Re: Avast iskoláknak ingyenes
eNTi Szoft
enti at entiszoft.hu
2015. Sze. 3., Cs, 13:41:51 CEST
Tisztelt Listatagok,
2015.09.03. 7:46 keltezéssel, techinfo-request at lista.sulinet.hu írta:
> Message: 3
> Date: Wed, 2 Sep 2015 13:35:27 +0200
> From: Kunci <kunci.freemail at gmail.com>
>>> egy vírusirtó (akár fizetős akár ingyenes) alapból ritkán tartalmaz
>>> tűzfal illetve anti-spam szolgáltatást.
>> Az _antivírus_ szoftverekből ez a szolgáltatás _minden_esetben_
>> hiányzik. Nem az antivírus eszköz feladata ezek biztosítása.
> Akkor az ingyenes Avast-tal szemben miért elvárás, hogy ezeket is
> tartalmazza?
Mert iskolai hálózat védelmére ajánlott lehetőségként jelent meg. Nem
önmagában, hanem a _feladathoz_ mérten néztem meg az ajánlatot, mondtam
el, mire jutottam.
> Aki nem tudja megvenni a """drága""" antivírus szoftvert plusz
> tűzfalat, plusz spam- és tartalomszűrőt, az inkább ne is használjon
> semmit?
Védekezésről beszélünk.
Ennek feladata iskolai környezetben az oktatási potenciál megőrzése
(magyarul: hogy lehessen egyáltalán tanítani a gépeken), és az értékes
adatok, a bennük tárolt információk épségének, sértetlenségének,
megbízhatóságának a megőrzése.
Egy alkalmazni kívánt védelemmel szemben tehát az az egyik elvárás, hogy
óvjon meg a kártevőktől. És valamennyi kártételi formától, ellenkező
esetben a le nem fedett réseken keresztül beszivárgó káros kód/művelet
meghiúsítja az eredeti célt: a nyugodt, biztonságos munkavégzést.
> az inkább ne is használjon semmit?
Bontsuk ki egy kicsit a védekezési szinteket.
Semmi - Valami - Elégséges - Megfelelő.
A stádiumok közös paramétere a fertőzési valószínűség, ami a sorrendnek
megfelelően a "Biztosan befertőződik"-től a "Minimális veszély"-ig terjed.
A szakmai alapprobléma, hogy erre nincs egyértelműen számszerűsíthető
határérték. Minden ajánlás azt mondja, hogy 100% biztonság nem létezik,
de ennek maximalizálása a szakmával szembeni jogos elvárás, mert ezen
áll vagy bukik a szakmai kötelességnek számító működőképesség-szolgáltatás.
A mai kihívások miatt az iskolai hálózatvédelem követelményei:
- hozzáértő, (ki)képzett rendszergazda (rajta áll vagy bukik az egész
hálózatvédelem)
- központi felügyelet (hogy a rendszer biztonságát a rendszergazda
határozza meg)
- antivírus védelem (kártékony kódok egy részének semlegesítésére)
- Internet biztonsági elemek (további kártékony kódok, behatolások,
kapunyitások megelőzése)
- kéretlen levelek szűrése (rengeteg kártétel kiindulási pontját közvetítik)
- humán tartalom szűrés (ami nem a működést, hanem a kiskorúakat védi)
- szoftvergyengeség felderítés, kezelés (kezeletlen rések behatolási
kapukká válnak)
- rendszer sebezhetőség felderítés, kezelés (ez már a komplexitás első
lépése)
Minél több marad ki ezek közül, annál nagyobb lesz a károsodás esélye,
annál nagyobb veszélynek van kitéve az oktatási potenciál.
A tanítás lehetősége fog attól függeni, hogy hol húzzuk meg a határt.
Persze, megvonhatjuk a vállunkat.
De viselkedhetünk szakemberként is.
Magam részéről _ma_ , erősen kompromisszumosan az iskolai hálózat
védelmének "elégséges" szintjét az első hat teljesítéséhez szabnám.
_Ez_ a valódi feladata egy védelmi szoftvernek, és ezt teszi kockára
egy nem megfelelő védekezés miatt bekövetkező támadás sikere.
Ha egy ingyenes ajánlatban szereplő bármi, bárkitől teljesíti ezt a
feladatot, szavam nincs.
De ha hiányos a szolgáltatás-készlete (márpedig a hivatkozott ajánlaté
az, így biztonsági réseket hagy, nem is kicsit, nem is elhanyagolhatót),
akkor az nem az iskola valós érdekeit szolgálja.
Mindössze néhány, hozzá nem értő személy lelki megnyugvására elegendő:
"kipipáltuk, mehet tovább".
Na, itt kellene a szakembereknek elmagyarázniuk, hogy a védekezés
kialakítása _egyszerre_ műszaki, jogi és pénzügyi kérdés, ahol:
a.) nem lehet egyiket sem kihagyni a sorból, és
b.) a fenti felsorolás egyben prioritás is.
Elismerem, a szakértőkénti kiállás a mai környezetben bátorságot is
igényel, mert
- nagyon nehéz egy alá-fölé rendeltségi közegben "alulról" elmondani,
horribile dictu: érvényesíteni egy, a "fentivel" ellentétes véleményt.
- nem könnyíti a helyzetet, hogy valószínűségi eseményekről kell
beszélnünk olyanoknak, akiknek ez nem szakmája, ráadásul egészen más
dimenzióban élnek/gondolkodnak.
Csakhogy a szakembert azért hívják így, mert ő az, aki tanulta a szakma
szabályait, ő az, aki ezeket a szabályokat el tudja mondani - és ő az,
akinek ezt meg kell tennie.
Ha "fent" csak egy olyannal találkoznak, aki kiáll a szakma szabályai
mellett, akkor azt két pillanat alatt lesöpri.
De ha azt látják, hogy nem egy egyed, hanem a _szakma_ az, aki nem
asszisztál a hibás, netán törvénysértő elvárásokhoz, hanem felvilágosító
munkával _segíti_ a fenntartó munkáját a megfelelő tájékoztatás
megadásával, már tisztulhat a kép mindenkiben.
A szakmának két, igen jó oka van erre.
Az egyik, hogy ők az ezen feladattal megbízott szakemberek.
A másik: ha baj van, az ő nyakukba fog szakadni minden. Ők már nem
nézhetnek maguk után a sorban, mert mögöttük már nem áll senki -
kizárólag a szaktudásukban bízhatnak.
>> A (felhő alapú) központi felügyelet még rendben lenne, de az
>> antivírus szolgáltatáson már el kell gondolkodni. ebből az ajánlatból
>> most "csak" a _tűzfal_ és az anti-spam hiányzik. Igaz, ezek a
>> szolgáltatások megvehetők hozzá.
> Természetesen abban egyet értünk, hogy ma már minden világhálóra
> csatlakozó kütyüre komplex védelmi megoldásokat kellene telepíteni
> mert önmagában a vírusvédelem elég kevés mivel -ahogyan Te is leírtad-
> manapság már nem is annyira hagyományos értelemben vett vírusoktól
> kell tartanunk.
Változnak a korok.
Frédi még le tudta fékezni a Sárkány Járgányt a sarkával - ma nagy
teljesítményű, automatikával (is) ellátott fékrendszereknek kell óvni a
járműben ülő utasok biztonságát.
Azaz: a világhálóra csatlakozó kütyükre jelenleg komplex védelmi
megoldást _kell_ telepíteni.
Az adatbiztonság-sértések 70%-át az ún. harmadik féltől származó
programok sebezhetőségén keresztül a rendszerbe jutó, az elképzelhetőn
túl menő változatosságú kártételek adják.
Ezt azonban egy antivírus program nem vizsgálja.
> De nem igazán értem mi is a baj azzal, hogy eztán az iskolák
> ingyenesen használhatják HA AKARJÁK az adott szoftvert.
Mert nem az iskola akarata a lényeg, hanem az a környezet, amiben
dolgozniuk kell.
Ezt egyrészt a kártevők adják.
Tetszik-nem tetszik: egy ransomeware nem fogja azt jelenteni a
gazdájának: "oppácska, főnök, ezeket az iratokat nem kódoljuk át, mert
ezek egy magyar iskola munkáltatói adatai, amit 50 évre meg kell nekik
őrizni - és kedves iskola, bocsi, bocsi, bocsi, hogy egyáltalán benéztem
a gépedre".
Annak rendje és módja szerint két pillanat alatt hazavágja az egészet -
a suli adminisztrációja pedig mehet panaszra, ahova akar, ott úgyis azt
fogják mondani: a rendszergazda miért nem gondoskodott a _megfelelő_
védelemről?
Másrészt, az iskola személyes adatokat kezelő szervezet.
Számukra tételes törvény írja elő a megfelelő védelem kötelmét, és annak
hiánya esetén szankciókat is megenged.
Szó szerint beidézem (2011. évi CXII. törvény az információs
önrendelkezési jogról és az információszabadságról):
17. bek. "Kártérítés és sérelemdíj"
23. §. (1):
"... Ha az adatkezelő az érintett adatainak jogellenes kezelésével vagy
az adatbiztonság követelményeinek megszegésével másnak kárt okoz,
köteles azt megtéríteni. ..."
Pár dolog ezzel kapcsolatban:
- Ha a törvény hivatkozik rá, akkor bizony, el kell fogadni: létezik az
"adatbiztonsági követelmény" fogalom.
- Az is biztos: ebben a követelményben nem szerepel, hogy hány forintot
kell költeni az adatbiztonságra. Sokkal inkább az: törvényes alapon
működve, állítsa meg a kártevőket.
- A kárt az adatbiztonság követelményeinek megszegésével okozza az
adatkezelő.
Tehát nem azzal, ha emiatt az adat megsérült, megváltozott,
megsemmisült, nyilvánosságra került - ebből a szempontból ezek _további_
perre alapot adó, járulékos elemek.
Amikor tehát egy ilyen per megindul, abban biztos lehetsz, hogy a
bíróság valódi szakértőktől fogja bekérni a szakvéleményt. Akik, bizony,
a fent idézett hármas prioritásból csak az _első_kettő_ teljesülését
fogják vizsgálni, mert innen nézve, teljesen mindegy, ki mennyiért
alakította ki azt, amit a sértett fél kifogásol.
Mekkora az esély az elmarasztalásra, ki lehet sértett fél?
Mindenki, akiről személyes adatok keletkeznek, tárolódnak a rendszerben.
Egy munkatárs, egy tanár. Vagy egy diák, akinek, mondjuk, a törvényes
képviselői nehezményezik az iskola valamelyik intézkedését.
> Aki nem tudja megvenni a """drága""" antivírus szoftvert plusz
> tűzfalat, plusz spam- és tartalomszűrőt
Beszéljünk őszintén.
Jól érzed az idézőjel jogosságát: iskolai környezetben gépenként és
naponta 6-8 szál gyufa áráról beszélünk.
Aki "nem tudja" ezt kifizetni, az nem az ár miatt nem fogja megvenni,
hanem azért, mert úgy döntött: _erre_ nem ad ki pénzt.
Döntése felől mindaddig meg lesz nyugodva, amíg talál maga mellett akár
csak egy
szakit is (szándékosan nem szakembert írtam), akitől azt hallja, amit
hallani akar:
"a védelmet meg lehet oldani ingyen is".
A fentiekkel azt kívántam bemutatni: nem, nem lehet.
A védekezésnek vagy így, vagy úgy, de ára van.
Üdv:
SG/eNTi
További információk a(z) Techinfo levelezőlistáról