Menu

Kisvállalati informatikai biztonság 30 pontban

"Nem akkor van baj, amikor nincs baj, hanem amikor van."

Ezen az oldal igyekszünk segítséget nyújtani a megfelelő informatikai biztonság kialakításában, és a leggyakoribb hibák elkerülésében. Segítünk megtalálni azokat a megoldásokat, amikkel egy átlagos kkv a saját informatikai rendszerét kevés anyagi ráfordítással vagy akár költségmentesen biztonságosabbá teheti. Az valódi IT biztonságot csak egy alaposan megtervezett, majd precízen felépített rendszer szavatolhatja, mely teljes körű és a kockázatokkal arányos.

rendszergazda

Az informatikai biztonság egy óriási terület az informatikán belül, ezért csak a teljesség (legcsekélyebb) igénye nélkül tudunk ezen oldal keretei közt foglalkozni vele.

1. Problématudat és felismerés

Alapvetések

Az információbiztonságot és az informatikai biztonságot gyakran összekeverik egymással, pedig a kettő nem ugyanaz! Az információbiztonság a szóban, cselekedetekkel, vagy egyéb kommunikációs módon megfogalmazott, informatikai és más rendszerekben keletkező és fellelhető információkra vonatkozik. Ezzel szemben az informatikai biztonság "csak" az informatikai rendszerekben tárolt adatok védelmét jelenti. Ebben a cikkben csak ez utóbbival, az informatikai biztonsággal foglalkozunk, amely meghatározó része (lehet) a vállalkozás teljes információbiztonsági rendszerének. Védelem meghatározása: olyan rendszer szintű törekvés, amely az összes releváns fenyegetést figyelembe veszi. A megfelelő védelem az időben változó körülmények és viszonyok ellenére is folyamatosan megvalósul, és a kockázatokkal arányos. (A védelem költségei egyszersmind arányosak a potenciális kárértékkel.) A relatív biztonság akkor valósul meg, ha a fenyegetések bekövetkezésének lehetősége csekély (nulla kockázat nincs, de elfogadható, kezelhető kockázat van), valamint az esetlegesen bekövetkező fenyegetés által okozott kár a lehető legkisebb. A jó védelem időben állandő, és körkörös, azaz minden sebezhető felületen valamilyen szintű védelmet képez.

Jelen cikkünkben a "hagyományosnak mondható" kkv szektorba tartozó cégeknek fogalmazunk meg általános ajánlásokat. Ha a vállalkozás valamilyen okból kifolyólag speciális, akkor a leírtaktól eltérő kockázatokkal is számolni kell. A javaslatok kumulatívan kezelendők, azaz az egyes kockázati szintekhez megfogalmazott ajánlások az alatt lévő szintekhez tartozó ajánlásokkal EGYÜTT értelmezendők (ellentét esetén a szigorúbb). A kockázatok és sebezhetőségek pontosabb detektálásában cégünk örömmel nyújt segítséget.

Tekintsük át, hogy mit is tekintünk informatikai biztonságnak.

  • Bizalmasság kérdése: az a törekvés, adatot csak az arra jogosultak ismerhetik meg (jogosultság-kezelés).
  • Sértetlenség: az adat tulajdonsága, mely annak a mutatója hogy az adattartalom az elvárttal megegyezik és egy adott forrásból származik. (Ide értve a letagadhatatlanság elvét is.)
  • Rendelkezésre állás: az informatikai rendszer tulajdonsága, amely arra vonatkozik, hogy munkatársak akkor férhetnek hozzá az adatokhoz, amikor szükség van arra.

Veszélyek, sebezhetőségek azonosítása. Hogyan csoportosítsuk a veszélyeket?

  • Belső kitettség: az a kockázat, amely magában foglalja a munkatársaink által elkövetett adatlopásokat. Ennek jellemzően két "elkövetési" módja elterjedt:
    • Az elbocsátott munkatárs utolsó bosszújaként törli az általa hozzáférhető fájlokat, és leveleket. Jobb esetben csak a sajátjait, hanyagul beállított IT rendszer esetén akár az egész vállalkozásét.
    • Egy újonnan felvett, igen jó referenciákkal rendelkező, jól képzett munkatárs (aki nagyon méltányos bérért hajlandó cégünknél dolgozni) szivárogtatja ki az információt a konkurrenciának.
  • Külső kitettség: az a veszély, amelyet a vállalkozáson kívüli személyek adatlopási kísérlete okoz. Itt is két jól elkülönülő módszerrel találkozunk:
    • Általános támadások: általában nem ismerük a vállalkozásunkat, csak halásznak a zavarosban. Nem pontosan tudják mit keresnek, a zsákmánytól függően lépnek tovább. Nem nagyon kitartóak, ha nem sikerül záros határidőn belül továbbállnak könnyebb célpontot keresve.
    • Célzott támadások: pontosan tudják, hogy mit akarnak megszerezni, csak nem tudják, hogy hogyan. Általában kitartóak, sokszor csak lelepleződésük után hagyják abba a tevékenységüket.
  • Adatvesztés. Ebben az esetben "külső segítség nélkül" a vállalkozás önerejéből vesztíti el kényes adatait. Amilyen meglepően hangzik, olyan gyakran fordul elő. (De nem az ügyfeleinkkel!) A biztonsági mentések hiánya, az archiválás elégtelensége (vagy teljes hiánya) a vállalkozást káoszba, a munkatársakat túlterheltségbe hajszolja.

2. Helyzetfelmérés

A teljesség igénye nélkül az alábbi lista alapját képezheti egy "házi auditnak", amellyel feltérképezhetjük, hogy hogyan is állunk az informatikai biztonság területén.

  • Személyzeti védelem:
    • Pontos munkaköri leírások
    • A személyzet minimális biztonsági átvilágítása (esetleg személyzeti politika kialakítása)
    • A foglalkoztatás feltételei (titoktartási nyilatkozatok, házirend, IT szabályzat tudatosítása)
    • Informatikai biztonsági oktatás és képzés (social engineering ellen pl.)
    • Felelősségre vonás, szankcionálás lehetősége
    • Elbocsátáskor: Az eszközök (laptop, telefon) visszaadása, hozzáférési jogok visszavonása
  • Fizikai rendszer védelme:
    • Beléptető rendszer, élőerős őrzés
    • Videó rendszerek
    • Mechanikai védelem (falak, rácsok, ajtók, ablakok)
    • Biztonságos áramellátás (szünetmentes tápegységek, szükségáramforrások, villám- és túlfeszültség-védelem)
    • Klimatizálás és tűzvédelem (hűtés – fűtés – páratartalom, tűzjelzés, automatikus tűzoltó eszközök)
    • Hibatűrő rendszerek és funkcionális redundancia (esetleg több szerver több helyen, adatok eltérő földrajzi helyen tárolása)
  • Szoftveres védelem:
    • Hozzáférés-jogosultsági és ellenőrzési rendszer (szerver alkalmazása)
    • Rosszindulatú programok elleni védelem (vírusvédelem, kémprogramok elleni védelem)
    • Biztonságos programozás (programhibák, backdoor, adatbázis biztonság)
    • Vezeték nélküli hálózatok (WiFi) biztonsága (esetleg vendég WiFi létrehozása, rejtett SSID)
    • Vezetékes rendszer (switchek) hozzáférésének megakadályozása
    • Authetikált (jelszavas) számítógép-belépés
    • Biztonságos (L2TP+IPsec, OpenVPN vagy más titkosított) VPN kapcsolat
    • Biztonságos levelezés-hozzáférés (SSL vagy TLS titkosítással)
    • Naplózás

3. Cselekvés

Mik a konkrét lépések? Merre induljunk, ha legalább némi informatikai biztonságot szeretnénk a vállalkozásunknál?

Az alábbi táblázatban összefoglaljuk három különböző szintű informatikai biztonsági követelményrendszer főbb elemeit. Nem győzzük hangsúlyozni, hogy egy jól megtervezett és felépített rendszert csakis a pontos körülmények ismeretében lehet létrehozni. Tehát az alábbi táblázat sem tér ki mindenre, de gondolatébresztőnek mindenképp hasznos. A védelmi szintek elnevezése szubjektív, a kkv szektor általános kockázati besorolását veszi alapul. A szinteken belüli sorrend nem tükrözi a fontossági sorrendet. Amennyiben a cég alkalmazottai között nincs megfelelő képzettségű informatikai szakember, külsős rendszergazdát érdemes megbízni a feladattal. (Például minket!) Az útmutató 50 számítógépig érvényes ajánlásokat tartalmaz. Efelett javasolt egy fő-, vagy részmunkaidős belsős rendszergazda alkalmazása, ő pedig úgyis tudni fogja, hogy mi a teendő.

Nem szeretne jobban elmélyülni ebben, inkább szakemberre bízná? Kattintson ide az ingyenes IT auditért!

Alapszintű védelem 2-5 számítógépet üzemeltető cégeknél

Alacsony kockázatú mikrovállalkozás kiskereskedelemmel, vagy valamilyen egyszerű szolgáltatással. 5-10 fős létszám, 20-30 mFt alatti éves árbevétel.

Mit tegyen?

Miért?

Mennyibe kerül?

1A munkaállomásokon legyen jelszavas belépés. Minden kollégának különböző jelszava legyen, és ne ismerjék egymás jelszavait. Ne rendszergazdai joggal dolgozzanak a munkatársak a számítógépeken! Telepítéseket csak a rendszergazda végezhet.

Ha bárki leül a számítógép elé, ne turkálhasson az adatokban. Ráadásul a naplózásnál is fontos. Nem kerül semmibe, ezért a legjobb ár-érték arányú befektetés!

2Használjunk fájlszervert az adatok tárolásához. Így megoldható, hogy mindenki csak a rá tartozó adatokat lássa. Alapelv: mindenki csak ahhoz férjen hozzá, ami a munkájának az elvégzéséhez feltétlen szükséges!

Kevesebb kárt tud okozni. Ráadásul kisebb az adatok kompromittálódásának veszélye, és az adatmentés is könnyebb egy szerverről, mint összegyűjteni a munkaállomásokról. Egy használt szervert már 100-150.000,- forinttól kaphatunk, ami még akár 5-6 évig is kiszolgálja az igényeket. Operációs rendszernek használhatunk Linuxot is. lehetőleg ne az irodában tartsuk, tegyük be pl. az irattárba vagy raktárba (a hűvös helyeket szeretik). Ha csak az irodában van hely, válasszunk halk szervert!

3Használjunk vírusirtót a munkaállomásokon és a szerveren is.

Sok nyűgtől kímél meg minket. Az ingyenesek helyett a fizetős megoldásokat preferáljuk. Havonta pár ezer forint költséggel számolhatunk.

4Minden szoftver amit használunk (főképp az operációs rendszer!) mindig legyen frissítve.

A frissítéseket a szoftvergyártók nem azért készítik, hogy kitöltsék két új termék közötti felszabadult idejüket: fontos biztonsági réseket foltoznak be általuk. Ha nem frissítünk, potenciális veszélynek tesszük ki maginkat. A frissítések általában ingyenesek.

5Legfeljebb hetente készítsünk egy biztonsági mentést a szerver adatairól mondjuk egy USB-pendrive-ra, vagy hordozható HDD-re.

A szerver meghibásodása, vagy havária esemény után (tűzkár, vízkár) egy-két nap alatt visszaállíthatóak legyenek az adatok. Adatmennyiségtől függően egy pendrive vagy külső HDD ára 2-20.000,- Ft.

6A levelezést ne tartsuk az irodai szerveren. A használathoz használjunk IMAP protokollt, hogy maradjon minden levélből példány a kiszolgálón is.

Mert hamisan a biztonság látszatát kelti. Sokkal jobb helyen vannak a leveleink egy szerverteremben futó szerveren. Évi 20.000,- Ft-ért már kapunk olyan tárhelyet ahol a levelezésünk és a céges weboldal is elfér. (Ügyfeleinknek ingyen adunk tárhelyet.)

7WiFi használható, de jelszóval védve legyen. Az SSID (a WiFi "neve") ne utaljon a cégre.

A hálózati erőforrások jogosulatlan elérésének megakadályozása végett. 10 perc munka.

8A munkatársak olvashatják a munkahelyi levelezést a céges vagy a saját telefonjukon is.

Hatékonyabb munkavégzés. 0

9Az internet hozzáférés szűrése talán még nem indokolt, de a routerben legyen megbízható tűzfal.

Több biztonság a böngészéskor és esetleges külső támadáskor. Egy jó minőségű router ára 20-50 eFt. (Mi a Mikrotiket használjuk és ajánljuk.)

10A számítógépekből kiszeretlt adathordozókat visszafordíthatatlanul kell törölni. Olyan eszközök nem hagyhatók külső szervizben, amelyekben a vállalkozás datai vannak. Ezeket vagy a belsős rendszergazda javítsa meg, vagy adathordozó kiszerelése után vigyék szervizbe.

Elkerülendő a harmadik fél általi adatkiszivárogtatás. Nem kerül pénzbe, csak egy kis odafigyelés.

Középszintű védelem 5-20 számítógépet üzemeltető cégeknél

Fokozott kockázatú kisvállalkozás nagykereskedelemmel, vagy valamilyen összetettebb (pl. mérnöki) szolgáltatással. 10-50 fős létszám, 30-300 mFt közötti éves árbevétel.

Mit tegyen?

Miért?

Mennyibe kerül?

1Tartományi hálózatot kell kialakítani. A jelszavak 8 karakteres, generált jelszavak legyenek mindenhol.

A kollégák bármelyik géphez leülhetnek és bejelentkezhetnek a saját jelszavukkal. Ráadásul a tartományi hálózatokban a csoportszintű biztonság könnyebben érvényre juttatható. Gép meghibásodás esetén könnyebb, gyorsabb a csere. Windows szerver használata esetén a Windows Server operációs rendszernek 50-150 eFt-os költsége lesz. (Egyébként a tartomány Linux alapon is megoldható.) Van cég, aki a szervert a partnereinek ingyen adja. :-)

2A munkaállomásokban lehetőleg ne legyen CD/DVD ROM, és csak rendszergazdai jogosultsággal működhetnek az USB portok. A gépek burkolatát (lakattal, belső zárral, matricával) érdemes lehet lezárni. Privát fájlok tárolása a munkaállomáson nem ajánlott, a szerveren tilos.

A gépekben lévő optikai meghajtó és az USB portra csatlakoztatott adathordozó támadási felületet, vagy adatlopási csatornát jelethet. Gyakorlatilag nincs.

3A szerveren belül redundancia szükséges: több merevlemez (ajánlott a RAID technológia használata), több tápegység. Szünetmentes tápegység használata erősen ajánlott.

Növeli a szerver üzembiztonságát. Egy ide ajánlott szerver ára 100-400 eFt között mozog.

4A szervert (már csak a zaja miatt is) egy rácsozott, zárható, lehetőleg klímatizált helységben kell elhelyeznünk a szünetmentes tápegységgel együtt.

A fizikai biztonság (lopás, rongálás) miatt. Épülettől függő a kialakítás költsége.

5Az épületbe/irodába való bejutás szabélyzott és naplózott legyen. (Pl. egyszerű beléptető rendszer)

Illetéktelen bejutás megakadályozása végett. Egy egyszerű beléptető rendszer egy-két ajtóra 150-300 eFt.

6Napi, automatikus és titkosított mentés beállítása szükséges belső mrevlemezre és/vagy NAS hálózati meghajtóra. Megfontolandó a biztonsági mentések eltérő földrajzi helyen történő tárolása FTP tárhely vagy Adatmegőrzés szolgáltatással.

A szerver meghibásodása, vagy havária esemény után (tűzkár, vízkár) néhány órán belül visszaállíthatóak legyenek az adatok. Adatmennyiségtől függően egy HDD vagy egy NAS 20-50 eFt.

7A levelezést továbbra se tartsuk az irodai szerveren. A levelezőkliensek a szerverhez kizárólag titkosított kapcsolaton keresztül kapcsolódhatnak. Amelyik tárhely szolgáltató ezt nem teszi lehetővé, ahelyett érdemes mielőbb másikat keresni.

Jó helyen vannak a leveleink egy szerverteremben futó szerveren, de a titkos kapcsolat nagyon fontos. A szerver üzemeltetőjétől kérjük írásos nyilatkozatot a biztonsági mentések ismétlődéséről és a visszaállítás módjáról. Évi 10-15.000,- Ft-ért már kapunk olyan tárhelyet ahol a levelezésünk és a céges weboldal is elfér.

8Informatikai Biztonsági Szabályzat (IBSZ) kialakítása javasolt, amelyet oktatni, és dokumentáltan átvetetni érdemes a kollégákkal. Az IBSZ-nek tartalmaznia kell a céges sajátosságokat és a szankciókat is. Naprakész hardver és szoftver leltár vezetése szükséges.

A humán faktor rizikójának csökkentése végett. Semmit sem ér a méregdrága szerver, a vírusírtók és a védett hálózat, ha a munkatást kiteszi a jelszavát egy post-itre a monitorára. Egy átlagos oktató egy napidíja 50-100 eFt. Az oktatást érdemes évente megismételni, új munkatárs érkezése esetén személyi oktatás szükséges.

9WiFi használható, de a belső hálózathoz kapcsolódó WiFi-nek az SSID-ja rejtett legyen, és jelszó legyen rajta. Egy vendég WiFi használata megengedhető, de csak izolált módban, az internet felé menő forgalmat engedélyezve. A belső WiFi-re MAC-szűrést kell alkalmazni.

Fokozott védelem az utcán parkoló autóból próbálkozók ellen. 1 órás plusz munka.

10Az internet forgalmat feketelistával kell szűrni. Tiltani érdemes a chat-protokollokat (Skype, MSN, Google Talk, Facebook stb.).

A káros weboldalak látogatásának, és adatok kiszivárogtatásának megakadályozására. A rendszergazdának egy kis plusz munka és erre alkalmas routert kell vásárolni(ha még nem ilyen).

Kiemelt védelem 20-50 számítógépet üzemeltető cégeknél

Magas kockázatú kis- vagy középvállalkozás valamilyen összetettebb szolgáltatással, vagy nagy volumenű kereskedelemmel. 50-200 fős létszám, 300-1000 mFt közötti éves árbevétel.

Mit tegyen?

Miért?

Mennyibe kerül?

1A jelszavak 8-10 karakteres, generált jelszavak, és három havonta cseréljék. Megfontolandó a kártyás bejelentkezési rendszer kialakítása.

A jelszavak cseréje kiszivárgott jelszavak miatt fontos. A kártyás belépés megakadályozza, hogy úgy felejtsék a kollégák a gépet, hogy be vannak jelentkezve. A kártyaolvasó költsége: 5-10 eFt/számítógép.

2A munkaállomásokban nem lehet CD/DVD ROM, és csak rendszergazdai jogosultsággal működhetnek az USB portok. A gépek burkolatás (lakattal, belső zárral, matricával) le kell zárni. Privát fájlok tárolása a munkaállomáson és a szerveren is tilos.

A gépekben lévő optikai meghajtó és az USB portra csatlakoztatott adathordozó támadási felületet, vagy adatlopási csatornát jelethet. Gyakorlatilag nincs.

3Javasolt kettő, esetleg három szerver használata, replikált adatokkal. Több szünetmentes tápegység redundáns használata ajánlott.

Növeli az üzembiztonságot. Egy ide ajánlott szerver ára 200-600 eFt között mozog, egy szünetmentes tápegység 150-200 eFt.

4Élőerős beléptetés javasolt elektronikus rendszerrel kombinálva. Videórögzítés szükséges.

Illetéktelen bejutás megakadályozása és a visszakövethetőség végett. Komplex beléptető rendszer 200-1000 eFt. Kamerarendszer 100-500 eFt.

5Napi többszöri automatikus és titkosított mentés beállítása szükséges hálózati meghajtóra. Nagyon ajánlott a biztonsági mentések eltérő földrajzi helyen történő tárolása pl. Adatmegőrzés szolgáltatással.

Egy szerver meghibásodása esetén is folyamatos maradjon a munkavégzés. A szerverek költsége duplázva.

6MAC alapú szűrés az idegen eszközök kiszűrésére az egész hálózaton (beleértve a WiFi-t is).

Csak ismert eszközök csatlakozhatnak a hálózathoz. Munka, munka, munka.

7A levelezést érdemes a saját szervereken tartani, a domain A és MX rekordja mutasson a vállalkozás (fix) IP címére.

A levelezés volumene és a biztonság miatt. A levelezést működtető levelező (szerver) szoftver költsége.

8Szigorú Informatikai Biztonsági Szabályzat (IBSZ) betartatása szükséges, amelyet oktatni, és dokumentáltan átvetetni érdemes a kollégákkal. Oktatás szükséges a munkatársak részére a Social Engeenering módszereiről és a publikus és nem publikus belső információk elválasztásáról. A munkatársaknak minimális átvilágításon kell átesniük belépés előtt.

A humán faktor rizikójának további csökkentése végett. Egy átlagos oktató egy napidíja 50-100 eFt. Az oktatást érdemes negyedévente megismételni, új munkatárs érkezése esetén személyi oktatás szükséges munkába állás előtt. Az átvilágítást általában a fejvadászok elvégzik.

9WiFi használható, de a belső hálózathoz kapcsolódó WiFinek az SSID-ja rejtett legyen, és jelszó legyen rajta. Vendég WiFi csak külön erre a célre bekötött interneten ajánlott.

Fokozott védelem. Még egy internet vonal. Olyan router kell (pl. Mikrotik) amely képes két WAN kapcsolatot kezelni.

10Az internet forgalmat fehérlistával kell szűrni. A feltétlenül szükséges protokollokon kívül minden mást tiltani kell.

Csak az engedélyezett weboldalak látogathatók. A rendszergazdának sok plusz munka és alkalmas router kell. (A Mikrotik ide is jó választás!)

Szeretné megtudni, hogy az Ön vállalkozása hogyan áll az informatikai biztonság tekintetében? Kérjen ingyenes auditot most!

A halogatás a tett halála, cselekedjen most!Vegye fel velünk a kapcsolatot, hogy mielőbb elkezdhessük a közös munkát!

Érdekel, visszahívást kérek!