Megkésve bár, de törve nem megbokrosodó teendőim ellenére és a helyzet normalizálódása után most tudom csak szélesebb olvasói körrel megosztani velőtrázó gondolataimat a Hétpecsét Információvédelmi Egyesület által megrendezésre került Információvédelem menedzselése XLIV. Szakmai fórumáról.A fel és bevezetést ismét a remek szónoki képességekkel megáldott Gasparetz András egyesületi elnök ejtette meg.
A Hétpecsét új ISO 27001-es tanúsítási mérési módszert vezetett be
Az obligát ismertetés és jövőbéli tervek után a megszokottól már kissé eltérő módon, mellőzve a néhol semmitmondó és olykor bizonytalan források okán nem mindig hiteles száraz statisztikákat az Egyesület egy új mérési módszer alkalmazását jelentette be. Ennek lényege mostantól abban leledzik az elképzelés szerint, hogy a vizsgálódásba bevonják, és nagyobb hangsúlyt adnak a minősítést végrehajtó cég akkreditációját kiadó szervezetnek is. Számomra nem teljesen látható, hogy az ezután a publikummal megosztott eredmények mennyire képviseltek merőben más minőségi régiót, mert a felvezetett adatok pont egy más, éves rendszerességgel elvégzett telefonos interjúkon alapuló felmérés eredményét ismertették. Ergo egy más dimenzióról adtak hírt.
A diákat innen lehet letölteni: http://www.hetpecset.hu/ppt_XLIV_1.html
Informatikai perek igazságügyi szakértői perspektívából
A második blokk az ígéreteknek megfelelően szakmai szempontból egy érdekes színfolt volt. Az eddigi fórumokon már tapasztalható volt, hogy a program összeállításnál a szervezők súlyt fektetnek az IT biztonsághoz szorosan kötődő és azt vitathatatlanul körülvevő jogi háttérrel kapcsolatos témákra is.
A cím (Informatikai perek igazságügyi szakértői perspektívából) valóban mindent elárult az előadó Illési Zsolt mondandójáról. Az előadásban visszatérő elem volt, hogy a szabatos, jogi oldalon már meglevő szabályozás ellenére az informatikai szakértők szakmai munkáját nem szabályozzák olyan jellegű kódexek, kötelező érvényű eljárásrendek, mint amit az egyéb, más szakmai területeken (pl. orvoslás, építőipar) megszokhattunk, illetve már régóta a napi joggyakorlás részévé vált. Így aztán rossz esetben semmi sem véd a kóklerkedés ellen sem. Ez a tény így automatikusan szüli azokat a problémákat, amikkel az informatikai pereknek küzdeniük kell, kockáztatva mindenki kárára a bírói ítéletek mégiscsak elvárt objektivitását.
A továbbiakban Illési Zsolt felsorolta a legtöbbször megeső szakmai és a jogi, perbéli tévesztéseket vagy egyszerűen csak hibákat, amiket a felkent IT szakértők nagy megbízhatósággal el is szoktak követ. Nyilvánvaló, hogy az előadás a legjobban megérthető balfogásokat akarta felsorolni, de az mindenkinek azonnal átjött, hogy már a JPÉF alapján is (Józan Paraszti Ész Faktor) komolytalanná válhat az egész szakértősödi, ha valaki nem a kellő következetességgel és alapossággal él, amikor leír valamit. Milliós pénzek és sorsok múlhatnak ugyanis igaztalanul azon, ha a bíróság kénytelen ignorálni egy megalapozatlan véleményt. Kis színesként az előadó megvilágítandó egy büntető és polgári per közti különbséget a CISx tananyagokban is közkedvelten citált O.J. Simpson féle kettős pert boncolgatta.
Az előadó láthatóan a nagy praxisának köszönhetően uralta az előadott anyagot és tisztán, jól érthetően vezette fel. Érezhető volt, hogy retorikai képességeit karban tartja :-)
A prezentáció itt található: http://www.hetpecset.hu/ppt_XLIV_2.html
A fizikai adatvisszaállítás - az adatvesztések okai
Technikaibb és e sorok megálmodóját is jobban lázba hozó témája volt a KÜRT Információbiztonsági és Adatmentő Zrt. színeiben induló Kertész Zoltán "A fizikai adat visszaállítás - az adatvesztések okai" címmel indított eszmefuttatása. Egy rövid cégismertetés és mindenképp az ízléses mértéken belül maradó marketing után sorra érkeztek az időnként meghökkentő tapasztalások. Az egyik ezek közül, hogy a professzionális mágnesszalagok után még mindig egy, erre a célra fenntartott HDD-re történő mentés a legmegbízhatóbb, teljesen mindegy, hogy a DVD és CD médiumok gyártói milyen attraktív megőrzési időt is állítanak a portékájukról. Az várható volt, hogy az eszköz meghibásodásra visszavezethető adatvesztések egyharmadának az oka maga az ember és valamivel több mit egyharmad esetben a meghajtó valamilyen üzemzavara.
Tanulságos volt, amikor az előadás szépen végigvezette, hogy ösztönösen hogyan reagálnak még a témában valamennyire is írástudó szakik, amikor egy HDD hirtelen kapitulál. A hallgatóság jó része magába szállt és sejtelmes mosolygás jelezte, hogy páran találva érezték magukat. Mindenesetre az előadó kellő humorral látványosan levezette, hogy az elkeseredet, titkos kapálódzás hogyan súlyosbítja módszeresen a helyzetet, a jelentéktelen hibától a tökéletes katasztrófáig eljutva.
Mind a témaválasztás mind az előadás levezetése és a háttérkörítés a képviselt céghez méltóan professzionálisnak volt mondható.
A vetített képek itt vannak: http://letoltes.etrend.hu/Hetpecset/ppt_XLIV_3/Kurt_hetpecset.pdf
Incidens nyilvánosságra hozatal kérdése, jelenlegi helyzete. Mi lesz 2011 májustól?
Szintén "felsőbb szabályozási” régiókból merített a negyedik rész. „Data Breach Notification - Incidens nyilvánosságra hozatal kérdése, jelenlegi helyzete. Mi lesz 2011 májustól?” volt a blickfangos cím Keleti Arthur tolmácsolásában.
Az előadás beszámoló jellegű volt, ami egy EU-s irányelv tartalmát ismertette, miszerint a kommunikációs cégeknek kötelezővé válik, hogy a biztonságsértési incidenseket nyilvánosságra kell hozniuk. A standard EU-s procéderének megfelelően a tagországoknak kell ezt a direktívát tartalommal felruháznia (itt van a kutyus elhantolva, de erről később) és nemzeti törvénybe iktatnia. Az alapötlet régi, az Egyesült Államokban már praktizált dolog, de amilyen különböző tud lenni egy irányelv, a kodifikálás és a végrehajtás annyira nagy a szórás a különböző USA tagállamok gyakorlatában is. Kezdve onnan. hogy milyen szektorokra (pl. közszolgáltatás, pénzügyi szolgáltatás) vonatkoztatja, ha vonatkoztatja egyáltalán a törvény a kötelmet, ez milyen jellegű, súlyú incidensekre terjed ki, folytatva azzal, hogy mi a nyilvánosságra hozatal módja és befejezve azzal, hogy voltaképp milyen adatokat is kell megosztani a közzel az incidensre vonatkozóan.
Nos, hasonló a helyzet Európában is. A hallgatóság részéről nem maradt el a várt érdeklődés. Többen örömüket fejezték ki, hogy a téma végre a jogalkotás terítékére került, de egy szusszal mindenki hozzátette, hogy ugyan kezdésnek jó a TELCO világ, de a bankok és biztosítók IT biztonsági incidenseire garantáltan többen figyelnének fel és érdeklődnének utána.
Az előadó szolgált némi megnyugtatással, hogy Brüsszelben is vették az adást, napirendre fognak kerülni az IT-t intenzíven alkalmazó egyéb piaci és köz szegmensek is de konkrét eredményekről még korai lenne beszámolni :-)
Az előadáshoz sajnos nem töltöttek fel prezentációt.
Termékazonosítás, termékvédelem új műszaki megoldásai
A záró rész érintőlegesen kapcsolható az IT Sec. világához. "Termékazonosítás, termékvédelem új műszaki megoldásai" volt a cím Dr. Ködmön István előadásában, aki a Herendi Porcelánmanufaktúra termelési igazgatója és egyben a Hétpecsét egyesület alelnöke is.
Természetesen a (bejegyzett) termékvédjegyeket, az általuk közölt információ kétségeket eloszlató (valóban azt a terméket tartjuk a kezünkben, amit gondolunk) hatása miatt tarthatjuk információ tartalmú elemnek és ennek a megbízhatósága belátható módon hétköznapi értelemben vett érték. Ezen gondolatmenet alapján egy védjegy szintjére lefordítva, az információ sértetlensége egyet jelent a védjeggyel védett termék hamisítatlanságával, eredetiségével. Megnyugtatott, hogy Ködmön István a második diáján gyakorlatilag ugyanezt vezette le szabványbéli definíciókat segítségül szólítva.
Az előadás lényegi része azonban mintha ellentmondásosra sikerült volna. Az előadó felsorolt pár szóba jövő azonosítási eljárást, ám rögtön kiesett a megoldások java része a porcelántárgyak mibenléte miatt. Ugyanis egy porcelán holmi lehet étellel kapcsolatba kerülő dolog, így csak olyan módszer jöhet szóba, ami megfelel az élelmiszerhigiéniai előírásoknak. A rendszeres tisztítással szemben is ellenállónak kell lennie az elhelyezett védjegynek. Mivel a háztartási porcelánoknak - egy Herendinek meg főleg nem - elhanyagolható az esztétikai értéke, a védjegynek ezt nem szabad zavarnia, csökkentenie. Nem utolsósorban a gyártástechnológiában akár többszörösen is visszatérő, magas hőfokú égetésnek is ellen kell állnia egy alkalmazott megoldásnak.
Nem igazán vált világossá, hogy mi is az üdvözítő út, aminek a bemutatására az előadás mégiscsak vállalkozott. A zavart csak fokozta az elhangzó példa, hogy vitás esetekben a végső azonosítást mégiscsak védjegyen kívül álló faktorok biztosítják. Egy esetben a vitatott eredetű tárgyról kiderült ugyanis, hogy hamisítvány, de csupán csak azért mert a plágiumot készítő piktor jobbkezes volt, amíg az eredeti készítő hölgy balkezes.
Az előadás anyaga itt található: http://www.hetpecset.hu/ppt_XLIV_5.html
Ez volt a 44. fórum, nemsokára következik az 55-ik, "hazai" érintettséggel.
-- Soma