Mennyit ér a biztonság?

Logikai, fizikai

Mindennapi életünk során mindannyian szembesülnünk kell mindenféle kódokkal, elég ha csupán e-mailünket szeretnénk megnézni, sőt sokunknak már magához az internethez való csatlakozáshoz is felhasználónevet és valamilyen kódszavat kell megjegyezni és alkalmazni.

Nincs ez másképp abban az esetben, ha az interneten keresztül szeretnénk elintézni banki ügyeinket, vagy csak vásárolni szeretnénk valamelyik virtuális bolt kapuin belül. Ahhoz azonban, hogy az egyes tranzakciók biztonságosan, visszaélésmentesen megtörténhessenek, teljesülhessenek, nem csupán a felhasználóknak kell meghozni a megfelelő intézkedéseket.

Ahhoz, hogy egy internetes vállalkozás megfelelő védekezéssel működhessen, nem elég csupán az adatok biztonságára gondolni. Az informatikai biztonság egy komplex rendszer, amely magában kell, hogy foglalja többek között a fizikai és logikai védelmet egyaránt.

Míg előbbi a tényleges biztonsági intézkedésekre, az informatikai eszközök, és adattárolók védelmének, őrzésének megvalósulását foglalja magában, addig logikai védelem alatt a számítógépes rendszerek adatainak és programjainak bizalmasságát, sérthetetlenségét értjük. Vagyis tipikusan ez utóbbi kategóriába sorolható - a teljes felsorolástól most eltekintünk - a titkosítás, a jelszavas védelem.

Persze ebben az esetben is meg kell találni az arany középutat egy biztonságos működésre törekvő vállalkozásnak, hiszen a túlzott biztonsági intézkedések egyrészt megnehezítik a munkát, rontják az alkalmazottak hatékonyságát, másrészt sokkal nagyobb költséggel járnak, mint a bekövetkező támadásból származó kár, melyet elhárítanak. Mindig mérlegeljünk tehát, mikor vállalkozásunk informatikait rendszerének kiépítésekor, hasonló, vagy akár ugyanolyan módszerrel, mint a kockázatkelezési politika esetében.

Dióhéjban a titkosítási eljárásokról

A titkosítási eljárás menetét, az alkalmazott algoritmusokat tekintve alapvetően két típusú eljárást lehet megkülönböztetni, a szimmetrikus és az aszimmetrikus kulcsú eljárások. Ez utóbbit nyilvános kulcsú eljárásként is nevezik.

A két eljárás abban különbözik, hogy szimmetrikus esetben a titkosításhoz, majd a kódolt szöveg visszafejtéséhez azonos kulcsot használnak, míg aszimmetrikus esetben a helyzet már valamivel bonyolultabb.

Ezek az eljárások két összetartozó kulcsot alkalmaznak, melyek közül az egyik a titkos kulcs, míg a másik a nyilvános, amely mindenki számára elérhető. Így például egy nyilvános kulcs alapján titkosított szöveget a címzett csak a saját titkos kódjával tudja visszafejteni.

Amennyiben valaki más nyilvános kulcsát használjuk, meg kell arról győződnünk, hogy az nem hamis, vagy lejárt. Ezzel nincs gondunk, ha személyesen adta át nekünk a nyilvános kulcsát. Több szervezet, illetve cég szakosodott arra, hogy elektronikus aláírással hitelesítse a nyilvános kulcsot.

Az elektronikus aláírás mindenre megoldás?

A manapság egyre többek által alkalmazott elektronikus aláírás például az aszimmetrikus titkosítási eljáráson alapul.

Az arról szóló törvény alapján az elektronikus aláírás három fajtáját különböztethetjük meg. Az egyszerű elektronikus aláírás fogalmába beletartozik a mindenfajta biztonsági eljárást nélkülöző aláírás is, az is elektronikus aláírásnak minősül, ha az aláíró egy elektronikus szöveg végére írja nevét, esetleg más azonosítóját.

A fokozott biztonságú elektronikus aláírásnak alkalmasnak kell lennie az aláíró azonosítására és egyedülállóan hozzá köthetőnek kell lennie. Oly módon kell kapcsolódnia a dokumentumhoz, hogy azon az aláírást követő minden módosítás érzékelhető legyen.

Minősített elektronikus előírással szembeni követelmény, hogy a megfelelő technológiával rendelkező aláírást-létrehozó eszközzel állítsák elő. Fontos, hogy hitelesítéséről egy arra jogosult hitelesítés-szolgáltató bocsásson ki tanúsítványt.

Mennyit kell érte fizetni?

Körbejártunk az egyik minősített hitelesítő szolgáltató, a NetLock Kft. honlapján, mennyibe kerülhet egy-egy tanúsítvány.

A "B" típusú tanúsítvány alanyát már szigorúbb ellenőrzési lépések során azonosítják, s használata közepes kockázatú tranzakciókhoz, online szolgáltatások igénybe vételéhez, és szoftver források ellenőrzéséhez ajánlott. A felelősségbiztosítás értékhatára ebben az esetben 500 ezer forint.