Kiben bízhatunk?

A 2006-os évben mind többet fogunk hallani a személyazonosság-kezelésről, illetve hozzáférés-kezelésről. A globális infobiztonsági trendek hatásainak a Magyar Információs Társadalom Stratégia által támasztott elvárások még nagyobb lökést adhatnak, hiszen az EU által is szorgalmazott e-kormányzati megoldások beindításának alapja – mind az állampolgárok, mind a nagyvállalatok felé – egy erős és megbízható azonosítási rendszer létrejötte. Az ezzel kapcsolatban felmerült kérdésekkel az APEH Ügyfélkapujának apropóján részletesen foglalkoztunk a közelmúltban Kapunyitási pánik című írásunkban.

A kormányzati szféránál is sürgetőbben érinti a személyazonosság- és hozzáférés-kezelés (angol betűszóval IAM, Identity and Access Management) a vállalkozásokat, amelyeknek ráadásul sokkal szűkebb anyagi mozgásterük van a komoly költségeket felemésztő IAM-megoldások implementálására (bárcsak megérnénk egyszer, hogy az informatikai beruházások terén a kormányzat is olyan árérzékeny lenne, mint egy profitorientált vállalkozás!). Összeállításunkkal elsősorban ezeknek a vállalati it-döntéshozóknak szeretnénk segítséget nyújtani a hálózati hozzáféréssel kapcsolatos biztonsági kérdésekben.

Mitől féljünk 2006-ban?

A feladatok, amelyekkel az informatikai infrastruktúra változásai miatt szembekerülünk, lényegében egyformák, akár egy különböző kormányzati szerveket összekapcsoló hálózatban gondolkodunk, akár egy nagyvállalat belső rendszereit szeretnénk egységesíteni. Hogyan tehető egy információs hálózat nyitottá és átjárhatóvá az üzleti partnerek számára, egyben ellenállóvá a külső vagy belső támadásokkal szemben? Arra kell megoldást találni, hogy a felhasználók kizárólag a hálózat számukra engedélyezett részét láthassák, és csak olyan információkhoz és erőforrásokhoz férhessenek hozzá, amelyekkel nem élhetnek vissza.

Az idei évben várhatóan az ugrásszerűen fejlődő mobilitás és az egyre szervezettebbé és rosszindulatúbbá váló számítógépes bűnözői csoportok fogják a legkritikusabb fenyegetést jelenteni az informatikai rendszerekre.

A mobil eszközök fejlődése révén a vállalati hálózatok a korábbinál jóval átjárhatóbbá válnak, hiszen egyre többfajta eszköz számára egyre több belépési ponton kell hozzáférést biztosítani a vállalati információs hálózathoz. Az asztali terminálokon kívül ma már hordozható számítógépeken, PDA-kon, harmadik generációs vagy akár hagyományos mobiltelefonokon keresztül is teljes körűen lehet elvégezni a feladatokat. Az eszközök hordozhatósága révén a védendő it-infrastruktúra túllép az épület falain és kiterjed gyakorlatilag az egész világra. Ráadásul a vezeték nélküli kapcsolatok – például a Bluetooth – biztonságával kapcsolatban még jóval kevesebb tapasztalatuk van a cégeknek, mint a hagyományos hálózatok esetében.

A biztonsági kockázatot növelő tényező az is, hogy a vállalatok egyre nagyobb mértékben vonnak be külső partnereket üzleti hálózatukba. Mivel a vállalatok arra számítanak, hogy a legtöbb támadás a belső személyzettől és a külső hackerektől származik, kevesen tesznek óvintézkedéseket a partnerek vagy az ügyfelek személyzetével szemben. Pedig ezeknek az embereknek ugyanannyi indítéka lehet – ha nem több – a tisztességtelen cselekedetekre, mint a belső alkalmazottaknak. A vállalatoknak változtatniuk kell a biztonsági hangsúlyokon: az egyszerű informatikai biztonságtól az infrastruktúra biztosításának és a felhasználók hitelesítésének egy sokkal programalapúbb, folyamatorientáltabb módszere felé kell elmozdulniuk. A kiterjedt hálózatokat használó e-businessnek gyorsan át kell állnia a „bízz bennem” módszerről az „igazold magad”-ra.

A cikk még nem ért véget, kérlek, lapozz!