Adatvédelem, adatbiztonság és az “etikus hacker”

Adatvédelem & adatbiztonság

Az utóbbi időben sokat hallani a médiában az etikus hacker kifejezést, ezért mi is kicsit utánajártunk informatikai partnerünknél a Futurionnál, hogy hogyan is működik ez a valóságban.  Az adatbiztonság és adatkezelési folyamatok kiemelt szempontnak számítanak fejlesztéseink során, ezért, valamint a téma aktualitása miatt is érdemes kicsit foglalkoznunk a jelenséggel.  

 A Kóstolom projektben is mint sok más informatikai termék esetében a felszín alatt van az érték és az igazán értékes adatokat a „back end” rejti. Az adatbázis, amit kialakítottunk az utóbbi évben, a piacon egyedülálló, valamint a folyamatosan bővülő felhasználóink száma az igazi érték.  A jelenlegi megjelenés csak egy pillanatnyi képe a munkánknak, de ezt folyamatosan formáljuk és alakítjuk a felhasználói igényeknek megfelelően, informatikai partnercégünk a Futurion segítségével.  Mivel az adatbiztonág és adatvédelem kardinális és kényes kérdés az utóbbi időben, ezért erről többet kell beszélnünk.  

A Futurion munkatársait kérdeztük Kóstolomról, informatikai etikáról és reméljük, hogy a következőkben sikerül eloszlatunk pár tévhitet arról, ami mostanában a médiában kering.   

Etikus hacker

Mindenekelőtt nem árt tisztázni, hogy mit is jelent pontosan az „etikus hacker” kifejezés? 

Az etikus hacker kifejezéssel azokat a szakértőket szokták jelölni, akik valamilyen (többnyire Informatikai) rendszer hibáit keresik, úgy, hogy nem ezek kihasználása a céljuk, hanem épp ellenkezőleg: a hibák javítása. Fontos, hogy egy etikus hacker NEM végez a saját kedvtelésére teszteket, mindig megbízás és felhatalmazás alapján tesztel. Ezek a tesztek sok esetben nem különböztethetők meg a külső támadásoktól, ezért – főleg a jogi következmények miatt – előzetesen felhatalmazást kell kérni. – avatott be minket a kifejezésbe Juhász Csaba – Futurion IT Üzemeltetés Vezető 

Windisch Károly, aki a Futurionnál már sok nagyvállalati informatikai fejlesztési projektben részt vett vezetőként is, illetve  a Kostolom.hu fejlesztési vezetője, hasonlóan látja  a kérdést, mint Csaba:  

Számomra az „etikus hacker” kifejezés egy szakmára utal. Az „etikus hacker-ek” olyan magasan képzett informatikai biztonsági szakemberek, akik cégek, vállalatok, stb. megbízásából informatikai rendszerek biztonságát ellenőrzik. A minap a médiában megjelent fiatal nem etikus hacker. Egy egyszerű példával élve az eset olyan mintha, egy asztalnak hiányozna egy lába, és feldől, erre valaki szól, hogy de hát csak három lába van, azért dőlt fel. Ettől még az illető nem lett asztalos, csak megállapította a nyilvánvalót. 

Csaba csapatában is több „etikus hacker” képesítéssel rendelkező fiatal dolgozik, de a képesítés mint más szakmában, itt sem elegendő.  

Egy egyszerű tanfolyam megadja ugyan a lehetőségét, hogy megismerd az eszközöket, a főbb lépéseket, de ettől még nem fogod tudni az életben kamatoztatni a tudásodat. Ráadásul az a tudás, amit megtanulsz, iszonyatosan gyorsan elévül. Folyamatosan figyelemmel kell követni az új technológiák megjelenését, és képben kell lenned ezek már publikált sérülékenységeivel is. Amit viszont nehéz tanulni, az a kreativitás és a problémamegoldás képessége. Az etikus hackelés olyan, mint egy bonyolult rejtvény megfejtése: vannak kérdések, amire kapásból tudod a választ, de sok mezőbe nem tudod beírni a megfejtést.  Itt jön a kreativitás : meg kell keresni, hogy mi a válasz, azaz hogy hogyan lehet megkerülni a védelmet. Ezt pedig csak akkor fogod tudni, ha az eszköztárad megfelelően széles és ezeket alkalmazni és kombinálni is képes vagy. – Csaba 

Hogyan lehet hatásosan védekezni a támadások ellen? 

A biztonság mindig csak követi a bűnözőket, és ahhoz, hogy hatékonyan tudjunk ellenük védekezni, ismernünk kell a módszereiket, eszközeiket, lehetőségeiket, amik az ő rendelkezésükre állnak. 

Ehhez ad nagyon sokat egy etikus hacker tréning. Egészen másképp nézel utána egy web alkalmazásra. – Csaba 

A Kóstolom projekt esetében, az adatbiztonság mennyire volt fontos szempont a fejlesztés során? 

A Kóstolom projektben már az első prototípus elkészítésénél is szem előtt tartottuk a biztonságot. Az alkalmazás architektúrája úgy lett kialakítva, hogy minden réteg (adatbázis, backend, frontend) külön védhető legyen, és az egészet összefogja egy AAA (authentication, authorization, accounting) réteg.  Azóta minden fejlesztés ennek szellemében készült el. Az adatbázis szigorúan védett, minden érzékeny adat titkosítva van. Például nem tárolunk jelszavakat, csak titkosítva, így az adminisztrátorok, akik esetleg hozzáférnek az adatbázishoz sem tudhatják meg senkinek a jelszavát. Mint amúgy bármelyik értelmes informatikai rendszerben ez alapfeltétel kellene, hogy legyen. – Károly 

Csaba nagyvállalti közegből érkezett a Futurion csapatához két éve, és más szemmel tekintett a fejlesztésekre, a projektre és sok vitánk volt a tesztelési időszakban, de a végére kikerekedett a történet: 

A biztonsági megoldásokkal kapcsolatos korábbi negatív tapasztalataimat figyelembe véve a Kóstolom projektben is feltettem a kérdéseimet a fejlesztők felé, és a már elvégzett munkájuk minőségét vizsgáltam. Ez persze szült konfliktusokat is. Örömmel láttam azonban azt, hogy a nagy általános gyakorlattól eltérően a Kóstolom projektben már a tervezés során megjelent az igény a biztonságos adatkezelésre, így az alkalmazott megoldások, a beállítások mind megnyugtatóak voltak számomra.

 

futurion- forbes-cikk-kostolom

Futurion & Kóstolom

Nemrég megjelent egy cikk a Futurionról és Kóstolomról a Forbes magazinban. Mi a véleményed arról, hogy a Futurion borturisztikai témában is egyre ismertebb, hiszen nem ez a cég fő profilja?  

Károly: Ahogy a mottó is szól: „Közös nevezőnk a bor.” Mindannyian szeretjük a jó borokat, és szeretnék segíteni borászat, borturizmus fejlődését. De mivel mi informatikusok vagyunk, nem a borászatban tudunk ehhez értéket hozzátenni, hanem a saját szakmánkban. Ezt a célt (is) szolgálja a Kóstolom.  

Csaba: Mivel magamat is az amatőr borfanatikusok közé sorolom, így nagy örömömre szolgál, hogy ezen a területen is vannak erős kompetenciáink. 

Neked mi a szereped a Kóstolom projektben és mennyire érzed magadénak a nagyvállalati informatikai projektek mellett a borturisztikai témát? 

Károly: Jelenleg a Kóstolom vezető fejlesztője vagyok. Eredetileg az első prototípus kifejlesztését vittem végig, amiből kinőtt a mostani Kóstolom. A borturisztikát úgy érzem magaménak, hogy én is résztvevője vagyok. Barátnőmmel rendszeresen járjuk a magyar borvidékeket, és kóstolunk jó borokat. Ezek kapcsán ismerem mind a borászatok, mind a „borturisták” igényeit, ami segít a fejlesztésben. Informatikai szemszögből nézve, a Kóstolom is nagyvállalati informatikai projekt, úgy terveztük meg, és úgy fejlesztettük le, hogy megfeleljen bármelyik nagyvállalat igényeinek is. 

Csaba: Nagyon örülök annak, hogy egy ilyen kezdeményezés részese lehetek, és igyekszem a tapasztalatommal kiegészíteni a projekt csapat kompetenciáit. Sokat tanulok abból, hogy egy olyan számomra is fontos terület, mint a borturizmus, milyen problémákkal küzd, ezeket hogyan lehetne megoldani, milyen akadályok merülnek fel, és hogy hogyan képes az IT megoldásokat szolgáltatni ezekre. A közösségi hálózatok, a mobil alkalmazások mind olyan technikák, amik bevetésével bármelyik piaci terület profitálhat és új alapokra helyezheti a felhasználókkal való interakcióit. 

Hiszek abban, hogy ez a jövőbe mutató irány, és örülök neki, hogy a Futurion úttörő szerepet vállal a borturizmus területén ezzel a projekttel. 

A Futurionnál az adatbiztonság egy projekt esetében mennyire prioritás és milyen szempontok alapján próbáljátok védeni az ügyféladatokat? 

Csaba: A Futurion számára fontos a megbízhatóság, mert ebből élünk. Az ügyfeleink ránk bízzák az IT rendszereiket, mi pedig a szaktudásunk, módszertanunk és tapasztalataink alapján profi módon működtetjük ezeket. 

Az adatvédelem szempontjából az ügyfeleink adatai olyanok, mintha a sajátjaink lennének. Olyan rendszereket alkalmazunk, amelyekben a megfelelő adatvédelmi módszerek rendelkezésre állnak, olyan folyamatokat szervezünk köréjük, amelyek a módszertan alapján biztosítják a megfelelő védelmet és ezeket rendszeres kontrollnak is alávetjük. 

Az elkötelezettségünket mutatja az is, hogy az információbiztonsági irányítási rendszerünket tanúsíttatni is fogjuk, célunk az ISO27001 tanúsítvány megszerzése még ebben az évben. 

írta: Pintér Zsolt

adatvedelem-szakerto-futurion