Egy évtizede várják, hogy kevesebb adatot kell majd menteniük, de a sok kreatív ember miatt egyre több a feladat. Az információbiztonság szexi, de versenyeztetni nem lehet azokat, akik ezzel foglalkoznak, ezzel pedig sokan visszaélnek. Mások pedig azzal, hogy nem regisztrál mindenki a Facebookra, Instagramra és társaikra, pedig akkor is kellene, ha soha nem fogják használni. A felhők viszont biztonságosan rejtenek, mint New York.
Indításképp 20. századi módon átadom a névjegykártyámat. Kiderül, hogy épp a rajta szereplő címen laknak Kmetty József gyerekei, a közelben pedig egy kávézója üzemel.
– Fél éve bérlem, és próbálok rájönni, hogyan kell kávézót üzemeltetni. A gyerekeim imádják, nagyon sokat tanulnak belőle, hogyan kell emberekkel bánni, hogyan kell működtetni egy ilyet.
– Ők dolgoznak ott?
– Igen. Van egy üzletvezető, és mellette csupa egyetemista dolgozik ott. A barátaim egyetemista gyerekei, az én egyetemista gyerekeim, és tanulják az életet. Így persze nem lehet pénzügyileg sikeresen kávézót működtetni, de az élet tanulása szempontjából megéri.
– Akkor ez nem is üzleti vállalkozás?
– Vannak az úgynevezett bakancslistás dolgok, amit az ember szeretne, nekem ez volt az egyik. Sok mindent jó lenne kipróbálni.
– Mi van még a bakancslistán?
– Vannak öreg autók, nagyon-nagyon régóta. Én még az a generáció vagyok, amikor nehéz volt autóhoz jutni. Huszonegy éves voltam, amikor édesapámnak az első ezerkettes Ladája meglett, és úgy töltöttem a gyerekkoromat, hogy mindig vágyakozva néztem azokra, akik nem vonattal mentek a Balatonhoz. Amikor már lehetőségem volt rá, akkor erős volt a vonzódás ebbe az irányba.
Van mindenféle kedvencem, például egy Citroën DS, amit egy kilencvenkét éves francia bácsitól vettem egy euróért, teljesen romos állapotban, azzal a feltétellel, hogy ha rendbe tettem, mutassam meg neki. Három nap alatt értem vele haza, egy év alatt gatyába ráztuk. Majd természetesen visszamentem vele Párizsba, akkor már csak egy nap alatt, beültünk egy helyi étterembe, jót beszélgettünk. Ma már a bácsi nem él, úgy érzem, megvárta, amíg az autója elkészül.
Egy ’73-as Minivel két éve a lányommal elmentünk Bristolba, a Mini-találkozóra. Négyezer-hétszáz kilométert toltam vele akkor, gyakorlatilag minden múzeumba ingyen mehettünk be, teljesen félnótásnak néztek minket. Az öregautózásnak ez számomra a nagyon kedves része, hogy családi program lehet belőle. És nagyon jó, hogy az ember csinál valami hétvégén vagy esténként, ami látszik, amit meg lehet fogni.
– A Kürtnél mi helyettesíti azt az élményt, hogy elkészül valami kézzelfogható?
– Nagyon nagy sikerélményt tud jelenteni egy ilyen adathelyreállítás is. Az adatmentés az árbevétel 15 százalékát képviseli, de megadja a pluszt is, ami a brandhez is hozzátesz, és a mi lelkünkhöz is nagyon sok mindent. Amikor valakinek tényleg nagy szüksége van arra, hogy az a valami ott legyen, mert megáll a vállalkozása vagy nagy bajba kerül, akkor komoly öröm, hogy oda tudjuk tenné elé azt a valamit.
– Hogy működik ez a gyakorlatban? Bejön az ember…
– Bejön hozzánk, egy-két napon belül meg tudjuk mondani, hogy mi a probléma, aztán adunk egy árajánlatot, amit vagy elfogad, vagy nem. Körülbelül az esetek egyharmadánál megy végig a folyamat: vagy meg tudjuk csinálni, vagy nem, vagy elfogadja az ajánlatot, vagy nem. Ha csak egy részmentést tudunk megcsinálni, akkor pedig a töredékösszeget fog fizetni. Mielőtt elvinné az adathordozót, meg tudja nézni, hogy az ő adata megvan-e.
– Mennyire hozott új problémákat, új feladatokat a járványhelyzet?
– Alapvetően mindenkinek köze lett az informatikához. Akik sosem vásároltak elektronikusan, azoknak is muszáj lett házhoz szállítást kérniük. A cégeknek, amelyek eddig csak az üzletükben értékesítettek, muszáj volt elektronikus értékesítési csatornát kialakítaniuk. A vállalkozások szintjén pedig a home office azt jelentette, hogy azok a bizalmas adatok, amik egyébként cégen belül maradtak, hirtelen meg kellett osztani cégen kívülre is, különben megállt volna az élet. Mindenkinek be kellett valahogy csatlakoznia az egész informatikai térbe.
– Felfogták a cégek, hogy ez plusz kockázat?
– Első körben mindenki abban látta a túlélést, hogy oldja meg, hogy az emberek dolgozhassanak távolról. Utána nyilván jött ez a dimenzió, hogy hogyan lehet ezt biztonságosan végezni. A működtetés fontosabb dologgá vált, mint hogy ez biztonságos legyen, de szerencsére a biztonság gyorsan követte az első szintet.
– Elmondható, hogy jobban benne van az emberek fejében az adatbiztonság, mint régen, vagy inkább még mindig akkor fogja fel valaki, hogy ez fontos, ha megtörtént a baj?
– Régen inkább úgy álltak hozzá, mint a cascóhoz: kell-kell, de ha éppen kevesebb volt a költségvetés, akkor ezt hagyta ki először, ahogy az autónál is tankolni fogsz nagyobb prioritással, mint a cascódat kifizetni. Volt egy olyan jellemző irány, hogy amikor muszáj volt az adatbiztonsággal foglalkozni, és valaki átvilágította a céget, az volt a jó, ha nem talált nagyon sok problémát. Ha ugyanis sokat talált, és ezt elmondta a biztonsági vezetőnek, aki aztán elmondta az ő vezetőjének, akkor átadta a felelősséget is, és ötven probléma kijavításához kellett mondjuk ötvenmillió forint. A legjobb az volt, ha egy olcsó átvilágításon valaki talált öt hibát, azt megoldották ötmillió forintból. Ez értékelődött át. Ma, aki ezzel foglalkozik, érzi ennek a súlyát. Nekünk pedig folyamatosan új megbízásaink vannak, mert sok-sok kreatív ember kitalál olyanokat, amitől mi újabb feladatot kapunk, brutális mennyiségben. Csak jellemzően senki sem szereti nyilvánosságra hozni, hogy belecsúszott egy ilyen lyukba.
– Érzékeny adatokkal foglalkozó, komoly cégekre is jellemző ez?
– Igen. Olyan nagyvállalatok is vannak, amelyekről azt gondolnánk, hogy megfelelő mentésük van, de mindig kiderül, hogy vagy nincs mentésük, vagy mentenek, de nem azt, nem úgy, vagy a tulajdonos notebookját nem mentik, mert azt miért kéne, aztán pont azon van, ami kell.
– Ez teljesen általános probléma?
– Igen. Régen azért nem mentettek, mert drága volt, ma nem drága és kismillió megoldás van, de egyre több az adat, ráadásul jönnek elő olyan speciálisabb elemek, mint a zsarolóvírus, ami például mindent titkosít.
– Ilyenkor van megoldás?
– Azt egyszerű megnézni, hogy olyan-e a vírus, hogy egy megfelelő jelszó birtokában helyreállítható a rendszer, tehát ha elvileg fizetsz, akkor visszakaphatóak-e az adatok. Rengeteg olyan van, hogy fizetni tudsz, de soha nem lehet helyreállítani. Aztán kérdés az is, hogyha egy ilyen zsarolóvírus hetekig-hónapokig ott van a rendszeren, és fertőz, de van mentés, akkor melyik mentési verzió az, amelyik még nem tartalmazza. Hiába állítod helyre, ha ott van rajta, csak még nem aktív, akkor újra el fog indulni. Ha a mentésen rajta van a vírus, akkor hogyan lehet a fájlokról levadászni? Hogyan tudod megmondani, hogy melyik fájl helyreállítható? Rengeteg pici feladat van, ami összességében rengeteg időt vesz igénybe. Nagyon sok ilyen feladatunk van, amit a háttérben csinálunk.
– A hasonló helyzetek megelőzését segíti az átvilágítás. Hogyan zajlik egy ilyen?
– A megrendelő elmondja, miért van erre szüksége – valaki auditot kér az anyacégének, valaki csak valós védelmet szeretne, és tisztában akar lenni a helyzetükkel –, ennek megfelelően állítjuk össze a tervet. Ennek nagyon sok része lehet onnan kezdve, hogy ellenőrizzük a dokumentációt, egészen odáig, hogy sérülékenységvizsgálatot csinálunk, mintha kompromittálnánk a céget.
– Támadás?
– Igen, lehet szimulálni, de az etikus hackelésnek is három szintje van. A legegyszerűbb, amikor úgy próbáljuk meg, mintha semmit nem tudnánk a rendszerről – ez a leggyakoribb támadási forma. A második szint, amikor már belül vagyunk a cégen, mint egy takarító, aki kiveszi a vödörből a nejlonzacskóban lévő notebookot, és bedugja egy fali csatlakozóba – mi pedig megnézzük, mihez fér hozzá. A harmadik, amikor azt az esetet vizsgáljuk, mi van akkor, ha felvesznek a céghez valakit egy alacsony pozícióba, és kap egy hozzáférést, akkor mihez fér még hozzá, amihez amúgy nincs köze.
Ha valaki nagyon-nagyon akar valamit, akkor egy alappozícióba felvetetni magát nem egy lehetetlen történet: felveszik három hónap próbaidőre, megköszöni három hét múlva, és soha nem jön rá senki, hogy történt bármi visszaélés.
Ez a három szint létezik, de ezek nem elég egzaktak, hackerfüggő, hogy ki mihez jut hozzá. Ezért van az a megoldás, amikor megtervezünk egy támadást másodperc pontossággal, leteszünk a cégen belül mindenféle monitorozó eszközt, és megnézzük, milyen módon látható a támadás. Utána közösen kielemezzük, hogyan lehetett volna észrevenni, és mit lehetett tenni az elhárításért. Ez egy közös tanulási folyamat, ezt szeretjük igazán, mert ennek valós értelme van.
– Mennyire fogadják el a cégek az átvilágítás eredményeit?
– Ha van egy ilyen felkérés, akkor utána megvan a nyitottság. Egy nagy cégnél úgy kezdtünk el dolgozni, hogy egy versenytársunk kapott egy megbízást annak az árnak az ötödéért, amennyiért mi elvállaltuk volna. Ismertem annak a cégnek a vezetőjét, felhívtam, hogy szerintem ez annyiból nem megoldható, mire annyit mondott, hogyha hasonló a műszaki tartalom, akkor miért válasszon egy ötször drágábbat. Javasolta viszont, hogy amikor a cég végzett és az általa feltárt hibákat kijavították, akkor nézzük meg mi is, és ha találunk valami súlyos problémát, akkor dolgozzunk együtt.
Hívott is fél év múlva, hogy kész vannak, nézzük meg a rendszert. Másnap elvittük nekik pendrive-on a cég teljes bérlistáját, az ő teljes mailboxát, a cég kilométerelszámolását és a következő három hónap marketingstratégiáját a mögötte lévő pénzügyi kalkulációkkal, valamint azt, hogy ezeket melyik versenytársa nézegette. A cégvezető szó nélkül kifizette a mi pénzünket, és azóta, nyolc éve nemcsak nekik dolgozunk, hanem nemzetközi szinten az egész cégcsoportnak. Akkor ő ott megértette, hogy ez nem versenyeztethető dolog, hanem bizalmi kérdés.
– Ilyenkor számon lehet kérni az előző céget, hogy milyen munkát végeztek? Akkor ők azt mondták, biztonságos, most a Kürt is azt mondja, hogy most már tényleg az, de mi szerint és mennyire?
– Ez a nehéz ebben az iparágban, ezért bizalmi kérdés. Az előttünk dolgozó cég is nagyon könnyen kezelte ezt jogilag: végeztek egy vizsgálatot, aztán eltelt valamennyi idő, változott a rendszer – hiszen javítgatták –, nem tehet róla, hogy utána ilyen biztonsági rések lettek. Azt gondolom, ezek előtte is megvoltak, de így el tudta hárítani a felelősséget.
Hihetetlen izgalmas és szexi informatikai biztonságról beszélgetni mostanában, ugyanakkor mivel nem mérhető, rengetegen megjelentek a piacon. Mindig van egy olcsóbb ajánlat, és ahogy említettem, minél kevesebb hibát talál valaki, annál olcsóbb megoldani is. Aztán ha baj van, hát, ő nem találta meg a rést, bocsánat. Minél izgalmasabb a történet, annál többen lesznek, akik ezt így látják.
– Mi az a tudás, amit nem lehet megszerezni, amiért magas szintű szolgáltatást kevesen tudnak nyújtani?
– Ha szétválasztjuk az adatmentést és az informatikai biztonságot – amit én azért nem szeretek, mert az adatmentés különböztet meg minket –, azt látjuk, hogy az informatikai biztonságban sokan vannak és egyre többen, míg adatmentésben nem. Adatmentésnél nagyon magas a belépési küszöb, és ez olyan terület, ami idővel ki fog futni.
Előbb-utóbb csak elkezd mindenki menteni, vagy a rendszerek önmagukat fogják menteni, és védeni fog az emberi hülyeség ellen is az, hogy minden mobil, minden notebook kötelezően cloudba ment, és annyira automatikus lesz, hogy ebbe az iparágba egyszerűen nem sokan szeretnének invesztálni.
Nekünk ez már itt van, elsüllyedt költség, tehát csináljuk. Ráadásul embereket se egyszerű keríteni hozzá: különleges embertípus az, aki annyira kihívásorientált, hogyha jön egy újfajta probléma, akkor nem akarja feladni, hanem keresi a megoldást. Ez ma egyre ritkább képesség.
– Tehát azzal számolnak, hogy az adatmentés, adatvisszaállítás egyre kisebb piac lesz?
– Tíz éve számítunk erre. Azért nem történt még meg, mert egyre több az adat, és egyre fontosabbak. Míg a múltban, ha valami történt, legfeljebb pótoltad papírból, a mentés pedig drága volt. Ma már nem pótlod papírból, mert nincs is meg papíron, és bár a mentés olcsó, számosságban több eset van, hogy valamilyen hiba miatt elvész egy adat.
– Hány komoly versenytársa van a Kürtnek?
– Egy valós, komoly versenytársunk van, nagyjából hasonló technológiával bírunk. Ezt onnan tudom, hogy ha valami a mi technológiai határunkon kívül esik, akkor néha elküldjük nekik, kíváncsiak vagyunk, sikerül-e vagy nem, és látjuk, hogy ugyanezt teszik ők is visszafelé, néha látjuk a kezük nyomát, és igyekszünk csak azért is megoldani.
A legkedvesebb sztori, amin akkoriban persze bosszankodtunk: jött egy idős bácsi, és hozott egy mentést, a fiúk megcsinálták, kicsit küzdöttek vele, ezért kértünk 80 ezer forintot. A bácsi nagyon boldog volt, és elmondta, hogy tulajdonképpen a winchester nem az övé, hanem a fiáé, aki a NASA-nál Mars-kutatással foglalkozik, és járt a konkurensünknél, aki 200 ezer dollárért vállalta volna az adatok helyreállítását, de nem tudták megcsinálni. Amikor a bácsi kinn volt a fiánál, és erről beszéltek, említette neki, hogy Magyarországon is van egy cég, érdemes lenne megpróbálni, hátha itt sikerül. 80 ezer forintért megcsináltuk. Nyilván jobb lett volna 200 ezer dollárért, de legalább hozzátettünk valamit a NASA Mars-kutatásához.
– A Kürt nem egy kifejezett célpont? Nagy trófea lenne a hackereknek.
– Igen, vannak kísérletek, naplózzuk is ezeket. Nagyon figyelünk arra, hogy még megfelelően védve is csak olyan adatok legyenek elérhető helyen, amit kellemetlen, ha meghackelnek, de nincs mögötte semmi értékes információ.
Amikor adatot mentünk, akkor azokat egy, a külvilágtól teljesen elválasztott helyen nagyon-nagyon gondosan őrizzük. Amikor valakivel kötünk egy szerződést, abban nagyon szigorú szabályok vannak arra vonatkozóan, milyen módon fogjuk az adataikat kezelni. Miután végeztünk, és ő ellenőrzi, hogy amit kapott, az jó vagy nem jó, utána mindent nagyon gondosan megsemmisítünk.
– Eddig főleg vállalatokkal kapcsolatos adatbiztonsági témákról beszéltünk. Milyen tanácsokat lehet adni egy civil felhasználónak?
– Használjon cloudot, csináljon automatikus mentéseket, és regisztráljon minden platformra akkor is, ha nem használja.
– Sokan félnek a felhőmegoldásoktól.
– Nagyon sokan azt mondják, hogy jaj, mi lesz, ha kiteszi az adatait cloudba. Nagyjából semmi.
Ezek az adatok alapvetően nem olyanok, amiért valaki mondjuk egy Apple-nek a cloudját megpróbálná feltörni. Meg a filmekben is úgy van, hogy ha valaki el akar rejtőzni a rendőrség elől, akkor New Yorkban próbál elbújni, nem vidéken. Ha beteszem az adataimat egy ilyen nagy dzsumbujba, rendben lesz ott, sokkal kisebb a kockázata, mint hogy elhagyom a tabletemet vagy a telefonomat, amin pótolhatatlan fotók vannak. Be kell kapcsolni az automatikus mentést, ezzel megoldódik a problémák legnagyobb része.
– És miért kell mindenhova regisztrálni?
– Ha nem csinálsz magadnak legalább egy passzív oldalt, valaki csinálhat egyet valamilyen ismeretlen e-mail címről, kiteszi a fényképedet, be fognak jelölgetni az ismerőseid, ő visszajelöl, és onnan kezdve az ő kezében vagy, egy szempillantás alatt tud kompromittálni, és addig nem is fogsz tudni róla, amíg meg nem teszi. Utána pedig már nem nagyon tudsz mit csinálni. Írsz a Facebooknak, hogy ez te vagy? Küldesz egy fényképet magadról, hogy nézd meg, ez az én arcom ott? Aki ilyet akar tenni veled, az is tud egy fényképet szerezni vagy készíteni rólad.
– Ön is Kmetty József focista a neten, ott a képe is.
– Tényleg? Ezt nem tudtam. De ha ez Facebookon ott van mondjuk, és valaki csinált egy ilyet az én fejemmel, az összes ismerősöm akkor is az enyémet fogja használni, tudni fogják, hogy a Kmetty József focista nem én vagyok.
– Egy korábbi Kürt-rendezvényen elhangzott egy sztori, ha jól emlékszem valamilyen távolkeleti esetről, ahol az ügyfél kicsit félreértett valamit, de felcsillant a szeme, hogy a Kürt segíthet neki műholdakat eltéríteni.
– Igen, ez egy vietnámi eset volt. Sokat dolgozunk ott, szeretünk velük együtt gondolkodni, kedvesek az emberek. Rengetegen jöttek Magyarországra tanulni, és mivel a legjobbakat küldték, ők ma ott cégeket vezetnek vagy magas tisztségeket látnak el. Miniszterek vannak, akikkel magyarul lehet egyeztetni, és hitelesek vagyunk előttük. Egyszer egy olyan technológiáról beszéltünk ott, ami központilag monitorozza a kritikus intézmények – bankok, erőművek stb. – internetbejáratát, és felismeri az azonos mintázatot, ami szervezett támadásra vagy annak előkészületére utal, ezért egyéni védekezés helyett központira van szükség. Erről beszélgettünk, és egy pici, idős ember, akin nagyon sok csillag volt, de addig meg sem szólalt, egyszer csak igazi texasi angolsággal mondta, hogy akkor ő ezt érti: ha ezt az eszközt megveszi, akkor meghackelhet egy műholdat, ami aztán rázuhanhat Kínára.
Ott ültünk dermedten, és próbáltuk végiggondolni, mit mondhattunk, amiből ő ezt a következtetést vonta le. Aztán szerencsére ez elmúlt, nem hackeltek meg műholdakat, amik aztán rázuhanhattak volna bármire.
(Fotó: Tóth István)
Nem kevésbé érdekes korábbi, Kürti Sándorral készített interjúnk: