0 biztonsági incidens – nem szerencse, hanem rendszer

Mit jelent nálunk a „0 biztonsági incidens”?

Nem marketingfogalmat, hanem konkrét tényeket.

• nem volt adatvesztés
• nem volt jogosulatlan hozzáférés
• nem volt rendszerkompromittálás
• nem érintette ügyféladat biztonsági esemény
• nem volt sikeres támadás

Ez az általunk tervezett és üzemeltetett rendszerekre a cég fennállása óta igaz.

Támadási kísérletek? Igen. Incidens? Nem.

A valóság nem steril környezet.

• naponta több száz automatizált támadási próbálkozás
• célzott pentest jellegű kísérletek
• nyílt bounty hunting aktivitás

Ezek nem kivételek, hanem a normál működés részei. A különbség az, hogy nem jutnak át.

Nem az admin jelszón múlik

Volt már olyan ügyfél, ahol az admin felület jelszava admin123 volt.

Mégsem történt jogosulatlan hozzáférés.

Ez nem azért van, mert szerencsénk volt, hanem mert a biztonság nem egyetlen rétegen múlik. Egy gyenge pont nem jelent belépési lehetőséget.

Miért nem véletlen?

A biztonsági szemlélet nem most alakult ki.

• banki környezetben szerzett információbiztonsági tapasztalat
• rendőrségi rendszerekhez kapcsolódó fejlesztések
• nyomozói és támadó oldali gondolkodás ismerete
• rutin abból, hogyan törnek fel rendszereket – és hogyan nem

Tudjuk, hogyan gondolkodik a támadó. Ezért tudjuk, hogyan kell védekezni.

Hol helyezkedik el ez a gyakorlatban?

Nem állítjuk, hogy „feltörhetetlenek” vagyunk.

Azt állítjuk, hogy a biztonsági szintünk meghaladja az átlagos enterprise megoldásokat, miközben nem megy át túlbonyolított, öncélú securitybe.

Pont azon a szinten van, ahol a kockázat érdemben csökken.

Mit jelent ez egy KKV számára?

Egyszerűen ezt:

• nincs adatvesztés
• nincs utólagos magyarázkodás
• az ügyfelek adatai biztonságban vannak
• a bizalom nem sérül

A biztonság nem plusz funkció, hanem a rendszer természetes állapota.

0 incidens – mert nem hagyunk teret neki

Nem hangos. Nem látványos.

Egyszerűen működik.