Szavatossági dátum kell az IT-rendszereknél

A biztonságos termékekhez és internethez a gyártóknak és a felhasználóknak is fejlődniük kell.

"A kiberbűnözők azon törekvéseit, hogy idegen számítógépekhez férhessenek hozzá, adatokat kémleljenek ki vagy pénzt zsaroljanak ki, a digitális világban ugyanolyan kevéssé lehet teljesen megakadályozni, mint a valódi világban előforduló hasonló bűnözési formákat. Azon viszont nagyon is lehet javítani, hogy a vállalatok és a magánszemélyek miként védik meg magukat a digitális világban. Riasztó mértékű hiányosságok vannak; leginkább az a gond, hogy a piac szereplői nincsenek tudatában a problémáknak." - figyelmeztetett Arne Schönbohn, a 2012-ben alapított Német Kiberbiztonsági Tanács elnöke, aki egyben tavaly február óta a német Szövetségi Információstechnikai Biztonsági Hivatal (BSI) vezetője is. A szakember Dortmundban, Londonban és Tajpejben tanult, s több mint egy évtizede van vezető pozícióban az IT-biztonság területén.

"Világszerte 600 millió kártevő van, amelyek segítségével a kiberbűnözők folyamatosan támadhatják a számítógépeket. Ennek ellenére az olyan esetek, mint most a Wanna Cry is, azt mutatják, hogy még a nagy IT-részlegekkel rendelkező cégek sem védik megfelelő mértékben a rendszereiket. A kártevő elleni biztonsági frissítés március közepe óta elérhető volt. A robbanásszerű terjedés azt mutatja, hogy több ezer esetben ezt a javítást nem telepítették fel és más módon sem biztosították a hálózatokat. Ez gondatlanság. A legtöbb támadás heteken és hónapokon át észrevétlen marad. A Wanna Cry remélhetőleg egy hatásos figyelmeztetés volt azoknak a szervezeteknek, amelyek ezzel a témával foglalkoznak. A kártevő megmutatta, hogy sok cégnek vannak sebezhetőségei, amelyeket a kiberbűnözők kihasználhatnak. A probléma csak az, hogy erről sokszor az érintettek sem tudnak" - jelentette ki a szakember.


Arne Schönbohn
Arne Schönbohn szerint nagy szükség lenne arra, hogy az embereket időben felkészítsék a digitális világ kockázataira, akár már az iskolákban is, habár egyfajta internetes jogositvány bevezetését túlzásnak tartaná. Jobban kiemelné a a vállalatok felelősségét, hogy időben jelentsék a megtörtént támadásokat és ne hallgassák el azokat. A digitalizálás előrehaladásával kapcsolatos jogi kereteket is meg kell teremteni, vagyis ha majd számítógépek vezérlik az autókat és a tehergépkocsikat, akkor ezt világosan szabályozni kell. Azonban nem megoldás a túlszabályozás sem és ma még sok ágazatról azt sem lehet tudni, hogy hová fejlődik. Éppen ezért nem szabad a digitális kreativitást sem visszaszorítani vagy akadályozni egy szabályozási őrülettel.

"Az első lépés az lesz, hogy Németországban bevezetjük az IT-jelölési rendszert, mint minőségi kritériumot a kiberbiztonság területén. Ezzel a hardvereket és szoftvereket kínáló cégek jogi kötelezettséget is jelentő vállalásokat tesznek majd és azok betartását az ügyfeleik követelhetik. A második lépés az IT-gyártók konkrét felelősségvállalásának megjelenése lesz. Ez akkor kaphat szerepet, ha a termékeik károkat okoznak, például biztonsági hiányosságok miatt. Az nem fordulhat többé elő, mint a Wanna Cry esetében, hogy a Microsoft éveken át sebezhetőségekkel együtt árult termékeket. Ez az adott gyártó minőségmenedzsmentjének a hiánya és ezt a való világban sem fogadná el senki. Ott van garancia, szavatosság, sőt, akár visszahívási jog is. Ilyen szempontból a digitális jogi kereteket a valódi világ jogi kereteihez kell igazítani."

"Ennek ellenére nem akarjuk a gyártókat örökös szolgáltatásgaranciára kötelezni. Egyetlen veteránautó tulajdonosa sem vetheti a gyártó szemére, hogy a 70 éves gépkocsijában miért nincsen ABS. Az álláspontom az, hogy a hardvereknél és a szoftvereknél is szükség van egy szavatossági dátumra, egy olyan időszakra, amely alatt a gyártó garantálja, hogy kijavítja a hibákat és felelősséget vállal. Ez egyrészt növeli a gyártókra nehezedő nyomást, hogy jobb és biztonságosabb termékeket készítsenek, másrészt a vásárlók is a kezdetektől pontosan tudni fogják, hogy az általuk vásárolt technikának van egy lejárati dátuma, amely után nekik kell gondoskodniuk a biztonságról. Különben ők lesznek a felelősek azokért a károkért, amelyeket az elavult technikájuk okoz egy harmadik félnek" - szögezte le a BSI elnöke.