Kedves ellenségeink

Figyelem! Kérjük, az értelmezésénél a megjelenés időpontját (1998. április 1.) vegye figyelembe!

Megjelent a Cégvezetés (archív) 2. számában (1998. április 1.)

Az információtechnológia (IT) eszközei immár szervesen beépültek/beépülnek a vállalatok/szervezetek mindennapjaiba, nélkülözhetetlenné, sőt olykor teljességgel pótolhatatlanná váltak. Ez viszont együtt járt azzal is, hogy az IT elemei a külső és belső támadások elsődleges célpontjai lettek. A harc kíméletlen, a túléléshez többé már nem elegendő a magas szintű hardver- és szoftverkörnyezet, gondoskodni kell a szervezetek információs csatornáinak és eszközeinek védelméről is. Kulcsszerepben természetesen újra az ember, a szakértő van.

Támadások

Tíz vagy akár öt évvel ezelőtt egy-két számítógép vagy akár a teljes IT-rendszer kiesése hardver- vagy programhiba, vírusfertőzés vagy egyéb előre nem látható okok miatt, csak átmeneti és viszonylag egyszerűen áthidalható zavart okozott a vállalatok működésében. Azóta viszont a számítógépek oly mélységben beépültek a vállalatok ügyviteli mechanizmusaiba, hogy nélkülük már megoldhatatlan lenne a napi feladatok ellátása.

A mindennapi munkában használatos programok mellett sajnos egyre több rosszindulatú program is akad. E programok közkeletű angol gyűjtőneve: malware. A malware programok közül számos olyant ismerhettünk meg az elmúlt években, amelyek több kategória ismérveit is teljesítik. A kategóriák nem határolódnak el egymástól. Az alábbi besorolást érdemes kiindulási alapnak tekinteni.

Érdekes módon a napi- és a szaksajtóban a számítógépes munka biztonságát fenyegető összes tényező közül többnyire a vírusok fenyegetésével foglalkozó írások jelennek meg. Történik ez annak ellenére, hogy az IT-rendszerek hibás működése vagy kiesése miatt bekövetkező károk, veszteségek túlnyomó része bizonyíthatóan hardver- és szoftverhibára, vagy valamilyen emberi mulasztásra vezethető viszsza. Idesorolandó a hardver és/vagy a programok nem megfelelő telepítése, beállítása és használata, a felhasználóazonosítók és a jelszavak felelőtlen kezelése, a biztonsági, hozzáférési, adat- és vírusvédelmi előírások figyelmen kívül hagyása, a biztonsági mentések elhagyása.

Számítógépes munkahelyen több tényező is veszélyeztetheti a munka biztonságát. A számítógépes munka biztonságának megteremtését célzó úton az egyes veszélyforrások felderítése az első lépés. Ebben akár több évszázados bölcs tanácsok is segítségünkre lehetnek: "Ha ismerjük az ellenséget és saját magunkat, akkor biztosak lehetünk a sikerben, megtervezhetjük előre a csaták kimenetelét és győzni fogunk. Ha nem ismerjük ellenségünket, a csaták felét biztosan elveszítjük. Ha azonban saját magunkat sem ismerjük, akkor az összes csatát elveszítjük" – mondotta századokkal ezelőtt Szung Ce, a bölcs kínai hadvezér. Lehet, hogy nem szó szerint ezt mondta, de a lényeg egyértelmű és igaz. Ahhoz, hogy a kockázatot a minimálisra, az elviselhetőségi szint alá csökkenthessük, tudatában kell lennünk annak, mi is fenyeget, mit fenyeget, mit tettünk ellene eddig, milyen eredménynyel és milyen további lehetőségeink vannak még a védekezésre.

A feladat: ki-ki a saját tevékenységéhez kötődő számítógép-használatot az előírásoknak megfelelően szervezze meg. Ez feltételezi, hogy a munkakörökhöz társul munkaköri leírás – ez nem számítógépes specialitás –, és létezik vállalati számítógép-, illetve szoftverhasználati szabályzat, amelyben rögzítették a vészhelyzetben elengedhetetlen teendőket, amelyben szó van a vírusvédelemről, a szoftverek és a hardver beszerzéséről, telepítéséről, frissítéséről.

Része kell legyen a vállalati stratégiának a dolgozók oktatása is. A telepített programokat jól ismerő dolgozó hatékonyabban képes kihasználni a drágán megvásárolt számítógépeket és programokat. Kevesebbet hibázik, s hibáit vagy maga ki tudja javítani, vagy némi segítséggel csökkentheti a hibák miatti veszteségeket.

Vegyük sorra az IT-rendszereket, s rajtuk keresztül a vállalat ügyviteli rendszereit célba vevő fenyegetéseket és veszélyforrásokat, s lássuk, milyen megelőző intézkedésekkel csökkenthetők a károk.

Mi mennyi?

Milyen károk érhetik a vállalatot információtechnológiai rendszerein, számítógépein keresztül?

  • gépidőkiesés, közben a drága gépek nem használhatók,
  • hitelességvesztés, ha az derül ki, hogy bárki hozzáférhet az adatokhoz,
  • elveszhet a hosszú időn keresztül épített és gondozott adatbázis,
  • értékes, bizalmas információk kerülhetnek illetéktelen kezekbe.

A veszteségek jelentkezhetnek közvetlenül, de időben eltolódva is. Némely veszteségek, károk sokáig rejtve maradnak és csak később mérhető fel teljes nagyságuk. A feladat tehát sokrétű:

  • Rendszeres, naplózott adatmentésekkel garantálni kell az adat- és programállományok megőrzését, szükség esetén visszaállíthatóságát
  • A felhasználók és az őket segítő rendszergazdák megfelelő képzésével és tudásuk folyamatos vagy szúrópróbaszerű ellenőrzésével a minimálisra kell csökkenteni a nem megfelelő programhasználatból fakadó károkat.
  • A szervezeten/vállalaton belüli gép- és szoftverhasználatot gondosan irányítani kell, szankcionálni kell a nem legalizált programok használatát, az ellenőrizetlen programok telepítését.
  • Vírusvédelmi stratégiát kell kidolgozni és megvalósítani, meg kell szervezni a felhasználó közreműködését nem vagy minimálisan igénylő vírusellenőrzést.
  • A vírus-ellenőrzési rendszer keretében gondoskodni kell a be- és kimenő program- és dokumentumállományok ellenőrzéséről és szükség esetén vírusmentesítéséről. Idetartozik a floppylemezek, a CD-k és egyéb mágneses és optikai adathordozók vírusellenőrzése, a lokális hálózat, a WAN- (Wide Area Network) és Internet-forgalom ellenőrzése és a munkaállomásokhoz lokálisan, a soros vagy párhuzamos porton vagy egyéb módon csatlakoztatott hordozható számítógépekről átvett fájlok ellenőrzése.

A felsorolt feladatok elvégzése természetesen komoly munkával és nem kevés kiadással jár. A költség igen tetemes, de mindenképpen megtérül.

Folyamatos védelem

Az illetéktelen behatolás, jogosulatlan program- és információhasználat és a vírusfertőzések elleni védekezés első követelménye: tisztában kell lenni saját rendszerünk értékeivel és gyenge pontjaival, amelyek egyúttal a támadások célpontjai is lesznek. Átlagos felkészültségű rendszergazda már képes arra, hogy felmérje a védendő pontokat. Az ennek megfelelően telepített biztonsági és védelmi, többek között vírusvédelmi szoftverek már kellő biztonságot nyújthatnak a kívülről jövő támadások ellen. Mindez azonban semmit sem ér, ha a megvalósítás egyszeri alkalomra szorítkozik. A védelem permanens, hosszan tartó folyamat. Elég egyetlen rés a pajzson és már lehet is gondolkozni a helyreállítás módozatain.

A jó vírusellenes védelmi rendszer nem csupán víruskereső és -eltávolító szoftvereket tartalmaz, amelyek a programkártevők bejutását és továbbterjedését hivatottak meggátolni, hanem része egy automatizált biztonsági mentési alrendszernek, amely egyéb, adatvesztéssel járó balesetek esetén is lehetőséget nyújt az adatok visszaállítására. Ezzel a rendszer egyszersmind a hivatalos adatvédelmi előírásoknak is eleget tesz majd, és katasztrófahelyzet esetén is pár nap alatt újból teljes értékű működő rendszer építhető fel az utolsó mentések megfelelően őrzött és tárolt adathordozóiról az arra alkalmas helyettesítő rendszereken.

A vírusprobléma immár több mint egy évtizede okoz komoly fejfájást az adatbiztonsággal, adatvédelemmel és az IT-rendszerek üzemeltetésével, felügyeletével foglalkozó szakembereknek. A számítógépvírusok által képviselt fenyegetés ma már sajnos nemcsak azokat veszélyezteti, akik ellenőrizetlen forrásból származó programokat telepítenek gépeikre. Míg korábban a számítógépvírusok fő behatolási útvonala a floppylemezeken keresztül vezetett, ma a számítógéphálózatok általános elterjedésének és az elektronikus levelezésnek köszönhetően a súlypont egyéb csatornákra tevődött át.

Új vírusfajták

Szakértői vélemények szerint – felmérve az ismertté vált vírustámadások tapasztalatait – manapság a legtöbb számítógépvírus dróton érkezik, és a makrovírusok egyre népesedő családjába sorolható. A korábban szinte egyeduralkodó, bináris programkódot tartalmazó számítógépvírusok visszaszorulása három okra is visszavezethető:

  1. Korlátozott a megtámadandó rendszerbe bejutást lehetővé tevő biztonsági részek száma. Mivel a ma már általánosan alkalmazott vírusellenes szoftverek nagy biztonsággal védik e réseket, leszűkül a hagyományos programkártevők tere.
  2. Az irodai programcsomagok belső programnyelvén (ez a makronyelv) sokkal könnyebb a fejlesztés. A rendelkezésre álló makrovírus-fejlesztő készletekkel különösebb programozói előképzettség és mélyebb hardverismeretek nélkül is könnyedén gyárthatók új makrovírusok. Hangsúlyoznunk kell, hogy e rendszereknél nem fejlesztésről van szó, hisz a fejlesztő kitek úgy rakosgatják össze az új makrovírust, mint a Lego-darabkákból a gyerekek az új figurát. De nincs benne semmi komolyabb szellemi alkotómunka.
  3. Az irodai alkalmazások felhasználói potenciális és általában gyanútlan, a vírustámadásokra felkészületlen célpontok. A Word, az Excel, a Lotus123 és az AmiPro azok az általánosan használt irodai programok, amelyeknek makronyelve nemcsak hogy alkalmas vírusprogram írására, de már jelenleg is kétezer fölött van (alig két és fél évvel az első makrovírus felbukkanását követően) az ismertté vált és katalogizált makrovírusok száma.

A fertőzés terjedése

Az első ismertté vált vírus, az 1986-ban a világra rászabadult Pakistani Brain megjelenése óta eltelt 12 év alatt a számítógép-használók széles tábora kénytelen-kelletlen megtanult együtt élni a vírusok okozta fenyegetéssel. A számítógépek többségénél ma már alkalmaznak valamiféle vírusvédelmi módszert, többnyire erre szakosodott programokat, amelyek több-kevesebb sikerrel védik IT-rendszereinket a nem kívánt látogatók garázdálkodásától. Ma már az alapismeretek közé tartozik, hogy a floppymeghajtóban hagyott mágneslemez lehetőséget ad a bootvírusoknak a rendszerbe való bejutásra. Ugyancsak elfogadott tény, hogy az idegen helyről származó programokat, lemezeket ellenőriztetni kell a telepített víruskeresővel, hogy kiszűrhessük a lemezeken érkező programokban megbújó programkártevőket.

A fenti módszerekkel, ha nem is szüntethető meg teljesen a vírusveszély, jó hatásfokkal (nagyságrendekkel!) csökkenthető a vírusfertőzések száma és károkozása.

A probléma abban áll, hogy a támadók oldalán nem álltak meg itt. A makroprogramozás nyújtotta lehetőségek felhasználásával a vírusfejlesztők egyrészt új célpontokat kerestek maguknak, másrészt kiszemelt áldozataik száma nagyságrendekkel növekedett. Potenciális áldozatnak számít mindenki, aki a fentebb felsorolt, makroprogramozásra alkalmas irodai programokat használja.

A fenyegetettséget növeli az elektronikus levelezés általánossá válása. Korábban – teljesen jogosan – azt tanítottuk, hogy a dokumentumfájlok nem hordozói a vírusprogramoknak. Az élet alaposan rácáfolt erre. Ma a dokumentált vírusfertőzések többsége Word- vagy Excel-fájlok közvetítésével hatol be a rendszerbe. A felhasználók még nem készültek fel rá, hogy újabb irányokból érkeznek nem kívánt látogatók. E korlát átlépése azonban már nem technikai, hanem emberi probléma, s ennek megfelelő megközelítéseket kíván.

A vírusprobléma komplex megoldást igényel. Hiába áll rendelkezésre a megelőző technika, ha nem élünk vagy nem megfelelően élünk vele. Ennek ismertetése azonban már túlságos mélységekbe vezetne.

Minősített malware programkategóriák

Levélbombák
Időzített bombák
Interloper programok
Adat-túszejtők
Tűzfal-támadók
Kémprogramok, fülelők
Jelszólopók
Programférgek
Trójai programok
Vírusok
Dropperek
Vírusgyártó készletek
Lánclevelek
Hoax
Tréfás programok

 

Figyelem! Kérjük, az értelmezésénél a megjelenés időpontját (1998. április 1.) vegye figyelembe!