majtan

Jan Majtan vezeti a kiberbiztonsági részleget a beruházási és informatikai miniszterelnök-helyettes hivatalában.

Pozsony, március 10. (TASR) - Banki és alkalmazott informatikai tanulmányokat folytatott a bécsi és az amszterdami egyetemen. 1999-ben csatlakozott a bécsi CA Bankvereinhez digitalizációs és informatikai projektekben, majd vezető pozícióban dolgozott a bankszektorban. Később igazgatóként és tanácsadóként dolgozott az informatikai biztonságra, a projektmenedzsmentre, az informatikai rendszerek tervezésére összpontosító tanácsadó cégekben, és számos nagy IT biztonsági projektet irányított. Ma Jan Majtan vezeti a kiberbiztonsági részleget a beruházási és informatikai miniszterelnök-helyettes irodájában. A TASR kérdéseire válaszolt a Személyiségek: Arcok, Gondolatok című multimédia projekt keretében.


-Kevesen rendelkeznek annyi információval és adattal az állampolgárokról, mint az állam vagy közintézmények. Annál is inkább, a biztonságuk és a visszaélések vagy hackertámadások elleni védelem aktuális problémává válik. Ha 2018 közepén külön kiberbiztonsági szakaszt hoznak létre, ez annak a jelzésének tekinthető, hogy az állam fontosságot tulajdonít ennek a területnek.?-


Egyértelműen. Ez a téma nemcsak a médiában hangzik el, de jelentős hatást gyakorol az emberekre és a normális működésükre is, bár nem mindig tudják ezt. Olyan ez, mint egy rejtett vírus, amely kering a testünkben, de egyelőre nincsenek tüneteink a betegségre - a probléma kezdeti szakaszában csak egy alapos vizsgálat derül ki. Hasonlóképpen, a kiberbiztonságban a fenyegetés gyakran nem azonnal jelentkezik. Az egyik legnehezebb dolog annak megállapítása, hogy nem kívánt behatolás történt a rendszerbe. Már tudja, hogyan kell elemezni. De a valódi támadástól a felfedezéséig eltelt idő hónapok vagy akár évek is lehet, megsokszorozva a lehetséges következményeket. A behatolás észleléséhez a cseh külügyminisztériumnak több mint másfél év kellett.

-A kiberbiztonság kérdése valószínűleg ugyanolyan régi, mint maguk a számítógépek. Mikor nőtt ez a fenyegetés a jelenlegi arányra?-


Ez szorosan összefügg a mobil technológiák tömeges fejlődésével. Valamikor 2007 körül, amikor elkezdték írni az okostelefonok korszakát, az embereknél olyan eszközök voltak, amelyek a gazdasági és gyakorlati előnyök mellett a közösségi hálózatokhoz való hozzáférés formájában is érzést nyújtanak számukra. A közösségi hálózatok használata azt jelenti, hogy lehetővé teszi adatok gyűjtését az érdeklődési köréről, szeretteiről, kapcsolatairól, valamint arról, hogy hol tartózkodik és mit csinál. Minden kerül valamibe. Ha van ingyenes közösségi hálózata vagy keresője, naiv lenne azt gondolni, hogy egy ilyen hálózat üzemeltetője ingyenesen nyújtja szolgáltatásait. Önnek fizet, vagyis az adataival, a földrajzi helymeghatározással, hogy a rendszer tudja, kivel kommunikál, mit keres és mi zavar. A keresési előzmények ilyen visszatekintése - és a Google nagyon szépen meg tudja csinálni - tökéletesen meghatározza személyes előzményeit, így emlékezni fog a nagy meglepetésére, amikor beteg volt, mit dolgozott, amikor találkozott valakivel stb.

-Klasszikus példa, amikor valakit zavar mondjuk a túlsúly - és amint találnak valamit a problémáról, elkezdik elárasztani őket diéták vagy fogyókúrás termékek hirdetéseivel.-


Igen, így információkat vagy tanácsokat adhat egy személynek, amelyek érdekelhetik őt. De komolyabban: a körülötted lévő rendszer egyfajta mesterséges "buborékot" hoz létre, amely még jobban megerősít ötleteidben vagy véleményedben. Ezt nagyon céltudatosan lehet felhasználni. A szolgáltató ezt azért teszi, hogy az ügyfelet a lehető leghosszabb ideig "online" tartsa, több félnek el tudja adni a profilját, és érezhesse benne, hogy ez egy jó szolgáltatás.

-Hol van a törvényesség határa, amikor a felhasználói adatok nem csak az ártatlan, célzott hirdetések alapját képezik, hanem szó szerint visszaélhetnek velük?-


Ez a határ például a személyazonosság-lopás. Ez azt jelenti, hogy személyes adatait felhasználjuk Önnel a személyre szabáshoz, vagyis mást tegyünk az Ön számára. Vagy személyazonossága alapján virtuális klónok jönnek létre, amelyeket különféle tevékenységekhez használnak. Az úgynevezett A modern társadalmi tervezés számos eszközzel rendelkezik identitásod alapos felhasználására. Ennek pénzügyi következményei is lehetnek. Nagyon egyszerűen jöhet, ha fizetsz. Például megváltoztatják az Ön személyes és banki adatait, és a pénze egy másik számlára kerül, és egy idő után megtudhatja.

A képen Jan Majtan, a befektetési és informatikai miniszterelnök-helyettes (IPVII) irodájának kiberbiztonsági részlegének főigazgatója, 2019. március 10-én Pozsonyban, a TASR Personalities: Arcok, gondolatok multimédia projekt keretében készített interjú során. . Fotó: TASR/Pavol Zachar

-Mit tehet az internet felhasználó a visszaélések kockázatának minimalizálása érdekében?-


Fontos, hogy éber legyen, ellenőrizze, hogy mely oldalakat nézi, milyen alkalmazásokat használ. Például nem ismerek sok embert, aki olvassa az alkalmazások és szolgáltatások használati feltételeit. Kevesen veszik észre, hogy az alkalmazásba bevitt adatok ezután a világ minden táján eljutnak. Egészen a közelmúltig a Facebook-profilod bármelyik tartalma - kép, szöveg, videó - automatikusan a Facebook tulajdonába került, amely saját belátása szerint kezelhette. Szerencsére ma van egy irányelvünk a személyes adatok védelméről - GDPR, amelyet még a nagy szereplőknek is tiszteletben kell tartaniuk. Hatalmas adatmennyiség azonban több piacon lévő vállalkozás kezében van, amelyek Szlovákia és az Európai Unió joghatóságán kívül esnek. Noha szolgáltatásokat vagy termékeket nyújtanak az uniós polgároknak, és ezért meg kell felelniük az EU szabályainak, ezt nem könnyű betartatni és ellenőrizni. Hatalmas mennyiségű adat koncentrálódik olyan cégekbe, mint a Google, a Facebook, az Amazon vagy a Netflix, amelyekre csak közvetített hatókörünk van. Az adatok tárolásának tényleges helyeit is nehéz megtudni.

-Mit jelent?-


Amikor beír információkat Facebook-fiókjába, az információkat azonnal lebontják és különféle töredékekben tárolják a világ több pontján. Talán tucatnyi globális adatközpontban. Képzelje el, hogy egy rendszert egymilliárd felhasználó használ, és elvárják, hogy tevékenységeiket és kéréseiket azonnal feldolgozzák. Ehhez rendkívül robusztus rendszerre van szükség a teljesítmény és az adatok elérhetősége szempontjából. Jelenleg arról folyik a vita, hogy a felhasználók törölhetik a tweeteket a Twitteren. Például, ha írok és közzéteszek egy tweetet, hogy egy órán belül törölhessem. Ez technikailag rendkívül bonyolult dolog, mert a tweetadatok földrajzilag is széttöredezettek és földrajzilag nagyon sokféleképpen vannak tárolva. Ha törölni akar egy üzenetet, akkor a rendszer számára nehéz teljesítményprobléma szinkronban végezni, és végül nem biztos, hogy teljesen beválik. Ilyen nagy rendszer, ez maga a világ.

-Vagyis akkor is, ha törlök egy e-mailt a postaládámból, az valójában nem törlődik?-


Nem feltétlenül jelenti azt, hogy törölték. A szolgáltató gyakran csak hozzáférhetetlenné teszi. És elegendő erőfeszítéssel és pénzzel valószínűleg újra eljutna hozzá.

-Olyan hatékony, mint a GDPR-rendelet elfogadása?-


A GDPR-nek minden bizonnyal van értelme. Ezt az intézkedést gyakran akadályként, komplikációként vagy összetettségként mutatják be, különösen az üzleti körökben. De gondolna-e más olyan nemzeti vagy nemzetek feletti szervezetre, amely ugyanúgy védené állampolgárai magánéletét és adatait, mint az Európai Unió? Ugyanakkor ez csak a további folytatás alapja. Azok pedig, akik ezt a szabványt helyesen alkalmazták, és ésszerű időt és erőfeszítést fordítottak a megvalósítására, biztosan visszatérnek. Megemlíteném az Internet Governance Forum kezdeményezést is, egy olyan platformot, amelyben például a franciák, sőt maga Macron elnök is részt vesz. Olyan tér kialakításáról van szó, amely lehetővé tenné, hogy hatalmas játékosokat ésszerűen szabályozzanak a joghatóságunkon kívül, és rávegyék őket a hálózati semlegesség tiszteletére. Nemcsak politikai, hanem véleményi vagy kulturális társadalom is. Ma például épít egy internetes autópályát, és biztosítania kell, hogy mindenki ugyanolyan hozzáféréssel rendelkezzen. De tegyük fel, hogy a Google teljes profilban használja az autópályát, mások számára nem sok hely marad.

-Mit képzelhet egy laikus ezen az autópályán? Micsoda metafora?-


Például kábelek és hálózatok. És az adatáramlások mennyisége, amelynek nagy részét a nagy multinacionális vállalatok használják fel.

-Ha nagy szereplőkről beszélünk, kevesen rendelkeznek annyi adattal a polgárokról a kezükben, mint az állami intézmények, mondjuk egy ilyen adóhivatal, biztosító társaságok, helyi önkormányzatok. Ezért Ön elsősorban ezen információk biztonságának kérdésével foglalkozik?-


Igen, főleg az állami szektor adminisztrátorként és szolgáltatóként egyaránt. Meg kell teremteni a feltételeket 300 000 közigazgatásban dolgozó munkavállaló, valamint az ügyfelek helyzetében lévő 5 és fél millió polgár biztonságos működéséhez. Hatalmas adatmennyiség, amelyet összesítve alaposabb képet kapna mindegyikről, mint amennyit saját maga számára létrehozhatott volna. Mivel az ember elfelejti, memóriánk szelektív, de a digitális lábnyom, nem választja ki, nem felejti el, mindent megtart. Emellett emlékezhet a fizikáról egy diódára, amely csak egy irányban továbbítja az áramot. Itt is, ha egyszer kiszivárognak az adatok, és különösen a biometrikus adatok, akkor azok ott vannak, és nem állíthatók helyre. Például az arcunk digitális képe szerepel az útlevelünkben, ujjlenyomatunk van a rendőrségen és az orvosi dokumentumok. Ha ilyen információ kiszivárog, valaki felhasználhatja és visszaélhet személyazonosságunkkal. Tehát meg kell tervezni a rendszert és az alkalmazásokat, hogy elkerüljék a hasonló dolgokat, ill. hogy minél jobban kiküszöböljék őket.

-Ez elérhető feladat?-


Elérhető, csak erre van szükség odafigyelésre, erőforrásokra és politikákra - szabályok, rendeletek, irányelvek tekintetében. Annak érdekében, hogy egyrészt megelőzően és proaktívan védhessük az adatokat, és egy esemény esetén is, hogy megfelelően tudjunk reagálni. Szisztematikusan dolgozunk rajta, de nagyon széles körű. Száz százalékos biztonság nem garantálható. Természetesen az embereknek nem kell korán reggel kelniük, mert attól tartanak, hogy ilyen fenyegetés áll fenn, csak óvatosnak kell lenniük, ha valamilyen tevékenységet folytatnak a virtuális térben, és ha valakinek önként vagy kényszeresen megadja identitását .

-Ami még fontosabb: befektetés a biztonságba vagy az emberek felkészítése az adatok felelősségteljes kezelésére?-


Mindkettő fokozatos folyamat, és valóban sok oktatást, erőfeszítést, magyarázatot igényel. Az elején lehet, hogy csak rá kell döbbennie, hogy nem mindenkinek kell megadnia a nevét, e-mail címét, címét, röviden, hogy egy jó rendszer van felépítve, így elegendő a felhasználóval kapcsolatos szükséges minimum információ. Igyekszünk minimalizálni a támadás területét. Csakúgy, mint a harcoknál, amikor az ellenfelek egymásra lőttek, oldalra fordultak, hogy csökkentse az ütés valószínűségét. A digitális adatokról gyakran pont az ellenkezőjét tesszük: szembe kell néznünk, sőt elterjedünk, ezért mindent megteszünk annak érdekében, hogy a hatás valószínűbb legyen. Ezért fontos, hogy az emberek érzékeljék a digitális világ összetettségét.

-Nem adhatja meg azokat az intézkedéseket, amelyeket az állam megtesz a saját ill. adataink?-


Három rétegből állnak. Az első a szabályok meghatározása, az ún kormányzás, oktatás, ellenőrzés és ellenőrzés. A második az ún A CSIRT-ek (Computer Security Incident Response Team), szakértői csoportok, akik proaktívan és reaktív módon avatkoznak be, foglalkoznak incidensekkel, elemzik és tervezik a biztonsági intézkedéseket. A harmadik pedig az állam kulcscsomópontjainak folyamatos figyelemmel kísérése, az ún SOC (Biztonsági Műveleti Központ). A technikai megoldásokat általában osztályozzák, és ennek oka van. A falakat, azaz a védőintézkedéseket biztonságosan tervezik, de az alkalmazások hibái nem zárhatók ki teljesen, ezért a részletek nem közlésével nagyon megnehezítjük a potenciális támadók megtalálását és visszaéléseikkel.


A képen Jan Majtan, a befektetési és informatikai miniszterelnök-helyettes (IPVII) irodájának kiberbiztonsági részlegének főigazgatója, 2019. március 10-én Pozsonyban, a TASR Personalities: Arcok, gondolatok multimédia projekt keretében készített interjú során. . Fotó: TASR/Pavol Zachar


-Legalább mondja el, hogy Szlovákia milyen szinten áll a kiberbiztonságban nemzetközi szempontból.-


Mondjuk Közép-Európa környező országainak szintjén vagyunk. Természetesen attól függ, hogy milyen területről van szó. Például Lengyelország, mint nagyobb ország, nagyobb biztonsági költségvetéssel rendelkezik, és több embert foglalkoztat. Az én feladatom a jövőbe nézni. Vessen egy pillantást arra, hogy hol tartunk ma, és mit fogunk tenni a továbbjutás érdekében. Amit Szlovákiában a kiberbiztonság területén tervezünk megtenni, néhány év múlva alapvetően máshova költözhet.

-A közelmúltban olyan információk jelentek meg, amelyek szerint a kiberbiztonság az egyik legkeresettebb kifejezés az interneten, valamint az ezen a területen alkalmazási lehetőségek. Tényleg olyan vonzó?-

-Manapság gyakran emlegetik a hibrid fenyegetéseket, egyes országok erőfeszítéseit a demokratikus választások befolyásolására, és az Internet is táptalaj az olyan kockázatoknak, mint például a szélsőségesség, a radikális politikai áramlatok stb. Politikai szinten ezeket a veszélyeket gyakran alábecsülik. Az állampolgár legalább arra támaszkodhat, hogy szakértői szinten nem becsülik alá őket?-


Nem becsülik le őket, észleljük őket. Bizonyára vannak itt hibrid fenyegetések, és nem merném megadni azok kezdeményezőit. Figyeljük a teret, arra törekszünk, hogy javítsuk képességeinket és ezen a téren is előrelépjünk. Ugyanakkor Európa nehéz helyzetben van, mert helyes, megpróbál racionálisan reagálni, és ezért problémája van az ún. hozzárendelés. Ez azt jelenti, hogy ha problémát lát, tartós támadással, vagy akár egyszeri támadással néz szembe, akkor azt mondhatja, hogy csak akkor volt az egyetlen támadó, ha teljes információval rendelkezik róla. De olyan átfogó információk megszerzése, amelyek azonosíthatják a támadót, időigényes és gyakran nagyon nehéz, és szinte soha nem vagy 100% -ig biztos benne. A tisztességes, a törvényeket és a magánszférát tiszteletben tartó Európa globális összefüggésben szenved, mivel néhány más szereplő egyáltalán nem tulajdonít jelentőséget ennek a koncepciónak.