Minden jog fenntartva 2012 ISACA Magyarországi Egyesület

Átírás

1

2 Minden jog fenntartva 2012 ISACA Magyarországi Egyesület

3 TARTALOM Előszó Kirner Attila 5 A fejlődés megállíthatatlan Dr. Borda József 7 Csodabogarak voltunk Nyugat Európai szakmai konferenciák a rendszerváltozás előtt ISACA Budapest Chapter megalakulása Mátyás Péter 9 Az információbiztonság dióhéjban Az alapelvek Borbély Sándor 11 Ön tényleg azt gondolja, hogy mi magukat azért fizetjük, hogy rólunk csupa rosszakat írjanak le? avagy Az auditálás kialakulása Magyarországon Vasvári György 13 A tudomány felelőssége az információs társadalomban Alföldi István 15 A COBIT magyar nyelvű megjelenése Fordítási munkafolyamatok Dr. Molnár Bálint 29 Fenntartható láthatatlanság Dr. Dvornicsenkó János 32 Lyukkártyától a felhőrendszerig Takács András 34 Amíg lélegzünk, addig tanulunk... Viszt Éva CISA 37 EuroCACS 2010 Dr. Bartók Sándor P., Róth Dénes 39 A társadalmi felelőségvállalás fontossága Kisfauldi Gábor 43 Bizalom és értékteremtés az információs rendszerekkel Szabolcs András 45 Miért van egy autóban fék? Horváth Gergely Krisztián 17 Cyber Defense Framework Biró László 19 ISACA rendezvények és szakmai konferenciák FBI ügynökök előadása Kátai Szabolcs 21 A fehér hackereket meg kellene szelídíteni és behozni hozzánk az ISACA egyesületébe Dr. Novotny László 23 Életem legjobb befektetése volt a CISA-vizsga Dr. Szenes Katalin 25 Az ISACA-t egy irigylésre méltóan koherens szervezetnek tartom Csákvári Péter 27

4 ISACA HUNGARY CHAPTER ELNÖKEI 1991-től DR. BORDA JÓZSEF DR. NYÍRI GÉZA KIRNER ATTILA

5 ELŐSZÓ KIRNER ATTILA CISA 2001-ben lépett be az ISACA-ba, egy évre rá CISA-vizsgát tett, majd 2007-től az egyesület elnökségi tagja, 2009 óta elnöke. Társszerzője a 2007-ben az ISACA által kiadott Informatika ellenőrzési kézikönyvnek. Az elnökként jelentős részt vállalt az egyesület megújításában és átszervezésében és 2003 között a Pénzügyi Szervezetek Állami Felügyeletének informatikai felügyelője, között a PSZÁF informatika felügyeleti főosztályának vezetője volt. Felügyeleti munkatársként és ISACA elnökként számos előadást tartott az IT auditálás gyakorlati tapasztalatairól. Tisztelt Olvasó! Ajánlom ezt a kiadványt minden egyesületi tagunknak, továbbá azoknak az érdeklődőknek, akik az informatikai irányításban, auditálásban, üzemeltetésben és menedzselésben dolgoznak. Valamint mindazoknak, akik szeretnének megismerkedni egy olyan egyesület történetével, amely előremutató, dinamikusan fejlődő, ugyanakkor több évtizedes hagyománnyal rendelkezik. A kollektív informatikai tudás a 20. század közepén induló kezdeti lépésektől a lyukkártyás gépeken át, az asztali számítógépek megjelenésén keresztül a jelenlegi legmodernebb informatikai vívmányokig tart. Büszkék vagyunk arra, hogy olyan tagjaink is vannak, akik már több mint fél évszázada informatikával foglalkoznak és azokra is, akik a legújabb fejlesztésekben és kutatásokban vesznek részt. Informatikai menedzserekként és auditorokként mindannyian tisztában vagyunk az adatvagyon jelentőségével. Ezért is tartottuk fontosnak azt, hogy az ISACA Hungary Chapter tagjainak élettörténetében megbújó egyesületünkkel kapcsolatos információk se vesszenek el. Nagyon nagy értékkel bírnak ezek a történetek, mert a jövő generációi számára megőrzik azokat az információkat és adatokat, amik a jelen kiadvány hiányában elvesznének. Ez az első olyan nem szakmai kiadványunk, ami a magyarországi ISACA egyes tagjai által megélt szubjektív történelmet foglalja össze. A tagok emlékei, visszaemlékezései teljes képet adnak az elmúlt 20 év eseményeiről, miközben az olvasó olyan érdekes információkkal lesz gazdagabb, amit egy klasszikus történelemkönyv nem tudna visszaadni ben alapították meg az Information Systems Audit and Control Association (ISACA) elődszervezetét az Electronic Data Processing Auditors Association (EDPAA) egyesületet Amerikában. Az ISACA egyesülete jelenleg négy szakterületet képvisel, ezek közül az egyik legrégebbi, amiből a szervezet is kinőtt, az az informatikai audit szakterülete. Emellett további másik három szakágat is magában foglal, név szerint: az információbiztonságot, a kockázatkezelést, valamint az informatikai irányítást. Az ISACA egy szakmai fórum, egy közösség, amelynek az a célja, hogy a tagok meg tudják oldani közös erőből a szakmai problémákat, egymásnak tanácsokat tudjanak adni. Célunk, hogy a nemzetközi ISACA tagszervezeteként felkutassuk, publikáljuk és terjesszük a legjobb IT-menedzselési, IT-ellenőrzési, IT-biztonsági és kockázatmenedzselési gyakorlatokat, megismertessük a hazai szakemberekkel a nemzetközi IT-szakemberek által, az ISACA keretein belül kidolgozott módszertani útmutatókat, ajánlásokat, cikkeket és egyéb kiadványokat a különböző fórumokon. Nagyon nagy büszkeséggel tölt el, hogy 2009-ben jelentős több- 5

6 séggel engem választottak meg ennek a patinás egyesület elnökének, amelyet a tagság 2010-ben ismételten megerősített. Egyesületi taglétszámunk folyamatosan növekszik. Az elmúlt években több munkacsoport jött létre, megnövekedett az önkénteseink száma és a minden hónap második szerdáján megrendezett előadásokra is egyre többen kíváncsiak. Jelentős eredményként tekintek arra is, hogy éves nagy konferenciáinkon az egyesület tagjainak nagy része több mint 200 ember részt vett. Úgy érzem, hogy sokkal mozgalmasabbá vált az ISACA, egyre több eredményt, megvalósult projektet tudhatunk magunk mögött. A es 20. jubileumi évünket sikerrel zártuk. Egyesületünk 2011 végén elnyerte a nemzetközi ISACA által létrehozott legjobb tagszervezet díját az Európai és Afrikai régióban. Ez mindannyiunk elismerése, amelyre méltán lehetünk büszkék. Remélem, a jövőben is hasonló illetve még jobb eredményeket fogunk elérni. Az elnöki mandátumom lejártának közeledtével, azt kívánom a következő elnöknek, hogy legyenek olyan jó segítői, mint nekem voltak az elmúlt pár évben. Tűzzön ki olyan célokat, amelyeket érdemes megvalósítani és kívánom, hogy ezekhez legyen egyesületi támogatása is. A meglévő és a jövőbeni tagoknak is azt kívánom, hogy olyan vezetőséget válasszanak maguknak, akikre fel tudnak nézni, és akik segítőkészek abban, hogy ők is jól érezzék magukat az egyesületben, miközben szakmailag fejlődnek. 6

7 A FEJLŐDÉS MEGÁLLÍTHATATLAN DR. BORDA JÓZSEF PhD, CISA, CISM, CGEIT Dr. Borda József az ISACA Magyarországi Egyesület megalapításának ötletgazdája és egyben alapítója től 2002-ig az ISACA elnöke. A COBIT magyar nyelvű változatának irányító bizottsági tagja. Magyar Könyvvizsgálói Kamara, Igazságügyi Könyvszakértői Tagozatának tagja és minősített oktatója. Hunaudit Kft. ügyvezető igazgatója. Főiskolai tanár a Budapesti Gazdasági Főiskolán. A SZÁMOK-ban, azaz a Számítástechnikai Oktatóközpontban dolgoztam 1970-től, ahová alapító tagként vettek fel. Faragó Sándor és Matók György, két nagyon kiváló szakember indított el az automatizált adatfeldolgozás ellenőrzésének szakterületén ben védtem meg doktori disszertációmat ebben a témában ben ENSZ-ösztöndíjban részesültem, óriási szerencsémre hat hónapra az Amerikai Egyesült Államokba. A szakma akkori kiemelkedő szaktekintélyénél Gordon Davisnél dolgoztam a Minneapolisi Egyetemen. Nagyon sok szakmai konferenciára volt hivatalos, amin egyéb elfoglaltságai miatt nem tudott részt venni, így sokszor engem küldött maga helyett. Az USA 15 különböző államába jutottam így el, emellett sok barátságra tettem szert, nem beszélve arról, hogy nagyon nagy embereket ismertem meg. Csodálatos időszakot töltöttem el Amerikában. Megfogalmazódott bennem egy magyar ISACA esetleges megalapításának lehetősége, azonban erre akkor még nem volt igény. Nagyon kevesen foglalkoztak ezzel a témával, de még adatvédelemről sem beszéltek ekkoriban itthon. Az nemzetközi ISACA amit ekkor még EDP Auditors Assosiationnek hívtak 25 éves jubileumi ünnepségén, megjelent egy jubileumi kiadvány History of EDP auditing címmel. Ebben a könyvben felsorolták a 100 legfontosabb nemzetközi auditort, élükön Gordon Davisszel. Akkor derült ki számomra, hogy mit jelentett az USA-ban eltöltött hat hónap. Átolvasva a listán szereplő emberek nevét, kiderült számomra, hogy több mint a fele személyesen ismerősöm ben készítettem egy kandidátusi fokozatot jelentő munkát. Többször hívtak külföldre is előadni, jártam többek között: Jordániában, Oslóban, Izraelben, Madridban és az USA-ban is. Dolgoztam a Világbank szakértőjeként Makedóniában ben csatlakoztam egy nemzetközi könyvvizsgáló céghez, melynek központja Chicagóban van. Ott találkoztam Don Wooddal, egy másik nagy könyvvizsgáló szervezet képviselőjével. Vele határoztuk el, hogy meg kellene alapítani az első kelet-európai chaptert. Ezt követően pár hónapra, 1991-ben alakult meg a magyarországi ISACA 20 alapító taggal. Rendszerváltás után még nagyon nehéz volt még összeszedni a tagdíjat. Egy hőskorszak volt. Björn Hampland norvég származású úriember volt akkoriban az európai igazgató. Nagyon sok dologban segített nekünk úgy hívtuk, hogy Mr. Europe. A CISA, azaz a Certified Information Systems Auditor vizsgákat akkor kezdtük el szervezni. Akkoriban szinte félistenként tiszteltük azokat, akik ezzel a minősítéssel rendelkeztek. Elhatároztuk, hogy mi is meg fogjuk szervezni. Az amerikai ISACA-val leegyeztettük a CISA-vizsgák részleteit és megszerveztük az angol nyelvű tanfolyamokat. Utánanéztem, és érdekes adatokra bukkantam a kezdetekről: például az első évben kilenc jelentkezőből csak hárman mentek át a CISA-vizsgán, míg ma már évente an vannak a sikeres jelentkezők. 7

8 Az európai vezetői értekezleteken folyamatosan részt vettem, próbáltuk érdekeinket érvényesíteni, mert szerettük volna megkapni az EuroCACS nemzetközi ISACAkonferencia megrendezésének jogát. Nagyon kemény viták voltak, de végül sikerült megszereznünk, így 2002-ben Magyarország volt a házigazdája a rendezvénynek. Ebben az időben a közép-kelet-európai régióból mellettünk nem rúghattak labdába még az osztrákok sem. Az EuroCACS konferencia annyira jól sikerült, hogy közvetlen az eseményt követően felajánlották, hogy újra szervezzük majd meg a konferenciát. Nagyon nagy megtiszteltetés volt számomra, hogy az ISACA központi kutatási bizottságába is beválasztottak, ezután pedig beajánlottak az európai munkabizottságába, a kelet-európaiak közül én voltam az első, aki bekerült ebbe a csoportba. Az Európai Unióban akkor adták ki a direktívákat, kapcsolatba kerültünk az európai vezetéssel, jó barátság alakult ki Karel van Hulleval, akit a későbbiekben meghívtam Magyarországra előadást tartani. A vállalatirányítással foglalkozó 8. direktíva előkészítésében vettünk részt, a mi feladatunk az volt, hogy az IT-, és az informatikai audit megfelelő hangsúlyt kapjon. Az európai munkabizottságnak 5 évig tagja voltam, miközben a budapesti chapter szépen fejlődött. Nagyon jó barátság és szakmai kapcsolat alakult ki Erik Guldentops úrral, a COBIT irányító testületének elnökével, aki a COBIT atyjának tekinthető. Amikor kiadtuk a COBIT-ot magyarul, volt olyan kedves és írt a magyar kiadványhoz egy előszót, ami természetesen hatalmas megtiszteltetés volt számunkra. Hadd idézzek belőle néhány gondolat: Minden alkalommal meglepetéssel tölt el, hogy Magyarországot mindig a fejlődés élvonalában találom( ) Többször volt részem abban a megtiszteltetésben, hogy találkozhattam magyar IT-irányítási szakemberekkel, auditorokkal minden esetben örömmel tapasztalva hozzáértésüket és elkötelezettségüket. A COBIT magyar nyelvű kiadványának megjelentetése hatalmas munka volt. Az ISACA egykori elnökével Dr. Nyíri Gézával és Dr. Roóz Józseffel koordináltuk a COBIT fordítási munkálatait. Többek között szeretném kiemelni a nemrég elhunyt Szerényi Imre nevét, aki áldozatos munkájával hozzájárult a COBIT magyar nyelvű fordításának megjelenéséhez. A COBIT az egyetlen IT-audit útmutató, irányelv, ami egységes szerkezetű és elképesztően jól használható a gyakorlatban. Még emlékszem azokra az időkre, a 60-as évek végéről, amikor a magyar jogszabályokba megpróbálták lefordítani a számítástechnikai szakzsargont, és többek között olyan szavak köszöntek vissza a szövegben, ami ma talán már megmosolyogtató, mint például: a disc, amit magyarul mágnestárcsára kereszteltek. Az ISACA Hungary Chapter megalakulásakor sejtettük, hogy nagyon gyorsan fog fejlődni az informatikai auditálás szakterülete. Akkoriban nem egy vitám volt arról, hogy az informatikai auditnak, mint önálló szakmának van-e létjogosultsága. Többen azt állították, hogy erre nincsen szükség, mivel fokozatosan mindenki tulajdonképpen valamilyen szinten auditorrá válik. Mai szemmel már érdekes ezekre a dolgokra visszagondolni tekintetbe véve, hogy az ellenzőknek nem lett igazuk, olyannyira nem, hogy az informatikai audit egyre nagyobb jelentőséggel bír vállalatirányítás terén. A fejlődés megállíthatatlan. 8

9 Csodabogarak voltunk NYUGAT-EURÓPAI SZAKMAI KONFERENCIÁK A RENDSZERVÁLTOZÁS ELŐTT ISACA BUDAPEST CHAPTER MEGALAKULÁSA MÁTYÁS PÉTER 35 éve a számítástechnikával foglalkozik, ezen belül 1984 óta az informatikai biztonsággal túlnyomórészt a bankrendszeren belül és nagyvállalati körben, valamint a kormányzat területén. Több szakmai ajánlás kidolgozásában vett részt, hozzájárult az informatikai biztonság meghonosításához, önálló szakmaként való elismertetéséhez. Az Information System Audit and Control Association (Electronic Data Processing Auditors Association) nemzetközi munkájában 1986 és 1996 között vett részt, a magyar tagozat alapító vezetőségi tagja. Szakmai tanfolyamokon rendszeresen oktat. Az 1980-as években már a Magyar Nemzeti Bankban dolgoztam, amikor megjelent a számítóközpontok tűz-, adatés vagyonvédelméről szóló 1/1981. BM rendelet. Ez volt az első olyan jogszabály Magyarországon, ami, ha csak érintőlegesen is, de számítógépes biztonsággal foglalkozott. A rendelet előírta, hogy a nagy vállalatoknak, intézményeknek legyen egy adatvédelmi felelőse ben a Magyar Nemzeti Bank elnökének megbízásából én lettem a MNB adatvédelmi felelőse. Ebben az időszakban a civil szférában még senki nem foglalkozott átfogóan az informatikai, vagy információbiztonsággal. A számítástechnika egyik legtekintélyesebb hazai művelője, Vasvári György volt akkor a bank számítástechnikai főosztályának vezetője, a főnököm. Vele együtt gondolkoztunk azon, hogyan lehetne elkészíteni a szükséges szabályzatot. Kutatásaink során és szakmai kapcsolatainkon keresztül eljutottunk a Nemzetközi Számítástechnikai és Oktató Központhoz, a SZÁMALK-hoz (akkor még SZÁMOK-nak hívták). Ez idő tájt egyik meghatározó vezetője dr. Weisz Judit volt, akivel együtt dolgoztuk ki, és valósítottuk meg az informatikai biztonsági, és az adatvédelmi szabályzatot. Dr. Weisz Judit, Magyarországon akkoriban egyedülálló módon, már behatóan foglalkozott a privacy, azaz személyiségi jogok védelmével, ami kapcsolódott az informatikai biztonság, az adatvédelem témaköréhez is. Nagyon sokat segített azzal, hogy ő akkor már rendelkezett az akkori nyugat-európai privacyvédelemmel kapcsolatos törvényekkel. Ezek alapján próbálta érvényesíteni Magyarországon a jogvédelmet az informatikai rendszerekben is, ami az 1980-as években nem volt egyszerű feladat. Azokban az években a szakemberek számára ez a téma egy nagyon izgalmas problémakört jelentett, nem véletlen, hogy számos SZÁMALK-hoz kötődő embert is vonzott. Így ismertem meg többek között Dr. Borda Józsefet is. Miután elkészült a Magyar Nemzeti Bank többszintű informatikai biztonsági szabályzata, felmerült a kérdés, hogy hogyan tudnánk az ismereteinket bővíteni, és hasznosítani ebben a témakörben. Köztudott, hogy a nyugat sokkal előrébb járt az informatikában, valamint annak biztonságos alkalmazásában (esetleg van, aki emlékszik az IBM Orange Book gyűjteményére?), mint Magyarország, illetve a többi hasonló ország. Tudomást szereztünk arról, hogy Nyugat- Európában vannak olyan rendezvények, amelyek kifejezetten informatikai biztonsággal foglalkoznak valamint az amerikai EDPAA Elektronikus Adatfeldolgozó Rendszerek Audit Szövetsége európai tagszervezeteivel is felvettük a kapcsolatot. Dr. Borda Józseffel nagyon sokszor tárgyaltunk ennek szervezetnek az európai vezetőségével, próbáltunk kapcsolatot kiépíteni a nyugat informatikai biztonsági szakemberekkel, s ez általában sikerrel is járt. 9

10 Annak idején nagyon kevés embernek adatott meg a lehetőség, hogy nyugati szakmai konferenciákon rendszeresen részt vegyen. A két világ között feszültség volt, de én soha nem éreztem úgy, hogy előttünk nem beszéltek volna nyíltan. Az európai szervezet vezetőségi értekezletein mi voltunk egyedül a szocialista területről. Ennek következtében csodabogarak voltunk mi ott Dr. Borda Józseffel. Így sikerült közelebb kerülnöm a szakmához, megértenem azt, hogy pontosan mit értenek nyugaton, azaz Nyugat-Európában és az Amerikai Egyesült Államokban informatikai biztonság alatt. Akkoriban még nem így hívták, számítógépes adatvédelem volt a pontos megnevezése. Emellett volt szerencsém Dr. Borda Józseffel más konferencián is részt venni. Minden év márciusában Angliában megrendezték a COMPACS, azaz Computer Audity, Control and Security konferenciát Steve Hinde úr szervezésében. A világ legjelentősebb informatikai biztonsággal, rejtjelezéssel foglalkozó szakemberei, többek között a Fehér Ház informatikai biztonsági tanácsadója is előadást tartott itt, aki a konferencia szünetében hosszan elbeszélgetett velünk. Bemutatta hogyan dolgoznak, milyen szabványok kialakításával foglalkoznak. Hosszú éveken keresztül tapasztaltuk meg a nyugati oldal szakembereinek a tudását. Megismertük a szakmai szervezetek tevékenységét, anyagaihoz hozzájutottunk, és egyre jobban megerősödött bennünk, hogy hasznos lenne, ha Magyarországon is lenne egy olyan organizáció, ami megpróbálja összefogni az informatikai biztonsággal foglalkozó szakembereket. Ez mindenképpen motivált bennünket és 1987-től elkezdtünk dolgozni a szakmai fórum kialakításán. Nem volt egyszerű dolog ilyet létrehozni, kicsit más világ volt, mint most. A személyi számítógépek elterjedésének korszaka előtt az informatika, vagy az elektronikus adatfeldolgozás misztikumnak tűnt nagyon sok ember számára, és ezt a szakmabeliek nehezen érzékelték. Tény, hogy bizonyos értelemben különcként tekintettek ránk, viszont szakemberek társaságában ezt mi természetesen nem így érzékeltük. Nagy előkészítést igényelt az, hogy bekapcsolódjunk a munkába. Szakmabelieket kerestünk fel, az alapító tagok főleg a SZÁMALK-ból, a bankrendszerből, valamint a GIRO Zrt.-ből verbuválódtak össze. Mindannyian éreztük, hogy ennek a szakterületnek van jövője ben alakult meg az ISACA Budapest Chapter. Egy éven belül az egyesület tagjainak száma 100 főre emelkedett. Célunk többek között az volt, hogy szervezet tagjai egymás munkáját tudják segíteni, hozzájussanak olyan anyagokhoz, amihez addig nem volt lehetőség. A hivatalos és személyes kapcsolatokon keresztül összegyűjtött szakmai anyagok, könyvek alapozták meg többek között az első felsőfokú informatikabiztonsági képzés egyetemi jegyzetének megírását. Viszonylag sok konferenciát szerveztünk, többek között a norvég elszámolási központ biztonsági vezetőjének Bjorn Hampland segítségével. Az egyik ilyen alkalom pont egybeesett a demokratikus Magyarország első tömegtüntetésével, az úgynevezett taxisblokáddal. Több ezer taxis és fuvarozó bénította meg három napra Budapestet, zavartalanul csak a tűzoltók, a mentők közlekedhettek. A rendezvényünket nem bénította meg a sztrájk, minden külföldi előadó eljött és el is tudott utazni, többüket személyes vittem a reptérre. Ekkoriban az ISACA szervezet neve még EDP Auditor Association volt, tehát elektronikus adatfeldolgozás szerepelt a névben. Itt Magyarországon mi döntöttünk arról, hogy mivel már nemcsak elektronikus adatfeldolgozással, hanem információs rendszerek biztonságával akarunk foglalkozni alapvetően, megváltoztatjuk a nevünket. Mi használtuk először az ISACA megnevezést. Fél év múlva a szervezet amerikai központja is felvette ezt a nevet. Dr. Borda Józsefnek köszönhetően Magyarországra is eljutottak az amerikai felkészítő tanulmányok, anyagok. A CISA-vizsga előtti időkben, az auditorok ezekből az ISACA által szerkesztett tananyagokból készültek fel, és végezték az átvilágítási munkálatokat. Már ekkor sejteni lehetett, hogy az informatikán belül az információbiztonság egy önálló szakma lesz. Ebben nem is csalódtunk. 10

11 AZ INFORMÁCIÓBIZTONSÁG DIÓHÉJBAN AZ ALAPELVEK BORBÉLY SÁNDOR CISA, CISM Villamosmérnöki diplomáját számítógépek modellezése témában írta 1973-ban. Az informatika több területén tevékenykedett, foglakozott nagyszámítógépek szervizelésével, programozással, alkalmazói szoftvertermékek fejlesztésével. Vezette egy nagy irányítási rendszer beindítását, több éven át irányította egy nagyvállalat 100 fő feletti IT-üzemeltetési főosztályát, ahol az informatikai biztonság már kiemelt szerepet játszott. A Montana Rt. projektvezetőjeként informatikai biztonsági tanácsadás területen dolgozott, és ugyanezt folytatta a társcég Noreg Kft.-ben óta aktív tagja az ISACA-nak, ahol elsőként CISA, majd CISM és CRISC minősítést szerzett. Rendszeresen tart előadásokat, oktatásokat az informatikai biztonság témakörökben. Az egyetem elvégzése óta számítástechnikával foglalkozom. Az információbiztonság fogalmával a tanulmányaim során találkoztam már az 1960-as évek végén, jelenleg is ezen a területen dolgozom. Munkámból kifolyólag érdekelt az auditori minősítés megszerzése. Több helyen, többek között interneten találkoztam az ISACA egyesületével és az informatikai biztonsággal, ellenőrzéssel és minőségbiztosítással foglalkozó szakemberek nemzetközi minősítésével, a CISA-tanúsítvánnyal. A vizsga alapfeltételének számító angol nyelvet jól ismertem, valamint megfelelő gyakorlattal is rendelkeztem már. Az információbiztonság az ISACA-nak mindig is az egyik részterülete volt, és a CISA-vizsgának is nagyon nagy része ezzel az a témakörrel foglalkozott. Az ISACA elvileg informatikai auditorok szövetsége, gyakorlatban ma már a számítástechnika minden területében jártasnak kell lenni ahhoz, hogy felépüljön egy biztonságos rendszer. Az auditori munka a technikai fejlődésével válik egyre komplexebbé, komplikáltabbá. A biztonság, ma már a szoftver előállításának a folyamatával kezdődik. Rendkívül gazdag információbázist nyújt az ISACA, szakmailag nagyon magas színvonalú rendszereket épített ki, mint például a COBIT-ot. Egy vállalat életében még ha sokakban ez nem is tudatosodott az egyik legfontosabb személy a vállalatbiztonsági szakember. Ez különösen és hatványozottan érvényes például a fejlesztő cégekre, vagy olyan vállalatokra, ahol gyártási eljárások vannak. Az információbiztonság, amit már a Magyar Szabványügyi Testület is elfogadott MSZ ISO/IEC 27001:2006 az információ bizalmasságának, sértetlenségének és rendelkezésre állásának a biztosítását jelenti. Ez az információbiztonság három alappillére. Információbizalmasság esetében annak a biztosítását értjük, hogy az információ ne kerüljön illetéktelen emberek kezébe, csak az arra felhatalmazottaknak legyen elérhető. Erre nagyon jó példa az elhíresült Diagon-ügy. A kiszivárogtatott információkkal a volt dolgozók több milliárdos kárt okoztak volna az orvosi diagnosztikai eszközöket gyártó és forgalmazó Diagon Kft.-nek. Ugyanis két, egykor vezető beosztású munkatárs át akart adni szabadalmaztatott ipari titkokkal, technológiákkal kapcsolatos adatokat egy konkurens cégnek. Az ipari kémkedési ügy vádlottjait első fokon a Fővárosi Bíróság szabadságvesztéssel, valamint mellékbüntetésként 3 milliárd 269 millió forint vagyonelkobzással sújtotta. Személyes adatok vagy bankkártyaadatok visszaélésének esetében is az információ bizalmasságának az elvesztéséről beszélünk. Sajnos, egyre gyakoribbá válnak az ilyen esetek. A közelmúltban egy külföldi, bankokon kívüli elektronikus adatfeldolgozó rendszerből illetékteleneknek sikerült eltulajdonítani több tízezer magyarországi kártya- 11

12 tulajdonos adatait. A bankkártyaadatok eltulajdonításának botrányában minden magyar pénzintézet érintett volt. Ezzel a sajnálatosan megtörtént eseménnyel lehet talán a legjobban érzékeltetni azt, hogy az információ érték, és mint ilyen védelemre szorul. Az integritás védelme az tulajdonképpen azt jelenti, hogy azok az adatok, amik rendelkezésre állnak, pontosak, tehát nem módosított adatok, illetéktelenek nem változtattak rajta, illetve ezek hiteles forrásból származnak. Amenynyiben ezek a feltételek nem teljesülnek, nem támaszkodhatunk biztosan ezekre az adatokra. Ilyen szempontból a különböző kategóriákba lehet sorolni ugyanazon adatokat. Ha a bizalmasság szempontjából nem kell védeni valamilyen adatot, attól még az integritás fontossága mérvadó lesz. Ha egy cég interneten közzétett mérlegadatai, nyilvános adatok, tehát bizalmasság szempontjából abszolút nem kell védeni, viszont ha az adatokat valaki módosítja, az nagyon nagy károkat okozhat a cégnek, mert valaki esetleg a módosított adatokból tájékozódik. A harmadik alapelv a rendelkezésreállás pedig azért nagyon fontos, mert kárt okozhat, ha egy információhoz egy adathoz nem tudok hozzáférni, tehát kellene, szükség lenne rá, de például valami műszaki meghibásodás vagy természeti csapás miatt elvesznek, nem érhetők el adatok. Például az ilyen szituációk miatt, biztosítani kell, hogy a felhatalmazott felhasználók mindig hozzá tudjanak férni az információkhoz és a kapcsolódó értékekhez. Információbiztonság szempontjából ez a három alapelv egyfajta minimum, amit fel kell építeni és betartani. Ha valamelyik feltétel nem teljesül, nem lehet biztonságosan támaszkodni az adatokra. Hozzá kell tenni, hogy millió tényező van, ami ezeket a dolgokat befolyásolja, veszélyeztetheti, például a hackerek vagy sértődött belső munkatársak, akik visszaélnek a rájuk bízott adatokkal. A műszaki meghibásodások is ebbe a kategóriába tartoznak, egy olyan szoftverhiba, amit kihasználva illetéktelen valaki be tud jutni a rendszerbe, akkor le tudja bénítani azt, vagy módosítani tudja az adatokat. A három alapelv általánosságainak bemutatásával próbáltam azt is igazolni, hogy az auditálás több szakterületet egyesítő komplex szaktudást igénylő munka. Ebből kifolyólag nem egy konkrét, mindennapi probléma megoldásának folyamataival foglalkozunk az ISACA-ban. Az általános célú informatikai rendszerek mellett megítélésem szerint jelenleg két érdekes, feltáratlan terület is van információbiztonsági szempontból: az ipari rendszerek és a mobileszközök biztonsága, ami kihívás lehet a ma, és a jövő szakemberei számára. Az ISACA-ban speciális területekkel foglalkozunk, ugyanakkor az információbiztonságot komplett rendszerként, minden területét beleértve vizsgálódunk. Ezért az ISACA egyesületét minden olyan informatikával foglalkozó szakembernek ajánlom, akik szeretnének részesei lenni egy ilyen komplex, és rendkívül érdekes tudásvilágnak. 12

13 Ön tényleg azt gondolja, hogy mi magukat azért fizetjük, hogy rólunk csupa rosszakat írjanak le? avagy AZ AUDITÁLÁS KIALAKULÁSA MAGYARORSZÁGON VASVÁRI GYÖRGY CISM TISZTELETBELI EGYETEMI DOCENS Vasvári György CISM a számítástechnika és a bankinformációs képzés úttörője, az információbiztonság és a biztonságmenedzsment egyik legtekintélyesebb hazai szakértője, 1997 óta birtokosa az ISACA kitüntető oklevelének ben NJSZT-életműdíjban részesült ben kezdtem el foglalkozni informatikával, több, mint 50 évvel ezelőtt. Ott voltam akkor, amikor Magyarország első számítógépét építettük ben nyugdíjas lettem és úgy döntöttem, hogy csak szakértőként fogok tovább dolgozni. Először még a Neumann János Számítógép-tudományi Társaságnál szereztem engedélyt, ott tettem vizsgát. Később ismerkedtem meg az ISACA-val, ám már az alapítástól kezdve részt vettem a szervezet munkájában. Az 1990-es évek mind az ISACA-nak, mind a magyarországi szervezetének a tanulóéveit jelentette. Az auditálás kialakulásának szempontjából 1995 az ISACA történetében azért volt érdekes év, mert akkor volt az első úgynevezett Certified Information System Auditor vizsga (CISA), azaz minősítő vizsga auditoroknak. Körülbelül 10 ember vett részt rajta. Minősített auditorok, akkoriban még nem voltak. Az auditálást az idő tájt még úgy hívtuk, hogy vállalati informatikai biztonsági átvilágítási munkálatok. Honnan vettük mindehhez a szaktudást? Én 1992 óta foglalkoztam vállalatok informatikai biztonságának problémáival, konkrét kérdésekben szakvéleményt is adtam. Így például az én addig megszerzett tapasztalatom állt rendelkezésre, de említhetném Dr. Borda Józsefet is, akinek szaktudása szintén rendelkezésre állt a CISA-vizsga minősítésére. Az első anyag, ami valamiféle iránymutatást adott, az 1996-ban megjelent COBIT 1 volt, az auditorok bibliája. Persze, kapcsolatban voltunk az ISACA-val, eljártunk előadásokra. Az interneten megkerestem a Los Angeles-i ISACA honlapját, és onnan szedtem le anyagokat, így okítottam az ifjúságot. A 90-es években a vállalatok elkezdtek az informatikai biztonsággal komolyan foglalkozni, védelmi intézkedéseket tenni. Amiben nem volt vita, az az volt, hogy minden vállalat, ami ezen az útvonalon elindult, azt érezte, hogy valami független külső szakember vagy vállalat szakembereit kellene felkérni a feladatok elvégzéséhez. Magyarországon az első auditálással foglalkozó cégeket az úgynevezett BIG 6 illetve később BIG 4 alapította meg. A nemzetközi tapasztalatok ellenére ugyanazokkal a problémákkal kellett szembesülniük, mint a hazai szakembereknek. A kezdetekben még majdnem hogy válogatni lehetett a munkák között, ez a kezdeti időszak a 2000 évek elejéig tartott. 97-ben amikor az első komolyabb átvilágítást megcsináltuk a következő érdekes dolog történt. Az egyik kollegám megkérdezte, hogy nem akarom-e megnézni az átvilágított vállalat teljes évi mérlegét. Bevallom őszintén, nem értettem a kérdést, hiszen a kollégának nem is ez volt a feladata. Megkérdeztem tőle, hogy honnan tudná ő ezt az információt. Elkezdett gyanúsan mosolyogni és elmondta, hogy a vállalat kiselejtezett olcsó gépei közül megvásárolta az egyiket. Amikor hazament és átvizsgálta az új szerzeményt, értékes információkra bukkant: megtalálta a vállalat totál teljes mérlegét, ugyanis a cég nem törölte a gépen tárolt információ- 13

14 kat. Hogy miért nem? Mert akkoriban ez még senkinek nem jutott eszébe. Az információbiztonság abban az időben még gyermekcipőben járt. Természetesen, azóta egy ilyen szituáció elképzelhetetlen lenne, mint ahogy az a kérdés is, amit nekem egy következő átvilágításnál egy nagy országos pénzintézet vezérigazgatói titkárságának vezetője tett fel: Ön tényleg azt gondolja, hogy mi magukat azért fizetjük, hogy rólunk csupa rosszakat írjanak le? a furcsa kérdést a félelem szülte, ugyanis attól tartottak, hogy a jelentésünket elolvassa a főhatóság is, és ennek következtében elveszítik a munkahelyüket. Kizárólag a kételkedő munkatárs hatóságtól való félelmének eloszlatását követően kezdhettük el az érdemi munkát. Azért alakulhatott ki ilyen szituáció mert a kezdetekben még nem volt a vállalatoknak tapasztalatuk az auditálás terén. Nem tudták mi az. Ugyanebben az időben egy nagy iparvállalatnál történt az, hogy több mint főt foglalkoztató cég vezetője, a kidekorált anyagunk lapozgatása közben ezt kérdezte tőlünk: Ezt a marhaságot ki mondta maguknak? Természetesen és ez a szerződésünkben is benne foglaltatott erre a kérdésre nem válaszoltunk. Ugyanis mi nem felelősöket kerestünk, hanem problémákat. Ez egy alapszabály, ami azóta sem változott. Persze a kezdetekben ezt még nem értették. Nemcsak a céljainkat, a módszereinket is megkérdőjelezték, többen például nem értették, hogy miért fizessenek azért, hogy riportokat készítsünk az alkalmazottakkal. Ez az előző példa is mutatja, hogy az iparvállalat vezérigazgatója nem ismerte a céget, hiszen pont a mellette ülő informatikai vezető válaszolt neki kérdésére: Főnök, én voltam. És ez igaz. Miért fontos az, hogy egy külsős cég riportokat készítsen a dolgozókkal? Tették fel többen a kérdést. Azért, mert ha ők tették volna fel a kérdéseket a dolgozók, nem válaszoltak volna őszintén. Ezek a problémák ma már nem fordulnak elő. Az átvilágítási munkálatok befejeztével javaslatokat tettünk a problémák kiküszöbölésére. Egyszer egy ilyen alkalommal behívott magához egy vezérigazgató és a következőket mondta: Nézze én utánaszámoltattam, hogy a maguk javaslataik mennyibe kerülnek. Mivel milliós tétel jött ki eredményül, hajlandó nekem írásba adni, hogy a javaslatok megfinanszírozása és kivitelezése után nem lesz informatikai biztonsági problémánk? Abban az időben jelent meg egy könyvem, aminek előszavát az Egy hacker feljegyzései című könyvnek az idézetével kezdtem: Az informatikai biztonságban egy 100%- os dolog van, hogy semmi sem 100%. Ezzel az idézettel kezdtem a válaszomat a vezérigazgatónak, majd folytattam: Garantálom, hogy lesznek biztonsági események, mint ahogy azt is garantálhatom, hogy ha nem adja ki ezt a pénzt, akkor sokkal súlyosabb, gyakoribb katasztrofális biztonsági események lesznek. A tudomány csak azt tudja garantálni, hogy közelítsünk a 100%-hoz, de azt soha nem fogjuk elérni. A hacker, a terrorista, vagy bárki, aki támadja a biztonsági rendszert, mindig előbbre járnak mint a védelem, tehát nem lehet őket megelőzni. Az ISACA megalakulása előtt a Neumann János Számítógép-tudományi Társaságnál lehetett minősítést szerezni, viszont ez csak Magyarországon volt érvényes. Ezzel szemben az ISACA minősítései, melyekről a központban, Los Angeles-ben döntenek, a világon mindenhol elfogadottak, nemzetközi értékűek. Azt azonban meg kell említeni, hogy a legtöbben, akik ISACA-vizsgát tettek a kezdetekben, az alapokat a Neumann János Számítógép-tudományi Társaságnál szerezték meg. Hosszú évek óta, minden hónap második szerdáján szakmai megbeszélést tart az ISACA, aminek tulajdonképpen a lényege a újonnan felmerülő szakmai problémák megvitatása és a tudás megosztása. A szakma úttörőiként az informatikai audit szakmájának az elismeréséért is meg kellett küzdenünk minden alkalommal. Mindeközben az ISACA-nál minden évben tartottak CISA-tanfolyamokat és -vizsgát, aztán később megjelentek az úgynevezett CISM (Certified Information Security Manager), a tanúsított biztonsági manager minősítések is. Ezek a vizsgák évről évre fejlődtek, erősödött a magyar ISACA. Ma már öt-, vagy hatféle minősített vizsgát lehet tenni. A szakemberek szaktudása folyamatosan nőtt, ami a mi szakmánkban elvárás, hiszen folyamatosan alkalmazkodni kell, hogy naprakészek és felkészültek legyünk. 14

15 A TUDOMÁNY FELELŐSSÉGE AZ INFORMÁCIÓS TÁRSADALOMBAN ALFÖLDI ISTVÁN CGEIT Alföldi István a Neumann János Számítógép-tudományi Társaság és a magyarországi ECDL Program ügyvezető igazgatója. A nemzetközi ECDL Alapítvány Minőségbiztosítási Bizottságának tagja, a nemzetközi szabványként elfogadott ECDL minőségbiztosítási rendszer kidolgozója. A Digitális Esélyegyenlőség (DE!) program vezetője. Az NJSZT ügyvezető igazgatójaként részt vett a Nemzeti Fejlesztési Terv információs társadalomról szóló részének kidolgozásában, több kormányzati dokumentum szakvéleményezésében. Számos hazai és nemzetközi projektet vezetett. Az alakulástól kezdve ismertem az ISACA egyesületét, melynek 1997-ben lettem hivatalosan a tagja. Ebben az évben kerültem a Neumann János Számítógép-tudományi Társasághoz, ügyvezető igazgatóként. A két szervezet küldetésében több hasonló elem is található. Az ISACA-ban csak úgy, mint a NJSZT-ben kiemelkedően fontos szerepet tölt be a tudományos tevékenység, kutatás, fejlesztés, ismeretterjesztés, nevelés és oktatás. A Neumann Társaságnak olyan szakmai közösségei vannak, amelyek aktuális tudományos témákkal foglalkoznak például mesterséges intelligenciával, multimédiával, képalkotással, infokommunikációval támogatott egészségtémákkal. Missziónk a tudomány és a tudás terjesztése. Világossá vált, hogy a mai világban a tudás felelősséggel jár. Ez egy olyan alapszabály az információs társadalom mindennapjaiban, amire minél nagyobb hangsúlyt kell fektetni. Az információs társadalom nagyszerű dolog, ha tudatosan és konstruktívan élünk benne. Korunknak, mint minden megelőző kornak is, rendkívül sok pozitívuma van, rengeteg lehetőség rejlik benne, ha megteremtjük azt, hogy a tudás bárki számára megszerezhető legyen. Ennek a mai világban az egyik következménye, hogy a tudás birtokosaira még nagyobb felelősség hárul elsősorban abban, hogy mindenki, de legalábbis minél többen teljes értékű tagjai lehessenek az információs társadalomnak. Azaz annak a lehetőségét kell megteremteni, hogy mindenki lépést tudjon tartani a világgal. A népesség kb. 40%-a még a fejlett országokban is úgy él, hogy nem használja a korszerű eszközöket, köztük elsősorban a számítógépet, és e tekintetben a magyar statisztikai mutatók sem tölthetnek el örömmel bennünket. Ez azt jelenti, hogy az életminőség és a versenyképesség szempontjából ezek az emberek nagyon nagy hátrányban vannak egy olyan világban, ahol a számítógépes ismeretek prioritást élveznek. A digitális esélyegyenlőséget pont ezért nagyon fontosnak tartom. A számítógép és a világháló használatának lehetőségét mindenki számára elérhetővé kell tenni, beleértve az időskorúakat, a fogyatékkal élőket és a szociálisan hátrányos helyzetben élőket egyaránt. Így tehát egyik igen fontos feladatunk a digitális kultúra és írástudás terjesztése. Örömmel tapasztaltam, hogy az ISACA-n belül is megfogalmazódott egyfajta felelősségvállalás és Biztonságos internethasználat elterjesztése a fiatalok között címmel önkéntesek bevonását is magában foglaló programot hirdetett. A közösségi média elterjedése természetesen egyre súlyosabb problémákat vet fel a felhasználó biztonságával kapcsolatban. Nem az a probléma, hogy a nagy testvér mindig figyel, hanem az, hogy a nagy testvér szerepébe bárki belebújhat. Sajnos, ez elkerülhetetlen és erre a fiata- 15

16 lok és a gyerekek figyelmét feltétlenül fel kell hívni. Ugyanis csak felületesen vannak azzal tisztában, hogy milyen veszélyeknek vannak kitéve például egy közösségi oldalon. Természetesen, a pozitív oldalát is meg kell mutatni, hiszen nagyon sok jó oldala is van felhasználói szempontból például a közösségi médiának. A világ labdaméretűvé zsugorodik össze, az információ mindenki számára elérhetővé válik. Viszont ezt a nagyszerű lehetőséget tudatosan kell használni. Örülök, hogy az ISACA fő feladatai között a nagy rendszerek auditálási szabályainak, biztonsági ellenőrzésének primátusa mellett a fiatalok tudatosságra nevelése is szerepet kap. A közelmúltban az ISACA egy nagyon szép elismerést kapott: legjobb szervezet az Európai és Afrikai régióban díjában részesült, ami tagként nagy örömet okoz. Remélem, hogy az ISACA magyarországi egyesülete a jövőben még nagyobb szerepet vállal az informatikai rendszerek működtetésével kapcsolatos tudatosság tekintetében, akár lakossági-civil szinten, akár a kis- és mikrovállalkozások szintjén, hogy az információbiztonság elvei jobban tudatosuljanak a köztudatban. 16

17 Miért van egy autóban fék? HORVÁTH GERGELY KRISZTIÁN CISA, CISM Horváth Gergely Krisztián CISA, CISM ban kezdte el doktori tanulmányait a Pécsi Tudományegyetem Gazdálkodástani Doktori Iskolájában. Szakterülete az IT-kontroll és - irányítás óta tagja az ISACA Hungary Chapternek, 2006 óta oktat CISA- és CISM-tanfolyamokon között vezetőségi tag is volt óta szabadúszóként dolgozik, ben az MNV Zrt. IT-biztonsági menedzsere lett óta foglalkozom információrendszer-ellenőrzéssel és információbiztonsággal. Különböző informatikai ellenőrzési és oktatási feladatokon dolgoztam együtt dr. Nyíri Gézával, az ISACA egykori elnökével, az ő javaslatára tettem le 2005-ben a CISA-, majd rá fél évre a CISM-vizsgát. Már ebben az évben bevontak az ISACA vezetőségébe, aminek külső tagja lettem. Elkezdtem oktatni a CISA- és a CISMtanfolyamokon, továbbá szakmai anyagokat fordítottam. Sokat tanultam itt a szakmáról Nyíri Gézától és Borda Józseftől. Örömmel tölt el, ha megoszthatom a tapasztalataimat a kollegákkal, és hallgatókkal. Innen is jött az egyesületi szerepvállalás, és ezért kezdtem el a Pécsi Tudományegyetemen a PhD-tanulmányaimat. Az informatikai kontroll témaköre viszonylag száraz, viszont az élet mindig gondoskodik olyan színes-szagos történetekről, amelyekkel a hallgatóimat meg tudom fogni. Az egyik ilyen példa annak az IT-biztonsági főnöknek az esete, akit azért rúgtak ki egy PSZÁF-ellenőrzés során, mert a bankban a legtöbb illegális program az ő gépén volt és 2009 között az egyik fő szervezője voltam az ISACA rendezvényeinek, az Oprisk nemzetközi konferencia 5 évet élt meg, 20 országnál is több helyről érkezett előadó. A 15 éves ISACA jubileumi évfordulójára meghívtuk a COBIT irányító bizottságának elnökét, Erik Guldentopsot. A COBIT atyja színvonalas és nagy hatású előadást tartott, szemléltető példáját, ami tulajdonképpen egy mottó is, mind a mai napig sokszor idézem. Így hangzik: Miért van az autóban fék? Hogy meg tudjon állni, válaszolná erre a legtöbb ember. Erik válasza persze lényegesebben összetettebb. Valójában azért van az autóban fék, hogy gyorsan és biztonságosan eljussunk oda, ahova szeretnénk. Az információs rendszerekben a kontrollok szintén azért vannak, hogy elérhesse egy szervezet azokat az üzleti célokat, aminek elérését az információs rendszer elősegíti, anélkül, hogy jelentős biztonsági események azt akadályoznák. Sokszor tekintetnek úgy az információbiztonságra az emberek, mint egy a munkájukat akadályozó tényezőre, mert egy bonyolultabb jelszót kell kitalálniuk, vagy még egyszer be kell ütni egy kódot, de valójában ez nem fék, hanem azért van, hogy biztonsággal jussunk el oda, ahova szeretnénk. Az információbiztonság szerintem nem országfüggő. Vannak olyan vállalatok, akik rájöttek arra, hogy kevesebb veszteséggel jár a jól kialakított kontrollrendszer, és ezért folyamatosan fejlesztik a kontrollrendszerüket. Viszont vannak olyan, általában kisebb vállalatok, szervezetek ahol egyelőre gyerekcipőben jár az információbiztonság. Mindenki jól ismeri a számítógép monitorán jól pozícionált helyen lévő feltűnő papírra kiírt jelszót, hogy ne lehessen elfelejteni, vagy említhetném azt a jelszótípust, amit nemes egyszerűséggel a monitor típusa ihletett, ami természetesen szintén szem előtt van. Ennek létezik fokozott biztonsági változata is, amikor a billentyűzet aljára van ráragasztva a jelszó. Az ember a leggyengébb láncszem, ez egy alapszabály. Bruce Schneier egyik sokat idézett monda- 17

18 ta Amatőrök hackelnek rendszerek, a profik az embereket hackelik. A 21. század legnagyobb kihívása a biztonság területén az emberek megvédése az emberek segítségével. Nem a különböző műszaki megoldások biztonságos kialakítása a legfontosabb, hanem a humán tűzfal kialakítása, és naprakészen tartása, azaz az emberek felkészítésére a felelős és tudatos viselkedésre a számítástechnika használata során. Erik Guldentops előadásán fény derült egy másik érdekességre is a budapesti ISACA történetéből, az előadó ugyanis elmondta, hogy a COBIT szükségességének az ötlete a 90-es évek elején Magyarországon született meg. Azóta már az ötödik verzión dolgoznak. Utoljára a 4.1-es verzió magyar változatát készítettük el. Részt vettem az irányító bizottságban és a lektorálásban. A féléves munkafolyamat során nem egyszer nyelvújítással próbálkoztunk, mert igen sok szakkifejezésnek nem volt még magyar megfelelője, de a nyelvújítás hálátlan feladat. Akadtak, akik ragaszkodtak a szokásaikhoz, a jól bevált hunglish kifejezésekhez. Mégis, a magyar COBIT sokat segített a módszertan hazai elterjedésében ban szerveztünk egy rendezvényt közösségépítő célzattal a tagoknak, a sóskúti lovastanyán körülbelül 40 ember részvételével. Ezt nem sikerült folytatni. De az elmúlt két évben a szakmai rendezvények sokat fejlődtek, a legutóbb 150-en is részt vettek. Több alkalommal eljutottam nemzetközi vezetői értekezletekre, 2006-ban Nairobiban, Kenyában voltam, itt sikerült Gézának és nekem egy finn kollégával együtt kezdeményezni a nemzetközi honlap továbbfejlesztését, melyre egy munkacsoportot is alakítottunk. 1-2 éve több új funkció megjelent és a közelmúlt eredménye, hogy a nemzetközi ISACA honlapján lehetővé vált a Chapterek saját aloldalainak megjelenítése. Ez volt szerintem a legfontosabb javaslatunk Gézával Nairobiban. Kisemberként is lehet hatni a nagy dolgokra. Mindenki számára javaslom, önkéntesként csatlakozzon nemzetközi munkacsoportokhoz! A másik vezetői megbeszélésen, amin részt vettem, 2008-ban Rómában volt. Ott ismertem meg az IT-audit minőségbiztosítás témakörét a német példa alapján, ami azt jelenti, hogy a CISA minősítéssel rendelkező emberek által készített ellenőrzések minőségét független vizsgázott szakember megerősíti. Ez azt bizonyítja, hogy az IT-ellenőr a szabványok szerint minőségi, alapos munkát végzett. A római megbeszélés után indítottunk itthon egy munkacsoportot Vasvári Gyuri bácsival, Erdősi Péterrel és Bartók Sándorral együtt, aminek most lett meg az eredménye januárban. A vezetőségnek beterjesztettük elfogadásra. Fontos lenne, ha Magyarországon is az ellenőrzési szabványok szerinti, minőségi munka könnyebben megkülönböztethető lenne attól, ami nem az. A könyvvizsgálói és a belső ellenőri szakma már eljutott erre a szintre. Az ISACA jövője szerintem sokban múlik azon, hogy mennyire leszünk képesek nyitni az IT-irányítási szakemberek illetve a kockázatkezelők felé erősítve ezzel az egyesület tagjainak létszámát. Továbbra is erősíteni kellene a szakmán belüli érdekérvényesítést, hogy ne csak azoknak legyen tudomásuk az információkról, akik tagok, hanem például egy pénzügyi vezető is legyen tisztában azzal, hogy milyen szaktudása van egy ISACA-s minősítéssel rendelkező szakembernek, és hol tud számára értéket teremteni. Elsősorban a pénzügyi és gazdasági szakembereket, vezetőket kell jobban elérnünk. Másik hasonlóan fontos terület még több kolléga bevonása az egyesület működésébe, a szakmai műhelymunka folyamatába. Alapvető célnak tartom az egyesület vonzerejének növelését plusz szolgáltatások kialakításával. A nehéz gazdasági helyzetben mindenki jobban megnézi, hogy mire költ, így sokan léptek vissza a tagságtól, mert ebben a szituációban megváltozott az ár-érték arány. Az elmúlt évekre az is igaz ugyanakkor, hogy folyamatosan nőtt az ISACA taglétszáma. Bízom benne, hogy vezetőségi tagként az előbb felsorolt célokért dolgozhatok ismét. Hazánk szempontjából az ISACA módszertani anyagainak hasznát akkor élvezhetnénk igazán, ha a bankok mellett a gazdaság minél több szereplője számára kézzel foghatóvá válna. Jelenlegi munkám során arra törekszem, hogy az államigazgatás és az állami vállalatok számára mielőbb eljusson ez a tudás, és oktatóként több felsőoktatási intézményben (BGF, PTE) próbálom a hallgatókat az IT-kontrollok szépségeivel megismertetni. Örülnék neki, ha a 30. évfordulón már az eredményeket kellene csak sorolnunk. 18

19 CYBER DEFENSE FRAMEWORK BIRÓ LÁSZLÓ 1972-ben szerzett műszaki tanári oklevelet. Műszerfejlesztő a Telefongyárban, rendszerprogramozó, programozási vezető, majd CIO a Budapesti Zöldértnél től 1994-ig programozási osztályvezető majd CIO a BHG-ban től 2000-ig CIO az ELMŰ-nél, majd IT-biztonsági vezető az Allianz Hungáriánál. Jelenleg az MKB Biztosítási Üzletágának ITbiztonsági vezetője től CISA, 2004-től CISM, 2009-től pedig CGEIT minősítése van ben szabadalmat kapott Digitális jelfeldolgozású elektrokardioszkóp témában. Rendszeres előadója a Hacktivitynek. A CISA-vizsga egy, már meglévő tudásra épül, tehát nem új tudást, hanem egy új nézőpontot ad. A fejlesztőt, az üzemeltetőt, a megrendelő majdani felhasználót egy számítógépes rendszer kultúrájában más és más szempontok vezérlik; egyrészt a határidők, másrészt, hogy a lehető legkisebb energiabefektetéssel üzemeltethető rendszer alakítsunk ki. Tehát lehetőleg operátormentes legyen, automatizált legyen és minél több feladat háruljon át az automatizmusokra. Ehhez képest, amikor egy rendszert auditálhatóvá kell tenni, az elsődleges szempont, hogy legyen egy jól definiálható követelményrendszer, ezután fel kell építeni azokat az eljárásokat, amivel majd ellenőrizni tudjuk, hogy valóban azt történt a rendszerünkben, amit leírtunk. Ezeket egyébként auditálási útvonalaknak nevezik. Ezeknek a kialakításában jelent bizonyos segítséget az a módszertan, amit az ISACA fejlesztett ki. Nem tartozik az egyszerű dolgok közé egy meglévő rendszer audittrailjeinek utólagos kialakítása. Viszont ismerve ezeket az auditálási szempontokat a rendszer fejlesztése és definiálása során figyelembe veszem, hiszen a fejlesztés fázisában gyakorlatilag még ingyen építhetők be. Ehhez ad támpontokat az ISACA-nak a módszertana a COBIT. Nagyon sok előadást tartottam már, viszont dacára az auditálási, irányítási minősítéseimnek, én a rendszerközeli, hardverközeli dolgokat szeretem jobban. Ezekkel a témákkal foglalkozom szívesen, és az ezzel kapcsolatos biztonsági kockázatokról szeretek előadni többek között az ISACA keretében is. Legutóbbi előadásom témája is ezzel a témakörrel foglalkozott, melynek címe Cyber Defense Framework volt. A számítógépes védelmi mechanizmusokat keretbe foglaló rendszerről szólt. Ez egy nagyon érdekes történet szeptemberében Monsban, a NATO európai főparancsnokságán voltam, ott tartottak egy információbiztosítási konferenciát. Volt egy azonos című előadás, ami ezzel a védelmi mechanizmussal foglalkozott. Ez azért volt érdekes, mert egy hasonló formalizmust illeszt rá a számítógépes támadások kezelésére, mint az üzletmenet-folytonossági terv. Például váratlan események bekövetkeztekor ez az eljárás ad egy forgatókönyvet, ami megmutatja az irányelveket, ad egy vezérfonalat, aminek az a célja, hogy minél kevesebb improvizációs elem legyen. A dolog érdekessége az, hogy Észtországi fővárosában, Tallinnban van egy úgynevezett tudásközpont, ami ezzel foglalkozik. Magyar tagjai is vannak és a vezetésben is vannak magyar kollégák, tehát mindenképpen érintettek vagyunk. Ez nem egy NATO-szervezet, ez egy non-profit társaság, amit a NATO is támogat és az eredményeik szabadon felhasználhatóak. Nagyon színvonalas publikációik, kiadványaik vannak. Sajnos, ezek az anyagok jelenleg nem épülnek be a magyar számítástechnikai kultúrába. A számítógépes támadásoknak struktúrája megváltozott, és a súlypontja eltolódott. A számítógépes csintalankodás nem új keletű, 19

20 fejlődését tekintve több korszakra osztható. A kezdetekben valaki rájött valamire a számítógéppel kapcsolatban, például megviccelte a kollégáját vagy a főnökét. Ha már bejutott a rendszerbe, hagyott is valami nyomot, amire büszke lehetett, hárfázott kicsit a volt főnöke vagy a kollegája idegein. Ez a játék a későbbiekben komolyabbra fordult. A folyamat kezdett átalakulni üzletszerűvé, például ügyféllistákat, bankkártyaadatokat szereztek meg azok az emberek, akik bejutottak egy rendszerbe, és pénzért árusítani kezdték ezeket az információkat. És ez még csak a második lépcső volt a számítógépes támadások fejlődéstörténetében, mert a következő harmadik korszakban már állami terrorizmus szintjén folytatódtak ezek a folyamatok. A súlypont annyira eltolódott, hogy például kulcsfontosságú államigazgatási, katonai információkat szereztek meg, vagy a kommunikációs hálózatokat bénították meg, infrastruktúrákat rongáltak meg. Konkrét nemzeti irányítórendszereket támadtak meg. A számítógépes támadások új szereplői a titkosszolgálatok voltak ben Farewell titkosügynök segítségével a mai Oroszország egyik legfontosabb gázvezetékét robbantották fel. A ma már részben ukrán felügyelet alatt álló úgynevezett nyugat-szibériai, vagy más néven Transz-Szibéria gázvezetéket számítógépes eljárással, szinte távirányítással tették tönkre. Olyan gázlengést idéztek elő a rendszerben, aminek egy robbanás lett a vége, a világtörténelem legnagyobb nem nukleáris - robbanását idézve ezzel elő, ami még a világűrből is látható volt. Egyre keményebbek lettek a módszerek ben a STUXNET vírus megtámadta az iráni Natanzba telepített nukleáris létesítményt, ahol urándúsítás folyt, és rábírta a ultracentrifugákat, hogy elpusztítsák önmagukat néhány óra leforgása alatt. Ez az első digitális fegyver, amely geopolitikai fontossággal bírt. Ez a számítógépes támadóprogram megváltoztatta a hadviselés módját. A támadási technikák megváltoznak, olyan eszközök kerültek be a gyakorlatba, ami legális, hivatalosan is beszerzett programokba is beépíthető és így senki nem tudhatja, hogy a megvásárolt dobozos szoftver nem tartalmazza-e valamelyiküket. Egy normál felhasználásnál nem okoznak semmi problémát és csak bizonyos működési paraméterek együttállása esetén aktivizálódnak. Élesen elkülönült a rendszertervezői és a programozói munka, és ez azt jelenti, hogy aki írja a programot, az nem tudja, hogy ő egy fegyvert ír. Így a támadás kiszámíthatatlan időben indul. A hagyományos vírus- és behatolásvédelmi rendszerek hatástalanok ezekkel szemben. Emiatt a hagyományostól eltérő, unortodox módszerekkel kell fellépni, a használatba veendő programok működési mechanizmusát kell vizsgálni. Teljesen más megközelítés, módszertan kiépítésére van tehát szükség, és ebben tud segítséget adni a tallinni tudásközpont. A fejlesztői és üzemeltetői háttérrel rendelkező ISACAszakemberek elsődleges feladatának tehát azt tartom, hogy a hazai számítástechnikai-informatikai kultúrába beépítsék azokat a szemléletmódokat és ismereteket, amelyek a megváltozott környezetben is lehetővé teszik a biztonságos és gazdaságos rendszerek létrehozását. 20