Az emberek jó része azt sem tudja, hogy mi az a kibertámadás

Az emberek jó része azt sem tudja, hogy mi az a kibertámadás
A GoodID alkalmazás lehetővé teszi a biztonságos és gyors online regisztrációt és beléptetést. A digitalhungary.hu erről, valamint az internetes biztonságról kérdezte a nemzetközi szinten is ismert IT-biztonsági szakértőt. Szabó Tamás beszélt a felhasználók felelősségéről is. Interjú.

- Mi volt a meghatározó motiváció a GoodID alkalmazás fejlesztése során?
- A GoodID egy vízió eredménye. Körülbelül 2000-2002 óta foglalkozunk mélyrehatóan elektronikus azonosítással, azon belül is a chipkártya alapú elektronikus azonosítással, ami az ID&Trust kulcstevékenysége. Amikor elkezdtünk foglalkozni ezzel a szakterülettel, a chipkártyás megoldások iránti igények markáns növekedése azt a trendet vetítette előre, hogy előbb-utóbb mindenhol chipkártyát fogunk használni: ahogy a laptopokra, úgy az online szolgáltatásokra is chipkártyával fogunk belépni, vagy akár az autót is azzal fugjuk elindítani. Ezek a megoldások ma már elérhetők, ám kiváló biztonsági képességeik ellenére nem minden területen terjedtek el. Ennek elsősorban az az oka, hogy használatuk további feltételekhez kötött: többek között szükség van kártyaolvasóra, valamilyen szoftverkomponensre és nem utolsó sorban edukációra. Modern korunk digitális felhasználói környezete azonban kényelmes és felhasználóbarát megoldásokat igényel, ahol a biztonság mellett kiemelt szerepet kap a felhasználói élmény is. Ha szabad így fogalmaznom, az Apple kicsit elrontott minket. Ma már egyetlen gombbal akarunk megoldani mindent, sőt a gyártók és a fejlesztők már a gombot is elhagyták: találja ki a telefon, hogy mit szeretnénk csinálni! Ez az irány pedig leszűkíti a chipkártyás megoldások mozgásterét és alkalmazási lehetőségeit.

A GoodID tulajdonképpen egy felismerés eredménye: úgy gondoltuk, hogy szükség van egy átfogó megoldásra, hogy egyszerűen és biztonságosan tudjuk azonosítani magunkat a különféle élethelyzetekben. De ha nem a chipkártya a válasz, akkor mi? Valójában a mobiltelefonok elterjedése vezetett minket ahhoz a kézenfekvő döntéshez, hogy használjuk az okostelefont. Ha megnézzük a modern okostelefonokat, azok leginkább már személyi számítógépek, amikkel mellesleg telefonálni is lehet. Viszont számtalan egyéb célra is használjuk: ez az az eszköz, ami mindig nálunk van, és amiért visszafordulunk az utcasarokról. Ezekből a tényekből logikusan következett, hogy olyan biztonsági megoldást kell kifejlesztenünk, ami omni-channel módon használható azonosításra: akkor is, amikor az interneten szeretnék vásárolni, bankszámlát nyitni vagy akár egy biztosítási ügyet intézni, de álljon rendelkezésemre akkor is, ha megjelenek egy rendezvény helyszínén, hiszen ott is sokszor azonosítani kell magamat vagy éppen valamilyen jogosultságot kell ellenőrizni. És még sokáig sorolhatnám, ugyanis rengeteg olyan élethelyzet létezik, amikor valamilyen azonosításra van szükség, és a GoodID erre kínál biztonságos, élményszerű és mindenki számára ingyenesen elérhető megoldást.

- Van-e olyan konkrét vagy speciális célcsoport, akinek a GoodID készült, vagy az alkalmazás mindenkinek a segítségére lehet?

- A GoodID előnyeit gyakorlatilag mindenki élvezheti, aki használ okostelefont és valamilyen szolgáltatást is igénybe vesz, ahol valamilyen szintű azonosításra van szükség. Ez lehet online vagy akár offline szolgáltatás is. Nyilván a GoodID használata – ugyanúgy, mint bármilyen alkalmazásé – egy bizonyos technikai felkészültséget feltételez: a felhasználónak le kell töltenie egy alkalmazást és egyszer meg kell adnia a saját adatait. Úgy gondoljuk, hogy aki rendelkezik okostelefonnal, az valószínűleg képes egy alkalmazást letölteni és futtatni. Vagyis összefoglalva azt mondhatjuk, hogy a célközönségünk az a felhasználó, aki rendelkezik okostelefonnal és képes azt használni.

- Miben jobb ez az alkalmazás, mint a versenytársai? Melyek azok a területek és funkciók, ahol a GoodID Ön szerint többet tud nyújtani?
- Egyelőre még abban a szerencsés helyzetben vagyunk, hogy nem nagyon tolonganak a versenytársak, ugyanis a GoodID egy új kategóriát teremtett. Az utóbbi egy-két évben ugyanakkor már valóban megjelent néhány versenytársnak tűnő szereplő a globális piacon, aminek azért örülünk, mert ezek még jobban igazolják a kategória jogosultságát.

A kérdésre részletesen válaszolva: a hasonló megoldásokhoz képest a legnagyobb különbség az, hogy a GoodID teljes körű azonosítási szolgáltatás nyújt, azaz képes kielégíteni a különféle felhasználó azonosítási igényeket az egyes szolgáltatási területeken. Az alkalmazás segítségével azonosíthatom magam pl. egy olyan szolgáltatásnál, ahol a biztonság kevésbé fontos szempont, viszont gyors és kényelmes megoldásra van szükségem. Másik esetben pl. erős felhasználó hitelesítésre vagy rendkívül megbízható adatazonosításra van igény, ahol a szolgáltató biztos akar lenni abban, hogy pontosan az vagyok, akinek mondom magam.

A GoodID felöleli ezt a két végletet és a köztük lévő összes lehetséges kombinációt. Ráadásul ezt omni-channel módon teszi: vagyis egyenszilárd azonosításra képes akár asztali számítógépen, notebook-on, táblagépen vagy magán az okostelefonon, illetve a fizikai helyszínen is. A GoodID-n kívül nem találkoztunk még olyan megoldással, amely ezt teljes körűen elvégzi, miközben a felhasználó a teljes folyamat során mindvégig ellenőrizheti és szabályozhatja, hogy mikor és milyen adatokat ad meg magáról. Mindezt úgy, hogy a GoodID egy „nulla tudású” szolgáltatás.

- Akkor Magyarországon még nincs komolynak mondható versenytársuk?
- Egy angol vállalatról tudunk, amely nagyon erős: jelenleg 150-200 embert foglalkoztatnak, és 65 millió fontra értékelték magát a megoldást. Egyébként az is elképzelhető, hogy nem Magyarország fogja a legjobb felhasználói környezetet kínálni a GoodID számára. Természetesen dolgozunk a nemzetközi jelenléten és a globális térnyerésen, de a közép-kelet-európai régióban nincs még konkurens megoldás.

- Az ID&Trust neve a hazai és a nemzetközi IT és IKT iparágban összeforrt a biztonsággal. A GoodID fejlesztésénél az egyszerűség, a kényelem és a felhasználói élmény mellett nyilvánvalóan központi szerepet kaptak a biztonsági szempontok. Azonban, mint minden alkalmazásnál, itt is felmerülhet a kérdés: adataink teljes biztonságban vannak?
- Ez nehéz kérdés, mert először definiálni kell, hogy mit is jelent a teljes biztonság. Elméletileg minden feltörhető, ha végtelen idő és pénz áll rendelkezésre, tehát abszolút biztonság nem létezik. A biztonság mindíg relatív, ezért a szakértők mindig valószínűségekben gondolkoznak, és arra törekednek, hogy egy sikeres támadás valószínűsége olyan alacsony legyen, ami azt irreálissá teszi. Persze az emberek azt szeretik hallani, hogy valami tökéletesen biztonságos vagy éppen egyáltalán nem az. De ez ennél komplexebb kérdés.

A GoodID esetében két fontos pillérre alapozzuk az adatbiztonságot. Egyrészt kihasználjuk az okostelefon összes biztonsági funkcióját, amit az adott eszköz hardver kiépítése, illetve az operációs rendszer lehetővé tesz. Másrészt ehhez hozzátesszük mindazt a specifikus szaktudást és tapasztalatot, amit a chipkártyás fejlesztéseink kapcsán az utóbbi húsz évben összeszedtünk. Ennek eredményeként a GoodID többrétegű védelemmel gondoskodik az adatok biztonságáról. Ez azt jelenti, hogy a telefon hardverét, az operációs rendszert és az általunk fejlesztett biztonsági protokollt együtt kell tudni sikeresen támadni ahhoz, hogy az adatokat ellophassák: ennek a valószínűsége rendkívül kicsi, irreális. Meggyőződésünk szerint a GoodID kiemelkedően biztonságos megoldás, aminek további lényeges eleme, hogy auditálható. Ugyanis nem attól biztonságos, hogy annyira titokzatos biztonsági funkciókat feljesztettünk volna ki és rejtettünk volna el benne, hanem éppen attól, hogy a teljes biztonsági architektúra dokumentált és széles körben alkalmazott, szabványos kriptográfiai algoritmusokra épül.

- Mostanában sokat hallani arról, hogy a GDPR-követelmények tükrében az érintett cégek működését és szolgáltatásait milyen sok ponton kellett megváltoztatni. Hogyan hatott a GDPR az Önök alkalmazására? Mennyire kellett a GoodID-t ennek kapcsán megváltoztatni?
- Ez egy nagyon időszerű kérdés. Szerencsésnek mondhatjuk magunkat, mert az IT-biztonsági iparág aktív szereplőjeként részben ráérzésből, részben a rendszeres piacfigyelés alapján rátapintottunk a várható trendekre, és helyesen mértük fel mind a felhasználói igényeket, mind a jogszabályi és gazdasági környezet valószínűsíthető változásait. Ezért a GoodID-t az első pillanattól kezdve úgynevezett zero-knowledge szolgáltatásként alkottuk meg. Ez azt jelenti, hogy a szolgáltatás „nulla tudású”, vagyis miközben a szolgáltató minden olyan személyes adatot megkap a felhasználóról, amihez az hozzájárult, a GoodID szerver az adatokat nem képes megismerni, ebből kifolyólag tárolni sem. Az adatok kizárólag a felhasználó saját mobileszközén - ha úgy tetszik, a saját adatszéfjén belül - kerülnek tárolásra.

Így amiatt, hogy mi nem kezelünk személyes adatokat, a GDPR-ral teljes mértékben összhangban vagyunk. Ha jobban belegondolok, a GoodID nagyjából ugyanazt teszi, amit a GDPR: a felhasználó kezébe helyezi a kontrollt a saját adatai felett - csak nem a jog, hanem az informatika eszközeivel. Ezért mi örülünk a GDPR-nak, mert még jobban rávilágít arra a problémára, aminek a megoldásához a GoodID is hozzájárul: fontos, hogy a saját adataink felett kizárólag saját magunk rendelkezzünk, és a kontroll ténylegesen és érzés szintjén is a mi kezünkben legyen.

Sőt, a GoodID ennél még többet is tesz, a szolgáltatók számára is megkönnyíti a megfelelést azáltal, hogy minden bejelentkezéskor átadja a felhasználó adatait és ráadásul a legfrissebb adatokat. Így a szolgáltató megteheti, hogy csak azokat a személyes adatokat tárolja, amire hosszabb távon szüksége van, a szorosan a szolgáltatási eseményhez kapcsolódó adatokat törli, vagy álnevesíti, amikor azokra már nincs szüksége. Pl. egy webshop esetén ilyen adatok a lakcím, számlázási cím és a telefonszám, de a név és az email is, ha a felhasználó nem kért hírlevelet. De ez csak egy lehetőség, a szolgáltatók azt tárolnak az átadott adatok közül, amit akarnak. A GoodID csak azt garantálja, hogy a felhasználó által jóváhagyott adatokat a megfelelő szolgáltatónak adja át, hogy azután mi történik az adatokkal, az az adott szolgáltató felelőssége.

- Közismert, hogy az internetezők nem szívesen adják meg adataikat marketingcélokra. Ez Ön szerint tudatos döntés, ami egyúttal azt is mutatja, hogy jobban odafigyelünk személyes adatainkra?

- Ebben nem vagyok biztos. Szerintem alapvető probléma, hogy rengeteg felesleges reklámot kapunk, bár a mai fogyasztásorientált piacon a reklámmal önmagában nincsen baj. A gondot az jelenti, ha reggel kétszáz, nagyrészt számomra érdektelen reklámüzenetet találok a postaládámban. Mivel nincs időm őket végigbogarászni, ezeket olvasás nélkül törlöm. Ha csak hármat találnék, olyat ami érdekel, annak még örülnék is.

Megítélésem szerint a probléma abból fakad, hogy sok szolgáltató teljesen érdektelen és irreleváns – ha úgy tetszik, profilozatlan – ajánlatokkal bombázza a potenciálisnak tartott ügyfeleket, akik egy idő után immunissá válnak a reklámüzenetekre. Ez pedig óhatatlanul azt a viselkedést vonja maga után, hogy amikor a hozzájárulásomat kérik reklámanyagok küldéséhez, zsigerből nem fogom engedélyezni. Mert ahhoz szoktam hozzá, hogy valószínűleg olyan üzenetet akarnak nekem küldeni, ami nem érdekel, vagy rosszabb esetben idegesít. A hozzájárulás megtagadása ezért nem feltétlenül a személyes adataink védelme miatt történik, hanem mert nem akarunk több spamet kapni. Ehhez kapcsolódik, hogy a GoodID egyik fő értékajánlata éppen az, hogy a szolgáltató sebészi pontossággal tudja követni a felhasználó szokásait, azáltal, hogy az első találkozáskor gombnyomással létrejön a felhasználó fiókja, ami azután bármely csatornán egy mozdulattal beazonosíthatóvá válik. És amitől ez még izgalmasabb, hogy ehhez még személyes adatok sem kellenek.

- Tehát nem feltétlenül van ebben tudatosság. De akkor vajon mennyire vannak tisztában az emberek a kibertámadások következményeivel?

- Ez nagyon változó. Úgy gondolom, hogy a legtöbb embert nem igazán zavarja, hogy kibertámadás áldozata lehet - főképpen azért nem, mert nincsenek tisztában vele, mit jelent a kibertámadás. Pl. jelentheti azt, hogy vírus kerül a számítógépünkre vagy a mobil eszközünkre, és nem férünk hozzá a saját adatainkhoz. De jelentheti azt is, hogy észrevétlenül lopnak el adatokat a gépünkről, ezáltal fogalmunk sincs róla, hogy azokkal majd ki és mit fog kezdeni. Ehhez egyébként a jogosulatlan adathasználónak be sem kell törnie a gépünkre, mert előfordulhat, hogy egy szolgáltató a tudtunk nélkül pénzért eladja az általunk megadott adatokat. Véleményem szerint ezektől a veszélyektől az emberek nem tartanak különösebben. Lehet, hogy szóbeszéd útján hallunk rémtörténeteket, de jellemzően nem foglalkozunk behatóan ezekkel a kockázatokkal.

- Szakmájából adódóan Ön elég jól ért a biztonsági megoldásokhoz. Mit tehet egy átlagos felhasználó az online védelem érdekében? Például még mindig vannak olyanok, akiknek 1234 a jelszavuk, vagy meggondolatlanul felcsatlakoznak olyan Wi-Fi hálózatokra is, amelyek nem biztonságosak.
- A józan ész és néhány alapvető óvintézkedés sokat segít. Az 1234 jelszó valószínűleg nem nyújt megfelelő biztonságot: aki ezt választja, az nem igazán törődik az adatai biztonságával. Ezzel rengetegen vannak így, mindaddig, amíg nem éri őket valamilyen anyagi vagy járulékos kár. A legközvetlenebb anyagi kár pl. ha ellopják a bankkártya adatainkat, mert mondjuk valahol megadtuk, és egy csaló ahhoz hozzájutott. Akit ilyen kár ér, valószínűleg azután komolyabban veszi az adatvédelmet, ám a legtöbben sajnos úgy gondoljuk, hogy ilyesmi jobbára csak másokkal történhet meg.

És hogy mi tehetünk? Ne kapcsoljuk ki a tűzfalat, és ellenőrizzük, hogy biztonságos-e a felkeresett weboldal. A biztonságos oldalak a sima http protokoll helyett a https-t használják, amit a böngésző címsorában egy kis bezárt lakat ikon jelez. Ha nem vagyunk biztosak a domain névben - ami adott esetben egyébként még meg is egyezik a szolgáltató nevével -, a kis lakatra kattintva ellenőrizhetjük a biztonsági tanúsítványt, vagyis azt, hogy az adott SSL tanúsítvány pontosan kinek a nevére lett kibocsájtva. Ilyenkor mindenképpen a szolgáltató domain nevével kell találkoznunk. Ez egy viszonylag egyszerű művelet, viszont ha ezt elmulasztjuk, könnyen az adathalászok hálójában találjuk magunkat, úgy hogy azt észre se vesszük. Facebook használata esetén pl. érdemes ellenőrizni, hogy valóban az igazi facebook.com oldalt látogatjuk-e. Ezek az óvintézkedések természetesen nem garantálják, hogy eszközünket vagy számítógépünket nem érheti kibertámadás, viszont a támadások jelentős része ellen védelmet nyújtanak.

- Az alkalmazáshoz visszatérve, mi az, amiben a GoodID-nak a jövőben még fejlődnie kéne? Egyáltalán van ilyen?

- A folyamatos fejlődésben hiszünk, és bőven van még teendőnk. Az egyik ilyen kulcsterület a kommunikáció, ahol jelenleg a legnagyobb kihívást az jelenti, hogy miként tudjuk a GoodID előnyeit a legegyszerűbben kommunikálni úgy, hogy a szolgáltatók is megértsék, hogy miért jó ez nekik. A GoodID egy új és egyedi kategória, ezért összehasonlításként nem tudunk rámutatni egy sor hasonló megoldásra, hogy „nézd, ez az alkalmazás olyan, mint az, csak ennyivel jobb, rosszabb vagy másabb”. Amikor a GoodID-ról beszélünk, mindig az alapoknál kell kezdenünk a történetet. Ez egy óriási kihívás, amivel minden úttörő szembesül: amikor elsőként valami újat hozol létre, ami korábban nem volt, akkor többet kell magyaráznod a termékről, és egyszerűen kell megértetned a lényegét a szolgáltatókkal. Bár ahogy haladunk előre az időben, felbukkannak a GoodID-hoz hasonló megoldások. Találkoztunk már olyan szolgáltatóval, aki megjegyezte: „tényleg, mintha már találkoztam volna hasonlóval" – ami például lehetett egy konkurens amerikai megoldás. A GoodID térnyerésével és az ismertségének növekedésével egyre könnyebb lesz a kommunikáció is, ami egyúttal fejlődési elvárás magunk felé.

A termékkel kapcsolatban is rengeteg fejlesztési ötlet van a fejünkben, ugyanis az már kétségtelen, hogy a GoodID egy olyan megoldássá forrta ki magát, ami megvalósítja a négy évvel ezelőtt megfogalmazott víziónkat. Rendkívül egyszerűen képes azonosítani a felhasználót a legkülönfélébb élethelyzetekben mind online, mind pedig offline környezetben. Mivel az alkalmazás ma már a szolgáltatók és a felhasználók számára könnyen elérhető, intuitív kezelése pedig kiemelkedő gyorsasággal és biztonsággal párosul, egy csomó olyan egyéb szolgáltatást tudunk ráépíteni, amelyek alapja a felhasználó-azonosítás.

Például az alkalmazás hamarosan képes lesz akár single-branded, akár multi-branded digitális hűségkártyák kiállítására és kezelésére, ami számos előnnyel jár: a felhasználó részéről nem igényel külön feliratkozást és dokumentum-kitöltést, a szolgáltató részéről pedig kártyagyártást és postázást. És ami a legfontosabb: a felhasználó nem fogja tudni otthon hagyni a hűségkártyát, mert a mobileszköze mindig nála van. Sőt, adott esetben lokáció alapon tudunk majd hűségkártyát felajánlani a szolgáltatás helyszínén. Ezen túlmenően még sok, izgalmas új funkción dolgozunk.

- Hogyan látja a jövőt? Merre fog a jövőben terjeszkedni a cég, milyen ágazatban vagy szektorban lát potenciált?
- Maradunk a kaptafánál. Az elektronikus azonosításhoz értünk, és továbbra is ezzel szeretnénk foglalkozni. Miközben nagyon büszkék vagyunk az eSzemélyi megoldásunkra, továbbra is jelen vagyunk a nemzetközi piacon: egy konzorcium tagjaként nemrég megnyertük a japán útlevél tendert, aminek keretében mi szállítjuk majd az okmányok chip-jén futó szoftvert, ami az útlevél és a benne tártolt személyes adatok hitelességét grantálja. Ez hatalmas referencia értékkel bír, ugyanis nem sok cég mondhatja el magáról, hogy Japánba szállít technológiát. A GoodID pedig a chip-es technológiánknak egy „mobilosított”, a nagyközönség számára elérhető változata, amiben hosszú távon is töretlenül hiszünk. Ha piaci szegmentációban és pozicionálásban gondolkozunk, körülbelül hét-nyolc olyan jól lehatárolható területet látunk, ahol a GoodID értékei versenyképesek és sikeresek lehetnek. Ezek közül a meghatározó területek az e-commerce, a fintech, a bankszektor vagy akár a biztosítás szektor, az egészségügy, valamint a közüzemi és állami szolgáltatások.

Lényeges területet jelentenek a különféle rendezvények, ideértve a konferenciákat vagy az olyan szórakoztató eseményeket, mint a koncertek, sportrendezvények és fesztiválok. A jelentősebb fesztiválokon ma már sok esetben erős azonosításra is szükség van, és a biztonsági ellenőrzésnél bevezették az okmányok szkennelését: itt a GoodID nagyon sokat tud segíteni, mert a szolgáltató és az ügyfél is egyetlen érintéssel elvégezheti az azonosítást és a jogosultság ellenőrzését is.

- Az idei Smart Konferencián meghatározó volt az Önök jelenléte, és egy sikeres előadást is tartottak. Van-e ehhez hasonló felület, ahol a jövőben szívesen bemutatnák az alkalmazást és egyúttal megosztanák véleményüket a biztonságos internethasználatról?
- Valójában minden olyan felületen és fórumon szívesen kommunikálunk, ahol a közönséget érdekli az üzenetünk, és ami nekünk is segít abban, hogy tökéletesítsük a GoodID kommunikációs stratégiáját, illetve ennek az operatív megvalósítását. A Smart Konferencián egy teljesen új kommunikációs megoldás mellett döntöttünk, ami rendkívül sikeresnek bizonyult: egy digitális tombolajátékba csomagoltuk a GoodID megismertetését. Az ötlet messze felülmúlta a várakozásainkat, ugyanis a konferencia szinte összes résztvevője részt vett a játékban, és tudomásunk szerint senkinek nem akadt gondja az alkalmazás letöltésével és használatával. Ez számunkra nagyon fontos visszajelzés mind kommunikációs, mind fejlesztési szempontból. Ehhez hasonló kreatív és innovatív kommunikációs megoldásokat a jövőben is tervezünk, valamint keressük azokat a rendezvényeket, ahol ezeket használni tudjuk. A GoodID sikeres kommunikációjához értelemszerűen olyan rendezvényeken kell megjelennünk, ahol technológiailag fogékony vagy felhasználási szempontból releváns célközönséget érünk el.

Kövesd az oldalunkat a Facebook-on és a Twitteren is!


Nagy Beatrix

Nagy Beatrix vagyok, a Pázmány Péter Katolikus Egyetem másodéves hallgatója, ahol kommunikáció és médiatudomány szakon tanulok, ezen belül pedig újságírás szakirányon. Gyerekkorom óta az olvasás és az …


Címkék: kibertámadás