„A leggyengébb láncszem e rendszerben az ember” - Krajczár Róberttel beszélgettünk

2018. június 05.

Krajczár Róbert a Biztributor key account managere, valamint a DIP Kerekasztal legaktívabb tagja, így tapasztalatból is mondhatjuk: rendkívül tájékozott az online biztonság kérdéseiben. Ugyan az üzletben és a magánéletben is a személyes találkozásokat preferálja, élete nagy része mégis az internetről szól, hiszen IT biztonság profilú cégnél dolgozik. Megkérdeztük tőle, milyen incidensekkel találkozott mostanában, miből származhat baj, és hogy mit tehetünk online biztonságunk érdekében… közben pedig az is kiderült, hogy a munkáján túl a feleségét is az online világnak köszönheti.

DIP: MIKOR, MIÉRT KEZDETT EL ÉRDEKELNI AZ IT BIZTONSÁG, AZ ONLINE BIZTONSÁG?

KR: 1984 óta foglalkozom számítástechnikával, már gyerekként érdekelt a programozás és egészen magas szintig jutottam. Megalapozta az életemet ez az irány, de a hardver felé fordultam, jobban megfogott maga a vas, a különböző eszközök és a számítógépek. Középiskolában informatikusnak tanultam, majd andragógia szakon diplomáztam, aztán 7 évig egy nagy rendszerintegrátor cégnél dolgoztam, ahol sokat fejlődhettem. Közben felfedeztem, hogy az informatika, az IT hatalmas űr a cégeknél, kellemetlen és haszontalan kiadásnak számít, nem érzik a fontosságát. Maga az IT is fekete bárány, az IT biztonság meg végképp! Elmagyarázni egy vezetőnek, hogy milyen veszélyek leselkednek rá, az gyakran majdnem olyan, mintha egy gyereknek akarnád elmagyarázni. Dacosak, nem akarják tudni, nehezen értik meg, miről szól az IT biztonság. Az IT vezetés érti, de a pénz felett nem ők rendelkeznek. A kiberbűnözők pedig szinte azt csinálnak ezen az elhanyagolt területen, amit akarnak. Ha egy felhasználóval nem történik baj, akkor az többnyire nem azért van, mert remekül védett, hanem mert senkinek nem áll érdekében hozzá betörni, vagy már bent vannak, csak (még) nem használják fel a talált információkat. Már a bűnözőké, csak addig nem bántják, amíg nincs szükségük adatokra. De lesben állnak.

DIP: MILYEN LENNE A HELYES HOZZÁÁLLÁS?

KR: Olyan ez, mint a tűzvédelem. Nem az a lényeg, hogy el tudjuk oltani a tüzet… meg kell akadályozni! Az incidenseket is meg kell akadályozni. Persze ki kell dolgozni a folyamatokat arra az esetre is, ha tűz volt, például a helyreállításhoz. Ha valakihez betörnek és ellopják ügyfelei adatait – melyeknek a fekete piacon jó ára van –, felelősségre vonható, amennyiben nem védte azokat kellőképpen. Nem elég leírni, mi a teendő baj esetén, az is feladat, hogy ne legyen baj! Nagy probléma, ha valaki nem tesz meg mindent. A jelenleg mindenki által rettegett – GDPR – jogszabály lényegében úgy szól, hogy mindenkinek a kockázati szintjéhez mérten kell megtennie az intézkedéseket. Más a helyzet például egy pékség esetében, amely három ügyfélnek ad számlát és ezeket az adatokat kell megvédenie, és más egy webáruháznál, ahol rengeteg terméket árusítanak és temérdek személyes adatot kezelnek. Előbbinél sokkal kisebb a kockázat. A legerősebb a pénzügyi szektor, hiszen senki sem szeretné, hogy kiderüljön, mennyi pénze – vagy hitele – van a bankban.

100%-os védelem nincs, nem feltétlenül lehet megelőzni a bajt, de minden cégnek minden tőle telhetőt meg kell tenni. És arra is tudni kell reagálni, ha nem sikerült. Jól jöhet például egy olyan rendszer, ami észreveszi, ha bejutnak a kiberbűnözők egy gépbe és azonnal leválasztja ezt a gépet a hálózatról, elkülöníti, és visszagöngyölíthetővé teszi az ügyet: mi történt, mit vittek el, mit csináltak, mit próbáltak meg. Mint egy nyomozásnál.

DIP: MIKOR FEDEZTED FEL AZ ÁTLAG FELHASZNÁLÓK VÉDTELENSÉGÉT?

KR: 20 évvel ezelőtt internetszolgáltatással foglalkoztam, akkoriban kezdtek el vidéken internetet szolgáltatni a TV-hálózatokon keresztül és egyre több háztartásba eljutott a viszonylag szélessávú internet. Azt tapasztaltam, hogy rendkívül védtelen volt minden. Egy egyszerű, internetről letöltött programmal bárkinek a gépébe be lehetett törni és bármihez hozzá lehetett férni, szinte nulla tudással. Ehhez képest ma már bonyolultabb a helyzet, hiszen létezik router, tűzfal, végpont védelem (amit vírusirtónak hívnak, de már nem az, mert abban is van több szintű védelem). Ma már egyre több ember védi magát valamilyen módon.

DIP: EGY LAIKUS HOGYAN TEHETI A LEGTÖBBET ONLINE BIZTONSÁGÁÉRT? EZ TECHNIKAI DOLOG ÉS VALAMILYEN ESZKÖZT, APPLIKÁCIÓT ÉRDEMES BEVETNI, VAGY INKÁBB TUDATOSSÁG KÉRDÉSE? LEGYÜNK PUSZTÁN ÓVATOSAK, PÉLDÁUL ADATAINK MEGADÁSAKOR? MI A KULCS?

KR: Nagyon nehéz azt mondani, hogy műszaki, vagy tudatossági kérdés. Ahogy a DIP javaslataiból is látszik, ez mind fontos. Hozzám a technikai dolgok állnak közelebb – személyes érdeklődésből és munkából kifolyólag is –, de alapvetően maga a tudatosság is kulcsfontosságú. Nézze meg az ember, mire kattint rá, ne vaktában tegye! Az IT biztonsági szoftverek, hardverek nem védenek az emberi hülyeség ellen. Szerintem a leggyengébb láncszem e rendszerben az ember, bár már erre a problémára is léteznek megoldások.

Én már a Facebook-on is egyre ritkábban nézem meg a küldött videókat, még a saját húgom videóit sem, mert tartok tőle, hogy megfertőzte egy megnézett videó és az ő nevében küldi egy vírus. A Facebook-kal egyre több a probléma és nem szeretnék áldozatul esni, küldje inkább pl. Viberen, abban jobban megbízom. Nem is beszélve az adathalász levelekről! A statisztikák szerint a kibertámadások kb. 92%-a adathalász levéllel kezdődik, azon keresztül jutnak hozzá információkhoz, vagy indítanak el zsarolóvírus kampányokat. Ilyen volt például a felkapott WannaCry is.

DIP: MILYEN ESZKÖZÖKET AJÁNLSZ AZ ONLINE VÉDELEM ÉRDEKÉBEN?

KR: Manapság mindenkinek van otthon routere. Ezen kapcsoljuk be a szolgáltatásokat is, például a tűzfal szolgáltatást! Wi-Fi jelszónak pedig ne buksi123-at adjunk meg, amit bárki kitalál, hanem legyen bonyolultabb! Szokták mondani, hogy ne használjunk egyforma jelszót, ám sok variációt sem egyszerű megjegyezni, de azért variáljunk! Formáljunk különböző szintű jelszavakat! A banki jelszó legyen nehezebb, legyen más, mint a Facebook-é. Ahol nem adok meg személyes adatot, ott elegendő egy egyszerűbb jelszó, míg ahol pénzről van szó, ott érdemes bonyolult kombinációt megadni. Használhatunk jelszó menedzser, generátor programokat is.

Mindenképpen használjunk vírusvédelmet, végpontvédelmet! Ezek alapvető dolgok. Érdemes figyelni a kártékony weboldalakat szűrő szolgáltatásokat is! Elérhetők ingyenes domain név szerver szolgáltatások, melyeket be lehet állítani a szolgáltatói DNS helyett, például a routeren vagy akár a mobil eszközökön, külön-külön gyerekeknek és felnőtteknek is. Nálam például ez is fut.

DIP: SOKAN TALÁN AZT GONDOLJÁK, HOGY MIVEL VAN VÍRUSIRTÓJUK, ÍGY VÉDETTEK. VELÜK HOGYAN LEHET ÉRZÉKELTETNI, MEKKORA A VESZÉLY?

KR: Például az egyik forgalmazott termékünkkel, a PhishMe szimulátorral, amivel be lehet ugratni az embert, tesztelni lehet az éberséget. Utána mindenki jobban odafigyel majd, hogy trükkös e-mailt kapott-e. Sajnos ez a termék csak vállalatok részére elérhető, de leginkább ott van szükség a felhasználói IT biztonsági tudatosság fejlesztésére. A magánszemélyek részére pedig itt van például a DIP.

DIP: MIVEL TRÜKKÖZNEK, PRÓBÁLKOZNAK MANAPSÁG AZ ADATHALÁSZOK?

KR: Az igazi adathalász kampányok mindig valamilyen apropóra épülnek, egy aktuális eseményhez kötődnek, így szívesen és gyanútlanul olvassa el az ember. Például a választások előtt kapok több tucat kampánylevelet és szívesen elolvasom a 63-dikat, mert szeretem azt a pártot és kész.

Szerintem a Facebook a legnagyobb probléma, mert ott az emberek mindenre rákattintanak, mindent megnéznek és elindítanak, így könnyen terjednek a Facebook vírusok, akár a Messengerben.

DIP: MIBŐL SZÁRMAZIK A BAJ, MI A LEGNAGYOBB PROBLÉMA?

KR: Hogy nem foglalkoznak ezzel a kérdéssel! Bármit is teszünk, a semminél bármi jobb. Ha valaki nem akar rá pénzt költeni, legalább egy ingyenes vírusirtót töltsön le, a telefonjára is! És inkább ingyeneset használjon, mint Torrentről letöltöttet! Léteznek téveszmék, hogy nagyon sok erőforrást fogyaszt, pedig minimálisat használ. (Nem a vírusírtó lassítja a gépeket, hanem a rengeteg vírus, ami a 4 processzormagból 3,5-et lefoglal.) Mindent megvizsgál, minden linket ellenőriz, jelzi zöld pipával, hogy megnézhetem. A mai vírusirtók már összetett rendszerek, olyan szolgáltatásokat is kínálnak, mint a sérülékenységvizsgálat, a központi menedzsment – azaz láthatom a családi eszközök (PC, notebook, tablet, mobil) problémáit –, a biztonsági tanácsadás, a VPN, és nem drága történetekről beszélünk. Telefonon is használom, nagyon szeretem, mert több, mint egy vírusirtó! Bármilyen alkalmazást tudok vele védeni az illetéktelen elindítás ellen is, például ujjlenyomattal.

Vagy nézzük a pendrive-okat! Amin hozni lehet adatot, azon vinni is lehet. És bármilyen fertőző dolog lehet rajta. Kínálunk egy technológiát, ami a bejáratnál leszkenneli az érkező vendég bedugott pendrive-ját. Sőt, fel is tölti a hozott fájlt, így nem kell bevinni. Ráadásul a GDPR épp a személyes adatok védelméről szól. Senkiben sem lehet megbízni, hiszen a pendrive akaratlanul is megfertőződhetett és sajnos az eredmények azt mutatják, hogy gyakran így is van.

DIP: MIT TANULSZ/TANULTÁL A BIZTRIBUTORNÁL?

KR: A Biztributor családias cég, így elvárás, hogy legyek sokoldalú, értsek több dologhoz is. Külföldi gyártókat képviselünk, forgalmazzuk termékeiket, én pedig ügyfél- és partnermenedzserként tartom a kapcsolatot a sok-sok partnerrel, ügyféllel, ezzel párhuzamosan pedig belekóstolok kicsit a mérnökök tudásába is. Ugyan nem az ő szintjükön, de rengeteget tanulok tőlük, mindent meg lehet tőlük kérdezni. Időnként belső képzést is kapunk. Az internetbiztonsággal a kiberháborúhoz, azon belül a védekezéshez szeretnénk fegyvereket adni. Ezzel foglalkozunk. Mi nem szállítjuk, hanem adjuk a fegyvert. A partnerek pedig szállítják és beüzemelik.

Nehéz egyébként e területre megfelelő közoktatást létrehozni, hiszen maga az informatika nagyon gyorsan változik. Emlékszem, miket tanultam a középiskolában... azzal a tudással ma egy múzeumba mehetnék el teremőrnek. Gyorsan elavul ez a tudás. Aki ilyen pályára készül, biztos lehet benne, hogy életfogytig tartó tanulás vár rá és ez normális is a mai gyorsuló világban. Lépést kell tartani, de jól lehet vele keresni. Ilyen az IT, és az IT biztonság. Az érdeklődésen múlik, mit tanul meg az ember. Nagyon jól működik e területen az autodidakta képzés, aztán jöhet valamilyen junior vagy gyakorlati program.

Nagy tapasztalatot szereztem és sok kapcsolatot építettem kereskedelmi vonalon is. Alapvetően emberi kapcsolatokról szól a partnermenedzsment, a szakmai és emberi résznek együtt kell működnie és akkor lehet jól együttműködni, ha találkozunk. Persze muszáj sms-ezni, chat-elni és lehet levelezgetni, telefonálgatni, email-ezni is, de inkább üljünk le beszélgetni, találkozzunk! A feleségem is rosszul van tőlem, mert nem szeretek telefonálgatni, alapvetően a személyes kommunikációt preferálom.

DIP: AZ EGYIK DIP KEREKASZTAL MEGBESZÉLÉSEN KIDERÜLT, HOGY A FELESÉGEDET ÉPP AZ INTERNETEN ISMERTED MEG. MIT TUDHATUNK ERRŐL?

KR: Manapság jövünk-megyünk és ülünk az autóban, az én korosztályom meg pláne, így nehéz ismerkedni. Maradnak az ismerkedős oldalak, amiken nem is annyira egyszerű az élet. A valóságban nem feltétlenül az az illető, akinek gondoljuk az online térben látottak alapján. Nagy szerencsénk volt, hogy egymásra találtunk, ez egészen biztos.

DIP: MIRE FIGYELJÜNK ONLINE ISMERKEDÉSNÉL?

KR: A kommunikáció a titka az egésznek, ki kell alakítani a bizalmat! A találkozót természetesen forgalmas helyre szervezzük! A feleségem például nagyon óvatos volt, mert a prémium márkás autóját nem láthattam akkor, nem akarta, hogy abból bármire is következtessek.

DIP: AZ ONLINE VILÁGNAK KÖSZÖNHETED A PÁRODAT ÉS A MUNKÁDAT IS…

KR: Valóban, és érdekes, hogy az egyik a pozitív oldala, a másik pedig épp az árnyoldalával foglalkozik.

(fotó: DIP)