Informatikai biztonság hazai KKV szektorban, mi az reálisan megvalósítható lenne

• Költözzenek cloud-ba, lehetőleg managed service szolgáltatásokat használva
• Kövessék a Zero Trust paradigmát - amennyire lehetőség van rá 
• Dokumentálják le a folyamatokat, a későbbiekben pedig ragaszkodjanak ehhez, akkor is ha ez ellenkezést vált ki a többségben
• Szánjanak időt (pénzt) az IT, felhasználók és vezetők targetált oktatására

Szerintem ezekre a kérdésekre nem fogsz 10-20 mondatos választ kapni. Még az 10000 mondat is kevés lenne.

Egyrészt ami működik enterprise szinten, az nem biztos, hogy KKV szinten is - lásd: IDM toolok, PIM szeparáció. Másrészt az IT biztonságnak is rengeteg alterülete van. Én azt gondolom, hogy KKV IT biztonság címmel lehetne írni egy könyvet. Amolyan sorvezetőként, hogy milyen részterületek vannak, mikben lehet elmélyülni, mik azok a kulcsszavak, amelyekre rákeresve körbe lehet járni a témát.
Mindazonáltal IT security téren is van az elméleti és a gyakorlat. Jelentősen elválnak egymástól.

Hogy csak egy konkrét témát említsek: PKI. Ilyenkor legszívesebben odaadnám a Nagy e-szignó könyvet (letölthető: https://static.e-szigno.hu/anyagok/nagy_e-szigno_konyv.pdf) legalább az alapok elsajátításához. Utána lehet tovább menni jogi szempontból (pl: eIDAS, eID), illetve technikai szempontból (pl: Melyik szoftver hogyan támogatja az átállást jelszavakról tanúsítványokra; Kik/mik a PKI nagy kerékkötői; Milyen fallback megoldások vannak, ha a PKI "összedől").

Vagy másik téma: DRP, BCP, RTO, RPO. Ha valaki soha nem látott még ilyet, akkor nehezen tudja elképzelni, hogy kb. milyen tartalmi követelményeknek kellene ezeknek megfelelni. Egy általános sablont gyártani pedig nehéz és rizikós is - sokan képesek csak lemásolni és nem testre szabni az adott cégre nézve. Vagy teljesen életszerűtlen értékeket beleírni - pl: 10 perces RTO, 1 perces RPO minimális éves IT költségvetés mellett.

LOL. :) Jellemzően pénz, akarat, meg elszántság nem szokott lenni, hogy rendesen betartsanak szabályokat. Ha az alábbiak megvalósulnak, az már kisebb csoda, és egy nagyon komoly lépés a nyugalom felé. Mind egyszerre, nem fontossági sorrendben.

1) Rendesen frissített, és aktuális támogatással rendelkező OS-ek használata. (Ugye egy utolsó Win XP is frissített...) Nem mellesleg egyszerű felhasználói accounttal történő használat.

2) Valamilyen épkézláb végpontvédelem. Ez ellen lehet ágállni, de egyre jobban látni, hogy kell.

3) Relatív szigorú tűzfalazás, és még csak egy sima csomagszűrő megoldásról beszélünk, ami akár egy mikrotik is lehet. Ugyanitt a hálózati erőforrások megfelelő védelme, hogy csak úgy bárhonnan ne lehessen mindent elérni, mert az jajjdeegyszerű, és ne fárasszanak már ilyennel, hiszen miért pont ide jönne bármi, nem vagyunk érdekesek... Wifi hálózaton a vendégek számára külön szeparált wifi, és NEM kiadott wifi jelszó a normál irodai wifihez. Bónusz valamilyen biztonságot segítő DNS (mint a Cloudflare family) beállítása.

4) A hálózati megosztásoknál komolyan vett "minimum szükséges jogok" elve. Hatalmasat lehet veszekedni egy "okos" fővezérrel, hogy ő miért van korlátozva, hiszen az ő cége... Pont ezért van korlátozva, hogy ne üzemeljen SPOF-ként.

5) Rendesen működő, és offline ÉS offsite mentések megléte.

+1) A mindenféle random saját eszközök IS a vendég wifit használják, akár mac address alapon kizárni a nemcéges, vagy akár a nemmenedzselt eszközöket.

Ha még ezen felül is hajlandóan bevezetni valami, és rendesen betartani, és betartatni, az óriási öröm. Egyébként minden fenti akkora maceraként rakódik, hogy vagy "nincs rá keret", vagy relatív hamar fellazul, és csak most gyorsban meg kell oldani...

"A biztonságos üzemeltetés, vagy informatikai biztonság megteremtése is hasonló valahol, lehet nagyban vannak kiforrot dolgok, eljárások amikkel nem találkozunk, holott ha nem is úgy mint nagy helyeken használják, de át lehetne venni."

Na ez egy érdekes dolog. Az OE-n Mérnök.infon nem tanítják, de gazd.infon igen (informatikai biztonság, információ biztonság, it audit, infrastruktúra menedzsment tárgyak ölelik fel).

Ez egy csudi jó téma! :D

Feljebb említette STP az alul tőkésítettséget, szigorúan csak pénzügyi szempontból. Ha csak ennyi lenne a "baj", akkor az elvileg megoldható lenne több pénzzel. Ehhez képest a valóság sokkal prózaibb. A KKV-k működési sajátossága az állandó, relatív erőforrás hiány. Ez azonban nem csak a pénzhiányt jelenti, hanem a humán erőforrások korlátozottságát is. Kevés az élő munkaerő, de az legalább "túlterhelt". Ebből következik, hogy az informatikai "rendszert" nem lehet a nagy könyv szerint üzemeltetni, mert soha sem lesznek adottak hozzá a feltételek.

A másik tényező, ami ez ellen hat, az a költség gazdálkodás. Egy KKV csak korlátozottan tudja érvényesíteni a szolgáltatásainak/termékeinek az árában a felmerülő költségeit. Egy KKV a méretéből adódóan nem tud a piacon árbefolyásoló tényező lenni, csak azzal, ha "olcsón" dolgozik. Ebből adódóan az elérhető bevételei felülről elég korlátosnak mondhatóak.

A fenti kettőből következik, hogy bármiféle újításnak akkor van értelme a KKV esetében, ha az konkrét erőforrás megtakarítással jár. Hiszen csak így tud életképes maradni egy KKV. Ez egyszerre tud előny és hátrány is lenni, ennek felismerése pedig a vállakozás vezető feladata és felelőssége.

Ahogyan többen is írták, igazából a fillérbasz*s a legnagyobb probléma.

Ezen felül - végtelen tisztelet a nagyon kevés kivételnek - a legtöbb KKV bizony nem valós piaci alapon működik, hanem a "mutyi business"-ből tartja fenn magát. Ezeknek pedig minden esetben a haver/rokon fog 'megoldásokat' szállítani (de leginkább pénzt kimenteni), nem pedig hozzáértők.

De ha ettől eltekintünk, és optimisták vagyunk:

Mivel céges infrastruktúrát biztosan nem tudnak fenntrtani, így én (is) felhős irányba terelném őket.

Első sorban a céges levelezést.

Mivel ez szinte biztosan oultook-ot jelent, amivel eleve egybe jár online Office,  Teams, stb.

Esetleg ugyan ezt céges googli szolgáltatásokkal kiváltva.

Ezzel a legtöbb KKV alapvető igényeit maximálisan ki lehet szolgálni.

Ez nyilván nincs ingyen, de azonnal szétválasztható a céges/magán használat, anélkül hogy céges infrastruktúrát kellene megvenni és fenntartani.

Cserébe internet kell hozzá, ami a gyakorlatban biztosan azt jelenti, hogy a dolgozóknak céges mobilnet kell(het)

Ha innentől ide tudod terelni az összes céges adatot, azzal máris sokkal előrébb vagy, mert:

- mindegyik támogat MFA-t, ami manapság must have.

- jó esetben nem lesz szükség arra, hogy lemetsen mindenki a saját gépére mindent is.

- backup megoldást is egyzerűbb mellé tenni, mint random összevissza tárolt adatokhoz.

És akkor ezután jöhet a 'nevelési' része, hogy megtanulják (és betartsák) hogy nem forwardoljuk a céges levelet a magán címre, nem random cseten bezsélgetünk üzleti támákban, és az ügyfeleket is a céges mail/cset/filemegosztás-ra tereljük azonnal.

A hibákat is látom, nagyon sok helyen (nem csak KKV)

- a hirtelen kitalált security policy-k nem betarthatóak.

- túl kényelmetlen/lehetetlen a céges eszközökkel/szoftverekkel dolgozni, így magánra terelődnek.

- a főnök (és sleppje) kivétel, nekik mindent szabad, és mindenhez root hozzáférésük van.

Dokumentáljátok le a folyamatokat. Annyit amennyire pénz van.
A dokumentálásból már világítani fog a "merre tovább".

Ha az iparkamarai „hozzájárulás” (11 évnyi) összegének töredékét elköltötték volna mondjuk „KKV optimalizált” teendő/naptár/ERP/CMS/... rendszer szolgáltatás kialakításra - mondjuk csak olyan szinten, mint a NAV-os számlázó - akkor egyrészt a témaindító kérdéseinek egy része fel sem merült volna, másrészt azt tudná mondani az ember, hogy van értelme fizetni a sarcot. Mert így csak a Q anyukájuk jut az eszembe minden évben.

200TB saját szerveren, ami bombabiztos és önmagát üzemelteti. Ez a valódi pr0n a hup népe számra :D

Az itt elhangzottak alapján: a felhő szolgáltatásoknak elvitathatalan előnyei vannak, és olyan árakat csak abban a méretben lehet elérni, ergo ha valakinek kisebb felhő kellene de ugyan olyan minőségi, szolgáltatási szinttel, akkor baromi drága lenne. Vagy lehet nem is megoldható.

Nagyon sokan írtok az on-prem ellen, és megértem az érveiteket, sőt, egyet is értek. De azt gondolom, hogy aki így nyilatkozik, az nagy cégnél vagy nagy cégnek dolgozik, és nem él napi szinten a kis cégek, magánvállalkozások világában.

KKV szinten (magyar KKV amikor a "kis" pár főt, a "közepes" max. pár 10 főt jelent az átlagembernek) én nem ismerek olyant, aki akár O365-öt sikeresen üzemeltet, kihasználva a képességeit. Bővebben: attól, hogy leveleznek benne, meg a Drive-ba mentegetnek a telepített Office progikkal, még nagyjából semmi nem lesz megoldva, kicsit jobb csak, mint az asztal alatt zúgó microserver. Ugyanis ha letörölnek valamit, már nem tudja senki, hogy az nem veszett el, azt meg pláne nem, hogy honnan lehet elővenni. Így még nincs mentés, nincs archiválás, nincs jogosultság kezelés, nincs DRP, nem ITIL alapú a problémakezelés, stb. Nem tudnak felhőt váltani, hogy ha a másik olcsóbb lenne-többet nyújtana, mert vendor lock-in van, mert senki sem tervezte meg a felhőbe költözést, így nem lettek kizárva a nem mozgatható egyedi szolgáltatások. Stb.
Ezekhez hozzá értő ember kell, hogy életre keljenek a felhős szolgáltatásban lévő lehetőségek. Azt is működtetni kell, szakértelem kell, csak nem úgy, nem az, mint az on-prem szervernél. A probléma itt jön: a magyar KKV-nél nincs ilyen ember, külsősnek meg nem fizetnek ezen feladat ellátására, hiszen pont az on-prem rendszert (és annak üzemeltetését) váltották ki a felhővel... Emiatt aki rendszergazda/külsős szolgáltató, az sokszor nincs teljesen tisztában ezekkel a rendszerekkel, mert nincs kiért-miért megtanulni. Persze itt is igaz, hogy fejlődni érdemes, ismeretlen területen is, de ez akkora falat, hogy a legtöbben nem vágunk bele nagyon nyomós ok nélkül. Az pedig az üzlet lenne, ami egyenlőre nincs benne KKV szinten.

Én részemről nem látom az utat, hogyan tudnánk a KKV ügyfeleknek úgy felhős szolgáltatás-csomagokat eladni, hogy aztán majd azt üzemeltessük és azért fizessenek. Ez melóban-hozzáértésben nagyjából egy jó rendszergazda szintje (nem, nem terhelésfüggő geo-redundáns K8S rendszerre gondolok felhő címszó alatt jelen témánál). Tudom, hogy ez a jövő, de nem látom az oda vezető utat, mert amíg nem fogják fel az ügyfeleink, hogy ehhez is érteni kell és szükség van továbbra is szakemberre (csak nem úgy, nem ugyanarra), addig itt figyelünk majd a "nagy váltás" után jó ideig munka nélkül, az ügyfelek meg rég nem látott problémákba futnak, amit addig az on-prem esetén megoldott az üzemeltetés, ami akkor épp nem lesz, mert "hát ezért fizetünk a felhős cégnek, nem?"....

Mi pl. csináltunk saját levelező szolgáltatást, hogy az ügyfeleinknél meg tudjuk szüntetni a helyi levelező szervereket, amit baromi sok munka jól üzemeltetni mostanra. Ez egy olyan terület, ahol alacsony ügyfél igénnyel még megvalósítható kicsitben a "felhős" szolgáltatás. Persze felhős irodai szoftvert meg tárolási megoldást nem kezdünk el valószínűleg fejleszteni (pontosabban összerakni meglévő elemekből), az sokkal nagyobb falat, és ott a kezdő igények is jóval magasabbak. De nem látom a tövábblépést ezen a téren.

Emiatt engem is nagyon foglalkoztat az itt felvetett téma, hogy a fenyegetések ugyan olyan durvák a kis cégek számára is, és nekünk, Őket kiszolgálóknak fel kell nőni ehhez, kényszerből. Fejleszteni kell a biztonságot, hogy amíg nem akarnak/tudnak felhőbe költözni, addig se legyen olyan óriási szakadés a felhő megbízhatósága és az on-prem rendszer között (persze ezen a szinten nézve, nem objektíven/abszolut értéken). Ráadásul e mellett bele kell folyni a felhős szolgáltatásokba, hogy majd ha oda jutunk, akkor az ügyfélnek is, nekünk is zökkenőmentesebb legyen a váltás. Ez a biztonsági tudás pedig ahhoz is jól fog jönni, mert a felhő ugyan nagyvállalati kultúrával működtetett dolog, így meg kell azt értenünk annak ellenére, hogy nem ott és nem nekik dolgozink, hanem a kicsiknek.

"Tekintsünk el attól, hogy Mo ez az utolsó amire pénzt szánnak míg nincs baj, hogy az ügyvezetőknek fejben nagyon nincs ez meg"

Ezen vezérelv mellett az erősen limitált költségvetés nagy részét biztonsági mentésre kell költeni.

Egy kicsi KKV rendszer elég gyorsan visszaröffenthető mentésből, aztán a tulaj majd véiggondolja, olcsóbb -e 1-2 évente 1-2 napot állni, vagy megtérül ha beruház a biztonságba.

Simán kijöhet az is, hogy olcsóbb az évi 1-2 nap állás, ha nincs (jelentős) adatvesztés. :) A lényeg hogy legyen jól dokumentálva mi, hogyan van mentve, és hogy kell visszaállítani.

A biztonság leginkább módszertan és folyamat.

Az onprem és a cloud eszközök. Mindekttőt lehet biztonságosan és nem biztonságosan használni.

TCO mindenre számolható - persze számolni tudni kell.

Vallással (világuralomra törő multicég/csippelő billgéc konteóhívőkkel) nem érdemes vitatkozni

szerk: a biztonság hiánya nem csak adatvesztést okozhat. Egyszer volt egy esetem, ahol az illető cég 15K eurót bukott egy nemzetközi bizniszben, egy "megváltozott a számlaszámunk" típusú levél miatt. Veszett profi volt a kamu levél. Aláírás, megszólítás, minden stimmelt, benne volt a teljes levelezési előzmény. Először csak vakartuk a fejünket, hogy ezt hogyan, mert nem utalt semmi arra, hogy felnyomták volna a fiókot. Aztán megtaláltuk a roundcube-ben beállított forward szabályt, ami közel egy éve minden bejövő levelet egy .ru címre továbbított.

Ezt megfelelő oktatással és egy 2FA email fiókkal, esetleg egy profi fraud detecion szoftverrel meg lehetett volna előzni. Abból a 15K euróból tuti kijött volna  jó pár évnyi IT security költsége az amúgy nem túl nagy létszámú cégnek.