Muha Lajos – informatikai biztonság
Dr. Muha Lajos

Dr. Muha Lajos mérnök alezredes
főiskolai tanár
A 2013. évi
ITBN Biztonsági Díj nyertese

      Megosztás

Nemzeti Közszolgálati Egyetem
Telefon: +36 (1) 432-9000/29534
E-mail: Muha.Lajos@uni-nke.hu
Postacím: Nemzeti Közszolgálati Egyetem, Budapest 1581, Pf.15.

PhD (katonai műszaki tudományok),
okleveles kibernetikus mérnök (informatikai rendszerek szak),
tábori tüzértiszt
CISM (Certified Information Security Manager),

Kutatási területe:

  • Az informatikai biztonság rendszertana;
  • Az informatikai biztonság irányítási rendszere;
  • Az informatikai biztonság oktatása;
  • Informatikai biztonsági kockázatelemzés és kockázatkezelés;
  • Kibervédelem;
  • Kritikus információs infrastruktúrák védelme.

Publikációk Fogalmak és definíciók
Muha Lajos az NKE honlapján Muha Lajos a Wikipédián



Publikációi a MTA Köztestületi Adatbázisában

Fontosabb publikációi:



Vissza az elejére



Válogatás a publikációkból:

Az informatikai biztonság egy lehetséges rendszertana

Az információbiztonságot és az informatikai biztonságot – néha még a szakemberek is – gyakran összekeverik egymással, sőt időnként az adatvédelemmel is. Az adatvédelem kifejezés – érdekes módon az angol nyelvben (data protection) is – a személyes adatok védelmére vonatkozik, a személyiségi jogokkal összefüggő tevékenység. Az információbiztonság és az informatikai biztonság különbözik egymástól. Az információbiztonság a szóban, rajzban, írásban, a kommunikációs, informatikai és más elektronikus rendszerekben, vagy bármilyen más módon kezelt adatok védelmére vonatkozik. Ezzel szemben például az informatikai biztonság "csak" az informatikai rendszerekben kezelt adatok, és az azt kezelő rendszer védelmét jelenti. Mivel angolul általában az információvédelemre, illetve az informatikai védelemre, sőt néha a kommunikációs, információs és más elektronikus rendszerek védelmére is az information security kifejezést használják, az egyes fordítások még inkább zavarossá teszik a képet. (A védelem és biztonság kifejezést egymás szinonimájaként használjuk, bár nem azonos a jelentésük. Erről a következő pontban még lesz szó.)

Általában a szövegkörnyezet egyértelművé teszi, hogy információvédelemről vagy informatikai védelemről van szó. Például az ISO/IEC 27001:2005 nemzetközi szabvány [7] eredeti angol címe az Information technology – Security techniques – Information security management systems – Requirements , aminek a kezdetén lévő Information Technology kifejezés – számomra – egyértelművé teszi, hogy itt az informatikáról van szó, majd ez után következik az Information security, ami így informatikai biztonságot jelent magyarul. Ezt a magyar szabványban [8] szó szerint információbiztonságnak fordították. (Sajnos a vonatkozó magyar szabványokban nem ez az egyetlen, és nem is a legnagyobb fordítási hiba.)

* * *

Ahhoz, hogy az informatikai rendszerek védelméről vagy biztonságáról tárgyaljunk, el kell fogadnunk magának a védelemnek és a biztonságnak a tartalmát. A védelem – a magyar nyelvben – tevékenység, illetve tevékenységek sorozata, amíg a biztonság egy állapot, amelyet a védelmi tevékenységgel lehet létrehozni. (A mindennapos szóhasználat a védelemre, a védelmi tevékenységre is a biztonság kifejezést használja!) A védelem feladatai:

  1. megelőzés (ang.: prevention) és korai figyelmeztetés (ang.: early warning);
  2. észlelés (ang.: detection);
  3. reagálás (ang.: reaction);
  4. esemény- (ang.: incident management) vagy válságkezelés (ang.: crisis management).
Általánosan elfogadott, hogy az informatikai rendszerek esetében a bizalmasság, sértetlenség és rendelkezésre állás megőrzése a cél. Az ISO/IEC 27001:2005 szabvány szerint „az informatikai védelmet az jellemezi, hogy megőrzi … a bizalmasságot …; a sértetlenséget …; a rendelkezésre állást …” [7]. Ez ugyan egy szabványhoz képest kissé pongyola meghatározás, mert nem derül ki, hogy minek a bizalmasságát, sértetlenségét vagy rendelkezésre állását kell megőrizni, de vannak pontosabb meghatározások is.

Az előző pontban már említett NATO INFOSEC ennél sokkal precízebben meghatározza, hogy „a biztonsági rendszabályok alkalmazása a kommunikációs, információs és más elektronikus rendszerekben a feldolgozott, tárolt vagy továbbított információ bizalmasságának, sértetlenségének vagy rendelkezésre állásának véletlen vagy szándékos elvesztése ellen, és e rendszerek sértetlenségének vagy rendelkezésre állásának elvesztése ellen” [9]. Ez szó szerint megegyezik Európai Unió Tanácsának Biztonsági Szabályzata [12] előírásaival.

Ezek alapján az informatikai rendszerek védelme a rendszerben kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint a rendszer elemei sértetlenségének és rendelkezésre állásának megóvása. Ahol:
  1. Bizalmasság: az adat tulajdonsága, amely arra vonatkozik, hogy az adatot csak az arra jogosultak és csak a jogosultságuk szerint ismerhetik meg, használhatják fel, illetve rendelkezhetnek a felhasználásáról.
  2. Sértetlenség: az adat tulajdonsága, amely arra vonatkozik, hogy az adat tartalma és tulajdonságai az elvárttal megegyeznek, ideértve a bizonyosságot abban, hogy az elvárt forrásból származik (hitelesség ) és a származás megtörténtének bizonyosságát (letagadhatatlanság ) is, illetve
    a rendszerelem tulajdonsága, amely arra vonatkozik, hogy a rendszerelem rendeltetésének megfelelően használható.
  3. Rendelkezésre állás: az adat, illetve az informatikai rendszer elemeinek tulajdonsága, amely arra vonatkozik, hogy az arra jogosultak által a szükséges időben és időtartamra használható.
A bizalmasság (ang.: confidentiality), a sértetlenség (ang.: integrity) és a rendelkezésre állás (ang.: availability) hármasát szokták az angol kezdőbetűik alapján CIA-elvnek nevezni.

AZ INFORMATIKAI BIZTONSÁG

A biztonság értelmét, tartalmát sokan sokféleképpen magyarázzák. Elfogadva, hogy a biztonság egy kedvező állapot, amellyel szemben elvárható, hogy a fenyegetések bekövetkezésének lehetősége, valamint az esetlegesen bekövetkező fenyegetés által okozott kár a lehető legkisebb legyen. Ahhoz azonban, hogy teljes legyen ez a biztonság az szükséges, hogy minden valós fenyegetésre valamilyen védelmet nyújtson, ugyanakkor körkörös legyen, vagyis minden támadható ponton biztosítson valamilyen akadályt a támadó számára. Mindezek mellett elvárható, hogy folyamatosan létezzen [6].

A fentiek alapján a biztonság a rendszer olyan – az érintett számára kielégítő mértékű – állapota, amelyben zárt, teljes körű, folytonos és a kockázatokkal arányos védelem valósul meg. Ahol a zárt védelem az összes releváns fenyegetést figyelembe vevő védelmet, a teljes körű védelem, pedig a rendszer valamennyi elemére kiterjedő védelmi intézkedések összességét jelenti. A folytonos védelem az időben változó körülmények és viszonyok ellenére is megszakítás nélkül valósul meg. A kockázattal arányos védelem esetén egy kellően nagy időintervallumban a védelem költségei arányosak a potenciális kárértékkel, azaz a védelemre akkora összeget és olymódon fordítanak, hogy ezzel a kockázat az érintett számára még elviselhető, vagy annál kisebb.

A biztonság fenti meghatározását elfogadva, levezethetjük az informatikai biztonság fogalmát. Ehhez kiindulópont, hogy a védelem alapvető tárgya az adat, de az adatot kezelő rendszerelemek is védendőek, hiszen ezek megfelelő állapota feltétele az adat védelmének. Mint már rögzítettük a fenyegetések az adatok bizalmasságát, sértetlenségét és rendelkezésre állását veszélyeztetik, de nem közvetlenül érik az adatokat, hanem az azokat kezelő rendszerelemeken (pl. a hardver, szoftver, hálózat, személyek, …) keresztül érvényesülnek.

Ennek figyelembe vételével, a biztonság általános definíciója alapján az infokommunikációs biztonságot a következőképpen határozom meg: Az informatikai biztonság az informatikai rendszer olyan – az érintett számára kielégítő mértékű – állapota, amelyben annak védelme az informatikai rendszerben kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása, valamint a rendszer elemeinek sértetlensége és rendelkezésre állása szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos [6], [13].

Vissza az elejére


Magyar Köztársaság kritikus információs infrastruktúráinak védelme (doktori értekezés)

Egy esettanulmány – az észt-orosz kiberháború

2007 májusában Észtország internetes hálózata szinte teljesen megbénult. Tallin felszabadítóinak szovjet emlékműve áthelyezése miatt rendszeres internetes támadásokat szerveztek főként Észtországon kívülről az észt államigazgatás hivatalos kommunikációs vonalainak és weboldalainak blokkolására irányuló kísérletek keretében. Emellett az interneten és mobiltelefon-üzeneteken keresztül folytatódtak az intenzív propaganda-támadások, amelyek fegyveres ellenállásra és további erőszakra szólítottak fel.

Az okokat minden elemző szerint külső terhelések kényszerítették ki. Az első forgalombénító DDoS-támadások május elején kezdődtek, célpontjaik a parlament, a kormányhivatalok, sőt a bankok és az észt média számítógépes központjai voltak. Az észt hálózaton az adatforgalom sokszor órákon át a normális ezerszerese volt. Az ország internetes forgalmát irányító központok napjában többször leálltak, az állami szervek hálózatait le kellett választani az internetről. A banki rendszerek megbénultak, a pénzügyi megbízások rendszeresen akadoztak. A támadások azért is érintették érzékenyen a balti államot, mert kiugróan fejlett az ország internetes kultúrája.

Május közepén tetőzött a támadási hullám, de ezt követően – ugyan kisebb intenzitással – azonban továbbra is folyt a túlterheléses támadás. Számos hálózati rendszer még hetekig csökkentett üzemmódban volt csak képes dolgozni. Május 15-én például az ország második bankja, a SEB Eesti Uhisbank a tömeges internetes támadások miatt kénytelen volt felfüggeszteni azt a szolgáltatását, hogy külföldről is be lehet lépni a pénzintézet egyes rendszereibe. Egy észt bank, a Hansabank nyilvánosságra hozta a támadások miatti veszteségét. A jelentés szerint május 10-én több mint egymillió dolláros forgalomkiesést szenvedtek el.

Az elemzők szerint az akciók túlságosan jók és összehangoltak voltak ahhoz, hogy mindössze néhány rosszindulatú programozót feltételezzenek csak a háttérben. Néhány támadást sikerült orosz szerverekig visszanyomozni, sőt az Európai Parlament állásfoglalásában leszögezte, hogy e támadások az orosz közigazgatás IP címeiről érkeztek, de az alkalmazott technika miatt rendkívül nehéz a forrásokat pontosan meghatározni.

Az Európai Parlament 2007. május 24-én állásfoglalást adott ki az ügyben. A NATO május közepén szakértőt küldött Észtországba, hogy kivizsgálja a történteket, és segítsen kivédeni a további támadásokat.

Az online beavatkozást sem az észtek, sem az EU, sem a NATO nem minősítette katonai akciónak! A NATO nyilvánosan nem foglalt állást abban a kérdésben, hogy kik voltak a támadók, kinek az irányításával történt, támadásnak minősíti-e az eseményeket. A NATO illetékese elmondta, hogy a katonai szövetség megvizsgálta, milyen hatásai lehetnek ezeknek az akcióknak, és folyamatos kapcsolatban állt az észt szervekkel. A NATO észtországi rendszereit mindenesetre nem érte internetes támadás – tette hozzá.[14], [18], [20]

A fentiek jól jellemzik, hogy egy internetes támadás milyen károkat képes okozni, ugyanakkor még a támadó személyének a megállapítása is gondot okoz. Bár kezdetben az észt miniszterelnök kijelentette, hogy Észtországban kiberháború folyik [14], sőt a NATO egyik tagja elleni támadás az egész katonai szövetség elleni támadásnak minősül nyilatkozott egy NATO-tisztségviselő [20], később a konfliktus teljes feltárása, a valós támadó felelősségre vonása lekerült a (nyilvános) napirendről.

A fentiek is alátámasztják azt a véleményemet, hogy az információs dimenzióból érkező támadások, a támadás előkészületei csak nagyon alacsony hatékonysággal deríthetők fel. Kisszámú elkövető készül fel a támadásra, ez megkönnyíti a konspirációt. Nincsenek látható csapatmozgások, nincs szükség utánpótlási vonalak kiépítésére, nem kell hadianyagokat előkészíteni, ami a vizuális felderítést kapcsolja ki. Az illegális fegyverkereskedelem, és más szokványos csatornák figyelése sem hoz értékelhető információt ebben az esetben. A titkosszolgálati módszerekkel megszerezhető információ mennyisége is rendkívül kevés, ezek is nehezen ellenőrizhetőek, így elemzésük nem vezethet eredményre. Az előkészületek felismerhetőségének hiánya miatt nincs veszélyeztetettségi időszak, a támadás váratlanul érkezik. Ezért fontos ezen a területen a békeidőszakban is hatékony felkészülés és a folyamatos monitorozás, hogy az esetleges támadást már korai szakaszában észleljük.

A támadás blokkolására, illetve bármilyen ellentámadásra ma még nincs hatékony infokommunikációs eszköz a kezünkben. Ugyanakkor – éppen e tényből következően – elengedhetetlenül fontos a megelőzés, a jogszabályoknak, szabványoknak, ajánlásoknak megfelelően felépített, megfelelő tartalékolással rendelkező biztonságos rendszerek kialakítása.


Vissza az elejére


Infokommunikációs biztonsági stratégia

Az infokommunikációs rendszert használó gazdálkodó szervezetek között meg kell különböztetni a közszolgáltató és a „felügyelt tevékenységet” végző, valamint az e kategóriákba nem tartozó gazdálkodó szervezeteket. E cégeket, illetve ágazatokat az informatikai biztonság tekintetében összefoglaló néven kritikus infrastruktúrának szokták nevezni. Kritikus infrastruktúraként kell kezelnünk azon létesítményeket, eszközöket vagy szolgáltatásokat, amelyek működésképtelenné válása, vagy megsemmisülése a nemzet biztonságát, a nemzetgazdaságot, a közbiztonságot, a közegészségügyet vagy a kormány hatékony működését gyengítené, továbbá azon létesítményeket, eszközöket és szolgáltatásokat, amelyek megsemmisülése a nemzeti morált vagy a nemzet biztonságába, a nemzetgazdaságba, vagy a közbiztonságba vetett bizalmat jelentősen csökkentené. Kritikus információs infrastruktúrák azon az infokommunikációs létesítmények, eszközök vagy szolgáltatások, amelyek önmagukban is kritikus infrastruktúra elemek, továbbá a kritikus infrastruktúra elemeinek azon infokommunikációs létesítményei, eszközei vagy szolgáltatásai, amelyek működésképtelenné válása, vagy megsemmisülése a kritikus infrastruktúrák működésképességét jelentősen csökkentené.

A Magyar Köztársaság kritikus információs infrastruktúrái közé tartoznak:

  1. Az informatikai rendszerek és hálózatok;
  2. Automatizálási, vezérlési és ellenőrzési rendszerek (SCADA, távmérő, távérzékelő és telemetriai rendszerek, stb.);
  3. Internet szolgáltatás (infrastruktúra is);
  4. Vezetékes távközlési szolgáltatások;
  5. Mobil távközlési szolgáltatások;
  6. Rádiós távközlés és navigáció;
  7. Műholdas távközlés;
  8. Műsorszórás;
  9. Közigazgatási informatika és kommunikáció;
  10. A kritikus infrastruktúrák létfontosságú infokommunikációs rendszerei.

Az infokommunikációs biztonság szempontjából azért kell megkülönböztetni a kritikus információs infrastruktúrákat a többi gazdálkodó szervezet infokommunikációs rendszereitől, mert amíg az utóbbiak elsősorban saját biztonságukat kockáztatják, ha gondatlanul járnak el, addig az előbbiek nem megfelelő működése sokkal szélesebb körben, jelentősebb károkat okozhat. Ezért velük kapcsolatban indokolt a többi gazdálkodó szervezetre vonatkozónál részletesebb infokommunikációs biztonsági követelmények betartásának és az ellenőrzési rendszerek kialakításának előírása és felügyelete.

Az infokommunikációs biztonsággal kapcsolatos kötelezettségeket azokra a szervezetekre is ki kell terjeszteni, amelyek az infokommunikációs rendszereket működtetik, vagy ezzel összefüggő szolgáltatásokat nyújtanak:

  1. a távközlési szolgáltatók;
  2. az internet-szolgáltatók (akik a távközlési szolgáltatók körébe tartoznak, de az infokommunikációs biztonság kérdéskörének különösen lényeges szereplői);
  3. az információs társadalommal összefüggő szolgáltatásokat nyújtók;
  4. a hitelesítés-szolgáltatók;
  5. a távközlési és informatikai tanúsító szervezetek.

* * *

Az internet az információs társadalmak alapvető infrastruktúrájává válik, és így az informatikai jellegű támadások megvalósítása is áttevődött az internetre, amely lehetővé teszi a nagy távolságokról történő támadásokat, viszonylagos anonimitást és védelmet biztosítva az elkövető számára.

A kritikus információs infrastruktúrákra nem fizikai jellegű fenyegetettségeit a támadó, valamint az elkövetés módja alapján csoportosíthatjuk. Az elkövető szándéka, rendelkezésére álló erőforrásai és szakértelme eltérő lehet. Veszélyeztető tényező lehet:

  • a kiberterrorizmus;
  • az információs hadviselés;
  • a hírszerzés;
  • az ipari kémkedés;
  • a számítógépes bűncselekmények;
  • a hanyagság és a felelőtlenség.

Az internet alapú támadások sajátos jellegei önmaguk megmagyarázzák azoknak gyakoriságát és hatását. Az internet lehetővé teszi a nagy távolságokról történő támadásokat, amely magasabb fokú anonimitást és védelmet biztosít az elkövető számára. Ez a sajátosság csökkenti a jogszabályok hatékonyságát is. Számos esetben a támadásokat a nemzeti határokon túlról intézik. Más infokommunikációs jellegű támadásokhoz hasonlóan, az internetes támadások során is gyakran használják fel a számítógépeket bizonyos eljárások automatikus ismétlődésére, mint például a szótár alapú kereső programok jelszavak feltörésére, vagy vírusok, melyek korlátlanul replikálják önmagukat. Ez a sajátosság kiegészítheti az egyén szakértelmét globális kihatással járó infrastruktúra megtámadására is. Ilyen esetben a bekövetkezett hatás nincs összefüggésben a támadó rendelkezésére álló erőforrásokkal. Figyelembe veendő, hogy az előre megírt, automatizált támadási eszközök egyre szélesebb körben elérhetőek az interneten, s olyan személyek által is használhatóvá válnak, akik nincsenek tisztában magával az eszközzel vagy a hatásukkal.

Vissza az elejére