Re: Avast iskoláknak ingyenes

eNTi Szoft enti at entiszoft.hu
2015. Sze. 3., Cs, 13:41:51 CEST


Tisztelt Listatagok,
2015.09.03. 7:46 keltezéssel, techinfo-request at lista.sulinet.hu írta:

> Message: 3
> Date: Wed, 2 Sep 2015 13:35:27 +0200
> From: Kunci <kunci.freemail at gmail.com>
>>> egy vírusirtó (akár fizetős akár ingyenes) alapból ritkán tartalmaz 
>>> tűzfal illetve anti-spam szolgáltatást. 
>> Az _antivírus_ szoftverekből ez a szolgáltatás _minden_esetben_ 
>> hiányzik. Nem az antivírus eszköz feladata ezek biztosítása. 
> Akkor az ingyenes Avast-tal szemben miért elvárás, hogy ezeket is 
> tartalmazza?
Mert iskolai hálózat védelmére ajánlott lehetőségként jelent meg. Nem 
önmagában, hanem a _feladathoz_ mérten néztem meg az ajánlatot, mondtam 
el, mire jutottam.

> Aki nem tudja megvenni a """drága""" antivírus szoftvert plusz 
> tűzfalat, plusz spam- és tartalomszűrőt, az inkább ne is használjon 
> semmit? 
Védekezésről beszélünk.
Ennek feladata iskolai környezetben az oktatási potenciál megőrzése 
(magyarul: hogy lehessen egyáltalán tanítani a gépeken), és az értékes 
adatok, a bennük tárolt információk épségének, sértetlenségének, 
megbízhatóságának a megőrzése.

Egy alkalmazni kívánt védelemmel szemben tehát az az egyik elvárás, hogy 
óvjon meg a kártevőktől. És valamennyi kártételi formától, ellenkező 
esetben a le nem fedett réseken keresztül beszivárgó káros kód/művelet 
meghiúsítja az eredeti célt: a nyugodt, biztonságos munkavégzést.

> az inkább ne is használjon semmit? 
Bontsuk ki egy kicsit a védekezési szinteket.
Semmi - Valami - Elégséges - Megfelelő.
A stádiumok közös paramétere a fertőzési valószínűség, ami a sorrendnek 
megfelelően a "Biztosan befertőződik"-től a "Minimális veszély"-ig terjed.

A szakmai alapprobléma, hogy erre nincs egyértelműen számszerűsíthető 
határérték. Minden ajánlás azt mondja, hogy 100% biztonság nem létezik, 
de ennek maximalizálása a szakmával szembeni jogos elvárás, mert ezen 
áll vagy bukik a szakmai kötelességnek számító működőképesség-szolgáltatás.

A mai kihívások miatt az iskolai hálózatvédelem követelményei:
- hozzáértő, (ki)képzett rendszergazda (rajta áll vagy bukik az egész 
hálózatvédelem)
- központi felügyelet (hogy a rendszer biztonságát a rendszergazda 
határozza meg)
- antivírus védelem (kártékony kódok egy részének semlegesítésére)
- Internet biztonsági elemek (további kártékony kódok, behatolások, 
kapunyitások megelőzése)
- kéretlen levelek szűrése (rengeteg kártétel kiindulási pontját közvetítik)
- humán tartalom szűrés (ami nem a működést, hanem a kiskorúakat védi)
- szoftvergyengeség felderítés, kezelés (kezeletlen rések behatolási 
kapukká válnak)
- rendszer sebezhetőség felderítés, kezelés (ez már a komplexitás első 
lépése)

Minél több marad ki ezek közül, annál nagyobb lesz a károsodás esélye, 
annál nagyobb veszélynek van kitéve az oktatási potenciál.
A tanítás lehetősége fog attól függeni, hogy hol húzzuk meg a határt.
Persze, megvonhatjuk a vállunkat.
De viselkedhetünk szakemberként is.

Magam részéről _ma_ , erősen kompromisszumosan az iskolai hálózat 
védelmének "elégséges" szintjét az első hat teljesítéséhez szabnám.
_Ez_ a valódi feladata egy védelmi szoftvernek, és ezt  teszi kockára 
egy nem megfelelő védekezés miatt bekövetkező támadás sikere.

Ha egy ingyenes ajánlatban szereplő bármi, bárkitől teljesíti ezt a 
feladatot, szavam nincs.
De ha hiányos a szolgáltatás-készlete (márpedig a hivatkozott ajánlaté 
az, így biztonsági réseket hagy, nem is kicsit, nem is elhanyagolhatót), 
akkor az nem az iskola valós érdekeit szolgálja.
Mindössze néhány, hozzá nem értő személy lelki megnyugvására elegendő: 
"kipipáltuk, mehet tovább".

Na, itt kellene a szakembereknek elmagyarázniuk, hogy a védekezés 
kialakítása _egyszerre_ műszaki, jogi és pénzügyi kérdés, ahol:
a.) nem lehet egyiket sem kihagyni a sorból, és
b.) a fenti felsorolás egyben prioritás is.

Elismerem, a szakértőkénti kiállás a mai környezetben bátorságot is 
igényel, mert
- nagyon nehéz egy alá-fölé rendeltségi közegben "alulról" elmondani, 
horribile dictu: érvényesíteni egy, a "fentivel" ellentétes véleményt.
- nem könnyíti a helyzetet, hogy valószínűségi eseményekről kell 
beszélnünk olyanoknak, akiknek ez nem szakmája, ráadásul egészen más 
dimenzióban élnek/gondolkodnak.

Csakhogy a szakembert azért hívják így, mert ő az, aki tanulta a szakma 
szabályait, ő az, aki ezeket a szabályokat el tudja mondani - és ő az, 
akinek ezt meg kell tennie.
Ha "fent" csak egy olyannal találkoznak, aki kiáll a szakma szabályai 
mellett, akkor azt két pillanat alatt lesöpri.
De ha azt látják, hogy nem egy egyed, hanem a _szakma_  az, aki nem 
asszisztál a hibás, netán törvénysértő elvárásokhoz, hanem felvilágosító 
munkával _segíti_ a fenntartó munkáját a megfelelő tájékoztatás 
megadásával, már tisztulhat a kép mindenkiben.

A szakmának két, igen jó oka van erre.
Az egyik, hogy ők az ezen feladattal megbízott szakemberek.
A másik: ha baj van, az ő nyakukba fog szakadni minden. Ők már nem 
nézhetnek maguk után a sorban, mert mögöttük már nem áll senki - 
kizárólag a szaktudásukban bízhatnak.

>> A (felhő alapú) központi felügyelet még rendben lenne, de az 
>> antivírus szolgáltatáson már el kell gondolkodni. ebből az ajánlatból 
>> most "csak" a _tűzfal_ és az anti-spam hiányzik. Igaz, ezek a 
>> szolgáltatások megvehetők hozzá. 
> Természetesen abban egyet értünk, hogy ma már minden világhálóra 
> csatlakozó kütyüre komplex védelmi megoldásokat kellene telepíteni 
> mert önmagában a vírusvédelem elég kevés mivel -ahogyan Te is leírtad- 
> manapság már nem is annyira hagyományos értelemben vett vírusoktól 
> kell tartanunk.
Változnak a korok.
Frédi még le tudta fékezni a Sárkány Járgányt a sarkával - ma nagy 
teljesítményű, automatikával (is) ellátott fékrendszereknek kell óvni a 
járműben ülő utasok biztonságát.
Azaz: a világhálóra csatlakozó kütyükre jelenleg komplex védelmi 
megoldást _kell_ telepíteni.

Az adatbiztonság-sértések 70%-át az ún. harmadik féltől származó 
programok sebezhetőségén keresztül a rendszerbe jutó, az elképzelhetőn 
túl menő változatosságú  kártételek adják.
Ezt azonban egy antivírus program nem vizsgálja.

> De nem igazán értem mi is a baj azzal, hogy eztán az iskolák 
> ingyenesen használhatják HA AKARJÁK az adott szoftvert.
Mert nem az iskola akarata a lényeg, hanem az a környezet, amiben 
dolgozniuk kell.
Ezt egyrészt a kártevők adják.
Tetszik-nem tetszik: egy ransomeware nem fogja azt jelenteni a 
gazdájának: "oppácska, főnök, ezeket az iratokat nem kódoljuk át, mert 
ezek egy magyar iskola munkáltatói adatai, amit 50 évre meg kell nekik 
őrizni - és kedves iskola, bocsi, bocsi, bocsi, hogy egyáltalán benéztem 
a gépedre".
Annak rendje és módja szerint két pillanat alatt hazavágja az egészet - 
a suli adminisztrációja pedig mehet panaszra, ahova akar, ott úgyis azt 
fogják mondani: a rendszergazda miért nem gondoskodott a _megfelelő_ 
védelemről?

Másrészt, az iskola személyes adatokat kezelő szervezet.
Számukra tételes törvény írja elő a megfelelő védelem kötelmét, és annak 
hiánya esetén szankciókat is megenged.
Szó szerint beidézem  (2011. évi CXII. törvény az információs 
önrendelkezési jogról és az információszabadságról):
17. bek. "Kártérítés és sérelemdíj"
23. §. (1):
"... Ha az adatkezelő az érintett adatainak jogellenes kezelésével vagy 
az adatbiztonság követelményeinek megszegésével másnak kárt okoz, 
köteles azt megtéríteni. ..."

Pár dolog ezzel kapcsolatban:
- Ha a törvény hivatkozik rá, akkor bizony, el kell fogadni: létezik az 
"adatbiztonsági követelmény" fogalom.
- Az is biztos: ebben a követelményben nem szerepel, hogy hány forintot 
kell költeni az adatbiztonságra. Sokkal inkább az: törvényes alapon 
működve, állítsa meg a kártevőket.
- A kárt az adatbiztonság követelményeinek megszegésével okozza az 
adatkezelő.
Tehát nem azzal, ha emiatt az adat megsérült, megváltozott, 
megsemmisült, nyilvánosságra került - ebből a szempontból ezek _további_ 
perre alapot adó, járulékos elemek.

Amikor tehát egy ilyen per megindul, abban biztos lehetsz, hogy a 
bíróság valódi szakértőktől fogja bekérni a szakvéleményt. Akik, bizony, 
a fent idézett hármas prioritásból csak az _első_kettő_ teljesülését 
fogják vizsgálni, mert innen nézve, teljesen mindegy, ki mennyiért 
alakította ki azt, amit a sértett fél kifogásol.
Mekkora az esély az elmarasztalásra, ki lehet sértett fél?
Mindenki, akiről személyes adatok keletkeznek, tárolódnak a rendszerben.
Egy munkatárs, egy tanár. Vagy egy diák, akinek, mondjuk, a törvényes 
képviselői nehezményezik az iskola valamelyik intézkedését.

> Aki nem tudja megvenni a """drága""" antivírus szoftvert plusz 
> tűzfalat, plusz spam- és tartalomszűrőt
Beszéljünk őszintén.
Jól érzed az idézőjel jogosságát: iskolai környezetben gépenként és 
naponta 6-8 szál gyufa áráról beszélünk.
Aki "nem tudja" ezt kifizetni, az nem az ár miatt nem fogja megvenni, 
hanem azért, mert úgy döntött: _erre_ nem ad ki pénzt.

Döntése felől mindaddig meg lesz nyugodva, amíg talál maga mellett akár 
csak egy
szakit is (szándékosan nem szakembert írtam), akitől azt hallja, amit 
hallani akar:
"a védelmet meg lehet oldani ingyen is".

A fentiekkel azt kívántam bemutatni: nem, nem lehet.
A védekezésnek vagy így, vagy úgy, de ára van.



Üdv:
SG/eNTi


További információk a(z) Techinfo levelezőlistáról