Az információbiztonsági szabvány sokaknak egy elvont és nehezen kezelhető dolognak tűnik, pedig mondanivalója nagyon is a hétköznapjainkról szól. Erre világít rá a Hétpecsét Információbiztonsági Egyesület által 2008-ban kiadott HÉTPECSÉTES TÖRTÉNETEK című kis könyv. Ez az ISO 27001 szabvány minden követelmény-fejezetéhez bemutat egy kis életszituációt, olyant, amellyel vagy hasonlóval szinte mindenki találkozhatott (volna) már. Ezek a történetek némi humorral mutatják be mindennapjaink botlásait, és a tanulságok pedig gondolkozásra késztetnek.

Ebből a könyvből ízelítőül mutatok be két történetet, egyet most és egyet a következő írásomban.

„Jucika a hírharsona – avagy a nagyon erős lehet gyenge is

Esetleírás

Az Elektronikus Biztonsági Rendszerház (továbbá ELBIZ), mint aki a biztonságtechnikában „utazik”, mindent elkövetett, hogy a saját háza táján a lehető legjobb biztonsági berendezéseket és eljárásokat alkalmazza.

A közeli múltban, híre terjedt, a konkurens cégtől adatok szivárogtak ki. Az ELBIZ-nál elhatározták, amit lehet, megtesznek, velük ez ne forduljon elő. Az idáig az egyik fiatal mérnök látta el a rendszergazdai feladatokat „félállásban”. Meghirdették a rendszergazdai állást. Volt jelentkezés bőven. Kiválasztottak egy szakirányú végzettségű fiatal mérnököt, jó ajánlással. Az új seprű jól sepert. Tervet, szabályzatot készített, bevezette. A munkatársak berzenkedtek ugyan, hogy a számokat, jeleket, kis- és nagybetűket követelő jelszavakat túl gyakran kell cserélni. A vezetés a rendszergazda mellé ált, szépszóval, erővel támogatta az elképzeléseit. A rendszer kezdett beállni.

Az ELBIZ munkatársak egy része minden igyekezetének ellenére is, képtelen volt fejben tartani a minduntalan megváltozó bonyolult jelszavakat. A Gizike bérszámfejtő kolleganő, aki a cég régi, nagy tudású, megbízható tagja volt. Titokban feljegyezte azokat, és ahogyan azt kedvenc krimijében látta, az asztalán álló írószeres csupor aljára ragasztotta. Jucika, a kotnyeles titkárnő, egy alkalommal észrevette a csupor indokolatlan emelgetését, de nem tudta mire vélni.

Gizike a gondosan elkészítette a vezetők elképzelése szerint a béremelési intézkedést mielőtt elment szabadságra. Felvirradt Jucika napja. Beosont Gizike szobájába megemelte a csuprot és meglátta a feliratot. Kapásból beugrott mire szolgálhat. Kihasználta a kínálkozó lehetőséget, körülnézett Gizike gépében. Megtalálta a béremelési listát, elcsemegézett rajta. Kiét sokallotta, kiét kevesellette, úgy érezte ő például keveset. Nem sokára az ELBIZ-nél suttogni kezdték a bérrendezés adatait.

Elgondolkodtató kérdések

• Mennyire jó az az adatvédelmi szabályzat, amelynek betartása jelentős nehézségekbe ütközik?
• Mennyire ellenőrizhető egy jelszó titokban tartása?
• Detektálható-e egy jelszó kompromittálódása?
• Megfelelő-e ELBIZ dokumentumkezelési szabályzata?
• Kiterjed-e a dokumentumkezelési szabályzat a papír és az elektronikus dokumentumok kezelésére is?
• Milyen mértékben kell felkészülni a rosszindulatú belső támadás ellen?
• Bevezethető-e fizikai eszköz (kulcs) a megjegyzendő jelszavak kiváltására?
• Hogyan vélekedjünk Jucika viselkedéséről?

Információ- és adatvédelmi aggályok

Minden védelmi rendszer annyira erős, mint a leggyengébb láncszeme. Hiába kiváló, lehallgatás biztos a hálózat, megbízhatóan teszi dolgát a tűzfal, Minden gépen ott a rendszeresen frissített vírusvédelmi rendszer, ha az emberi tényezőt nem veszik figyelembe.

Az ELBIZ példájából látható, hogy az optimális jelszó kezelési házirend kialakítása nehéz, de rendkívül fontos feladat. Csak, a döntő többség által, betartható szabályokat szabad felállítani. A kisebbségről egyénileg kell gondoskodni.
A kisebb biztonsági kockázatú munkakörök esetén megengedhető ritkábban cserélt esetleg könnyített jelszó. Ilyen esetben a jogosultság beállítással kell ellensúlyozni a veszélyt. Magasabb kockázatú helyeken fizikai kulcsok használatával lehet indokolt.

Fizikai azonosító eszköz használatának további előnye a kompromittálódás detektálása. A kulcs hiánya a következő használat esetén kiderül. Előny továbbá, hogy az, ilyen elektronikai azonosító eszközök csak megfelelő felkészültséggel másolhatók, esetenként csak a gyártó által.

Az azonosító kulcsok használatának további előnye, a többcélú felhasználhatóság. A beléptető rendszerrel közösen használva, vagy ha a kávéautomata is e kulcs használatával „csapolható”, a munkatársak rászoktathatók az eszköz maguknál tartására, ezzel a számítógépek lezárására.”

Dr. Horváth Zsolt