„Ágazati felkészítés a hazai ELI projekttel összefüggő képzési és K+F feladatokra" Adatbiztonság a méréstechnológiában képzők képzése Szerző: Dr. Németh L. Zoltán TÁMOP C-12/1/KONV projekt

Dr. Németh L. Zoltán 1. Előadás Bevezetés

Informatikai biztonság ? - Miért? 3 Adatlopások Infografika Magyarországról... Zsaroló program Mi mennyit ér a feketepiacon? DoS támadások online térképe Pay-Pal fiók elhódítás egyetlen kattintással Hackelés gombnyomásra Security Threat Trends 2015 Adatbiztonság a méréstechnológiában – 1. előadás – Az informatikai biztonság alapjai

Informatikai biztonság 4 Az információ érték, melyet támadnak és katasztrófák, meghibásodások fenyegetnek, ezért az információt védenünk kell. A kár nem csupán anyagi lehet, hanem üzleti (titkok kikerülése, kiesés), nemzetbiztonsági, politikai, erkölcsi. Adatbiztonság a méréstechnológiában – 1. előadás – Az informatikai biztonság alapjai

Először is egy dilemma 5 Az információnak illetéktelenek előli elrejtése jelenti az információ titkos továbbítását, az információ titkos tárolását. Védelmet kell biztosítani a megsemmisüléstől, az eltulajdonítástól. Ez a két védelmi szempont egymással ellentétes: Egy példányban – sok példányban tároljuk az adatainkat? Adatbiztonság a méréstechnológiában – 1. előadás – Az informatikai biztonság alapjai

Információbiztonság ≠ informatikai biztonság (Muha Lajos) 6 Előbbi tágabb, katonai fogalom, benne vannak oaz elhárítás, ofizikai védelem, oszemélyi védelem és odokumentumvédelem más aspektusai is. Utóbbi csak az informatikai rendszerek és a bennük kezelt adatok védelmét jelenti. Adatbiztonság a méréstechnológiában – 1. előadás – Az informatikai biztonság alapjai

Hogy kerül ide a CIA? - avagy az IB alapvető céljai 7 1. C = Confidentiality (bizalmasság) Csak azok érhessék el az információt, akik arra jogosultak. Pl.: titkosított adattovábbítás és tárolás. 2. I = Integrity (sértetlenség) Védelem az adatok jogosulatlan módosítása ellen, pl.: beszúrás, törlés, helyettesítés. Pl.: adatbázis-kezelés, pénzügyi tranzakciók lebonyolítása. 3. A = Availability (rendelkezésre állás) Az adat vagy szolgáltatás garantált elérhetőségét biztosítja. Pl.: webszerver, naplózás. E három legalapvetőbb cél elérése és fenntartása jelenti az informatikai biztonságot. Adatbiztonság a méréstechnológiában – 1. előadás – Az informatikai biztonság alapjai

Még néhány némileg eltérő cél, bár a definíció ezekkel való bővítését a legtöbben vitatják I. 8 Authentication (hitelesítés, pl. felhasználók azonosítása) /lásd később/ Privacy (személyes információk/magánélet védelme) Bár az ezt megvalósító adatvédelem ( Data Protection ) csak részben tartozik az informatikai biztonság témakörébe. Általában jogi szabályozás alatt áll. Adatbiztonság a méréstechnológiában – 1. előadás – Az informatikai biztonság alapjai

Még néhány némileg eltérő cél, bár a definíció ezekkel való bővítését a legtöbben vitatják II. 9 Non-repudiation (Letagadhatatlanság) Annak elérése, hogy valamelyik fél letagadhassa korábbi kötelezettségvállalását vagy cselekedetét, mert vele az ilyen vitákat egy megbízható harmadik fél (Trusted Third Party) helyesen el tudja dönteni. Pl.: „ az elektronikus aláírás = az üzenet hitelesítése + letagadhatatlansága” Audit Rediness (Audit-készség) (informatikai biztonsági) ellenőrzésnél Digital Forensics (E-bizonyítás, Számítógépes kriminalisztika) Adatbiztonság a méréstechnológiában – 1. előadás – Az informatikai biztonság alapjai

A,,kényelmi háromszög” 10 Adatbiztonság a méréstechnológiában – 1. előadás – Az informatikai biztonság alapjai BIZTONSÁG KÉNYELEMFUNKCIONALITÁS

Használható biztonság (Usable security) 11 Fontos kutatási terület. Több mint 20 év tapasztalatai alapján, mi az, ami működik és mi az, ami nem a biztonság megvalósításának használhatóságát illetően. A biztonság nem csak a védelem mértékében, hanem a használhatóság érdekében is szükségképpen kompromisszum kell, hogy legyen. Pl.: két tipikus terület: a felhasználók azonosítása, titkosítás. Lásd: intro-usable-security.pdf. Adatbiztonság a méréstechnológiában – 1. előadás – Az informatikai biztonság alapjai

Az informatikai biztonság területeinek csoportosítása 12 Fizikai védelem (zárak, beléptető rendszerek, tűzjelző rendszerek, biztonsági kamerák és őrök stb.) Logikai védelem (titkosítási algoritmusok, kommunikációs protokollok, tűzfalak, stb.) Adminisztratív védelem (kockázatmenedzsment, biztonsági szabályzatok, szabványok és ajánlások, törvényi szabályozás) Adatbiztonság a méréstechnológiában – 1. előadás – Az informatikai biztonság alapjai

A biztonság operatív modellje: PreDeCo I. 13 A biztonsági kontrollok csoportosíthatók funkciójuk szerint: Preventív (megelőző) kontrollok, pl.: (tűz)falak, zárak. Hiba, ha csak ezeket alkalmazzák, mert minden megkerülhető. Detektív (észlelő) kontrollok, pl.: naplók átnézése, IDS (Intrusion Detection Systems, behatolás- érzékelő rendszerek), jogosultságok felülvizsgálata, audit. Adatbiztonság a méréstechnológiában – 1. előadás – Az informatikai biztonság alapjai

A biztonság operatív modellje: PreDeCo II. 14 Korrektív (elhárító) kontrollok, pl.: katasztrófa- elhárítási terv készítése, biztonsági mentések. Ezek egymást is befolyásolják, körbe-körbe: Pre->De->Co->Pre->De->… Adatbiztonság a méréstechnológiában – 1. előadás – Az informatikai biztonság alapjai

A biztonság operatív modellje: PreDeCo III. 15 VÉDELEM = MEGELŐZÉS + (FELISMERÉS + VÁLASZ) Van azért más lehetőség is, pl.: Elrettentés (Deterrent) bannerben figyelmeztető információk, szankciók a biztonsági szabályzat megszegőivel szemben, biztonsági kamerák, stb. Átruházás (Transfare) Pl. biztosítás, vagy külső szolgáltatás vásárlása. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment

Biztonsági kontrollok időrendben Tervezés (Design) 2. Megvalósítás (Implementation) 3. Üzemeltetés (Operation) Mindhárom szakaszban elkövetett hibák kritikusak lehetnek. Például egy ajtózár esetében: 1. Lehet könnyen feltörhető a zár szerkezete (tervezési hiba). 2. Silány anyagból vagy hanyag megmunkálással készülhet a zár (megvalósítási hiba). 3. A tulajdonos a lábtörlő alatt tartja a kulcsot (üzemeltetési hiba). Adatbiztonság a méréstechnológiában – 1. előadás – Az informatikai biztonság alapjai

Az informatikai biztonság területei I. 17 A CISSP( Certified Information System Security Professional) képesítés 10 nagy témaköre: 1. Access Control (hozzáférés-vezérlés) 2. Telecommunications and Network Security (telekommunikációs és hálózati biztonság) 3. Information Security Governance and Risk Management (az informatikai biztonság irányítása és kockázatmenedzsment) 4. Software Development Security (a szoftverfejlesztés biztonsága) 5. Cryptography (kriptográfia) Adatbiztonság a méréstechnológiában – 1. előadás – Az informatikai biztonság alapjai

Az informatikai biztonság területei II Security Architecture and Design (biztonságos architektúrák és tervezésük) 7. Operations Security (üzemeltetés-biztonság) 8. Business Continuity and Disaster Recovery Planning (üzletmenet-folytonosság és katasztrófa-elhárítás tervezése) 9. Legal, Regulations, Investigations and Compliance (jogi kérdések, szabályozások, vizsgálatok és megfelelőség) 10. Physical (Environmental) Security (fizikai /környezeti/ biztonság) Adatbiztonság a méréstechnológiában – 1. előadás – Az informatikai biztonság alapjai

Biztonsági alapelvek 19 Nem lehet önmagában kijelenteni, hogy egy rendszer biztonságos. Mindig attól függ, milyen fenyegetés ellen, mennyi ideig szeretnénk védelmet biztosítani, és milyen értéket (rendszert, információt) kívánunk megóvni. Ez dönti el mennyi időt, energiát, pénzt stb. érdemes a védelemre áldozni. A biztonsági megoldások széles skálája áll rendelkezésre, de kompromisszumot kell kötni, mi éri meg. Ez a kockázatmenedzsment feladata. Adatbiztonság a méréstechnológiában – 1. előadás – Az informatikai biztonság alapjai 1. A biztonság relatív fogalom, avagy a kockázatarányos védelem elve

Biztonsági alapelvek 20 Egyetlen védelmi megoldás sem 100%-os. A védelmet úgy kell kialakítani, hogy sok-sok kontroll védje az értékes rendszert vagy adatot. Adatbiztonság a méréstechnológiában – 1. előadás – Az informatikai biztonság alapjai 2. A jó védelem rétegezett. (Layered Security, Defense in Depth)

Biztonsági alapelvek 21 A rétegek ne legyenek hasonlóak, mert az jelentősen könnyíti a támadó dolgát. Pl.: ha két tűzfal van egymás után, az legyen két különböző gyártótól, különböző hardverarchitektúrán és operációs rendszeren futtatva. Adatbiztonság a méréstechnológiában – 1. előadás – Az informatikai biztonság alapjai 3. Változatos legyen a védelem (Diversity of Defense)

Biztonsági alapelvek 22 Minden személy, folyamat, alkalmazás stb. csupán annyi jogosultságot kapjon, amennyi a feladatainak ellátásához feltétlenül szükséges. Pl. ne böngéssz és csevegj rootként. Csak a pénzügyi munkatársak és a felsővezetés férhessen hozzá a dolgozók bérjegyzékéhez, a rendszergazdák ne, stb. Adatbiztonság a méréstechnológiában – 1. előadás – Az informatikai biztonság alapjai 4. A legkevesebb jogosultság elve (Principle of Least Privilege)

Biztonsági alapelvek 23 Fontos dolgokért ne egy ember legyen a felelős. Az üzleti életben már rég bevált technika: más adja fel a rendelést és más engedélyezi annak kifizetését. Megvalósítása nyilván hátrányokkal is jár, mind pénzben, mind időben. Adatbiztonság a méréstechnológiában – 1. előadás – Az informatikai biztonság alapjai 5. A feladatkörök szétválasztása (Separation of Duties)

Biztonsági alapelvek 24 Valamikor az internet kutatók barátságos játéktere volt, ahol senkinek sem jutott eszébe keresztbe tenni a másiknak, de ma … Ezért, amire nem vonatkoznak szabályok, az legyen alapból TILOS (fehérlistázás). Szemben a feketelistázással, mely könnyebben megkerülhető. Adatbiztonság a méréstechnológiában – 1. előadás – Az informatikai biztonság alapjai 6. Az implicit tiltás elve (Implicit Deny)

Biztonsági alapelvek 25 Nem alapozhatjuk egy rendszer biztonságát arra, hogy a környezetet és a védelmi mechanizmust nem hozzuk nyilvánosságra. Ez olyan, mintha a lábtörlő alá dugott kulcstól remélnénk a lakásunk védelmét. Sajnos vannak negatív példák: pl. Mifare Classic chip-kártyák titkos Crypto-1 biztonsági protokollját visszafejtették és feltörték. Adatbiztonság a méréstechnológiában – 1. előadás – Az informatikai biztonság alapjai 7. A homály nem teremt biztonságot (No: Security Through Obscurity)

Biztonsági alapelvek 26 A biztonság és a bonyolultság egymás ellenségei. Számos hatékony biztonsági kontroll elegáns és egyszerű. Abból, hogy valami bonyolult, még nem következik, hogy nem lehet egyszerű módon kijátszani vagy feltörni. Soha ne egy protokoll vagy kriptorendszer komplexitásától reméljük a biztonságot. Adatbiztonság a méréstechnológiában – 1. előadás – Az informatikai biztonság alapjai 8. Maradjunk az egyszerűségnél (Keep It Simple)

Biztonsági alapelvek 27 A leggyengébb láncszem pedig általában nem a kriptográfiai algoritmus, inkább a protokoll, még inkább annak implementációja, de leginkább a hanyag rendszergazda, vagy mondjuk egy titkárnő, aki egy ügyes telefonbeszélgetéssel rávehető, hogy árulja el a főnök jelszavát: az EMBER !!! Adatbiztonság a méréstechnológiában – 1. előadás – Az informatikai biztonság alapjai 9. Minden lánc csak annyit bír, amennyit a leggyengébb láncszeme képes megtartani

Biztonsági alapelvek 28 Miért? A gyártóknak sokszor nem érdekük a termékük biztonsága, fontosabb a gyorsaság és a kényelem. A rendszereket emberek tervezik, implementálják és üzemeltetik. Márpedig,,Errare humanum est.’’ –,,Tévedni emberi dolog.” Ha belegondolunk, igazából a múltbeli tapasztalataink alapján a jelen technológiával és tudással szeretnénk a jövőbeli fenyegetésekkel is szembenézni. Ez pedig nem túl biztató … Adatbiztonság a méréstechnológiában – 1. előadás – Az informatikai biztonság alapjai 10. Nincs 100%-os biztonság, rések mindig is voltak és lesznek

Hivatkozások Virrasztó Tamás: Titkosítás és adatrejtés: Biztonságos kommunikáció és algoritmikus adatvédelem, NetAcademia Kft., Budapest, Papp Pál, Szabó Tamás: A kriptográfiai biztonság megközelítési módjai, Alk. Mat. Lapok, 23 (2006) William Stallings: Cryptography and Network Security, 4th Edition, Prentice Hall, Alfred J. Menezes, Paul C. van Oorschot and Scott A. Vanstone : Handbook of Applied Cryptography, CRC Press, 1996, online elérhető: (Chapter 1) 5. KIKERES Fogalomtár Adatbiztonság a méréstechnológiában – 1. előadás – Az informatikai biztonság alapjai