Biztonsági szabályozás a biztonsági rendszeren belül

A beszélgetésre a Microsoft Üzleti Megoldások Konferencia 2004-es rendezvényen került sor. A tavaly áprilisban hagyományteremtő céllal megrendezett nagy sikerű konferencia folytatásaként idén már másodjára lezajlott konferencián a Microsoft Magyarország elsősorban a közép-és nagyvállalatok vezetőinek kívánta bemutatni azokat az iparági trendeket, melyek napjaink vállalati információtechnológiai alkalmazásaira hatnak.

Terminal.hu – Melyek és hogyan érintik az üzleti életet az informatikai biztonság különböző kihívásai?

Halbritter Tamás – Ez talán kicsit közhely, mert ma az informatika a legtöbb vállalatnak az egyik mozgatórugója, de legalábbis az üzleti folyamatait teljesen átszövi. Úgyhogy igazán nem tudunk beszélni külön üzleti folyamatokról és külön informatikáról, csak együtt. Nagyon lényeges, hogy a legtöbb szolgáltatásalapú vállalatnál az informatika fejlettsége vagy egy az informatika által nyújtott szolgáltatás határozza meg a versenyelőnyt. Az informatikai biztonság kihívásai az üzleti életet úgy érintik, hogy aki ma úgy tud rendszert építeni, hogy az a jövőben biztonságosan és stabilan tud működni, mind az elérhetőség, mind pedig az ügyfelek adatainak sérthetetlensége és bizalmassága szempontjából, óriási versenyelőnyhöz juthat a többi szolgáltatóval szemben.

Terminal.hu – Melyek az informatikai biztonság alappillérei?

Halbritter Tamás – Logikailag a biztonságot nagyon sokféleképpen lehet csoportosítani. Én egy olyan csoportosítást választottam, ami elsősorban arra épül, hogy van egy alap, nevezzük architektúrának, amire épül a stratégia és a policy, van egy infrastruktúra, amely elsősorban eszközökről, technológiákról, illetve akciótervek végrehajtásról szól, és van egy harmadik szint, ami ennek az infrastruktúrának az üzemeltetése, illetve az üzemeltetésen belüli szabályozása. Logikailag kiemeltem az üzemeltetés szabályozás területéről még két fontos részterületet, az üzletmenet-folytonosságot, illetve a kritikus rendszereknek az üzemeltetését és védelmét, amelyek leginkább érintik a biztonságot. Az üzletmenet-folytonosságot ma már előírják tervszinten a legtöbb vállalatnál a felügyeleti szervek vagy a törvényi/pénzügyi szabályozás. A kritikus rendszerek védelme pedig a legelemibb érdeke a vállalatoknak.

Terminal.hu – Mit tud az ITech?

Halbritter Tamás – Hét és fél éves múltunk-tapasztalatunk van az informatikai biztonság területén, ami nem kevés. A magyar piacon a legnagyobb tapasztalattal rendelkezünk, de igazából mi inkább a hatékony működtetéshez szükséges szabályozás-minősítés területtel foglalkozunk, és kevésbé a technológiai megvalósítások kérdéseivel.

Terminal.hu – Hogyan kerültek kapcsolatba a Microsofttal?

Halbritter Tamás – A Microsofttal való kapcsolatunk egy nagyon érdekes történet.

Két évvel ezelőtt csináltunk egy biztonsági CD-t nekik, amikor meghirdették a Megbízható Számítástechnika kezdeményezést, de hogy mi a kézzelfogható eredmény, még nem látszott. Jónak találtam a biztonsági CD-k készítésének ötletét, abból kiindulva, hogy a felhasználók rendszere azért nem biztonságos, mert nem állítják be a megfelelő paramétereket. Erre nem nagyon lehet őket rávenni, de hogy lefuttassanak egy CD-t, arra igen. Persze itt nem a nagyvállalatokról beszélek, hanem a kisfelhasználókról.

Mára már sok nagyvállalatnál minősítettünk rendszereket, és a Microsoft ugyanezen az úton indult el. A Windows 2000 Server például a Common Criteria szerint EAL4-es minősítést kapott. Most mindegy, hogy ez mit jelent, de akit érdekel, az tudhatja, mit várhat ettől a rendszertől. A kérdés csak az, hogy hogyan használja. Kapcsolatunk a Microsofttal azon alapul, hogy az új bejelentések nagyrészt a biztonságról szólnak, és ezeknek a marketingszövegeknek a mögöttes tartalmát, illetve fő üzeneteit megpróbáljuk lefordítani a biztonság nyelvére, hogy amik majd a következő hónapokban megvalósulnak, milyen hatással lesznek a biztonsági rendszerekre. Az elemzők nagy része azt tartja, hogy a Microsoft-rendszer másfél éven belül eléri a UNIX-rendszerek biztonsági színvonalát, az óriási erőfeszítés és erőforrás-befektetés következtében. Nekünk ez mindenképpen egy olyan terület, amit élvezettel követünk végig, tudva, hogy van egy stratégia, látva, hogy merre mennek. A nagyon nagy kérdés számomra az, hogy a Microsoft biztonsági megoldások, amik eddig születtek, végső soron a kis- és középvállalatok esetében voltak hasznosak és hatékonyan alkalmazhatóak, és hogy a későbbiekben nagyvállalati szinten is megvalósul-e.