1960-as évek Fizikai károkozások 1970-es évek Illegális computer használat Adatok manipulálása Tradicionális computer bűnözés megjelenése 1980-as

Hasonló dokumentumok
Az információ biztonság gazdasági, a gazdaság információbiztonsági oldala November 8.

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Web:

Sérülékenység kezelés. Komli József project manager PTA CERT-Hungary Központ

Mikroökonómia I. B. ELTE TáTK Közgazdaságtudományi Tanszék. 12. hét STRATÉGIAI VISELKEDÉS ELEMZÉSE JÁTÉKELMÉLET

Kétszemélyes játékok Gregorics Tibor Mesterséges intelligencia

Felhasználók hitelesítése adatbiztonság szállításkor. Felhasználóknak szeparálása

Az állami szabályozás alternatívái: az ön- és együttszabályozás. Muraközy Balázs Valentiny Pál VÉSZ 2012 bemutató

Szervezetek és biztonsági tudatosság - Jogérvényesítés a kiber térben

Tartalom. Dr. Bakonyi Péter c. docens. Midterm review: összefoglaló megállapítások. A A célkitűzések teljesülése 2008-ig

Dr. Bakonyi Péter c. docens

A világ legkisebb bankfiókja

Betekintés a komplex hálózatok világába

GLOBÁLIS KIHÍVÁS, REGIONÁLIS VÁLASZOK

Rasmusen, Eric: Games and Information (Third Edition, Blackwell, 2001)

Elektronikus kereskedelem

Kétszemélyes játékok

Csizmazia-Darab István Sicontact Kft. az ESET magyarországi képviselete

V. Kétszemélyes játékok

Bízzunk a felhőben! Spilák Viktor termékmenedzser KÜRTCloud Felhő kockázatok nélkül. viktor.spilak@kurt.hu június 18.

Információbiztonság vs. kiberbiztonság az okos város szempontjából. Dr. Krasznay Csaba NKE Kiberbiztonsági Akadémia

1. Bevezető. 2. Sérülékenységek

Döntési rendszerek I.

MEZŐGAZDASÁGI ÁRAK ÉS PIACOK

KÖZGAZDASÁGTAN I. Készítette: Bíró Anikó, K hegyi Gergely, Major Klára. Szakmai felel s: K hegyi Gergely június

AZ INFORMÁCIÓS TÁRSADALOM INFORMÁCIÓ- BIZTONSÁGA

Silent Signal Kft. Webáruházak informatikai biztonsága Veres-Szentkirályi András Marketingtorta - 4 1

Számadó, R. Nagy, I.: Kiberbizonytalanság

Szabályozás és ösztönzés a magyar információs társadalom építésében

MOBILITÁS VÁLLALATI KÖRNYEZETBEN MEGOLDÁS KONCEPCIÓ

Információk az árumozgás előtt, alatt és után komplex információkezelés a gyártótól a vevőig! Vatai Krisztina, Krázli Zoltán - GS1 Magyarország

IT hálózat biztonság. A hálózati támadások célpontjai

20 éve az informatikában

Az információbiztonság új utakon

VigilancePro. All Rights Reserved, Copyright 2005 Hitachi Europe Ltd.

Bevezetés. Adatvédelmi célok

Tájékoztató. Használható segédeszköz: számológép

stratégiai kutatási terve

Mi legyen az informatika tantárgyban?

Elektronikus aláírás és alkalmazási területei

Új utak az értékesítésben avagy mikor váltja be az online értékesítés a hozzá fűzött reményeket?

1 IdMatrix Identity Governance Válaszok a GDPR kihívásaira

Üzemirányító rendszerek üzembiztonsága szeminárium

Bevezetés az Informatikai biztonsághoz

A tudás hatalom új generációs oktatás az IP telefónia népszerűsítésére

Adott egy szervezet, és annak ügyfelei. Nevezzük a szervezetet bank -nak. Az ügyfelek az Interneten keresztül érzékeny információkat, utasításokat

Vezetői információs rendszerek

eidas - AZ EURÓPAI PARLAMENT ÉS A TANÁCS 910/2014/EU RENDELETE

Keleti Arthur T-Systems Magyarország Pénzvédelem a virtualitásban: Hogyan lett az egyszerű hackerből kiberbűnöző, és miért vannak nála ügyféladatok?

Vaszary János Általános Iskola és Logopédiai Intézet

Nemzeti Hálózatbiztonsági Központ. Szekeres Balázs Műszaki igazgató PTA CERT-Hungary Központ Nemzeti Hálózatbiztonsági Központ

A biztonság már közvetlen üzleti előnyt is jelent

Gondolatok a PM módszertan korlátairól, lehetőségeiről amit a felsővezetőknek tudniuk kell! dr. Prónay Gábor

REKLÁMPSZICHOLÓGIA. 1/a. TÁRSTUDOMÁNYOK és ÚJ TUDOMÁNYÁGAK

A tűzfal mögötti adatvédelem. Kalmár István ICT technológia szakértő

EUGA. EU Pályázati Tanácsadó (EU Grants Advisor) Vicze Gábor EU Üzletfejlesztési tanácsadó

Hiteles Elektronikus Archívum

Bejelentkezés az egyetemi hálózatba és a számítógépre

Informatikai adatvédelem a. Dr. Kőrös Zsolt ügyvezető igazgató

Eladásmenedzsment Bauer András, Mitev Ariel Zoltán

Információ menedzsment

Az NKI bemutatása EGY KIS TÖRTÉNELEM

TARTÓSZERKEZETEK TERVEZÉSE ÉS TŰZGÁTLÓ MEGOLDÁSOK BIM ALAPÚ PROJEKTEKNÉL

ÜGYFÉL OLDALI BEÁLLÍTÁSOK KÉZIKÖNYVE

Kétcsatornás autentikáció

Bartimex Kft. Cégbemutató

Bevezetés a kvantum informatikába és kommunikációba Féléves házi feladat (2013/2014. tavasz)

ADATVÉDELMI TÁJÉKOZTATÓ FREDERIK TECHNOLOGIES PARTNEREI RÉSZÉRE

Marketing Megfeleljen a vásárlók igényeinek nyereséges módon

MORGAN STANLEY- BME PÉNZÜGYI INNOVÁCIÓS KÖZPONT. SZERVEZETI ÉS MŰKÖDÉSI SZABÁLYZAT (tervezet) A BME VIK Kari Tanács május 19-i ülésére

DHA VÉDELMI RENDSZER EREDMÉNYEINEK STATISZTIKAI VIZSGÁLATA

Szabályozási kihívások

Szerzői jog. Szoftver 2

Értékesítések (összes, geográfiai -, ügyfelenkénti-, termékenkénti megoszlás)

Az Internet elavult. Gyimesi István fejlesztési vezető Cardinal Számítástechnikai Kft.

Folyamatoptimalizálás: a felhőalapú modernizáció kiindulópontja. Bertók Botond Pannon Egyetem, Műszaki Informatikai Kar

Dr. Erényi István

I. CRM elmélete és gyakorlata. II. Stratégiai elemek. III. Strukturális megoldások

Közigazgatási informatika tantárgyból

Beszerzés és folyamata

IP alapú távközlés. Virtuális magánhálózatok (VPN)

Az elektronikus fizetések stratégiai kihívásai

Synergon Informatikai Rendszereket Tervező és Kivitelező Nyilvános Részvénytársaság (Synergon Informatika Nyrt.) és leányvállalatai ETIKAI KÓDEX

A HORIZONT 2020 ÁLTALÁNOS JELLEMZŐI

Integrált spam, vírus, phishing és hálózati védelem az elektronikus levelezésben. Börtsök András Projekt vezető.

Mesterséges Intelligencia MI

ALAPADATOK. KÉSZÍTETTE Balogh Gábor. A PROJEKT CÍME Hálózati alapismeretek

SYNERGON ÜgymeNET TÉRSÉGFEJLESZTŐ HÁLÓZATI SZOLGÁLTATÁSOK

Bizalom, biztonság és a szabad szoftverek. Mátó Péter kurátor fsf.hu alapíttvány

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

Készült: Modern Vállalkozások Programja Megyei INFOrmációsnap Miskolc

A 365 Solutions Kft. büszke a teljesítményére, az elért sikereire és a munkatársai képességeire. Kamatoztassa ön is a tapasztalatainkat és a

A számítógép-hálózat egy olyan speciális rendszer, amely a számítógépek egymás közötti kommunikációját biztosítja.

Újradefiniált kereskedelem

A 35/2016 (VIII. 31.) NFM rendelet a nemzeti fejlesztési miniszter ágazatába tartozó szakképesítések szakmai és vizsgakövetelményei alapján.

Információs kultúra: múló divat, vagy alapvető készségek együttese?

NAGY SÁV, NAGY VÉDELEM A KIBERBIZTONSÁG MODERN FAKTORAI. Keleti Arthur Kecskemét,

Dr. Szűts Zoltán Facebook a felsőoktatásban?

MODERN VÁLLALKOZÁSOK PROGRAMJA DIGITÁLIS VÁLLALKOZÁSFEJLESZTÉS U N I Ó S F O R R Á S B Ó L

Az e-learning-től az u-learning-ig

Az Európai Unió Tanácsa A SZERVEZETT ÉS SÚLYOS NEMZETKÖZI BŰNÖZÉSRE VONATKOZÓ EURÓPAI UNIÓS SZAKPOLITIKAI CIKLUS

Átírás:

Szeile Aliz

1960-as évek Fizikai károkozások 1970-es évek Illegális computer használat Adatok manipulálása Tradicionális computer bűnözés megjelenése 1980-as évek (személyi számítógépek elterjedése) Szerzői jogok sérelmére elkövetett bűncselekmények Távolról elkövetett bűncselekmények 1990-es évek Új támadási módszerek: jelszótörők 21. század Vezeték nélküli technológiák elleni támadások

Citibank eset 1994 A Citibank Financial Institutions Citibank Cash Manager rendszerét támadták meg. Később elfogták és bíróság elé állították New Yorkban. Mintegy 10,4m USD-t tulajdonított el a peranyag szerint. A pénzt az alábbi országokban lévő számlákra utalta: Finnország, USA, Izrael, Hollandia.

Transz-szibériai gázvezeték robbanás 1982 1982-ben végrehajtott szabotázs akció eredménye az egyik legnagyobb ember által okozott nem nukleáris robbanás. Egy KGB ügynök (kódneve Farewall) 1981-ben közel 4000 titkos dokumentumot adott át a francia titkosszolgálatnak. Köztük mintegy 250 Line X ügynök nevét akik beépültek külügyi képviseletekbe. A Szovjetek egy kanadai cégtől vásárolták meg a gázvezeték üzemeltetését végző SCADA programot. A CIA közbenjárására a programban volt egy részlet ami előidézte az 1982-es robbanást, ami mintegy 300 kiló-tonna TNT erejének felelt meg.

Stuxnet vírus 2010 SCADA rendszer elleni támadás egy igen szofisztikált formája. A fertőzött gépek 58%-a Iránban volt található. Érdekessége, hogy négy 0-day sebezhetőséget is képes volt kihasználni. Kernel módban futó rootkit-et tartalmazott, mely digitálisan aláírt eszközmeghajtókra épült. Ezeket a JMicron és a Realtek tanúsítványával írták alá. Stuxnet változatja a rendszer frekvenciáját 1410 Hz, 2 Hz és 1064 Hz értékekre.

Általános problémák: Kiadások csökkentése, kutatási előrehaladás, stb. ellentétes érdekekben áll a védendő egyénekkel Példa: orvosi feljegyzések eladása, online banki ügyintézés Fontos a hírnév megőrzése, ezért nem adják ki az összesített adatokat a támadásokról Hiteles információ hiánya miatt nehezebb a tájékozódás A vevők nem mernek befektetni fizetni a jó minőségű termékre -> a rossz biztonságú termékek kiszorítják a jókat a piacon

Támadás és védekezés modellezése Személyes adatok megsértése Malware és botnetek Fizetési rendszerek biztonsága

Az információbiztonsági rendszerek tervezésénél figyelembe vették a támadók lehetséges képességeit is Az Internet elterjedésével már nem csak a képességeket, hanem a motivációkat is figyelni kell.

4 résztvevő: Kártyabirtokos Kártyabirtokos bankja (kibocsátó) Kereskedő Kereskedő bankja (felvásárló) Hamis tranzakció esetén a felelősség a körülményektől függ.

Misaligned incentives Az egyik megfigyelés, ami felkeltette az érdeklődést az information secutity economics felé a bankoktól jött. Példa: USA-ban ha az ügyfél vitatja a tranzakciót, a bank köteles vagy bebizonyítani, hogy az ügyfél csalt, vagy visszafizetni a pénzt. Az UK-ban a bankok ilyenkor azzal érvelnek, hogy a rendszerük biztonságos és az ügyfél téved. Hidden-action problémák Ha két fél szeretne üzletelni, de az egyik nem megfigyelhető tevékenységeket végez, akkor ezek hatással lehetnek az eredményre.

Externáliák Az externália egy gazdasági szereplő tevékenysége következtében felmerülő káros vagy előnyös, nem szántszándékkal okozott hatás, amely piaci ellentételezés nélkül befolyásolja egy másik gazdasági szereplő helyzetét. Az információs iparágaknak több externáliája is van. Ezek 3 fő okból befolyásolják az iparágak működését.

1. Hálózati externáliák A hálózat növekedésének az értéke lineárisan több, mint a felhasználók száma. 2. Technical lock-in együttműködés A piacok kétoldalúak lehetnek Pl. szoftver cégek fejlesztenek a Windowsnak a több vásárló érdekében, a felhasználók több Windows terméket vásárolnak, hogy hozzáférésük legyen a szoftverekhez. 3. Magas fix és az alacsony mellékes költségek kombinálása Egy szoftver első példánya több milliós költségű is lehet, míg egy következő példánya akár már közel ingyenes is.

A program helyessége függ a minimális erőfeszítéstől, amit a programozók beletesznek, míg a szoftver sérülékenység vizsgálat függhet az összes erőfeszítéstől mindenki részéről. A minimális erőfeszítésnél a legkisebb haszonköltség arány dominál. Ahogy egyre több szereplőt adunk bele, a rendszerek egyre megbízhatóbbak a total-effort esetében, de kevésbé megbízhatóak a leggyengébb láncszem esetében. Mit lehet tenni?

A szoftver cégeknek több szoftver tesztelőt kell felvenni és kevesebb, de kompetensebb programozót.

Anderson 2002-ben megmutatta, hogy a nyílt rendszerek és a szabadalmazott rendszerek ugyanolyan biztonságosak. A rendszerek nyitottsága egyaránt segíti a támadókat és a védettséget is.

A sebezhetőség nyilvánosságra hozatala hosszú távon javíthatja a rendszer biztonságát. Segít a gyártók motiválásában a javításra. Ezzel egyidejűleg alapot ad a támadásokra. Vizsgálatok azt mutatták, hogy kezdetben több a támadás, de később rohamosan csökken a sérülékenység.

Sebezhetőség piaca Segíti a vevők és az eladók közötti tényleges költséget megállapítani. Különböző szabványoknak más a minimális költsége a különböző technikai megvalósítások miatt. Bug fejpénz: Jutalmak az embereknek, akik hibákat találnak a szoftverekben. Pl. a Mozilla 500 $-t kínál egy kritikus biztonsági rés megtalálásáért.

Egy másik megközelítés lenne a biztosítás. Egy szakértő felülvizsgálja a cég informatikai infrastruktúráját és a menedzsmentjét, ezzel biztosítva az adatokat. A cyber-biztosítási piac azonban napjainkban elmaradott és kihasználatlan.

Az Internet sokoldalú felhasználása, a robbanó kereskedelem és az online vásárlások szükségessé teszik a személyes adatok fokozott védelmét.

Algoritmikus mechanizmus-tervezés A kutatók igyekeznek a hálózati protokollokat úgy tervezni, hogy a csaláson ne legyen senkinek se nyeresége. Az egyik legfontosabb kihívás az, hogyan lehet tisztességesen megosztani a digitális erőforrásokat.

Hálózati topológia és információ biztonság Nemrég volt egy együttműködés a fizikusok és a szociológusok között a komplex hálózatok elemzésére és a társadalmi interakciókra való hatásaira. Gyakran előfordul, hogy a támadó megpróbálja kihúzni a hálózatot a csomópontok vagy élek kitörlésével. Különböző hálózatok különböző robosztus tulajdonságokkal rendelkeznek. Albert, Jeong és Barab'asi megmutatták, hogy bizonyos valós skálafüggetlen eloszlású hálózatok sokkal inkább ellenállnak véletlen támadásoknak, mint a célzott támadások.

Nagyméretű projektmenedzsment Jobb technikai eszközök segítségével a nagyobb rendszerek ugyanolyan arányban lehetnek rosszabbak. Ez arra utal, hogy egy projekt kudarca nem csak a technikai okokból valósulhat meg, hanem társadalmigazdasági tényezők is közrejátszhatnak benne. A nagy szoftver-projekt hibák elsősorban túlzottan ambiciózus vezetés, homályos módosítási előírások, rossz kommunikáció miatt lehetnek. Fontos időben felismerni a jeleket, hogy módosítást kell végrehajtani. A CIO of the UK s Department of Work and Pensions a közelmúltban elismerte, hogy csak 30 %- a sikeres a kormányzati informatikai projekteknek.

Pszichológia és biztonság Szociálpszichológusok kimutatták, hogy az embereket könnyű rábeszélni arra egy csoport nyomása alatt, hogy biztonsági szempontból ne viselkedjenek megfelelően.

Az információbiztonság alapproblémájának megfogalmazását legszemléletesebben a játékelmélet segítségével adhatjuk meg. A központban egy érték, az információ áll, amelyet egyik oldalról a támadnak, a másik oldalon pedig a tulajdonos megpróbálja védeni. Mindkét fél egymástól független, egymás számára ismeretlen stratégiával igyekszik megvalósítani a szándékait. A játékelmélet nyelvén ez a szituáció a két személyes, nullától különböző összegű játékkal modellezhető. A játék kimenetele abban az értelemben nullától különböző, hogy a védő mindig többet veszít, mint amit a támadó nyer.

A játékosok racionálisak, azaz megpróbálják maximalizálni a hasznukat Játék formális megfogalmazása: G= (P,S,U) P: játékosok S: stratégia U: végeredmény (haszon)

A játékosok egymástól függetlenül a játék elején meghozzák az összes döntésüket. Mivel a játékosok többlépcsős döntéseket, azaz stratégiákat is mérlegelnek, ezért sokkal gazdagabb a statikus játékok világa, mint első látásra gondolnánk.

2 gyanúsított (együtt követtek el egy bűnt) Elkülönítés után vallatás Ha mindkettő tagad -> szabadláb Ha mindkettő vall -> börtön Ha egyik vall, másik tagad -> a valló enyhébb büntetést kap Mi lesz a játék egyensúlya? Ki mikor kerül ki jobban a helyzetből?

Van olyan lehetőség, hogy a játékosok egyszerre lépnek. Fel kell tűntetni a lépések sorrendjét. Véges irányított fa Gyökér: ahol a játék kezdődik Minden pontjához a gyökérből pontosan egy úton lehet eljutni. A gráf minden pontján meg van határozva, hogy melyik játékos lép és milyen lépéseket tehet. A fa minden végpontján egy n-elemű vektor megszabja, hogy az egyes játékosok mennyit nyertek.

A sakkban két játékos (a világos és a sötét) játszik egymás ellen. Meghatározott szabályok szerint léphetnek felváltva. Győzelem: matt Döntetlen: az egyik fél nem tud lépni, pedig a királya nincs sakkban; egy helyzet háromszor megismétlődik. Tökéletes információjú véges játékról van szó, de olyan bonyolultról, hogy eddig még senki sem tudta meghatározni a győztes stratégiát.

Ross Anderson: The Economics of Information Security, Science 314 (2006) Ross Anderson: Wy Information Security is Hard, University of Cambridge Computer Laboratory, JJ Thomson Avenue, Cambridge CB3 0FD, UK Tyler Moore and Ross Anderson: Economics and Internet Security: a Survey of Recent Analytical, Empirical and Behavioral Research, Computer Science Group, Harvard University, Cambridge, Massachusetts Félegyházi Márk Economics of Security and Privacy című tárgyának anyagai Antal Lajos: Partner Security and Privacy Services, Deloitte 2010 Andrew Odlyzko: Economics, Psychology, and Sociology of Security, Digital Technology Center, University of Minnesota, 499 Walter Library, 117 Pleasant St. SE, Minneapolis, MN 55455, USA Simonovics András: Bevezetés a játékelméletbe: vázlat, MTE Közgazdaságtudományi Kutatóközpont, 2007

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés