Kapcsolódó bejegyzések
- 💻 Fekete bőrdzsekik és neonfények: Kiberpunk és hackerkultúra az irodalomban
- A 21. század vadnyugata: kiberbiztonsági fenyegetések és adatlopás a mindennapokban
- Titkos Őrzők: Hatékony Módszerek a Személyes Adatok Védelmére az Online Világban!
- 💥 Az SQL Injection – Amikor a weboldalad saját magát árulja el
- A jövő munkahelyei:
- IoT eszközök: A kényelmes élet kulcsa vagy a privát szféra végét jelentik?
-
A titkosítás evolúciója: Hogyan vált a kulcsküldés problémája a digitális kor alappillérévé?
- Az internet titkos világa – Amit nem látsz a Google-ban
Az informatikai biztonság fő szempontjai – és amit a támadók ellenük tesznek
Az informatikai biztonság három alappillére – bizalmasság, sértetlenség és rendelkezésre állás – egy jól ismert, úgynevezett CIA-triád (Confidentiality, Integrity, Availability) modellbe szervezhető. Ezek biztosítják, hogy adataink titkosak, pontosak és elérhetők maradjanak.
De mi történik akkor, amikor ezek a szempontok támadás alá kerülnek?
A CIA-triád és a támadások tükörképe: a D.A.D. modell 💣
A támadók célja gyakran pont az, hogy a CIA-triád valamelyik elemét megbontsák. Ez alapján három típusú támadási célt különböztetünk meg, a D.A.D. (Disclosure, Alteration, Denial) modell szerint:
|
CIA elem |
Megfelelő támadási cél (D.A.D.) |
Mit jelent? |
|
Bizalmasság |
Disclosure (kiszivárogtatás) |
Az adatokat illetéktelenül megszerzik. Pl. jelszólopás. |
|
Sértetlenség |
Alteration (megváltoztatás) |
Az adatokat módosítják vagy meghamisítják. |
|
Rendelkezésre állás |
Denial (megtagadás) |
Az adat vagy rendszer elérhetetlenné válik. Pl. DDoS támadás. |
Az alábbi ábra jól mutatja a kapcsolatot a két modell között:
A modell középpontjában egy bomba szimbolizálja, hogy bármelyik szempont sérülése katasztrofális következményekkel járhat.
Példák a gyakorlatból 🛠️
- Disclosure (bizalmasság sérülése): Egy adathalász e-maillel kicsalt bejelentkezési adatok.
- Alteration (sértetlenség megsértése): Egy hacker módosítja egy weboldalon a banki számlaszámokat.
- Denial (rendelkezésre állás megszűnése): Egy DDoS támadás leállítja egy online bolt működését.
Miért fontos mindkét modell?
A CIA-triád megmutatja, mit kell védenünk.
A D.A.D. modell megmutatja, hogyan támadják meg ezeket az értékeket.
A kettő együtt teljes képet ad arról, hogyan építsünk fel egy védett rendszert, és mire készüljünk fel a digitális világban.
📚 Hivatkozásjegyzék
Az informatikai biztonság fő szempontjai
A digitális világ három alappillére
Az informatikai rendszerek védelme nem csupán arról szól, hogy legyen egy vírusirtó a gépünkön, vagy hogy ne kattintsunk gyanús linkekre. A valódi biztonság három alapelven nyugszik, amelyek minden jól működő informatikai rendszer gerincét adják. Ezek: bizalmasság, sértetlenség és rendelkezésre állás – angol rövidítéssel CIA (Confidentiality, Integrity, Availability).
Nézzük meg ezeket részletesen!
🔐 Bizalmasság (Confidentiality)
Lényege:
Csak azok férhessenek hozzá egy adott információhoz, akik jogosultak rá.
Példák:
- A beteg kórlapját csak az orvosa és ő maga láthatja.
- A céges pénzügyi adatokhoz csak a pénzügyi osztály férhet hozzá.
- Egy e-mailt csak a címzett nyithat meg – nem a rendszeradminisztrátor vagy más külső személy.
Eszközök, módszerek:
- Titkosítás: pl. AES, RSA – az adatok kódolt formában kerülnek tárolásra vagy továbbításra.
- Hitelesítés: jelszavas beléptetés, kétszintű hitelesítés (2FA), biometrikus azonosítás.
- Hozzáférés-szabályozás: jogosultságok beállítása rendszergazdák, felhasználók, vendégek szintjén.
Hétköznapi hasonlat:
Olyan ez, mint egy zárható széf. Ha csak te tudod a kombinációt, akkor te vagy az egyetlen, aki hozzáfér az értékekhez.
🛠️ Sértetlenség (Integrity)
Lényege:
Az információt nem módosíthatja illetéktelen fél – az adatok megbízhatók, pontosak és változatlanok.
Példák:
- Egy banki átutalási összeg nem változhat meg útközben.
- Egy hivatalos dokumentum aláírása után nem szerkeszthető tovább.
- Egy online szavazás eredménye nem torzulhat el utólagos manipuláció miatt.
Eszközök, módszerek:
- Hash algoritmusok: pl. SHA-256 – az adatokhoz tartozó „ujjlenyomat” ellenőrzésére.
- Digitális aláírás: igazolja, hogy az adat nem változott meg a küldés óta.
- Verziókövetés és naplózás: minden változás nyomon követhető.
Hétköznapi hasonlat:
Gondolj egy pecséttel lezárt borítékra. Ha a pecsét sértetlen, biztos lehetsz benne, hogy senki nem olvasta vagy módosította a levelet.
📶 Rendelkezésre állás (Availability)
Lényege:
Az adatok és rendszerek mindig elérhetőek legyenek azok számára, akiknek szükségük van rájuk – időben, folyamatosan, megszakítás nélkül.
Példák:
- Az online banki rendszer éjjel-nappal működik.
- Az iskolai e-napló nem omlik össze a jegyek feltöltésekor.
- A kórházi informatikai rendszer nem áll le éppen műtét közben.
Eszközök, módszerek:
- Redundancia: tartalék szerverek, internetkapcsolatok, adattárolók.
- Terheléselosztás: a forgalmat több szerver között osztják el.
- DDoS elleni védelem: automatikus szűrés, felhőalapú védelem.
- Rendszeres biztonsági mentés: adatvesztés esetén gyors visszaállítás.
Hétköznapi hasonlat:
Ez olyan, mint a villanyáram: észre sem vesszük, amíg nem hiányzik. De ha hirtelen nincs, az egész életünk leáll.
Miért fontos ez a három szempont együtt?
Gondolj egy repülőgép irányítórendszerére:
- Ha bárki hozzáférhet (bizalmasság sérül) – kockázatos.
- Ha módosítja valaki az adatokat (sértetlenség sérül) – végzetes lehet.
- Ha nem működik (nincs rendelkezésre állás) – tragédiához vezethet.
Ezért minden informatikai rendszer csak akkor tekinthető biztonságosnak, ha ez a három alapelv egyidejűleg érvényesül.
