Új trend van kibontakozóban Magyarországon az információbiztonság területén: itthon is megjelentek azok az cégek, amelyek szolgáltatásként kínálják a biztonságot, és a tűzfalak beállítgatása mellett folyamatos elemzéssel és felügyelettel veszik le a terhet az ügyfelek válláról. A menedzselt biztonsági szolgáltatások nyugatabbra már népszerűnek számítanak, de néhány hazai IT-biztonsági cég azon dolgozik, hogy a fokozódó kiberbiztonsági veszélyek és az ezzel párhuzamosan súlyosbodó szakemberhiány közepette Magyarországon is meghonosítsák a módszert. Két ilyen kiszervezett szolgáltatást nyújtó magyar cég, a Quadron és a Black Cell vezetőivel beszélgettünk arról, hogyan készülnek a kihívásokra és az új szabályozásokra.
Manapság már alapvetés, hogy szinte minden cégnél számítógépen folyik a munka, a céges hálózaton őrzik az érzékeny adatokat, jelen vannak interneten, egyre gyakrabban használnak felhőszolgáltatásokat. Ezzel együtt viszont a rendszereik és adataik biztonságát is egyre komolyabb veszély fenyegeti, ezért az IT-biztonságot ma már nem intézheti el egy cég annyival, hogy beruháznak pár új tűzfalra meg egy vírusirtóra. Azt viszont nem akármelyikük engedheti meg magának, hogy házon belül biztosítsa a megfelelő szintű IT-védelmet – nemcsak azért, mert egy teljesen más területen mozgó cégnek ez aránytalanul nagy anyagi terhelést jelenthet, hanem azért is, mert
Erre kínálnak megoldást a menedzselt biztonsági szolgáltatást (MSS) nyújtó cégek: ahelyett, hogy fejlesztésekbe öntené a pénzt az ügyfél, kiszervezi nekik a biztonsági feladatot. A hangsúly itt az új eszközök helyett arra kerül, hogy a fenyegetések terén percre kész elemzők folyamatosan figyelik a veszélyeket, elhárítják és értékelik a támadásokat, és frissen tartják a cég védelmeit. Mindezt havidíjas, tervezhető szolgáltatásként.
Az információbiztonság kiszervezése nem egyenlő azzal, amikor a szolgáltató távolról képes a biztonsági rendszerek beállítására, irányításárára – mondja Harold Teasdale, a Quadron egyik alapítója. Ez is fontos terület, de szerinte sokkal több hálózatismerettel, rendszermérnöki kompetenciával rendelkező szakember van, akik ezt el tudják végezni, és ez már régóta létező szolgáltatás itthon is. A monitorozáshoz és elemzéshez, a céges eszközök által generált események összevetéséhez szükséges elemzői kompetencia terén viszont kevésbé állunk jól Magyarországon, ezért fókuszál erre a Quadron is.
Az incidenselemzés kiegészül még olyan szolgáltatásokkal is, mint a rendszerek biztonságosságának folyamatos ellenőrzése, a sebezhetőségek tesztelése, és az alkalmazottaknak nyújtott biztonságtudatossági képzés (hiszen sok esetben felhasználói figyelmetlenség miatt lehet sikeres egy támadás). Mindez nem csak csomagban működik, hanem moduláris, dönthet úgy például egy cég, hogy nekik csak a beosztottak képzésére van szükségük.
Mivel itthon még új területről van szó, most alakul, hogy egyáltalán hogyan fog kinézni a piac – mondja Teasdale. Abban viszont a tapasztalataik szerint minden cég egyetért, hogy a kiberbiztonsággal valamit kezdeni kell – ezt olyan vállalatok is érzik már, amelyek kevésbé digitalizáltak. Mivel a nagyvállalatok általában már néhány éve beruháztak a védelembe, gyakran házon belül próbálják megoldani a kérdést, ezért a menedzselt felügyeleti szolgáltatás elsősorban a kis- és középvállalkozásoknak a felső rétegét érdekelheti.
Gyebnár Gergő, a Black Cell vezérigazgatója is úgy látja, hogy egyre nagyobb az érdeklődés a hazai cégek részéről, egyrészt mivel nincs elég szakember, másrészt mert sokan már a saját bőrükön is tapasztalták a veszélyeket. Gyebnár szerint náluk jellemzően 500-2000 IP-címmel rendelkező vállalatok érdeklődnek. További előnye szerinte a kiszervezésnek, hogy ha nem az ügyfélnek kell az eszközöket fenntartani és IT-biztonsági szakembert biztosítani, hanem az erre specializást IT-cégnek, akkor a felelősség köre is egyértelmű.
Mindkét cég a közelmúltban indította a maga felügyeleti szolgáltatását. A 2014-ben alapított Quadron idén áprilisban jelentette be az indulást. A szolgáltatásuk központja a Quadron Defence Center nevű felügyeleti központ lesz, ez a tervek szerint szeptemberben indul be. Ennek olyannyira kiemelt szerepet szánnak, hogy júniusban át is alakították a cég felépítését: a korábbi kereskedelmi és marketingvezető, Gulyás Péter átvette a cég irányítását, az addigi cégvezér Teasdale pedig teljesen a kibervédelmi központra koncentrál.
Gulyás a Quadron fő helyzeti előnyét a mögöttük álló intelligenciaháttérben látja. A cég ugyanis partnermegállapodást kötött a Symanteckel, akik a világ egyik legnagyobb IT-biztonsági szenzorrendszerét és adatbázisát, a Symantec Global Intelligence Networköt működtetik, és hat nagy elemzőközpontban valós időben elemzik algoritmusokkal és több száz elemzővel a világban előforduló kiberbiztonsági incidenseket. Így a Quadron is olyan minőségű információval dolgozhat, ami egy kis magyar cégnek önerőből nyilván elérhetetlen.
Bár ilyen jellegű megállapodásuk nincs, a Black Cell is folyamatosan keresi az együttműködési lehetőségeket. A cég a CERT nevű kiberbiztonsági szervezet által hitelesített intézmény lett, ami Gyebnár szerint szintén kinyitott pár kaput. Emellett kiberfenyegetési adatbázis-előfizetésekkel dolgoznak.
Magát a Black Cellt 2010-ben alapították. Menedzselt szolgáltatásokkal 2013-ban kezdtek el foglalkozni, ami akkor még főleg a tűzfalak kezelését és sérülékenységvizsgálatot jelentett, ez egészült ki mára más megoldásokkal is. Májusban indították be a SEP2 nevű kiberbiztonsági műveleti központjukat, ahol 0-24 órában elemzik a biztonsági eseményeket, és ha kell, beavatkoznak. A központ alapja egy saját fejlesztésű biztonsági információ- és eseménykezelő (SIEM) rendszer, amely az ügyfelek eszközeiről beérkező biztonsági adatokat kezeli.
Iparági felmérések szerint az MSS a legintenzívebben növekvő terület az Európát, Közel-Keletet és Afrikát magában foglaló EMEA régióban, Teasdale szerint éppen azért, mert még jóval alacsonyabb a bázisa, mint Amerikában, vagyis van honnan fejlődni. Viszont az ügyfelek már errefelé is egyre nyitottabbak és elfogadóbbak azzal kapcsolatban, hogy kritikus információkat kiadjanak hálózaton belülről, amiben nagy szerepe van annak, hogy egyébként is egyre több felhőszolgáltatást használnak, és ez jót tesz a bizalomnak.
Az állami szektor a Snowden-ügy és más adatvédelmi incidensek miatt óvatosabb abban, hogy az adataik hova kerülnek. Teasdale szerint ez a Quadronnak is segít abban, milyen irányba vigyék a fejlesztést. A helyi elemzőközpontjuk őszi indulása után például úgy fogják tudni végezni az elemzést, hogy az érzékeny adatok nem hagyják el az országot, így a szolgáltatásuk a kormányzati ügyfelek számára is vonzóbb lehet majd. Gyebnár is úgy látja, hogy az állami szektorban is van keresnivalójuk, pilot programjaik már több helyen futnak is. A Black Cell pedig már jelenleg is országhatáron belül elemez minden adatot.
Mindez azt jelenti, hogy van még hely bőven a piacon. Teasdale szerint amúgy is a vetélytársakkal közös érdekük a piac kiépítése, az ilyen szolgáltatások megismertetése, és egyáltalán az, hogy meggyőzzék ennek az egésznek a jelentőségéről azokat a cégeket, amelyek abban szocializálódtak, hogy eszközvásárlással oldható meg az IT-biztonság. Ez a feladat egyedül nem megy, ezért tartják is a kapcsolatot más cégekkel. Gyebnár is azt tapasztalja, hogy ez egy kicsi szakma, ahol segítik egymást a szereplők, és a Black Cell is sok támogatást kapott az elmúlt hónapokban.
Ők 2017 végéig elsősorban itthon terjeszkednének, de már tervezik a nemzetközi színre lépést, 2017 januárjában indulnak külföldön is. Egyelőre olyan megkereséseket kapnak onnan, hogy építsenek kiberbiztonsági központot, üzemeltetésről még nem volt szó. A Quadron szintén nemzetközi szinten gondolkozik, nekik Kuvaitban már sikerült is megkötniük egy együttműködési megállapodást.
A piac alakulásában fontos szerepe lehet annak is, hogy az Európai Unió éppen mostanában fogadott el két új információbiztonsági szabályozást is: az általános adatvédelmi rendeletet (GDPR), és a hálózati és információs rendszerek biztonságáról szóló irányelvet (NIS).
Gulyás Péter szerint a biztonsági cégek feladata a GDPR jogi rendelkezéseit gyakorlati információbiztonsági nyelvre fordítani, és felkészülni arra, hogy segítsék a cégek átállását. Másrészt azt is biztosítaniuk kell, hogy a saját szolgáltatásaik teljesen szinkronban legyenek az új előírásokkal.
A GDPR sok olyan követelményt is tartalmaz, amelyeket elvileg a cégeknek már eddig is teljesíteniük kellett. Az egyik újdonság, hogy szélesebb körben megköveteli a titkosítást. Teasdale szerint hiába ez régi technológia, mégis viszonylag kevesen használják vállalati szinten, viszont
Azt is előírja a rendelet, hogy az adatkezelési rendszereket ellenállóvá kell tenni, és ezt az ellenállóságot rendszeresen tesztelni kell. Az adatoknak helyreállíthatóaknak kell lenniük, amiben Teasdale szerint sokkal jobban állunk itthon, mint más téren: mentés, magas rendelkezésre állás, archiválás területén az államigazgatás és a versenyszektor is jól teljesít. Viszont a helyreállíthatóságra is vonatkozik a kötelező tesztelés. Ez azért fontos, mert a cégek gyakran kipipálják a dolgot azzal, hogy elvégzik a rendszeres biztonsági mentést, viszont a visszaállítás tesztelése gyakran hiányzik, pedig ilyenkor derülhet ki, hogy mondjuk csak a múlt heti mentés működik, vagyis egy heti munka elveszett.
Fontos elem még a bejelentési kötelezettség: ha egy cég személyes adatokat veszt, 72 órán belül értesítenie kell a hatóságot. (Itthon a Nemzeti Adatvédelmi és Információszabadság Hatóságot, a NAIH-t).
Most még ezeket az eseteket be lehet söpörni a szőnyeg alá, 2018-tól nem, és a személyes adatok védelméért a cégvezetés lesz felelős, ami erős szemléletváltást jelent
– mondja Teasdale. Szerinte azért fontos a GDPR, mert fókuszba helyezi az IT-biztonságot, de azért nem érdemes túldimenzionálni: a törvény betűjére szükség van, de önmagában nem fog megvédeni a kibertámadásoktól.
Gyebnár Gergő hasonló véleményen van a NIS irányelvről is, üdvözli, hogy megszületett, és bíznak a hatékonyságában, de azért úgy látja, van rajta mit csiszolni, és mind az állami, mind a versenyszféra szintjén lesz vele tennivaló.
Ne maradjon le semmiről!