyt közvetít, hogy közönsége egy bizonyos lelkiállapotba kerüljön; míg a logosz hivatott arra, hogy az érvelés szavakban is megfogható formát öltsön. Az ember–gép kapcsolatokban azonban újra kell gondolni az emberi meggyõzés szerepét, és kiterjedtebben kell foglalkozni vele – mind emberi, mind gépi összefüggésben. Tekintettel arra, hogy a gépek értékrendje és karaktere különbözõ lehet, mindez igaz a gépeken alkalmazott vagy azokon telepített leghatékonyabb meggyõzési rendszerekre is. A kutatók teljesen bizonytalanok annak a kérdésnek a megválaszolásában, vajon morálisan elfogadható-e, ha egy rendszer azért hazudik, hogy meggyõzze az embert… Egyre inkább elõtérbe kerül annak a szükségszerûsége, hogy egy átfogó jövõbeli világrendszernél az etika és a valóság kapcsolatának kérdéseit egy gondolkodó gép nézõpontjából kell vizsgálni. A digitális társadalom e rendszerének pedig – egymással kölcsönhatásban – aktív szereplõi lehetnek a posztbiológiai és egyéb intelligens lények is.
FOLYAMATOS KORREKCIÓ A MEGOLDÁS? A számítógépes etikai rendszereknek különbözõ megközelítési formáik léteznek. Egyesek megkísérlik felsorolásszerûen elrendezni az összes érintett elvet és folyamatot, mások az olyan etikai magatartási rendszerek kifejlesztése mellett kardoskodnak, mint az „elsõ látásra” megközelítés kötelezettsége, esetleg olyan formában, hogy a gépi tanulási algoritmusokat nagy adatkorpuszokon futtatják. Mindezeket meghaladni, illetve ötvözni látszik az értékalapú gondolkodás révén a korrigálható rendszerek megvalósítása, amely abból a feltételezésbõl indul ki, hogy egy MIrendszer sohasem lehet teljes, mindig magában hordja a potenciális veszély, hiba lehetõségét. A magasan fejlett, korrigálható MI-rendszer az emberekkel kialakított folyamatos interakció révén végig nyitott az értékek online tanulására, módosítására és javítására, és képes áthidalni a kompetencia terén tátongó szakadékot – a ma még nem is létezõ emberi erkölcsi fogalmak megbízható futtatását az MIrendszereken, illetve a potenciális jövõbeni társadalmi tevékenységek összehangolását.
Folytatás a 34-ik oldalon
33
BIG DATA ÉS A SPORT SPOT
SPOT MESTERSÉGES INTELLIGENCIA
JÁTÉKELEMZÉS GYEPEN ÉS JÉGEN
Mindazonáltal szerencse, hogy már a megvalósítás kezdeti szintjén viszonylag könnyen elérhetõk a kívánt funkciók: konszenzus teremthetõ annak a kérdésnek a megválaszolásában, hogyan bánjanak velünk, emberekkel az általunk létrehozott robotok. A számítógépes etikai modulok és a gép viselkedése egyfajta „etikai Turing-teszt” révén kontrollálható. Meghatározható, milyen mértékben felelnek meg a gép adta válaszok az etikus emberi válaszoknak.
ÖNJÁRÓ HALÁLOSZTAGOK A gépi megismerés, illetve az etika területén értelemszerûen hangsúlyos helyen szerepel az „önjáró” halálos fegyverek kérdése – sõt, a betiltásuknak is nagy a tábora –, mivel a fegyverrendszerek egyre inkább önálló, saját döntéseikre támaszkodnak az emberi input helyett. Az ellenzõk azzal érvelnek, hogy túlzás a teljes autonómia, és hogy e fegyverek esetében már nem értelmezhetõ – mint pozitív kötelezettség – az „emberi ellenõrzés" fogalma, és nem felelnek meg a genfi egyezmény Martens-féle klauzulájának sem, hiszen a teljesen önálló fegyverek számára gyakorlatilag ismeretlen a humanitás és a lelkiismeret fogalma. A támogatók tábora ugyanakkor azt állítja, hogy a gépi etika meghaladhatja az emberi erkölcsöt, és sokkal pontosabban is alkalmazható. Etikai szempontból szerintük nem világos, miért kellene más elveket alkalmazni a fegyverrendszereknél, mint a többi gépi rendszer esetében.
TIZENHÉT MÁSODPERC
34
Hasonlóan éles a vita az MI-rendszerek orvosi célú alkalmazásánál is. A nálunk Grace-klinika címen futott Grey's Anatomy második évadának csúcspontja volt például az a szituáció, amikor két intézmény vezetõ sebésze vívott egymással közelharcot egyetlen épen maradt átültethetõ szívért. Fejbõl tudták, milyen bonyolult algoritmus rendezi sorba az élet és a halál mezsgyéjén várakozókat, így azt is, mi kell saját betegük lista élére kerüléséhez. Azzal, ami történt, mindazonáltal nem számolhattak elõre: mi történik, amikor valaki – akinek lehetõsége van rá – szándékosan idéz elõ az automata protokoll prioritási rendjének „jobban tetszõ” állapotot? E ponton jól érzékelhetõ volt, mi minden vár még a fejlesztõkre az etikai elvek biztonságos, minden esetlegességet kizáró érvényesítésére az intelligens rendszerekben.
A VAKCINÁTÓL A GYORSÉTTEREMIG Egy amerikai startup cég, a Matternet egy kisméretû pilóta nélküli elektromos helikopter kifejlesztésén kezdett dolgozni még az évtized elején, amely a maga 2 kilogrammos hasznos tehernyi kapacitásával gyógyszereket, vakcinákat és vérmintákat hivatott szállítani távoli helyekre. A felhasználó elhelyezi a küldeményt a raktérben, megnyom egy gombot a helikopteren, hogy szálljon fel és teljesítse a szállítási feladatot. A jelek szerint annyira megnyugtató az etikai elvek maradéktalan betartása, hogy jelenleg már a svájci posta és a SwissCargo partnereként folynak ezeknek a drónoknak a tesztjei. Nagyobb elektromos helikoptereket is gazdaságosan át lehet alakítani pilóta nélkülivé. Egy német cég, az E-Volo repülõalkalmatossága Volocopter névre hallgat. A maga 16 rotorjával úgy néz ki, mintha egy gyerekek számára készült számítógépes repülõjáték felnagyított változata lenne. Megfelelõ szoftverrel ellátva a személyzet nélküli Volocopterek az áruszállítás területén jelenthetnek alternatívát, hiszen képesek kikerülni a zsúfolt utakat, és a robotjármûvek alkalmazása valódi megoldás lehet a gyorsételek kiszállításánál is.
Hamarosan minden labdarúgó klub számára elérhetõvé válhat a vébégyõztes német fociválogatott által használt játékelemzõ technológia. Az SAP szoftvercég mûhelyébõl származó megoldás révén – amelyet a fociklubokon kívül az idei hokivébé házigazdája is tesztelt – a játékosok teljesítménye monitorozható és elemezhetõ, és ezzel a csapat összteljesítménye is javítható.
MUNKA, SZABADIDÕ: ÚJ DEFINÍCIÓ? Az automatizált gazdaság egyik nagy ígérete szerint az embereket egyre több fizikai, valamint kognitív tevékenység alól mentesítik az MI-rendszerek. És közben közeledünk egy jóslat beteljesüléséhez: John Maynard Keynes már 1930-ban, a gazdasági válság kellõs közepén úgy számolt, hogy 2030-ra a gazdasági fejlõdésnek és a gépesítésnek köszönhetõen a munkahét mindössze 15 órás lesz – vagyis a szabadidõ és nem a munka lesz a meghatározó életmódunkban. Számos gondolkodó érvel a munka fogalmának szükégszerû újradefiniálása mellett. Az automatizált gazdaság – párosulva a garantált alapjövedelemre irányuló kezdeményezésekkel és a szûkösséget elutasító gondolkodásmóddal – idejétmúlttá teheti a kötelezettségen alapuló munkát. Bõséges tér nyílik a "munka" produktív tevékenységként való újraértelmezésére – az értelmes ember identitástudatának és önértékelésének kiteljesítésétõl az önmegvalósításon, társadalmi hovatartozáson keresztül az együttmûködési képességek fejlesztéséig. Így a „vége a munka korszakának” lehet, hogy csak annyit jelent:„vége a kötelezõ munkának”.
VARGA JÁNOS (a szerzõ szabadúszó újságíró)
A szoftver – amely várhatóan a nyáron jelenik meg a piacon – a meccsek, edzések valós idejû monitorozáson túl a játékosok egészségügyi állapotának nyomon követésében, a tréningek megtervezésében, valamint az adminisztrációban segíti a fociegyesületeket, egységes platformon. A bármilyen eszközön elérhetõ megoldás mögött az óriási mennyiségû adatot valós idõben kezelni képes HANA technológia áll. A HANA nyújtotta lehetõségek már jelenleg sem csak a Bayern München, és a TSG 1899 Hoffenheim csapata használhatja ki, hanem a cseh jégkorong válogatott is, amely az idén tavasszal náluk rendezett világbajnokságon használta az SAP megoldását. Ez persze nem meglepõ annak ismeretében, hogy a megoldás hokis prototípusát a cseh jégkorongszövetséggel közösen fejlesztették ki. Segítségével gyorsan és hatékonyan lehet elemezni az egyes csapatok stratégiáját, és ennek megfelelõen készülni az összecsapásra. A 12 kamera képét elemzõ megoldás 37 különbözõ kritérium alapján analizálja a meccsen történteket és a játékosok teljesítményét, ezzel is segítve az edzõ munkáját.
A cseh nemzeti hokicsapat igazgatója szerint mára kiegyenlítettek az esélyek a sportágban, és apróságok dönthetnek el meccseket. Az ellenfélrõl szerzett részletes információk segíthetnek felderíteni a gyengeségeiket – vélekedik Slavomír Lener. Jan Procházka, a cseh nemzeti hokiválogatott videoelemzõje szerint teljesen megszokott, hogy a csapatokat olyanok is segítik, akik a felvételeket analizálják, jellemzõen manuális módon. Ez is megváltozik az új technológia bevezetésével. „A videoedzõk mindenhol a saját látásmódjukra, tapasztalatukra hagyatkoznak, és idõnyomás esetén csak néhány kulcsparaméterre tudnak fókuszálni. Az SAP megoldásával azonban nagy részletességgel, különbözõ perspektívákból tudjuk vizsgálni a játék részleteit” – hangsúlyozta a megoldás fontos újdonságát. Lapértesülés szerint a HANA technológiát használó megoldás bevezetése 2,5 millió cseh koronába, azaz közel 30 millió forintba került a szövetségnek. Az SAP megoldásai nem ismeretlenek a sportban, hiszen jelen vannak például az NBA, az NFL, a tenisz, a golf, a vitorlázás illetve a Forma-1 világában is.
35
SPOT ÉSZTORSZÁG TOVÁBB DIGITALIZÁL
TE IS LEHETSZ E-REZIDENS
Észtország tavaly decembertõl bevezette az államilag elismert digitális identitást az országon kívül élõknek, amire áprilistól már nemcsak a balti országban, hanem nagykövetségein is lehet regisztrálni. Cikkünk szerzõje kipróbálta, milyen észt e-rezidensnek jelentkezni. Az észtek leleményesek. Képesek idõnként fontos dolgokkal a világ figyelmének középpontjába kerülni. Nemrégiben megint kitaláltak valamit, ami talán még a Skype-nál vagy a Vana Tallinn nevû erõs likõrnél is nagyobb hatással lehet a felhasználókra. Sõt nemcsak kitalálták, hanem ígéretüknek megfelelõen be is vezették az e-rezidensséget, vagyis egy államilag elismert digitális identitást a non-rezidenseknek. Az e-rezidensség – amit tévesen szoktak e-állampolgárságként is emlegetni – hátterében talán az áll, hogy egy pici ország szeretne egy kicsit nagyobb lenni, de közben megmaradni önmagának is. Szó sincs tehát róla, hogy szavazati joggal járó státuszt osztogatnának, és a bevándorlókat sem csábítják fizikai valójukban. (Nem is zavarják el õket persze, fõleg ha tudnak észtül.)
NEM MOST KEZDTÉK
36
Az észtek nem most kezdték az állam és a gazdaság digitalizálását: az elektronikus kormányzás és az e-banking mûködik már a kilencvenes évek elejétõl. Mára gyakorlatilag minden banki tranzakció elektronikusan megy, és jóval több privát bankszámla van, mint ahány észt lakos (körülbelül másfélmilliónyian vannak). A digitális aláírásra alkalmas ID kártyák bevezetését 2001-ben kezdték. (Igen, 14 évvel ezelõtt.) Sõt 2009-ben már szavazni is lehetett a kártyák segítségével, elektronikusan, hitelesen. Tavaly az adófizetõk 95,4 százaléka nyújtotta be elektronikusan az adóbevallását. Annak pedig lassan már nyolc éve, hogy céget alapítani egy észtnek 15 perc – azaz a reggeli kávé közben el lehet kezdeni a neten, délután pedig már mûködik is. Most elérkezettnek látták az idõt, hogy tapasztalataikat hasznosítsák, és a bejáratott szolgáltatásokat kiterjesszék egy kicsit nagyobb körre. Azaz nagyjából az egész Földre, hiszen bárki lehet észt e-rezidens. Miért jó ez, leszámítva, hogy jó buli? (Ezt meg is kérdezik az online jelentkezésnél, és van ilyen válaszopció is. Be is jelöltem.) Mert egy uniós, schengeni és euróövezeti ország helyfüggetlen nemzetközi üzleti lehetõséget kínál digitális azonosítással bárkinek. Egy észt e-rezidens anélkül, hogy járt volna Észtországban (amely egyébként egy nagyon kedves ország, ezért bakancslistára ajánlott) létrehozhat például egy céget. Emellett viheti ott bankügyeit, fizethet adót online, aláírhat dokumentumokat digitálisan anélkül, hogy akár egyetlen helyi alkalmazottja lenne.
EGYSZERÛ FOLYAMAT A folyamat technikailag egyszerû. A jelentkezõ weboldalon kitöltjük a dokumentumokat (személyi igazolvány vagy útlevélszám, személyes adatok, meg 50 euró befizetése szük-
séges, de az egész nem bonyolultabb, mint egy áruházi törzsvásárló kártyát igényelni), majd a hivatalos dolgok pár hét múlva átvehetõk egy észt hivatalban, vagy nagykövetségen, ami mifelénk a legközelebb Bécsben vagy Prágában található. Az e-rezidens kap egy kártyát és a hozzátartozó olvasót, ami Észtországban – meg ahol elfogadják – digitális azonosításra jó. Természetesen ez nem offline észt állampolgárság: nem jár szavazati joggal, nem jogosít schengeni utazásra, és nem is tartózkodási engedély – de egy uniós polgárnak az különben sem kell. Fénykép sincs rajta, nehogy bárki is azt higgye, hogy ez igazi azonosító dokumentum (amire nekünk amúgy is ott a magyar személyi igazolvány). Ami tehát most történik, az mindössze annyi, hogy ez az apró ország megnyitja elektronikus kapuját a világra. Így lesznek a kicsibõl nagyok – hiszen bíznak abban, hogy sokan viszik oda vállalkozásukat, mert egyszerûbb náluk mûködtetni, mint odahaza.
MINT EGY STARTUP Az észt kormány pontosan úgy bánik ezzel a projekttel, mintha egy startup volna. Gyorsan intéznek mindent, és figyelnek a közösségi visszajelzésekre. Persze a puding próbája még hátra van: mire lesz ez alkalmas igazából, mihez kezdenek vele az emberek. Azaz mennyien igénylik, mennyien fogják digitális szolgáltatásaikat használni, többek között mennyien fognak adózni (fõleg hogy alig kell, amitõl persze ez még nem egy offshore megoldás), mennyien fognak bankszámlát nyitni és onnan bankolni stb. Ma még nehezen dönthetõ el, hogy ez csupán sima blöff, jó kis gerilla országmarketing (bár a hidegvérû észtekrõl ezt nehezen lehet feltételezni), vagy a felszín alatt a tõkevonzás szándéka is megbújik. Hiszen a fejlesztések költségvonzata minimális, maximum pár szerverparkot kell majd bõvíteni, ha túl nagy lesz a cégek tolongása és az adatforgalom. A PR értéke viszont nagy, sok cikk jelent meg róla, a világsajtó – a The Wall Street Journaltõl kezdve a The Guardianen át a Wiredig – nagy figyelmet szentelt a projektnek. A rendelkezésre álló adatok szerint januárig 225 országból jelentkeztek, nem meglepõ módon a legtöbben Finnországból és Oroszországból. Ma még komoly kérdés, hogy az észt magánszektor mennyire mozdul rá, és mennyire kínál majd üzleti lehetõségeket a virtuális észteknek, ami a projekt igen fontos mérföldköve lehet. A mögötte lévõ állami infrastruktúra és akarat – most ez egyértelmûnek tûnik – megvan.
GOLUBEFF RÓBERT
37
FUTURA BAKTERIÁLIS APOKALIPSZIS
FUTURA
SZUPERSZÁMÍTÓGÉPEKKEL A SZUPERBAKTÉRIUMOK ELLEN A modern orvostudomány jelenleg vesztésre áll az antibiotikumokat lefegyverezõ szuperbaktériumokkal szembeni harcban. Ám a háborúban új frontokat nyitottak a szuperszámítógépek és a big data technológiája, és ez forradalmasíthatja az antibiotikum-rezisztencia elleni küzdelmet. A legfantáziadúsabb hollywoodi posztapokaliptikus forgatókönyv sem festett még olyan sötét képet, amelynek konkrét és nem is annyira távoli megvalósulásától tart a modern orvostudomány. Ebben a – Hyeronimus Bosch németalföldi festõ vásznaira kívánkozó – világban egy apró karcolás is életveszélyes lehet, egy sima tüdõgyulladásban is meg lehet halni, a legegyszerûbb mûtétek is halálos kockázatokkal járnak, nem beszélve a szervátültetésrõl, a rák elleni kezelésekrõl vagy a szülésrõl. A félelemre az úgynevezett szuperbaktériumok gyors terjedése ad okot. Ezek szenzációhajhász elnevezésüket onnan kapták, hogy az elmúlt évtizedekben a legtöbb ismert antibiotikummal szemben ellenállóvá váltak. És hogy mennyire nem sci-firõl van szó, azt egy tavalyi brit kormányzati jelentés is bizonyítja. A Scientific American tudományos magazin által idézett tanulmány azt jósolja, hogy a szuperbaktériumok évi tízmillió embert ölhetnek meg (2050-ig összesen 300 milliót), ha nem sikerül megfékezni õket. Tanulva a HIV-vírus példájából, számszerûsítették a gazdasági károkat is: becslések szerint a szuperbaktériumok 100 trillió dolláros kárt okozhatnak 2050ig, vagyis az összesített kár meghaladhatja a világgazdaság jelenlegi méretét. Szerencsére az orvostudomány új fegyvertársat kapott a kórokozók elleni harchoz. Ígéretes kutatási eredmények arra engednek következtetni, hogy a szuperszámítógépek terjedése és a big data technológia fejlõdése forradalmasíthatja az antibiotikum-rezisztencia elleni fegyverarzenált. A nagytömegû adatot érintõ komplex számítások és szimulációk elvégzésére képes szuperszámítógépek merõben új megközelítési módokat kínálnak, új kutatási irányokat alapoznak meg világszerte, és kísérleti adatok sokaságát lehet velük elemezni – gyorsabban és pontosabban, mint eddig bármikor.
NYERTES MATEMATIKAI FORMULÁK 38
Miriam Barlow biológus (University of California, Merced) és Kristina Crona matematikus (American University, Washington DC) például egy olyan számítógépes programon dolgozik, amely a jövõben hatékony fegyver lehet az antibiotikumrezisztens baktériumok ellen. Komplex algoritmusok segítségével sikerült megakadályozniuk az antibiotikum-rezisztencia kialakulását, sõt még a folyamat laboratóriumi körülmények közötti visszafordítására is képesek voltak. Kutatásukban Barlowék az E. coli baktérium egyetlen génjére fókuszálnak, amely az antibiotikumokkal szembeni ellenállás kialakulásáért felelõs. Kidolgoztak egy matematikai képletet, amellyel modellezhetõ az ismert antibiotikumok hatása a baktériumra a mutáció különbözõ fázisaiban. A tesztek olyan
jól sikerültek, hogy a kutatók képesek voltak„visszaállítani”az E. colit eredeti, vagyis a rezisztenssé válás elõtti állapotába. A találóan „idõgépnek” elnevezett szoftver terápiás jelentõsége abban rejlik, hogy segíthet az orvosoknak gyorsabban és pontosabban kiválasztani, mely antibiotikumokat milyen sorrendben használják az adott fertõzés leküzdésére. Ez pedig nagymértékben megnövelheti a kezelés hatékonyságát.
„Becslések szerint a szuperbaktériumok 100 trillió dolláros kárt okozhatnak 2050-ig” Jelenleg az orvosok ugyanis rendszerint többféle hatóanyag kombinációjával küzdenek a szuperbaktériumokkal szemben, a széles körben használt gyógyszereket kombinálva a régebbi, manapság már ritkán alkalmazott antibiotikumokkal. A kezelõorvos intuíciója és gyakorlati tapasztalatai alapján választja ki a gyógyszereket, amelyek elsõre rendszerint nem bizonyulnak elég hatékonynak, ezért tovább válogat a fegyverarzenálból. Szerencsés esetben még idõben sikerül megtalálni a megfelelõ kezelést. Az ígéretes eljárás azonban egyelõre kezdeti fázisban jár, számos további laboratóriumi és klinikai teszt szükséges mûködõképessége megállapításához. A szoftvert egyelõre mesterségesen elõállított és ellenállóvá tett, laboratóriumi körülmények között izolált baktériumtörzsek esetében tesztelték, vagyis még nem lehet tudni, hogyan állja meg a helyét a való életben, természetes módon rezisztenssé vált organizmusok esetében, amelyek más kórokozókkal is versenyeznek, illetve az emberi immunrendszerrel küzdenek.
IDE NEKIK AZ MRSA-T IS Az egyik neves amerikai magánegyetemen, a Duke-on a legismertebb és legelterjedtebb szuperkórokozóval, az igazi nagyágyúnak számító MRSA-val (methicillin-rezisztens Staphylococcus aureus) tesztelnek egy új számítógépes programot, amely képes pontosan modellezni azt a folyamatot, amellyel a szuperbaktérium – genetikai kódját megváltoztatva – ellenállóvá válik az antibiotikumokkal szemben. Az MRSA mûködési mechanizmusának megfejtése azért is fontos, mert a szuperbaktérium igazán sikeres pályát futott be. A közönséges Staphylococcus aureusból fejlõdött ki, amely a felnõttek harminc százalékánál kimutatható anélkül, hogy gondot okozna. Csupán két évre volt szüksége ahhoz, hogy a methicillin
nevû antibiotikum elsõ – hatvanas évekbeli – alkalmazása után rezisztenssé váljon az új gyógyszerrel szemben. Sõt a szuperbaktérium nemcsak a methicillint, hanem egyszerre több antibiotikumcsaládot is lefegyverzett. A néhány éve – Magyarországon is – megjelent új törzse pedig az utolsó mentsvárak egyikének tartott vancomycin nevû antibiotikummal szemben is ellenálló. Az Egyesült Királyságban, Dél-Walesben hasonló egyetemi kísérletek folynak, amelyek szintén azzal kecsegtetnek, hogy már egy esetleges fertõzés korai fázisában meg tudják mondani, fennáll-e annak rizikója, hogy az adott baktériumtörzs halálosan veszélyes változattá mutálódik. A fejlett technológia segítségével a kezelés személyre szabhatóvá válik, hiszen a páciens DNS-mintájának elemzése alapján kidolgozható az optimális kezelési mód. Ráadásul akár órák, nem pedig hetek leforgása alatt születnek meg az eredmények.
iparnak ugyanis egyszerûen nem éri meg új antibiotikumokkal foglalkozni. Egy új gyógyszer kifejlesztése és piacra dobása dollármilliárdokba kerül, ám mivel az antibiotikumokkal szemben viszonylag gyorsan rezisztencia alakul ki, könnyen elveszhet a hatalmas befektetés.
AZ IDÕ ÉS PÉNZ
Ráadásul a várható profit is lényegesen kisebb, hiszen szemben a krónikus betegségek – például a gyakori szív- és érrendszeri megbetegedések – gyógyszereivel, az antibiotikumokat csak rövid ideig szedik a páciensek, és jóval kevesebben, mint a népbetegségek esetében. Nem véletlen, hogy az 1980-as évek óta nem fejlesztettek ki új antibiotikumot. A már idézett brit kormányzati munkacsoport adatai szerint az Egyesült Királyság gyógyszeripara például 2,6 milliárd fontos teljes kutatás-fejlesztési büdzséjébõl mindössze 102 milliót fordít antimikrobás szerekre. Más források is azt mutatják, hogy Európában a rendelkezésre álló források 1 százalékát sem érték el az antibiotikum-kutatásokra szánt összegek 2008 és 2013 között. Miközben az Egészségügyi Világszervezet (WHO) becslése szerint az Európai Unióban évente minimum 400 ezren fertõzõdnek meg – fõként kórházakban – antibiotikum-rezisztens baktériumok által, több mint 25 ezer ember esetében pedig végzetesnek bizonyulnak a fertõzések. Így félõ, hogy nem állnak majd idõben rendelkezésre új gyógyszerek, mire a szuperkórokozók lefegyverzik az összes régi szert. A brit munkacsoport ezért az egyik legsürgetõbb feladatnak tartja olyan ösztönzõ rendszerek kialakítását, amelyek a gyógyszeripart érdekeltté tennék az antibiotikumok fejlesztésében.
Márpedig az idõ kulcsfontosságú tényezõ a szuperbaktériumok által megfertõzött páciensek esetében. Hiszen gondoljunk csak bele: az E. coli baktérium például 20 perc alatt osztódik, tehát a tenyészet megduplázódik. Az osztódás során egyes törzsek mutálódnak, és ha ezek közül csak egy is rezisztenssé válik az antibiotikummal szemben, ez szelekciós elõnyt jelent, és ezek a baktériumok fognak tovább szaporodni. De az organizmus a rezisztenciagént egyszerûen átadja az utódoknak a tápfolyadék útján is, esetleg a testnedvekben (például vizelet, széklet, sebváldék). Sõt, más baktériumokkal való géncserével is terjedhet a mutáns gén. Így egy teljesen ártalmatlan, de rezisztens gyomorbaktérium megoszthatja az antibiotikumokkal szembeni védekezés trükkjeit akár egy tüdõgyulladást okozó, sokkal veszélyesebb kórokozóval is. Az új kutatási lehetõségeket az teszi lehetõvé, hogy a drága szuperszámítógépek már nemcsak a technológiai óriáscégek, kormányzati szervek és gazdag kutatóintézetek kiváltságai, hanem a kevésbé tehetõs egyetemek, kutatóintézetek is széles körben hozzáférhetnek az erõteljes technológiához. Ehhez nem szükséges megvásárolniuk a drága hardvert, elég csak egy egyszerûsített webfelületen igénybe venniük valamelyik szuperszámítógép-szolgáltatást a sok közül. A technológiai fejlõdés által felturbózott kutatások segíthetnek a hatékony új antibiotikumok megalkotásában is. Ám e téren a másodpercenként mûveletek trillióira képes csodagépek sem hozhatnak önmagunkban áttörést. A gyógyszer-
„Egy új gyógyszer kifejlesztése és piacra dobása dollármilliárdokba kerül, ám mivel az antibiotikumokkal szemben viszonylag gyorsan rezisztencia alakul ki, könnyen elveszhet a hatalmas befektetés.”
MÁRK EDINA
39
KÖNYV A TÖRTÉNETFELDOLGOZÁS MÓDSZERTANA
MÁRTON-KOCZÓ ILDIKÓ
BÕGEL GYÖRGY
SZTORIPROFIT
A BIG DATA ÖKOSZISZTÉMÁJA
A TÖRTÉNETFELDOLGOZÁS MÓDSZERTANA A hatásosan elõadott történetek mindig is segítettek bizalmat építeni a mesélõ személye iránt. A megfelelõen megválasztott történetek ugyanis hozzájárulnak a nehéz problémák gyors megértéséhez, és megoldásához. A profi mesélés (ha úgy tetszik történetfeldolgozás) ennek megfelelõen hatásos üzleti, vezetõi, vita, érdekérvényesítõ, sõt karriereszköz. A történetek önismereti, illetve menedzsment jellegû tudatos feldolgozása modern módszer: ez a story processing. A kötet ezt a fejlesztési módszert mutatja be összesen több mint félszáz sztorin keresztül, három különálló részben. Az életünk nem más, mint megélt történetek összessége, mélypontok és magasságok, amelyeket túlélünk vagy amelyekben épp szárnyalunk. A szárnyalást szeretjük, de a krízisek és a mélypontok idején már minden segítség jól. Rengeteg konkrét és hasznos impulzust nyerhetünk például önmagunk vagy mások történeteibõl, a tanulságok mellett inspirációt és energiát is. A történetmesélés õsidõk óta létezik,
40
ADATGAZDASÁG KÖNYV
nemcsak szóban, hanem kõbe vésve, barlangfalakra festve is. A történetek önismereti, illetve menedzsment jellegû feldolgozása viszont modern módszer. E kötetben a történetfeldolgozás modern módszerét, a story processinget ismeri meg az olvasó, így például a kérdezéstechnika finomságait, az improvizáció szabályait, az aktív hallgatás hasznát és természetesen azt is, hogy a különbözõ sztorik (sport-, vállalati vagy iparági történetek) hogyan oldják fel az egyén vagy egy munkahelyi csapat elakadását. A három különálló részben több mint félszáz történet segít abban, hogy az olvasó megértse és alkalmazni tudja a történetfeldolgozás módszerét. Míg a kötet elsõ részében mintegy harminc elbeszélés, anekdota, tanmese, valós üzleti és szervezeti eset segíti a megismerési folyamatot, a második részben egy tucat híres ember története serkenti és készíti elõ az önreflexiót. A kötet harmadik részében olyan magyar vállalatvezetõkrõl olvashatnak, akik életük egy vagy több nehézségét osztják meg õszintén, összegezve azt is, õk mit tanultak saját problémáik megoldásából, kudarcaikból, sõt tragédiájukból. A kötetben szereplõk történetei jól bizonyítják, hogy ha problémamegoldó, alkotó- és változáskezelési képességeinket fokozni akarjuk, akkor a megszokotthoz képest más, különleges gondolkodási eljárásokat kell kifejlesztenünk. Ebben pedig a történetek elemzése, feldolgozása, a tanulságok megfogalmazása komoly támogatást jelenthet, és a krízis hozzásegíthet a katarzishoz. A kötet azoknak kíván útitársa lenni, akik sikeresek akarnak lenni emberként vagy üzletemberként, és erre hajlandók energiát és idõt áldozni, képesek tudatos figyelemmel kísérni, elemezni, feldolgozni önmaguk és mások történeteit. A sikeres emberek tanulnak a múltból, és a jelenben dolgoznak a holnapjukon, szenvedélyesen. A kötetben megjelenik többek között a Goodyear gyárat alapító Frank A. Seiberling, a lóvontatású kapát kifejlesztõ angol mezõgazdász, Jethro Tull, a Woodstocki Fesztivált megszervezõ Joel Rosenman és John P. Roberts, a Virgin cégbirodalmat alapító Richard Branson, illetve a magyarok közül Bojár Gábor Graphisoft-alapító, Lepsényi István IT Services Hungary ügyvezetõ, Szirmák Botond Provident Pénzügyi Zrt. vezérigazgató, és az Aquincumi Technológiai Intézetet létrehozó Bõthe Csaba.
A big data napjaink informatikai slágertémája. A CEU Business School tanárának új könyve elsõsorban a felhasználókat célozza meg: azokat, akik az új lehetõségekre és fejlõdési irányokra, vagy éppenséggel az ezekkel kapcsolatos veszélyekre és kockázatokra kíváncsiak. A big data ökoszisztémája vállalatvezetõkhöz, mérnökökhöz, orvosokhoz, vállalkozókhoz, városfejlesztõkhöz szól, akik látják és tapasztalják, hogy minden „adatosul” körülöttük, a hatalmas adattömegek gyûjtése, rendezése, elemzése és hasznosítása pedig megfelelõ szakértelmet kíván. Aki a Typotex Kiadó gondozásában megjelent könyv címe alapján azt gondolja, hogy a kötetben elvont modelleket, csak profik által követhetõ programozási gyakorlatokat, mûszaki leírásokat talál, csalódni fog. Bõgel György könyvében szinte minden fejezet és alfejezet gyakorlati példával indul és azzal is végzõdik. Ellátogatunk egy kórházba, ahol digitális diagnosztikai eszközök által ontott adatokban keresnek a gyógyító munkában hasznosítható mintákat. Megtudhatjuk, hogyan készülnek a kereskedelemben és más területeken használt személyes adatprofilok, nevekhez kapcsolt valószínûségi indexek. Láthatjuk, mi történik akkor, ha kreatív vállalkozók analitikai eszközöket vetnek be a mezõgazdasági munkában. Megismerkedhetünk az okos városok adatalapú szolgáltatásaival, de oktatási, pénzügyi, biológiai, sõt mi több, bûnüldözési példákkal is találkozhatunk. A könyv a megszokott módon definiálja a big data jelenséget: óriási tömegû, folyamatosan áramló, változatos összetételû adathalmaz, ahol az adat keletkezése és hasznosítása közötti idõ sokszor nagyon rövid, vagyis azonnal ki kell használni valamilyen lehetõséget, vagy el kell hárítani egy veszélyt. A szerzõ legfontosabb mondanivalója, hogy ez a soha nem látott adattömeg akkor ér valamit, ha okos rendszerekhez kapcsolódik: okos vállalat, okos egészségügy, okos mezõgazdaság, okos államigazgatás, okos kereskedelem, okos egyetem… Az egyik fejezet az ilyen rendszerek komponenseit és mûködését mutatja be. Felépítésükhöz tevékenységek átgondolt sorozatára van szükség: konkrét problémákat kell lefordítani az adatok nyelvére, a szükséges adatokat össze kell gyûjteni és fel kell dolgozni, döntéstámogató modelleket kell építeni, a javasolt döntéseket végre kell hajtani, majd figyelni az eredményeket. Mindezt állandó körforgásban, folyamatosan fejlesztve, finomítva az algoritmusokat és modelleket. Az okos rendszerek építésének és mûködtetésének kulcsfigurája az adattudós. A könyv megerõsíti: sok vállalat és intézmény keres képzett és tapasztalt adattudósokat. Rengeteg a betöltetlen állás, ami nem meglepõ, hiszen a követelmények is különlegesek: érteni kell a matematikához, a statisztikához, az adatbányászat eszközeihez és módszereihez, a számítástechnikához és a programozáshoz, a kérdéses szakterülethez (például a kereskedelemhez, a biológiához, a mezõgazdasághoz vagy a közlekedéshez), és mivel szervezetrõl és csapat-
munkáról van szó, kommunikációs, vezetési és egyéb képességekre is szükség van. A szerzõ példák segítségével elemzi az adattudósi munkakör tartalmát, bemutatja, hol és hogyan képeznek ilyen szakembereket. A big data világa sokak fantáziáját megmozgatja. Riadalmat kelt azokban, akik a magánéletüket és a szabadságukat féltik – az egyik fejezetbõl kiderül, hogy korántsem alaptalanul. A könyv záró (és egyben leghosszabb) fejezete viszont optimista megközelítésben rendszerezi a kibontakozó vállalkozói teret, az „adattenger élõvilágát” nagyokra és kicsikre, régi és új játékosokra, generalistákra és specialistákra egyaránt kitérve. Az olvasmányos és izgalmas mû elején olvasható ajánlást Major Gábor, az Informatikai, Távközlési és Elektronikai Vállalkozások Szövetségének fõtitkára írta.
41
KÚL LOG ÚJDONSÁGOK
TÖKÉLETES NYÁRI KELLÉK:
ÚJDONSÁGOK KÚL LOG
Az idén januárban bemutatkozott Kube a gyártó cég ígérete szerint 2015 nyarára készül el, ekkor adják postára az elsõ darabokat. Szükség is lesz a gyártókapacitásra, elvégre ki ne örülne egy olyan hûtõládának, amely kellemesen hûvösen tartja a söröket, egyben vezeték nélküli hangszóróként is helytáll. Bár a Kube nem könnyû darab (az elsõ szériás modellek súlya 27 kilogramm), ehhez 37,5 literes hûtõûrtartalom és 110 decibeles teljesítményû beépített hangszóró dukál. A hangtartomány elérheti akár a százméteres távolságot is tisztán és torzításmentesen, persze a szabadtéri körülményektõl függõen. A gyártó cég szerint termékük egy 150 vendéges vízparti partit is könnyen kiszolgál, és a hangminõség végig tökéletes marad. A Kube-ot mindenesetre – a meglepetések elkerülése érdekében – valós élethelyzetekben, változó kültéri körülmények között tesztelték – a ház mögötti kerttõl szabadtéri uszodán át hajófedélzetig. A Kube-hoz Bluetooth-kapcsolaton keresztül számítógép, okostelefon és tablet is csatlakoztatható, így a lakásba sem kell bemenni a következõ nyári slágerért. Egyetlen nagyobbacska hibája talán az ára: 1100 dollárért – azaz több mint 300 ezer forintért – ugyanis számos hordó sört és különálló hifi-rendszert is vehetünk. Persze akkor meg a hûtõre kell költenünk.
HÛTÕ-HANGFAL
42
3D-BEN NYOMOTT ÉTELKREÁCIÓK
A 3D-nyomtatók még el sem terjedtek igazán, de már látszik, hogy ez az õrület nem vonul majd le egy-két hónap alatt. Készült már ilyen eszközzel magas sarkú cipõ, lõfegyver, de az ISS nemzetközi ûrállomáson szerszám is, amelynek tervrajzát egy e-mailben küldték fel az asztronautáknak. A gasztronómia is hamar megtalálta magának a lehetõségek széles tárházát kínáló térbeli nyomtatást. A 3D-printerrel készült kézmûves csokoládé csak a kezdet volt, ma már bárki – aki hajlandó két-háromszázezer forintot kifizetni egy belépõ kategóriás printerért – nekiállhat saját konyhájában térnyomtatni. Ehhez jó segítség lehet például a Bocusini speciálisan gasztronómiai felhasználásra kifejlesztett nyomtatófeje. Az eszköz elkészítésére a Kickstarter közösségi finanszírozási oldalon kezdtek gyûjteni, a célul kitûzött 30 ezer eurós támogatást pedig alig 10 nap alatt sikerült összeszedniük. Hogy mire lesz jó a 2015 júniusára elkészülõ, tömeggyártásra alkalmas verzió az ígéret szerint szinte bármilyen, hõkezeléssel formázható élelmiszer megmunkálására. A Bocusinit csak kivesszük a dobozból, felszereljük a meglévõ 3D-nyomtatónkra, letöltjük a kiválasztott dizájnt, és már készülhet is a térnyomtatott marcipánbéka, a krumplipürébõl készült polip, vagy a virágot formázó, zselatinalapú torta. A Bocusini köré közben épül a világ elsõ 3D-s élelmiszernyomtató közössége, amelyben saját 3D-s ételek elkészítésére és receptjének megosztására ösztönöznek mindenkit. Itt nem számít a gasztronómiai vagy mûszaki szakértelem, illetve a korábbi tapasztalatok. Szeretnének fenntartani egy nyitott platformot, ahol Creative Commons licenc alatt bárki használhatja vagy módosíthatja a dizájnt.
OKOS CUMI BLUETOOTH-SZAL
JÖNNEK AZ OKOS BÕRÖNDÖK
A dolgok internete világ terjedésével egyre több okostelefonhoz csatlakoztatható hétköznapi eszközzel találjuk szembe magunkat. Ilyen például a Pacif-i okos cumija is, amely használat közben folyamatosan figyeli a baba testhõmérsékletét, az adatokat pedig alacsony energiájú Bluetooth 4.0 kapcsolaton keresztül küldi el a mama vagy a papa telefonjára, táblagépére. A cumihoz tartozó alkalmazás képes súlyozni az adatokat, és meghatározni, mikor történik a legpontosabb mérés, majd grafikonokkal megmutatni a gyermek egészségi állapotát. Az alkalmazás segítségével a szülõk azt is rögzíthetik, hogy mikor, milyen gyógyszeres kezelésben volt része a kicsinek, emellett emlékeztetõket állíthatnak be maguknak, az egészségügyi adatokat pedig könnyen és gyorsan megoszthatják az orvossal vagy a védõnõvel. A Pacif-i-be épített chipet a Nordic Semiconductor fejlesztette ki, és olyan akkumulátorral látta el, amelynek az élettartama több mint egy év. A Pacif-i emellett virtuális „gyerekpórázként” is funkcionál, ugyanis képes érzékelni, ha a csöppség elkószál. Ha elhagyja a 20 méteres biztonsági zónát, a telefon segítségével azonnal riasztja a szülõt. A cumi távolról is beindítható, és sípolással képes tudatni a világgal, hogy a baba melyik játék alá rejtette. Az eszköz jelenleg még csak elõrendelhetõ, 25 fontba, vagyis valamivel több mint 10 ezer forintba kerül, az okostelefonos alkalmazást viszont ingyen adják mellé. Kép forrása: Pacif-i
Sokan átélték már a szörnyû érzést a repülõtéri csomagszállító szalag végén, hogy mindenkinek megjött a pakkja, csak éppen az övék nem. Ennek vethet véget egy új technológia, amely a mobiltelefonokhoz hasonlóan használja a globális helymeghatározó rendszert. Így az utas a táskába épített mikrochip jelzése alapján már azelõtt tudja, hogy a karusszelen közeledik a csomagja, mielõtt megpillantaná. A különféle speciális üzenetek küldésére alkalmas eszköz nemcsak a könynyebb azonosítást teszi lehetõvé a tumultusban, hanem a lopás esélyét is csökkenti. Az okostáskát a Samsonite fejlesztette ki a Samsunggal partnerségben. A vezérlõ chip a riasztásokon kívül sok egyébre is képes lehet. A cégek például dolgoznak az önjáró poggyász projekten is. Már tesztelik azt a motorral felszerelt csomagot, amely képes követni a tulajdonost közvetlen közelrõl. A fejlesztés még messze nem piacképes, hiszen a prototípusokban használt motorok 20 kilót nyomnak, de a miniatürizálás eredményeit ismerve elõbb-utóbb elérik a megfelelõ méretet. Samsonite együttmûködik emellett az Emirates, a Lufthansa és az Air France KLM légitársaságokkal is, hogy véget vessen a csomagok elkallódásának és a hosszas reptéri check in-nek. Újfajta poggyászaik képesek lesznek az önálló becsekkolásra is: csak leállítják õket a megfelelõ helyre, ahol a tulajdonosok megkapják az elektronikus nyugtát, majd a tehertõl megszabadulva kényelmesen folytathatják a beszállást a már otthon mobiltelefonra generált beszállókártyával. Ha a felmerülõ biztonsági problémákat sikerül orvosolni – például meg lehet akadályozni, hogy az utasok menet közben kapcsolatban lépjenek a csomagjukkal – akkor a rendszer nagy jövõ elõtt állhat. Kép forrása: Flickr photoshare
43
KÚL LOG ÚJDONSÁGOK
GONDOLATTAL VEZÉRELT BIONIKUS LÁB
44
A FEKETE LÓDARÁZS CSAK REPÜL ÉS FIGYEL
ÚJDONSÁGOK KÚL LOG
Az elsõ két ember, aki gondolataival tökéletesen tudja kontrollálni mûvégtagjait, nemrégiben kapta meg bionikus lábprotéziseit a szakterület úttörõjének számító izlandi bioelektronikai cégtõl, az Össur Technologytól. Az amputáció után megmaradt izomszövetbe beültetett myoelektromos érzékelõk (IME) képesek fogadni az agyi impulzusokat tudat alatt és tudatosan is, illetve valós idõben, s ezzel kiváltani a mozgást. A gondolatvezérelt protézisekkel (ilyeneket már korábban is voltak a piacon) eddig az volt a legnagyobb probléma, hogy a szenzorok egyszerre több izomtól is fogadtak impulzusokat, s emiatt rossz volt a hatékonyságuk. A mûvégtagok lassan és nem pontosan mozogtak, ami a viselõjüknek rendkívül frusztráló is lehetett. A másik nehézséget az jelentette, hogy a felsõ végtagok esetében már jól mûködõ megoldások nem váltak be a kevesebb tudatossággal vezérelt lábnál. Olyan módszert kellett kidolgozni, amely a tudatalatti impulzusokat képes mozgási parancsokká konvertálni. Az Össur bionikus protézisei azonban – amellett, hogy képesek a valós idejû tanulásra, és automatikusan alkalmazkodnak a felhasználó járási stílusához, a sebességhez és a terephez is – a tudattalan mozgási üzeneteket is érzékelik, s nincs szükségük a tudatos, szándékos gondolatra a mozdulat kivitelezéséhez. Thorvaldur Ingvarsson ortopéd sebész, az Össur kutatási és fejlesztési vezetõje szerint ugyanis a mozgás az egészséges embereknél általában tudat alatt kezdõdik. Az új technológiája lemásolja ezt a folyamatot, és az agy által keltett elektronikus impulzus a végtagcsonkban lévõ IMES-be jut. Így a mûvégtag használóinak már nem kell szándékosan egy mozdulatra gondolni, hiszen a rendszer tudattalan reflexeiket is automatikusan átalakítja myoelektromos impulzusokká, amelyek a bionikus protézist szabályozzák.
A brit hadsereg egy aprócska, ám igen hatásos eszközt vethet be az ellenség felderítésére. A mindössze 12 centiméteres nanohelikoptert is tartalmazó rendszerbõl már 60 darabot rendszerbe is állítottak az Afganisztánban szolgáló egységeknél. A norvég Prox Dynamics által gyártott összesen 200 Black Hornet, azaz fekete lódarázs megmaradt részét kiképzésre használják, és késõbbi bevezetésekre tették félre. A beszerzési költségek mintegy 20 millió fontot tettek ki, azaz darabja 100 ezer fontba, mintegy 43 millió forintba került, amiért már sportkocsit is lehetne venni. Minden Black Hornet rendszer két repülõgépet, egy ellenõrzõrendszert, a hasznos terheket és a bázisállomást tartalmazza. Egy tablet méretû monitor is része a csomagnak, ami így összesen mintegy 2 kilót nyom. Az UAS, a kis helikopter három kamerát hordoz – egy elõre tekint, az egyik egyenesen lefelé, a harmadik 45 fokban elõre és lefelé. Ugyan a fekete lódarázs kézzel is rávezethetõ a célra, de jármû nem indítható el addig, amíg nem pozícionálta magát és a bázisállomást. Amikor a 20 perc maximális repülési idõ a végéhez közeledik, a rendszer figyelmezteti a kezelõt, akinek ekkor lehetõsége van kiadni a parancsot a gép automatikus visszatérésére. A Black Hornetnek azt a képességét, hogy 10-es osztású térképrácson megfelelõ pontossággal részletezi a látványt, a katonák fel tudják használni a közvetlen légi vagy tüzérségi csapásokhoz, míg a repülési adatokat és a rögzített képeket el lehet tárolni, és fel lehet tölteni a központi adatbázisokba. A rendszert máris széles körben alkalmazzák a járõrök Afganisztánban, a fõ elõnye a többi brit UAS-szel szemben, a nagyobb mûködési sebesség, illetve nem kell engedélyt kérni a használatára egy magasabb parancsnoktól. Ha valamit meg akar nézni biztonságos távolságból a járõr, csak felküldi a Black Hornetet.
VILÁGÍTÓ NANOPAPÍR
KÉZFOGÁS AZ INTERNETEN KERESZTÜL
A hajlékony elektronikus eszközök új generációját egy speciális papír alapozhatja meg, amit kínai kutatók állítottak elõ különlegesen kezelt nanocellulóz felhasználásával. Ez tulajdonképpen olyan fából készül, amelyet pépesítettek, majd a pépet kémiai úton átlátszó kristályokká változtattak. Eddig nem sokban különbözik a már létezõ hajlékony képernyõkhöz használt alapanyagtól, azonban a kínai kutatók apró, úgynevezett kvantumgolyókat adtak az anyaghoz. Ezek a mikroszkopikus félvezetõként mûködõ szemcsék kvantumrészecskeként mûködnek, ennek eredményeként pedig a papír fluoreszkálni kezd, ha fénynek teszik ki. Ennél fontosabb azonban, hogy kevesebb mérgezõ anyagot tartalmaz, mint a kõolajalapú anyagok felhasználásával készült hajlékony képernyõk, illetve a szélsõséges hõmérsékleti ingadozást is jobban tûri, ezért a jövõben kültéri kijelzõk alapanyagaként hódíthat. A kvantum hatásokat fel lehet használni a fényérzékelési technológiákhoz, biológiai kutatáshoz, a számítástechnikai fejlesztésekhez, és mint ebben az esetben, fény elõállításához. Az apró félvezetõ kristályok ezen a világító papíron cinkbõl és a szelénbõl vannak, amelyek nem okoznak környezeti kárt, s az anyagot nem kell biztonságos körülmények között megsemmisíteni, ahogy a legtöbb jelenlegi elektronikai terméket. A nanocellulóz papír nem túl sokáig ad fényt, és ezt is csak szobahõmérsékleten teszi. De feltekerhetõ és kigöngyölhetõ a repedés vagy szakadás veszélye nélkül. Ha a napon marad, akkor pedig teljesen átlátszó. További kutatások nyomán az anyag olyan rugalmas kijelzõvé válhat, amely valóban papírszerûen viselkedik. Például bele lehet kötni egy könyvbe vagy magazinba, hogy ott akár változó (például hirdetési) tartalmat jelenítsen meg.
Egy örökölt genetikai tünetegyüttes ihlette azt a különleges kesztyût, amely beépített szenzorai segítségével képes a tapintás érrzetét továbbítani az interneten keresztül. Fejlesztõi Edi Haug és Laura Schwengber gyerekkorukban óta gondolkodnak a kommunikáció e formájáról, ugyanis Haug kilenc évesen, egy veleszületett rendellenesség miatt fokozatosan elvesztette látását és hallását. Mivel továbbra is szerettek volna játszani egymással, újabb és újabb módszereket fejlesztettek ki a kommunikációra. Pár év elteltével a Lorm nevû, tapintáson alapuló ABC-t kezdték el használni, amelyet Hieronymus Lorm (Heinrich Landesmann) fejlesztett ki a XIX. században. Ezt használta alapként Tom Bieling, a berlini Design Lab kutatója is, amikor egy olyan kesztyût állított elõ, amely a beleszõtt nyomásérzékelõk segítségével képes a Lorm ABC-t digitális szöveggé alakítani. Ennek segítségével a Haughoz hasonló pácienseknek már nem kell fizikai közelségben lenniük azokkal, akikkel beszélgetni szeretnének. A kesztyû ugyanis képes akár az internetrõl érkezõ üzenetek oda-vissza fordítására is. Fejlesztéséért Bieling 2014-ben elsõ díjat kapott a berlini Falling Walls Lab versenyen, a prototípus segítségével pedig Haug mára aktív Twitter-felhasználó lett, számos online baráttal, akik még csak nem is sejtik, hogy beszélgetõtársuk nem lát és nem is hall. A kesztyû apró beleágyazott vibráló motorok segítségével adja le a jeleket, és amint bejön egy üzenetet, azok a pontok kezdenek rezegni, ahol az adott betûk vannak elhelyezve a Lorm jelrendszerben. A jelenlegi verzióban a felhasználók már beállíthatják az intenzitást és a sebességet a tapintás alapú olvasási készségüknek megfelelõen. Mivel a kesztyû egész felülete be van kötve a szenzoros bemenetbe, a rendszer felismeri mind az ujjak pozícióját, mind mozgását, s ha kell, korrigálja a hibás mozdulatot (mint az okostelefonok prediktív szövegbevitele) az értelmes szavak kibocsátása érdekében.
VOX NATIVA MACHINE LEARNING
MACHINE LEARNING VOX NATIVA
KULCS AZ EMBERFELETTI MESTERSÉGES INTELLIGENCIÁHOZ? Afelõl ma már semmi kétség, hogy fajunk – talán már a nem túl távoli jövõben – képes lesz olyan szerkezet elõállítására, amelynek információfeldolgozási képessége meghaladja az emberi agyét. De addig még okosodniuk kell a gépeknek, például meg kell tanulniuk tanulni. És éppen ezt teszik. Valósággá válhat HAL 9000 a 2001: Ûrodüsszeiából, a Skynet a Terminátorból vagy a Mátrix gépek által uralt világa? Erre a kérdésre senki sem tudja a választ, de az biztos, hogy a tudósok már a 20. század ötvenes évei óta intenzíven foglalkoznak a mesterséges intelligencia kutatásával. Szerencsére az említett filmekben ábrázolt vészforgató-könyvek egyike sem vált valóra, ám a gépi intelligencia megteremtéséért folytatott kutatás egyik ága azóta hatalmas karriert futott be. Ennek köszönhetõen ismeri fel szóban kiadott utasításunkat okostelefonunk, ez irányítja a már valós közúti forgalomban manõverezõ sofõr nélküli autókat, illetve ennek segítségével találhatjuk meg olyan gyorsan és egyszerûen a kérdéseinkre a releváns választ a keresõmotorokban. Ez a tudományterület a – közkeletû angol kifejezéssel – machine learning, vagy magyarul a gépi tanulás.
A 8 LEGISMERTEBB GÉPI TANULÁSON ALAPULÓ ALKALMAZÁS 1. Keresõmotorok 2. Vezetõ nélküli autók 3. Beszédfelismerés 4. Webáruházak termékajánló rendszerei 5. Spamszûrés 6. Kézírás felismerése 7. Gépi látás 8. Fényképezõgépek arcfelismerõ rendszere
46 A machine learning lehetõvé teszi a számítógépek számára a tanulást anélkül, hogy explicit módon erre beprogramozták volna õket. Az élõlények világában magától értetõdõ tanulási folyamatok a gépek között még nem mûködnek a jelenlegi fejlettségi szinten. A gépek gondolkodás és mérlegelés nélkül, de villámgyorsan és pontosan hajtják végre a nekik kiadott parancsokat, és éppen ezért ideálisak a nagy számítási igényû feladatokra. Ám szabályokkal és törvényszerûségekkel nehezeb-
ben megfogható problémák esetén – például amikor arról van szó, hogyan szûrjék ki egy felhasználó postafiókjából a kéretlen üzeneteket – már korántsem teljesítenek ilyen fényesen. A machine learning megoldások azonban jó közelítéssel képesek feltárni az adatok mögött rejlõ trendeket, mintákat, az adatok kategorizálásával és strukturálásával pedig a jövõre vonatkozó elõrejelzések megalkotására is képesek. Mindehhez alapvetõen két módszert használnak: felügyelt gépi tanulás során ismert kategóriákba sorolnak be eseményeket, megtörtént események példái alapján, nem felügyelt gépi tanulás során azonban nincs külsõ segítség (például adatok automatikus csoportosítása valamilyen hasonlóság vagy különbözõség alapján). A felügyelt gépi tanulásra jó példa az Amazon termék-ajánló rendszere, amely az adott felhasználó korábbi aktivitása és más hasonló felhasználók vásárlásai alapján azokat a termékeket – például történelmi könyveket vagy jazz CD-ket – ajánlja vásárlásra, amelyeket a legnagyobb valószínûséggel meg fog venni.
A BalaBit felhasználói viselkedéselemzésen alapuló alkalmazása, a Blindspotter például a felhasználói adatokból létre-
hozott profilok alapján észleli a megszokottól jelentõsen eltérõ tevékenységeket. Az elõbbi példát folytatva, ha a támadó a 0day sérülékenységet kihasználva bejut egy vállalati rendszerbe, ahol számos szervert látogat meg, és nagy mennyiségû adatot kezd letölteni, azt egy Blindspotterhez hasonló okos védelmi rendszer azonnal észleli, hiszen ez a tevékenység merõben eltér a profil valódi tulajdonosának munkamenetétõl. Ezért aztán azonnal értesíti az IT biztonsággal foglalkozó csapatot, akik felfüggeszthetik a támadó által használt hozzáférést, és megszakíthatják a kapcsolatot, így megelõzve egy komoly adatvesztést. A felhasználói viselkedéselemzés akkor is jól jön, ha egyetlen illetéktelen személy sem jutott be a rendszerbe. Gyakran elõfordul, hogy egy alkalmazott felmondása elõtt nagy mennyiségû vállalati adatot – például forráskódot, ügyféllistát vagy más bizalmas információkat – tölt le, amelyet új munkahelyén kíván kamatoztatni. Mivel ez a viselkedés nem illeszkedik a profiljába, ezért az elõzõ esethez hasonlóan itt is riaszt az alkalmazás, amely az elõírásoknak megfelelõen (a compliance szempontokat betartva) tárolja az információkat, így még sikeres adatlopás esetén is jogilag cáfolhatatlan bizonyítékot ad a volt munkaadó kezébe.
GÉPI TANULÁS ÉS ADATBÁNYÁSZAT – MI A KÜLÖNBSÉG?
A GÉPI TANULÁS LEGFONTOSABBB ÍGÉRETEI AZ IT BIZTONSÁG SZÁMÁRA
A gépi tanulást általában az ismert adatokra alapozva jövõre vonatkozó elõrejelzések megalkotására, illetve adatsorokban megtalálható ismeretlen összefüggések felfedezésére használják. A gépi tanulás egy az adatbányászok által elõszeretettel alkalmazott módszerek közül.
1. A külsõ támadók által feltört felhasználói fiókok felismerése.
VISELKEDÉSELEMZÉS A GYAKORLATBAN A felhasználói viselkedést elemzõ rendszerek azon alapulnak, hogy – azokhoz a szülõkhöz hasonlóan, akik már a járásuk keltette hangok alapján felismerik gyerekeiket – azonosítják a felügyeletükre bízott informatikai rendszer felhasználóit bizonyos jellemzõik alapján. Emellett szokatlan tevékenységeiket is képesek felismerni, függetlenül attól, hogy valóban róluk vagy egy belépési adataikat megszerzõ rosszindulatú támadóról van-e szó. Ehhez számos információ áll rendelkezésre a be- és kijelentkezés tipikus idejétõl és helyétõl kezdve a használt eszköz felbontásán és operációs rendszerén át a rendszeresen használt alkalmazások és protokollok listájáig, vagy a gépelés jellemzõ sebességéig. Ezek az információk azonban olyan nehezen kezelhetõ masszát alkotnak, amelyekkel a hagyományos szoftverek nem tudnak mit kezdeni, ellentétben a gépi tanulás módszerét alkalmazó rendszerekkel.
KOMOLY ADATVESZTÉSEK ELKERÜLÉSE
A GÉPI TANULÁS AZ INFORMATIKAI BIZTONSÁGBAN A machine learning az utóbbi idõben az IT biztonság világába is betette a lábát. Mind nyilvánvalóbb az a trend, amely a biztonság központi kérdésévé már nem az ellenõrzést, hanem a megfigyelést, és nem az eszközöket, hanem magát a felhasználót teszi. A kontrollálásra fókuszáló alkalmazások ugyanis igen hatékonyak lehetnek már ismert vírusok vagy kártevõk elfogásában, ám a legtöbb esetben tehetetlenek a manapság egyre elterjedtebb összetett, többféle támadási módszert ötvözõ, úgynevezett APT-k (Advanced Persistent Threat) elhárításában. Tipikus APT-támadás például, amikor a támadó egy nulladik napi (0-day) sérülékenységet kihasználva billentyûzéskövetõt (keyloggert) telepít a felhasználó gépére, és belépési jelszavai megszerzése után titkos vállalati adatokat tölt le. Mivel a 0-day sérülékenységek ellen a korábbi években népszerû SIEM rendszerek nem nyújtanak hatékony védelmet, ezért ez a támadás gyakorlatilag észrevehetetlen, és nehezen védhetõ ki hagyományos módszerek alkalmazásával. Ezt felismerve kezdték el kifejleszteni a felhasználók viselkedésének elemzésére (UBA – User Behavior Analytics) alapuló védelmi megoldásaikat az újdonságokra legérzékenyebb IT biztonsági cégek. Közéjük tartozik például a magyar gyökerû, de ma már a világ számos országában irodát mûködtetõ BalaBit is.
2. Az ismeretlen külsõ és belsõ fenyegetések észlelése. 3. A hamis riasztások minimalizálása révén az IT biztonsági csapatok munkájának leegyszerûsítése. 4. Az IT biztonság fokozása az üzleti tevékenység ellenõrzõ jellegû korlátozása nélkül.
47
VOX NATIVA SZIMULÁCIÓ ÉS TANULÁS
SZIMULÁCIÓ ÉS TANULÁS
VOX NATIVA
A HIGH-TECH
ÉS A BEFOGADÓKÉPESSÉG A digitalizáció jelentõs mértékben megváltoztatta a tanulás módját, és hatással van arra is, amit tanulunk. A vállalatok életében a munkatársak képzése – és különösen a tréningek – mögött mindig ott áll a teljesítmény javulása iránti várakozás. Ezért a képzések hatékonyságának mérhetõsége is egyre fontosabb szempont. Idén május 17-e és 20-a között, a floridai Orlandóban rendezték az ATD 2015 nemzetközi oktatási és fejlesztési konferenciát és kiállítást. „Ismerd meg ma a tréning- és a fejlesztési szakma holnapi trendjeit” – hirdette a több száz elõadót és kiállítót felvonultató rendezvény jelmondata, és a kiállítás plakátjaira emellett a „tartalom, közösség, globális perspektíva” jelszavak is felkerültek. Az Association for Talent Development (ATD) által rendezett esemény üzenetei mind arra utaltak, hogy az emberek tehetségébõl a lehetõ legtöbbet kell kihozni, mert ez az egyéni fejlõdés, a vállalati fejlõdés és akár a globális fejlõdés egyik legfontosabb útja. A negyven országból közel 11 ezer résztvevõt felvonultató megarendezvényen részt vett Serényi János, az Értéktrend Consulting ügyvezetõ igazgatója is. Beszámolója szerint a kiállításon jó néhány olyan szimulációs és e-learninges platform kereste gazdáját, amely – sok egyéb mellett – a mérés különféle lehetõségeit kínálta. E megoldások révén a cégek szakértõi megtudhatják, hogy a dolgozók melyik nap, milyen témában, mikor és mennyit tanultak. Képet kaphatnak arról, hogy a képzésben résztvevõ hány kérdésre, milyen gyorsan, milyen hibaszázalékkal adott választ. Megtudhatják, hogy az egyének, a csoportok teljesítménye hogyan viszonyul egymáshoz, milyenek a másokkal összevetésben kialakuló arányszámaik, hogyan festenek fejlõdési tendenciáik. Emellett különbözõ egységekre lebontva láthatók a fejlesztendõ területek is, és információ kapható a saját dolgozók tudásszintjérõl iparági összehasonlításban is, sõt akár a hazai és a nemzetközi trendek alakulásának összevetésére is mód van.
MALÁJ KÖZJÁTÉK 48
A nemzetközi tréningtechnológiai piacon igen nagy a verseny, így Serényi Jánosnak a hideg futkosott a hátán, amikor idén januárjában a következõ e-mailt kapta az Értéktrend malajziai partnerétõl: „Kedves János, egy csalódásról kell beszámolnom. Nagyon örültünk, amikor tavaly októberben megismertük az önök által kifejlesztett szimulációs rendszert. Azt gondoltuk, hogy ennek segítségével egyedülálló tréningszolgáltatásokat nyújthatunk neves ügyfeleinknek. Ezért megvásároltuk a rendszert, aminek használatát be is tanították Koppenhágában. Az idei esztendõt a FreeRunner bevezetésével akartuk indítani, de rá kellett jönnünk, hogy a kommunikációs, prezentációs tréningjeinken csak sok zökkenõvel mûködik a rendszer...”
A kollégáival együtt értetlenül álltak a helyzet elõtt. Egyrészt mert a technológiát zavartalanul használták a tréningjeik során, másrészt mert az ügyfeleikhez – például a meglehetõsen igényes Fundamenta Akadémiához – kihelyezett szimulációs rendszerekrõl is jó visszajelzéseket kaptak. A rendszert megismerõk és használók között sok a közismerten kritikus friss diplomás, akik szintén elégedettek voltak. Megvizsgálták a lehetséges problémákat egy belgrádi ügyfelüknél is, de náluk sem volt gond. Végül kiderült, hogy a gondokat a malajziai internetes szolgáltatás bizonytalanságai okozzák. Ezért úgy fejlesztették tovább a rendszert, hogy az webes kapcsolat nélkül is biztonságosan mûködjön. Az új programot sikeresen telepítették Malajziában. Idõközben egy jelentõs kínai megrendelõ is csatlakozott a partneri körhöz, és jó tapasztalatokról számolt be. De ekkor Kuala Lumpurból egy újabb e-mail jött. Az üzenet szerint a kommunikáló, prezentáló személy aktuális stressz szintjét mérõ biofeedback szerkezet nem mûködött. Azonnal kértek egy fotót arról, partnerük miként használja az eszközt. A képrõl kiderült, hogy – noha a használati utasítás részletes szöveges és vizuális segítséget ad – az ujjbegyre fordítva helyezték fel a biofeedbacket, és ez okozta a galibát. Serényi János szerint téved, aki azt hiszi, hogy az ilyen problémák egyediek. A digitális világ rohamos fejlõdésének köszönhetõen a legtöbb iparágban, szolgáltatási területen óriási mértékben megnõttek az innovációs lehetõségek. A vevõre, fogyasztóra vadászó cégek érthetõ módon egyre több hasznos, praktikus, látványos, szórakoztató, vonzó stb. funkcióval ruházzák fel kínálatukat. A célcsoportok pedig ezt el is várják. Ugyanakkor e körnek van egy olyan igen jelentõs szelete, amely a termék, a szolgáltatás egyszerû mûködtetését, használatát is kiemelten megköveteli. A fejlesztõknek, gyártóknak, marketingeseknek tehát mérlegelniük kell: melyik célcsoportoknak ajánlják a mindig megújuló csúcstechnológiát, és kiknek segítenek többet az igényszintjükhöz és technikai felkészültségükhöz igazodó, olcsóbb, de éppen ezért alkalmanként visszafogottabb képességû változatokkal.
ÍGY MÛKÖDIK A FREERUNNER A FreeRunner szimulációs rendszer segítségével a résztvevõ frissen megszerzett ismereteit érlelheti tapasztalattá. Az életszerû helyzetekben zajló gyakorlatok segítik a prezentációs stressz kezelését, megszüntetését. A résztvevõ a tréningcsoport többi tagjának tart prezentációt. Hallgatósága visszatérõen kellemetlen kérdésekkel, barátságtalan megjegyzésekkel és viselkedéssel zavarja meg az elõadót. E közjátékok módját és idõpontját a tréner határozza meg. Az eseményekrõl két párhuzamos videofelvétel is készül. Az egyik rögzíti az elõadó teljesítményét, míg egy másik kamera a közönség aktivitásáról készít felvételt. A szimuláció alatt egy speciális biofeedback eszköz méri az elõadó stressz szintjének változásait. A gyakorlat során gyûjtött információkból egyetlen videofájl készül, amit a résztvevõk kivetítetve megtekinthetnek, majd csoportosan elemezhetnek. A video lehetõvé teszi a tartalmi, a verbális és a nonverbális szempontú értékelést. Így azonosít-
hatóvá válnak az elõadót leginkább megterhelõ helyzetek. Erre épít a szimulációt követõ értékelés és coaching. A biofeedback értékváltozásai – a stressz mellett – objektív módon jelzik azokat a kompetencia területeket is, amelyeken az elõadónak fejlesztésre van szüksége. A közönségrõl készült felvétel elemzése segíti a csoport nonverbális üzeneteinek megértését, azok megfelelõ kezelését. A két kamera által párhuzamosan elkészített felvétel – a stressz szint változásaival gazdagított – információi képet adnak a csoport együttmûködési szándékairól, adottságairól és lehetõségeirõl is. A tréner vezetésével a csoport együttesen elemzi az egyes szituációkat. Áttekinti azok veszélyeit és megoldási lehetõségeit. A FreeRunner rendszer objektív értékeléssel segíti a valóságos, ugyanakkor kontrollált szimulációs környezetben a gyakorlást, az ismeretek – üzleti kockázatoktól mentes – tapasztalattá érlelését.
49
VOX NATIVA TOP 10-BEN A KIBERKOCKÁZAT
TOP 10-BEN A KIBERKOCKÁZAT VOX NATIVA
NYOMULNAK A HACKEREK, A BÛNÖZÕK ÉS A KÉTBALKEZESEK Az Aon, a világ vezetõ kockázatkezelési vállalata a napokban ismertette legfrissebb nemzetközi felmérésének eredményeit. A hosszú múltra visszatekintõ vizsgálat történetében elõször a kiberkockázat is bekerült a vállalatokat fenyegetõ tíz legfontosabb potenciális veszély közé. Vezérigazgatókat, pénzügyi vezetõket és kockázatkezelõket kérdez meg kétévente az Aon, hogy a vállalatok számára olyan adatokat szolgáltasson, amelyek segítséget nyújtanak az egyre összetettebb üzleti környezethez való sikeres alkalmazkodáshoz. A felmérésben a világ 32 országában 1418 válaszadó vett részt, különbözõ méretû és tevékenységû állami és magánvállalatoktól. A 2015-ös felmérés eredményei legszembetûnõbben arra hívták fel a figyelmet, hogy a vállalatoknak új kockázatokkal kell szembenézniük.
A MEGKÉRDEZETT CÉGVEZETÕK ÉS SZAKÉRTÕK ÁLTAL FELÁLLÍTOTT KOCKÁZATI RANGSOR A KÖVETKEZÕ: 1. A vállalati hírnév, márka sérülése. 2. Gazdasági visszaesés, lassú felépülés. 3. Változások a törvénykezésben, jogszabályokban. 4. Növekvõ verseny. 5. A tehetséges munkaerõ vonzásának vagy megtartásának sikertelensége. 6. Sikertelen innováció, kielégítetlen fogyasztói szükségletek. 7. Megszakított üzletmenet. 8. Harmadik fél felelõssége. 9. Kiberkockázat (számítógépes bûnözés, hackelés, vírusok, rosszindulatú kódok). 10. Vagyoni kár.
50
Az elsõ hely odaítélése aránylag kevés meglepetést okozott. A nemzetközi cégek vezetõi kifejezetten úgy érezték, hogy a márka és a hírnév sérülése számít a legaggasztóbb problémának. Elsõ pillantásra viszont sokakat meglepett, hogy immár a kiberkockázat is felkerült a tízes listára. Számos szakértõ szerint azonban ez teljesen természetes. Stephen Cross, az Aon Risk Solutions innovációs osztályának vezetõje például így nyilatkozott: „A felmérés eredményei segítettek megérteni a kockázatok súlyának változásait a globális környezet alakulásának függvényében. Egyáltalán nem ért nagy meglepetésként, hogy a kiberkockázat bekerült az elsõ tízbe, miközben a vállalati hírnév iránti aggodalmak fokozódását figyelhetjük meg. Ez a két probléma a kockázatok összekapcsolódásának világos, sokat eláruló példájául szolgál.”
És valóban, a digitalizáció területén bekövetkezett gyors változások elõnyei mellett mind többet kell foglalkozni a változásokból fakadó veszélyekkel is. Nem csupán a felmérésbõl, hanem a mindennapi gyakorlatból is jól érzékelhetõ, hogy a kockázatkezelés világában az egyik legforróbb téma a kiberkockázatok kezelése.
VESZÉLYEK SZÉLES TÁRHÁZA A valós élet példái jól mutatják a digitális térbõl érkezõ veszélyek sokszínûségét. Egy fizikai világban tevékenykedõ áruházban a raktárkészletet a pénztárszoftverrel összekötött számítógépes rendszer kezeli. Éveken át jól mûködik minden, mígnem a pénztárgépeket újabbakra cserélik. A tesztelés alatt nem jelentkezik hiba, de éles üzemben pár nap után kiderül, hogy a két szoftver nem kommunikál egymással. Így a központi raktárból nem mennek ki az utánrendelések, mivel a raktárszoftver nem érzékeli a készletek fogyását. Mindez persze a legroszszabbkor, a karácsonyt megelõzõ idõszakban következik be, amikor minden perc késlekedés azonnali bevételkiesést jelenthet. Az értékesítési rendszer zavara Gerendai azonban nemcsak mûszaki hiba Károly miatt következhet be, hanem szándékos támadás következtében is. Egy webáruházak szervereit érõ túlterheléses támadás tönkreteheti a cég gondosan felépített reklámkampányát, de az elérhetetlenné váló szolgáltatások miatt a bevételkiesés is hatalmas kárt jelenthet. Arról nem is beszélve, hogy a kereskedelmi vállalatoktól ellopott ügyféladatok miatti aggodalom a cég jóhírét is alááshatja. Efféle viszonylag olcsón kivitelezhetõ, de igen nagy veszteséggel járó akciókat szerte a világból, de itthonról is ismerhetünk. Az úgynevezett szoft, azaz szellemi kockázatok – például az imént említett adatvesztés, vagy a jogosulatlan adatfelhasználás – nemcsak a kereskedelemben, hanem a számos speciális kockázatot kitermelõ szolgáltatási területeken is megjelennek. Egy mérnöki tanácsadónál, vagy egy ügyvédnél a vagyoni károk minimálisak lehetnek, de az „adatsértések” itt is komoly veszteségek forrásai.
BIZTOSÍTOTT ADATKEZELÕK, GLADIÁTOROK A kiberkockázatok elleni biztosítások egyik legfontosabb területe éppen az adatvédelem. Ha nagy mennyiségben elvesztek fontos adatok a számítógéprõl, azok pótlása komoly összegekbe kerülhet. Ugyanígy immár biztosítással fedezhetõ az a károkozás is, amely például a mások adatainak nem megfelelõ kezelésébõl fakad. Ilyen esetekben elõfordulhat, hogy valaki visszaél a hozzá gondatlanságból eljutott információkkal. Ezzel jelentõs károkat okozhat, amit a hibát elkövetõnek kell állnia. Nem kétséges, hogy az internetes kommunikáció, a mobil-kommunikáció rohamos terjedése egyre népszerûbbé és szükségesebbé teszi ezt a biztosítási típust. Természetesen a digitális világ és a kockázatkezelés kapcsolata számos extrém területre is kiterjed. Sajnálatos, különleges tragédia történt például a Gladiátor címû film forgatásakor, amikor a gladiátorok idõs gazdáját alakító színész, Oliver Reed forgatás közben váratlanul elhunyt. Elsõ lépésként kerestek egy testdublõrt, ami a feladat könnyebb része volt. Azután a korábban felvett filmrészletek alapján számítógéppel elõállították a színész hangját, és ugyancsak digitális technológiával reprodukálták a mûvész arcát. Így a tragédia után – a biztosító által fizetett közel hárommillió dollárból – be is tudták fejezni a filmet.
A BÛNÖZÕKTÕL A KÉTBALKEZESEKIG A digitális átalakulás fejleményeit látva elgondolkodtató a gondolat, amelyet az amerikai Craig Bowlus, a kockázatkezelési szakma egyik legelismertebb szakértõje fogalmazott meg. „Három éven belül a kockázatok terén a legdrámaibb növekedés a számítógépes bûnözés, a hackelés, a vírusok, a kártékony kódok terén lesz érzékelhetõ. Már most folyamatosan látható, hogy mind több állami szervezetet és vállalatot ér támadás. A bûnös szándékú próbálkozásokat nem lehet elkerülni, de azokra fel kell készülni.” Mindezt érdemes még kiegészíteni azzal, hogy a károk 70-80 százalékáért a humán erõforrás a felelõs. Valaki rossz csapot zár el, vagy éppen rosszat nyit ki. A gépkocsivezetõ egy pillanatra nem figyel oda, ölébe esik az égõ cigaretta vezetés közben, vagy egy csövet a szerelés folyamán nem oda kötnek be, ahová kell. Lehet, hogy egy körlevél rossz címlistára megy ki, vagy a számítógépes rendszer meghibásodása meghiúsítja a szolgáltatás – jelentõs kötbérrel terhelt – teljesítését. (Ahogy ezt Arthur Bloch óta tudjuk: „Semmit sem lehet a kétbalkezesek ellen bebiztosítani, mert a kétbalkezesek rendkívül találékonyak.”) A jó hír, hogy egy-egy nagy hagyományokra építõ, megbízható hátterû kockázatkezelési tanácsadó, valamint az általa javasolt tekintélyes biztosító bevonásával mindezen problémákra idõben fel lehet készülni. A rossz hír pedig az, hogy a kockázatmenedzselési kultúra fejletlensége még sok helyen okoz helyrehozhatatlan, akár cégek kényszerû megszûnését is eredményezõ gondokat. Gerendai Károly, az Aon Magyarország ügyvetõje egy ezzel kapcsolatos példát idéz fel: „Az egyik potenciális megbízónk egy ugyanolyan biztosítási csomagot kért tõlünk a következõ évre, mint amilyenre korábban is szerzõdött. Kérdésünkre, hogy miért ezt választja a vállalat, azt válaszolta, hogy már tíz éve ezt vásárolják. Erre megkérdeztük, hogy tíz évvel ezelõtt miért ezt vették meg. A válasz egyszerû volt, már a jelenlegi döntéshozó elõdje is ezt vásárolta. A tárgyalás során végül is egyetértés alakult ki abban, hogy a biztosítási csomagokat nem szabad automatikusan megújítani. Meg kell nézni, mi szól egy-egy csomag mellett. Vajon megfelel-e az adott konstrukció az aktuális igényeknek? Nyilvánvalóan gyorsan változik a világ körülöttünk, változik a vállalat, változnak az elvárások és az egyéb körülmények. Mindez óriási mértékben befolyásolhatja a kockázatkezelési igényeket, és ebbõl fakadóan a kiválasztandó biztosítási programok összetételét, jellemzõit is. És nem csak a kiberkockázatok esetében.”
51
VOX NATIVA ELEKTRONIKUS FIZETÉS
ELEKTRONIKUS FIZETÉS
BARION,
PÉNZTÁRCA, AMIT NYUGODTAN ELVESZÍTHET
A PÉNZ HARMADIK ARCA Az Európai Unióban hivatalosan három formája van a pénznek: ebbõl mindenki ismeri a készpénzt és a számlapénzt, a négy éve engedélyezett e-pénz pedig a készpénz digitális megfelelõje, amelyet egy elektronikus eszközön vagy egy távoli szerveren tárolnak. Magyarországon eddig a Barion kapott engedélyt az MNB-tõl e-pénz kibocsátására, és ennek birtokában szolgáltathat az egész unióban, éppen olyan szabályok mentén, mint a PayPal. Az év végéig országosra tervezik bõvíteni azt a hálózatot, amely lehetõvé teszi készpénzünk elektronikus pénzre váltását. Az e-pénz ezután azonnal felhasználható: lehet vele parkolni, vásárolni, számlákat befizetni, bárkinek elküldhetõ emailben, de át is utalhatjuk egy bankszámlára. Az e-pénz „készítéshez” még a személyazonosságunk igazolására sincs szükség. Az e-pénz elterjedését nagymértékben gyorsíthatja az a tulajdonsága, hogy használói rendkívül alacsony költségek
mellett végezhetnek pénzügyi tranzakciókat, és a lehetõ legrugalmasabban használhatják pénzüket. A Barion az elsõ év után, 2015. június 1-jétõl az e-pénz tranzakciókat ingyenessé teszi. Nem terheli tranzakciós díj a pénzküldést, a vásárlást, az adományozást, és a bankkártyával történõ vásárlásokért is csak a kereskedõ fizet egy szerény díjat. A tárca nyitása vagy letiltása ingyenes, mint ahogyan a számlavezetési díj vagy az utalással történõ feltöltés is.
A FORINT FIZETÕESZKÖZ HÁROM TÖRVÉNYES FORMÁJA KÉSZPÉNZ
E-PÉNZ
MEGJELENÉS
SZÁMLAPÉNZ
Elektronikus, nincs fizikai megjelenése
Költséges és sérülékeny bankjegy és érme
SZIGORÚ ELÕÍRÁSOKAT KELL BETARTANI A BARIONNAK IS. A Barion mögött álló Sense/Net Zrt. 2014 decemberében szerezte meg a PCI DSS tanúsítványt, amely ahhoz volt szükséges, hogy engedélyezett magyarországi e-pénz szolgáltatóként bankkártya adatokat is kezelhessen. A PCI DSS szabványt a Visa, a MasterCard, az Amex, a JCB és a Discover hozta létre, ezt a szabványt követi ma minden bankkártyapiaci szereplõ. Az egy tucat szigorú elõíráscsoport pontosan szabályozza, ki és milyen módon férhet hozzá a kártyaadatokhoz, és azt is, hogy a kártyaadatokat hogyan kell megvédeni.
Elektronikus, nincs fizikai megjelenése
FIZETÉS BANKKÁRTYÁVAL A BARIONON KERESZTÜL
TÁROLÁS, KEZELÉS HASZNÁLAT, ELÉRÉS
52
Átutalással, készpénzfeltöltéssel mobil appban is elérhetõ bankkártyás feltöltés segítségével néhány pillanat alatt áthelyezhetõ a számlapénz Barion e-pénz számlára, amelyhez ezután tulajdonosa bármikor és bárhonnan hozzájuthat egy számítógép vagy Android és iOS rendszerû okostelefon segítségével. A Barion rendszeren keresztül emellett a közvetlen kártyás fizetés is megoldott, a tárca bankkártyáknak is helyet ad. Mivel a bankkártya – ellentétben a különbözõ mobiltárcamegoldásokkal ? a Barion esetében nincs a mobiltelefonhoz rendelve, sõt a telefonra soha nem mentõdnek le a kártyaadatok, a rendszer biztonságosabb egy átlagos mobiltárcánál, vagy akár annál, hogy bankkártyánkat állandóan magunknál tartjuk. Így nem vagyunk kitéve a plázákban egyre gyakrabban elõforduló skimming támadásoknak sem, amelyek során még úgy is képesek lehetnek leolvasni a bankkártyánk adatait a bûnözõk, hogy azt elõ sem vesszük a zsebünkbõl. Az okostelefont is el lehet veszíteni, vagy el is lophatják, akárcsak a bankkártyát, ám míg az utóbbin minden adat rajta van ahhoz, hogy bárki hozzáférhessen a pénzünkhöz, a Bariont nem a ráírt kódok védik, hanem egy titkos jelszó. Ezért ha valaki észreveszi, hogy eltûnt vagy eltulajdonították a telefonját, egyetlen hívással letilthatja rajta az összes be- és kimenõ hívást, így a Barionnal való fizetést is.
Online és offline szerver és papírhalom páncélszekrény, fegyveres õr
Páncélszekrény, persely, aktatáska dunyha, szállítás, õrzés
24 órában elérhetp cloud szerver, IT security (szerver alapû pénz esetében)
Bankfiók banki idõben, számítótép, mobil, bankkártya
Pénztárca, bankautomata, kassza
24 órában elérhetõ számítógépen
A hagyományos bankszámlánkhoz tartozó kártyát egyetlen alkalommal kell hozzárendelni az Barion tárcához. Az adatokat a Barion szervere megõrzi, és ezután akár a mobiltelefon, akár egy számítógép segítségével, néhány gombnyomással lehet pénzt tölteni a bankszámláról az e-pénz számlára, vagy lehet fizetni közvetlenül a kereskedõnek. Kis összegek, mint a parkolás, csak e-pénz egyenlegrõl fizethetõk, ennek feltöltésére banki utalást vagy a készpénzes feltöltést ajánlja a cég, míg a 24 órában mûködõ bankkártyás feltöltés sürgõs esetben jön jól. Az e-pénztárcában lévõ pénz a Barion rendszerén keresztül bármilyen e-mail címre átküldhetõ. Ha a fogadónak nincs epénztárcája, akkor nyitnia kell egyet, ami csupán néhány másodpercig tart. Ezután az e-pénzét elvásárolhatja bármely elfogadóhelyen – például internetes boltokban vagy szórakozóhelyeken –, vagy átutalhatja magának hagyományos bankszámlájára.
VOX NATIVA
ANONIMITÁS MÉRSÉKELT LIMITTEL Az anonim készpénzfeltöltésnek köszönhetõen a Barion olyan szolgáltatások kifizetésére is alkalmas, ahol fontos a diszkréció. A 2007. évi CXXXVI. törvény (amely a pénzmosás és a terrorizmus finanszírozása megelõzésérõl és megakadályozásáról rendelkezik) betartása végett azonban limiteket is beépítettek a rendszerbe. A rendszerben három limit van: a feltöltési, a visszaváltási és a tranzakciós limit. Ha valakit korábban nem azonosítottak be, úgy egy naptári évben legfeljebb 650 ezer forinttal töltheti fel a Barion tárcáját, visszaváltáskor pedig 260 ezer forint a limit, míg a harmadik esetben huszonnégy órán belül legfeljebb 3,6 millió forint értékben indíthat vásárlási, pénzküldési és adományozási tranzakciót. Ezek a limitek egy személyes beazonosítás során feloldhatók.
KÉSZPÉNZBÕL E-PÉNZ Jelenleg 100, júniustól pedig már 150 terminál segítségével válthatjuk készpénzünket elektronikus pénzre. A terminálok elfogadják az érméket és a bankjegyeket is, és egyelõre díjmentesen váltják Barion e-pénzre azokat. A beváltás azonnal megtörténik, és teljesen anonim, csak egy e-mail címet kell megadni. A feltöltött e-pénz ezután elküldhetõ bármilyen e-mail címre, átutalható tetszõleges bankszámlára, lehet vele fizetni internetes áruházakban vagy mobilfizetéssel a Barion elfogadóknál (kiegyenlíthetõ vele például a parkolás). A terminálokat üzemeltetõ Express Technologies CEE Kft. hosszú távú célja, hogy a készülékeken több száz szolgáltatás elérhetõ legyen. A készpénz e-pénzzé való átváltása mellett az automaták jelenleg mobiltelefon-egyenleg feltöltésére, online vásárlási utalványok vásárlására, taxirendelésre és taxikártyafeltöltésre, valamint utasbiztosítás megkötésére alkalmasak.
HAMAROSAN TRAFIKOKBAN ÉS KÖZÉRTEKBEN IS FIZETHETÜNK Immár ezernél is több, a NAV mûködési engedélyével rendelkezõ pénztárgépbe került be az elektronikus pénz elfogadásának lehetõsége. A Barion rendszert a MolSoft pénztárgépgyártó 1200 nagykasszájába és 100 kiskasszás rendszerébe integrálta, így a megállapodásnak köszönhetõen az e-pénztárcás fizetési megoldást a MolSoft pénztárgépet használó kereskedõk is bevezethetik. A pénztárgépekben a Barionos fizetés elfogadása online bekapcsolható, csak a szoftver frissítésére és egy egyperces webes regisztrációra van szükség hozzá. Fizetéskor használhatjuk az e-pénz egyenlegünket vagy a Barion tárcánkban tárolt bankkártyánkat is. Utóbbi esetben könnyebbség a kereskedõ számára, hogy nincs szüksége PCI DSS megfelelésre, mivel a kártyaadatok soha nem jutnak el a hozzá, és így nem is kell azokkal foglalkoznia. A bankkártyaadatokat a Barion kezeli és védi.
53
