Re: Avast iskoláknak ingyenes
Zoltán Takács
taki at etszk.u-szeged.hu
2015. Sze. 3., Cs, 14:02:14 CEST
Én erre csak az tudom - teljes szakmaisággal - mondani, hogy a baltával a
kézbe minden fának látszik... ;)
és csak nagyon részben értek egyet az általad leírtakkal
2015. szeptember 3. 13:41 eNTi Szoft írta, <enti at entiszoft.hu>:
> Tisztelt Listatagok,
> 2015.09.03. 7:46 keltezéssel, techinfo-request at lista.sulinet.hu írta:
>
> Message: 3
>> Date: Wed, 2 Sep 2015 13:35:27 +0200
>> From: Kunci <kunci.freemail at gmail.com>
>>
>>> egy vírusirtó (akár fizetős akár ingyenes) alapból ritkán tartalmaz
>>>> tűzfal illetve anti-spam szolgáltatást.
>>>>
>>> Az _antivírus_ szoftverekből ez a szolgáltatás _minden_esetben_
>>> hiányzik. Nem az antivírus eszköz feladata ezek biztosítása.
>>>
>> Akkor az ingyenes Avast-tal szemben miért elvárás, hogy ezeket is
>> tartalmazza?
>>
> Mert iskolai hálózat védelmére ajánlott lehetőségként jelent meg. Nem
> önmagában, hanem a _feladathoz_ mérten néztem meg az ajánlatot, mondtam el,
> mire jutottam.
>
> Aki nem tudja megvenni a """drága""" antivírus szoftvert plusz tűzfalat,
>> plusz spam- és tartalomszűrőt, az inkább ne is használjon semmit?
>>
> Védekezésről beszélünk.
> Ennek feladata iskolai környezetben az oktatási potenciál megőrzése
> (magyarul: hogy lehessen egyáltalán tanítani a gépeken), és az értékes
> adatok, a bennük tárolt információk épségének, sértetlenségének,
> megbízhatóságának a megőrzése.
>
> Egy alkalmazni kívánt védelemmel szemben tehát az az egyik elvárás, hogy
> óvjon meg a kártevőktől. És valamennyi kártételi formától, ellenkező
> esetben a le nem fedett réseken keresztül beszivárgó káros kód/művelet
> meghiúsítja az eredeti célt: a nyugodt, biztonságos munkavégzést.
>
> az inkább ne is használjon semmit?
>>
> Bontsuk ki egy kicsit a védekezési szinteket.
> Semmi - Valami - Elégséges - Megfelelő.
> A stádiumok közös paramétere a fertőzési valószínűség, ami a sorrendnek
> megfelelően a "Biztosan befertőződik"-től a "Minimális veszély"-ig terjed.
>
> A szakmai alapprobléma, hogy erre nincs egyértelműen számszerűsíthető
> határérték. Minden ajánlás azt mondja, hogy 100% biztonság nem létezik, de
> ennek maximalizálása a szakmával szembeni jogos elvárás, mert ezen áll vagy
> bukik a szakmai kötelességnek számító működőképesség-szolgáltatás.
>
> A mai kihívások miatt az iskolai hálózatvédelem követelményei:
> - hozzáértő, (ki)képzett rendszergazda (rajta áll vagy bukik az egész
> hálózatvédelem)
> - központi felügyelet (hogy a rendszer biztonságát a rendszergazda
> határozza meg)
> - antivírus védelem (kártékony kódok egy részének semlegesítésére)
> - Internet biztonsági elemek (további kártékony kódok, behatolások,
> kapunyitások megelőzése)
> - kéretlen levelek szűrése (rengeteg kártétel kiindulási pontját
> közvetítik)
> - humán tartalom szűrés (ami nem a működést, hanem a kiskorúakat védi)
> - szoftvergyengeség felderítés, kezelés (kezeletlen rések behatolási
> kapukká válnak)
> - rendszer sebezhetőség felderítés, kezelés (ez már a komplexitás első
> lépése)
>
> Minél több marad ki ezek közül, annál nagyobb lesz a károsodás esélye,
> annál nagyobb veszélynek van kitéve az oktatási potenciál.
> A tanítás lehetősége fog attól függeni, hogy hol húzzuk meg a határt.
> Persze, megvonhatjuk a vállunkat.
> De viselkedhetünk szakemberként is.
>
> Magam részéről _ma_ , erősen kompromisszumosan az iskolai hálózat
> védelmének "elégséges" szintjét az első hat teljesítéséhez szabnám.
> _Ez_ a valódi feladata egy védelmi szoftvernek, és ezt teszi kockára egy
> nem megfelelő védekezés miatt bekövetkező támadás sikere.
>
> Ha egy ingyenes ajánlatban szereplő bármi, bárkitől teljesíti ezt a
> feladatot, szavam nincs.
> De ha hiányos a szolgáltatás-készlete (márpedig a hivatkozott ajánlaté az,
> így biztonsági réseket hagy, nem is kicsit, nem is elhanyagolhatót), akkor
> az nem az iskola valós érdekeit szolgálja.
> Mindössze néhány, hozzá nem értő személy lelki megnyugvására elegendő:
> "kipipáltuk, mehet tovább".
>
> Na, itt kellene a szakembereknek elmagyarázniuk, hogy a védekezés
> kialakítása _egyszerre_ műszaki, jogi és pénzügyi kérdés, ahol:
> a.) nem lehet egyiket sem kihagyni a sorból, és
> b.) a fenti felsorolás egyben prioritás is.
>
> Elismerem, a szakértőkénti kiállás a mai környezetben bátorságot is
> igényel, mert
> - nagyon nehéz egy alá-fölé rendeltségi közegben "alulról" elmondani,
> horribile dictu: érvényesíteni egy, a "fentivel" ellentétes véleményt.
> - nem könnyíti a helyzetet, hogy valószínűségi eseményekről kell
> beszélnünk olyanoknak, akiknek ez nem szakmája, ráadásul egészen más
> dimenzióban élnek/gondolkodnak.
>
> Csakhogy a szakembert azért hívják így, mert ő az, aki tanulta a szakma
> szabályait, ő az, aki ezeket a szabályokat el tudja mondani - és ő az,
> akinek ezt meg kell tennie.
> Ha "fent" csak egy olyannal találkoznak, aki kiáll a szakma szabályai
> mellett, akkor azt két pillanat alatt lesöpri.
> De ha azt látják, hogy nem egy egyed, hanem a _szakma_ az, aki nem
> asszisztál a hibás, netán törvénysértő elvárásokhoz, hanem felvilágosító
> munkával _segíti_ a fenntartó munkáját a megfelelő tájékoztatás
> megadásával, már tisztulhat a kép mindenkiben.
>
> A szakmának két, igen jó oka van erre.
> Az egyik, hogy ők az ezen feladattal megbízott szakemberek.
> A másik: ha baj van, az ő nyakukba fog szakadni minden. Ők már nem
> nézhetnek maguk után a sorban, mert mögöttük már nem áll senki - kizárólag
> a szaktudásukban bízhatnak.
>
> A (felhő alapú) központi felügyelet még rendben lenne, de az antivírus
>>> szolgáltatáson már el kell gondolkodni. ebből az ajánlatból most "csak" a
>>> _tűzfal_ és az anti-spam hiányzik. Igaz, ezek a szolgáltatások megvehetők
>>> hozzá.
>>>
>> Természetesen abban egyet értünk, hogy ma már minden világhálóra
>> csatlakozó kütyüre komplex védelmi megoldásokat kellene telepíteni mert
>> önmagában a vírusvédelem elég kevés mivel -ahogyan Te is leírtad- manapság
>> már nem is annyira hagyományos értelemben vett vírusoktól kell tartanunk.
>>
> Változnak a korok.
> Frédi még le tudta fékezni a Sárkány Járgányt a sarkával - ma nagy
> teljesítményű, automatikával (is) ellátott fékrendszereknek kell óvni a
> járműben ülő utasok biztonságát.
> Azaz: a világhálóra csatlakozó kütyükre jelenleg komplex védelmi megoldást
> _kell_ telepíteni.
>
> Az adatbiztonság-sértések 70%-át az ún. harmadik féltől származó programok
> sebezhetőségén keresztül a rendszerbe jutó, az elképzelhetőn túl menő
> változatosságú kártételek adják.
> Ezt azonban egy antivírus program nem vizsgálja.
>
> De nem igazán értem mi is a baj azzal, hogy eztán az iskolák ingyenesen
>> használhatják HA AKARJÁK az adott szoftvert.
>>
> Mert nem az iskola akarata a lényeg, hanem az a környezet, amiben
> dolgozniuk kell.
> Ezt egyrészt a kártevők adják.
> Tetszik-nem tetszik: egy ransomeware nem fogja azt jelenteni a gazdájának:
> "oppácska, főnök, ezeket az iratokat nem kódoljuk át, mert ezek egy magyar
> iskola munkáltatói adatai, amit 50 évre meg kell nekik őrizni - és kedves
> iskola, bocsi, bocsi, bocsi, hogy egyáltalán benéztem a gépedre".
> Annak rendje és módja szerint két pillanat alatt hazavágja az egészet - a
> suli adminisztrációja pedig mehet panaszra, ahova akar, ott úgyis azt
> fogják mondani: a rendszergazda miért nem gondoskodott a _megfelelő_
> védelemről?
>
> Másrészt, az iskola személyes adatokat kezelő szervezet.
> Számukra tételes törvény írja elő a megfelelő védelem kötelmét, és annak
> hiánya esetén szankciókat is megenged.
> Szó szerint beidézem (2011. évi CXII. törvény az információs
> önrendelkezési jogról és az információszabadságról):
> 17. bek. "Kártérítés és sérelemdíj"
> 23. §. (1):
> "... Ha az adatkezelő az érintett adatainak jogellenes kezelésével vagy az
> adatbiztonság követelményeinek megszegésével másnak kárt okoz, köteles azt
> megtéríteni. ..."
>
> Pár dolog ezzel kapcsolatban:
> - Ha a törvény hivatkozik rá, akkor bizony, el kell fogadni: létezik az
> "adatbiztonsági követelmény" fogalom.
> - Az is biztos: ebben a követelményben nem szerepel, hogy hány forintot
> kell költeni az adatbiztonságra. Sokkal inkább az: törvényes alapon
> működve, állítsa meg a kártevőket.
> - A kárt az adatbiztonság követelményeinek megszegésével okozza az
> adatkezelő.
> Tehát nem azzal, ha emiatt az adat megsérült, megváltozott, megsemmisült,
> nyilvánosságra került - ebből a szempontból ezek _további_ perre alapot
> adó, járulékos elemek.
>
> Amikor tehát egy ilyen per megindul, abban biztos lehetsz, hogy a bíróság
> valódi szakértőktől fogja bekérni a szakvéleményt. Akik, bizony, a fent
> idézett hármas prioritásból csak az _első_kettő_ teljesülését fogják
> vizsgálni, mert innen nézve, teljesen mindegy, ki mennyiért alakította ki
> azt, amit a sértett fél kifogásol.
> Mekkora az esély az elmarasztalásra, ki lehet sértett fél?
> Mindenki, akiről személyes adatok keletkeznek, tárolódnak a rendszerben.
> Egy munkatárs, egy tanár. Vagy egy diák, akinek, mondjuk, a törvényes
> képviselői nehezményezik az iskola valamelyik intézkedését.
>
> Aki nem tudja megvenni a """drága""" antivírus szoftvert plusz tűzfalat,
>> plusz spam- és tartalomszűrőt
>>
> Beszéljünk őszintén.
> Jól érzed az idézőjel jogosságát: iskolai környezetben gépenként és
> naponta 6-8 szál gyufa áráról beszélünk.
> Aki "nem tudja" ezt kifizetni, az nem az ár miatt nem fogja megvenni,
> hanem azért, mert úgy döntött: _erre_ nem ad ki pénzt.
>
> Döntése felől mindaddig meg lesz nyugodva, amíg talál maga mellett akár
> csak egy
> szakit is (szándékosan nem szakembert írtam), akitől azt hallja, amit
> hallani akar:
> "a védelmet meg lehet oldani ingyen is".
>
> A fentiekkel azt kívántam bemutatni: nem, nem lehet.
> A védekezésnek vagy így, vagy úgy, de ára van.
>
>
>
> Üdv:
> SG/eNTi
> _______________________________________________
> Techinfo mailing list
> Techinfo at lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://lista.sulinet.hu/pipermail/techinfo/attachments/20150903/c530bccf/attachment.html>
További információk a(z) Techinfo levelezőlistáról