Az emberek jó része azt sem tudja, hogy mi az a kibertámadás

Az emberek jó része azt sem tudja, hogy mi az a kibertámadás
A GoodID alkalmazás lehetővé teszi a biztonságos és gyors online regisztrációt és beléptetést. A digitalhungary.hu erről, valamint az internetes biztonságról kérdezte a nemzetközi szinten is ismert IT-biztonsági szakértőt. Szabó Tamás beszélt a felhasználók felelősségéről is. Interjú.

- Mi volt a legfontosabb motiváció az alkalmazás elkészítése során?
- A GoodID egy vízió eredménye. Körülbelül 2000-2002 óta foglalkozunk behatóbban elektronikus azonosítással, azon belül is chip kártyás elektronikus azonosítással, ami az ID&Trust core tevékenysége. Abban az időben, mikor ezzel elkezdtünk foglalkozni, a chip kártyás megoldások terjedése indukálta azt, hogy előbb utóbb mindenhol chipkártyát fogunk használni, akár még a laptopokra is azzal fogunk belépni, vagy akár még az ajtókat is azzal fogjuk nyitni. Ugye ilyen megoldások már vannak. Igazából ezek végül nem igazán terjedtek el, bár biztonsági szempontból nagyon jó megoldások: kell hozzájuk olvasó, kell valamiféle szoftverkomponens, s szükséges edukáció is. A mai kor azt mutatja, hogy egyre kényelmesebb, felhasználóbarátabb megoldásra van szükség. Egy kicsit „elrontott” bennünket az Apple. Tulajdonképpen már egy gombbal akarunk megoldani mindent, sőt most már a gombot is levették, hogy az se kelljen hozzá, találja ki a telefon, hogy mit is szeretnénk csinálni. Ebbe azért ezek a chipkártyás megoldások már kevésbé férnek bele.

A GoodID tulajdonképpen annak az eredménye, hogy úgy gondoltuk, valamire szükség lenne, hogy azonosítani tudjuk magunkat a különféle élethelyzetekben. De ha nem a chipkártya, akkor mi? Valójában a mobiltelefonok penetrációja hozta azt a végső döntést, hogy akkor használjuk erre az okostelefont. Ha ma megnézzük az okostelefonokat, azok leginkább már személyi számítógépek. Mellesleg telefonálni is lehet velük. Viszont számtalan egyéb célra is használjuk, és ez az az eszköz, amiért visszafordulunk az ajtóból, akár még az utcasarokról is. Ez az, ami mindig nálunk van. Gyakorlatilag ezekből a tényezőkből következett az, hogy kellene egy olyan biztonsági megoldás, amit omni-channel módon tudok azonosításra használni, akkor is amikor az interneten szeretnék vásárolni vagy éppen bankszámlát nyitni, akár egy biztosítási ügyet intézni, de álljon rendelkezésemre abban az esetben is, hogyha megjelenek egy rendezvény helyszínén, hiszen ott is sokszor azonosítani kell magamat vagy egy jogosultságot kell ellenőrizni. Tehát rengeteg az olyan élethelyzet van, amikor valamilyen azonosítási funkcióra szükség van, és a GoodID ezt akarja megoldani.

- Van-e konkrét célcsoport, akiknek a GoodID készült vagy az alkalmazás mindenkinek segítségére lehet?
- Gyakorlatilag mindenkinek készült, aki használ okostelefont és valamilyen szolgáltatást is igénybe vesz, ahol azonosítani kell őt. Ez lehet egy online-, de lehet akár offline szolgáltatás is. Nyilván azért valamilyen szintű technikai felkészültségre szükség van, fontos, hogy az illető eltudjon indítani egy alkalmazást, a saját adatait meg tudja adni, valamint, hogy egy e-mail címet ellenőrizni tudjon. Mi azt gondoljuk, hogy aki rendelkezik okostelefonnal, az valószínűleg képes alkalmazást letölteni és futtatni azt, tehát nagyjából azt lehetne mondani, hogy az a célközönségünk, aki okostelefonnal rendelkezik és azt képes is használni.

- Miben jobb ez az alkalmazás, mint versenytársai? Melyek azok a dolgok, melyben Ön szerint többet tud nyújtani?
- Egyelőre még abban a szerencsés helyzetben vagyunk, hogy nem nagyon hemzsegnek a versenytársak, ugyanis maga a GoodID egy új kategóriát jelent. Az utóbbi egy-két évben valóban van már egy-két versenytársnak tűnő játékos, főleg a tengerentúlról látunk egy-két olyan megoldást, ami valamilyen szempontból hasonlít a GoodID-ra, viszont egyik sem pontosan ugyanaz. A kérdésre válaszolva pedig, hogy miben is különbözünk; a legnagyobb különbség az, hogy a GoodID teljeskörű azonosítási szolgáltatást nyújt. Ezzel a megoldással azonosíthatom magam egy olyan szolgáltatásnál is, ami kevésbé biztonságos, viszont gyors és kényelmes megoldásra van szükségem. A másik eset, amikor egy customer adatazonosításra van szükség, ahol a szolgáltató biztos akar lenni abban, hogy pontosan az vagyok-e, akinek mondom magam. A GoodID tulajdonképpen ezt a kettőt, ezt a két végletet és a közte lévő összes lehetséges kombinációt felöleli és ezt mind omni-channel módon teszi, tehát akár egy desktopon, egy mobilon, egy applikációban vagy fizikai helyszínen való azonosítást ilyen szilárd módon tud elvégezni. Nem láttunk még olyan megoldást, ami ezt teljeskörűen végzi és olyan módon, hogy a felhasználónak végig kontrollja van afölött, hogy mikor és milyen adatokat ad meg magáról.

- Akkor Magyarországon még nincs olyan versenytárs, aki komolynak mondható.
- Azt gondolom, hogy Közép-Európában sem nagyon. Egy angol megoldásról tudunk, ami nagyon erős. Most már 150-200 ember dolgozik rajta, 68 millió fontra értékelték magát a megoldást, mint olyat. Lehet, hogy egyébként nem Magyarország lesz a legjobb helyszíne a GoodID-nak, szeretném, ha nemzetközi szinten is elterjedne, de a középkelet-európai régióban nincs még konkurens megoldás.

- Az ID&Trust neve a szakma számára Magyarországon és már nemzetközi szinten is összeforrt a biztonsággal. A GoodID is ilyen szempontok szerint lett kifejlesztve, hiszen fő cél volt a biztonság és a kényelem, az egyszerűség. Azonban, mint minden alkalmazásnál, itt is felmerülhet a kérdés, hogy adataink teljes biztonságban vannak-e.
- Ez nehéz kérdés, mert először definiálni kell, hogy mit is jelent a teljes biztonság, hiszen a biztonság mindig relatív. Abszolútértékben biztonságról nehezen lehet beszélni, ugyanis elvileg bizonyítható az, hogy minden feltörhető. Mindig a valószínűségre kell törekedni, hogy olyan pici legyen a valószínűsége egy sikeres támadásnak, ami azt irreálissá teszi. Az ID Security szakértők így gondolkodnak. Persze az emberek azt szeretik hallani, hogy valami tökéletesen biztonságos vagy egyáltalán nem az. Ezt nem lehet ilyen egyszerűen megfogalmazni. Mi a GoodID-nál amit teszünk annak érdekében, hogy az adatok biztonságban legyenek, az gyakorlatilag két dolog. Egyrészt kihasználjuk az eszköznek az összes biztonsági funkcióját, amit maga a mobiltelefon hardware, illetve az operációs rendszer rendelkezésünkre bocsájt, és efölé beletesszük azt, amit a chipkártyás fejlesztéseinkből az utóbbi húsz évben összeszedtünk. Tehát egy többrétegű biztonságról van szó. Ez azt jelenti, hogy együtt kell tudni sikeresen támadni a telefon hardware-t, az operációs rendszert, és a mi algoritmusainkat ahhoz, hogy az adatainkat ellopják; ennek a realitása nagyon pici. Azt gondoljuk, hogy igen, egy nagyon biztonságos megoldásról van szó, aminek fontos eleme, hogy auditálható.

- Mostanában sokat hallani a GDPR-ről és arról, hogy egyes cégek szolgáltatásainak mennyi változást kellett meghozniuk ahhoz, hogy igazodjanak az új elvárásokhoz. Hogyan hatott a GDPR az Önök alkalmazására? Mennyire kellett változtatásokhoz folyamodni?
- Ez egy jó kérdés. Van egy nagy szerencsénk a GoodID-val, nevezetesen az, hogy mi az első pillanattól kezdve az alkalmazást úgynevezett zero-knowledge szolgáltatásként fejlesztettük. Ez azt jelenti, hogy nulla tudású, tehát maga a GoodID szolgáltatás nem tárol adatot, sőt nem is ismeri fel a felhasználói adatokat. A felhasználó adatai csak és kizárólag a saját mobileszközén, a saját, ha úgy tetszik adatszéfjén belül kerülnek tárolásra és ha azokat a GoodID-n keresztül megosztja valamilyen szolgáltatóval, akkor azt csak a szolgáltató kapja meg, maga a GoodID nem látja az adatokat. Emiatt, hogy mi nem kezelünk személyes adatokat, a GDPR-al teljes mértékben összhangban vagyunk. Sőt, ha egy kicsit tovább akarom ezt gondolni, akkor a GoodID nagyjából ugyanazt teszi, amit a GDPR: védi a felhasználó adatait és a felhasználó kezébe helyezi a kontrollt a saját adatai felett, csak nem a jog, hanem az informatika eszközeivel. Úgyhogy mi örülünk a GDPR-nak, mert még jobban rávilágít arra a problémára, amit egyébként a GoodID is szeretne segíteni: hogy a saját adatainkkal csak saját magunk rendelkezzünk és teljes kontrollt érezzünk.

- Azt tudjuk, hogy az internetezők nem szívesen adják oda adataikat marketing céljából. Ebben Ön szerint mennyire van tudatosság? Ez azt mutatná, hogy jobban odafigyelünk személyes adatainkra?

- Ebben nem vagyok biztos. Szerintem az a baj, hogy rengeteg felesleges reklámot kapunk. A reklámmal önmagában nincsen baj. Akkor van baj, hogyha arra ébredek, hogy van kétszáz olyan e-mail a postaládámban, amiből gyakorlatilag engem egy sem érdekel. Ebben az esetben automatikusan arra fogok rászokni, hogy ezeket törlöm olvasás nélkül. Ha csak hármat találnék, és az mindegyik érdekes lenne, akkor még örülnék is neki. Szerintem a probléma abból fakad, hogy a szolgáltatóknak egy bizonyos része teljesen életszerűtlen és teljesen, ha úgy tetszik profilozatlan, érdektelen reklámokkal bombázza a potenciálisnak tartott ügyfeleket, akik egy idő után immunissá válnak rá. Ez azt a viselkedést vonja maga után, hogy ahol tőlem elkérik azt a hozzájárulást, hogy küldhessenek nekem reklámcélú anyagokat, zsigerből nem fogom engedélyezni. Mert ugye ahhoz szoktam hozzá, hogy valószínűleg valami olyat akarnak nekem küldeni, ami engem nem érdekel vagy idegesít. Ez nem feltétlen amiatt van így, mert a személyes adatainkat jobban védjük, hanem igazából már nem akarunk spameket kapni.

- Tehát nem feltétlenül van ebben tudatosság. De akkor vajon mennyire vannak tisztában az emberek a kibertámadások következményeivel?

- Ez nagyon változó. Azt gondolom, hogy legtöbbünket nem annyira zavarja, hogy kibertámadás áldozata lesz, már csak azért sem, mert legtöbb esetben az emberek azt sem tudják, hogy mit jelent az, hogy kibertámadás. Azt, hogy bejön egy vírus a gépünkre és nem férünk hozzá a saját adatainkhoz vagy úgy lop el adatokat a gépünk, hogy fogalmunk sincs, hogy elvitte és utána nem tudjuk, hogy majd az adatainkkal ki és mit fog kezdeni. Ehhez be se kell törni a gépünkhöz egyébként, mert bármelyik szolgáltató, akinek megadtuk az adatainkat, lehet, hogy pénzért eladta azt, amiről nem is tudunk. Nem gondolom úgy, hogy ettől különösebben tartanánk. Lehet, hogy szóbeszéd szintjén igen, és hallunk olyan történeteket, ami rémtörténet, de szerintem az embereknek a nagy része különösebben nem foglalkozik ezzel behatóbban.

- Szakmájából adódóan Ön elég jól ért a biztonsági megoldásokhoz. Mit tehet egy átlagos felhasználó az online védelme érdekében? Például még mindig vannak olyanok, akiknek 1234 a jelszavuk, vagy meggondolatlanul felcsatlakoznak olyan WIFI hálózatokra is, amelyek nem biztonságosak.

- A házi praktikák mindig segítenek. Az 1234 jelszóval valószínűleg nagyon nagy biztonságot nem kapunk, aki ezt választja, az nem fogékony arra, hogy biztonságba legyenek az adatai. Szerintem rengetegen vannak így, mindaddig, amíg nem érte őket valamilyen kár, akár anyagi kár, akár valamilyen járulékos kár (a legdirektebb anyagi kár, ha ellopták a bankkártya adatainkat, mert mondjuk valahol megadtuk és valaki ahhoz hozzájutott). Ha ilyen kár ért valakit, akkor valószínűleg ő jobban odafigyel majd a jövőben, de a legtöbben sajnos úgy gondoljuk, hogy ez inkább csak a másikkal történhet meg, velünk kevésbé. Az egyik legfontosabb dolog, amit érdemes megnézni, például az internet használatakor, hogy maga az oldal, ahol vagyunk, az biztonságos-e. Nagyon sok oldal https helyett http-t használ, ezt egyébként a böngészőben egy kis lakattal látjuk.

Ellenőrizzük azt is, hogy ha a Facebook-ot használom, akkor az a facebook.com e vagy valahol máshol vagyok. Ha nem vagyunk biztosak a domain névben, ami egyébként a szolgáltató nevével stimmel, akkor meg is lehet nézni a tanúsítványt a kis lakatra kattintva, hogy az SSL tanúsítvány, ami emögött van, az pontosan kinek lett kibocsájtva. Ott viszont mindenképpen a szolgáltató nevével kéne találkoznunk. Ez relatív egy egyszerű művelet. Másrészt az egy dolog, hogy biztonságos jelszót adunk meg, de arra is figyelnünk kell, hogy csak akkor adjuk meg, ha https az oldal, azaz, ha biztonságos. Ha nem biztonságos, akkor bárki lehallgathatja a jelszavunkat anélkül, hogy mi arról tudnánk. Ezek persze nem jelentik azt, hogy nem érhet bennünket semmilyen támadás, de ezekkel már a támadások jelentős részét kivédhetjük.

- Az alkalmazáshoz visszatérve mi az, amiben a GoodID-nek a jövőben még fejlődnie kéne? Egyáltalán van-e ilyen?
- Rengeteg ilyen van. Egyrészt, amiben nagyon sokat kell fejlődnünk, az a kommunikáció. Az egyik legnagyobb challenge perpillanat az az, hogy hogyan tudjuk ezt nagyon egyszerűen úgy kommunikálni, hogy a szolgáltató tényleg megértse, hogy ez neki miért is jó. Mivel ez egy új kategória és még nem tudunk rámutatni számos más hasonló megoldásra, hogy „nézd, ez olyan, mint az, csak ennyivel jobb vagy rosszabb vagy másabb”, ezt elölről kell kezdeni, magyarázni, hogy az alkalmazás valójában mire való. Ez egy óriási kihívás, amivel minden úttörő valahol szembesül; amikor valami olyasmit csinál, amit eddig még más nem, akkor többet kell magyarázni a termékről és valahogy egyszerűen kell érthetővé tenni a szolgáltatók felé. Bár idővel ahogy haladunk előre, és jönnek elő más-más megoldások, találkozunk már olyan szolgáltatóval, aki rákérdez, hogy "aha, tényleg, mintha már találkoztam volna hasonlóval" és tényleg, például egy amerikai konkurens megoldással. Ahogy a GoodID-t is egyre jobban ismerik, egy fokkal már könnyebb. Ez a kommunikációval kapcsolatos fejlődési elvárás magunk felé.

A termékkel kapcsolatban rengeteg fejlesztés van a fejünkben, viszont ezeket most még nem fogom elárulni, annyit viszont elmondhatok, hogy maga a GoodID egy olyan megoldássá nőtte ki magát, és ilyen értelemben a víziót azt teljesíti, amit négy évvel ezelőtt meghatároztunk, hogy tényleg nagyon egyszerűen tudja azonosítani a felhasználót, a legkülönfélébb élethelyzetekben, mind online, mind pedig offline helyzetekben, és mivel sikerült megoldani, hogy ez egyszerűen, gyorsan és biztonságosan történjen, így ez ma már gyakorlatilag egy elérhető és kész szolgáltatás, amire rengeteg olyan egyéb szolgáltatást tudunk ráépíteni, aminek az alapja a felhasználóazonosítás. Például digitális hűségkártyát fogunk tudni adni az applikáción belül, akár single-branded, akár multi-branded hűségkártyát, amire nem kell feliratkozni külön, nem kell külön papírokat kitölteni, nem kell külön a kártyát legyártani, nem kell a felhasználónak elküldeni, és ami a legfontosabb, a felhasználó nem fogja tudni otthon hagyni, mert a mobileszköze mindig nála van, és adott esetben lokáció alapon tudjuk majd a hűségkártyát felajánlani a szolgáltatás helyszínén. Ez például egy fajta fejlesztés, amin dolgozunk és hamarosan elérhető lesz a közönség számára is, de számos ilyet tervezünk még bevezetni.

- Hogyan látja a jövőt? Merre fog a jövőben terjeszkedni a cég, milyen ágazatban vagy szektorban lát potenciált?

- Maradunk a kaptafánál, az elektronikus azonosításhoz értünk és mi ezt is szeretnénk csinálni. Egyrészt a cég core tevékenysége sikeres, nemrég éppen megnyertük a japán útlevél projektet. A GoodID, mint egy cégen belüli startup pedig a technológiáknak egy mobilosított, a nagyközönség számára elérhetővé tett változata, amit a továbbiakban is fejlesztünk. Ha a piacot szegmentáljuk, hogy mi hova is szánjuk a GoodID-t, ott van körülbelül öt-hat-hét olyan jól lehatárolható terület, ahol a GoodID-nak különféle értékajánlatai lehetnek. Ezek közül az egyik nagy szektor az maga az e-commerce, a fintech, a bankszektor, vagy akár a biztosítás szektor, a közüzemi szolgálatatások, az állami szolgáltatások, a rendezvények, akár szórakoztató jellegű események, akár konferenciák. Lehetnek akár olyan rendezvények, ahol erős azonosításra is szükség van, például nagyobb fesztiválokon, ahol a biztonsági ellenőrzésnél bevezették már az okmányok szkennelését; itt a GoodID nagyon sokat tud segíteni, mert tulajdonképpen egy érintéssel az azonosítást és a jogosultságot is le fogja tudni ellenőrizni vele az ügyfél és a szolgáltató

- Az idei Smart Konferencián elég meghatározó volt az Önök jelenléte és egy sikeres előadást is sikerült tartani. Van-e ehhez hasonló felület, ahol szívesen bemutatnák az alkalmazást és egyúttal véleményüket a biztonságos internethasználatról a jövőben?
- Valójában mi ezt minden felületen szívesen kommunikáljuk, ahol úgy gondoljuk, hogy egyrészt a közönséget érdekelheti, másrészt nekünk is segít abban, hogy mi is tökéletesítsük azt a fajta stratégiát, ahogy a GoodID-t kommunikáljuk. A Smart-on egy teljesen más formáját választottuk a kommunikációnak, ami nagyon sikeresnek bizonyult. Ott egy digitális tombolajátékba csomagoltuk a GoodID megismertetését és felülmúlta az általunk elképzelt sikereket is, a hozzá fűzött reményeket, ugyanis tényleg mindenki, aki a konferencián jelen volt, majdnem mindenki részt vett a játékban és senkinek nem volt problémája az alkalmazás letöltésével és használatával. Ilyen fajta, valamint egyéb kommunikációs technikákat a jövőben is tervezünk és mi is keressük azokat a rendezvényeket, ahol ezt hatékonyan tudjuk kommunikálni, illetve ahol olyan célközönséget tudnak felvonultatni, ami a GoodID megjelenését segíti.

Kövesd az oldalunkat a Facebook-on és a Twitteren is!


Nagy Beatrix

Nagy Beatrix vagyok, a Pázmány Péter Katolikus Egyetem másodéves hallgatója, ahol kommunikáció és médiatudomány szakon tanulok, ezen belül pedig újságírás szakirányon. Gyerekkorom óta ...





Címkék: kibertámadás