VII. Magyar Biztonsági Fórum Konferencia 2017

A biztonság biztonsága – külső-belső biztonság,
aktuális jogi- és műszaki kérdések

Háromnapos konferencia keretében, csaknem 30 előadó szereplésével és számos kiállítóval került megrendezésre immáron hetedik alkalommal, ezúttal Sümeg városában. A konferencia témakörei igen szerteágazóak voltak, számtalan szakterületet öleltek fel, de egy állandó kihívásnak a személy- és vagyonvédelem területén is meg kell felelni: folyamatos tanulás és fejlődés, alkalmazkodás az újabb és újabb kihívásokhoz.

  ■ A rendezvény szakmai programjának első előadója, Keszler Mátyás, a Veeam hazai operációjáért felelős vezetője kiemelte  hogy a modern kori digitális hadviselés egyik alapvető eleme az adataink védelme. Az előadása során egy, a Trónok Harca c. sorozatból vett epizód segítségével vont párhuzamot egy ostromlott vár és egy cég saját informatikai környezetét érő támadások között. Hangsúlyozta, hogy nem csak vállalati szinten fontos  az adataink védelme, hanem egyénileg is mindent meg kell tennünk azért, hogy megfelelően tároljuk, rendszerezzük, és szükség esetén gyorsan hozzáférhessünk azokhoz. Szóba kerültek azon trendek és technológiák, amelyek a jelenünket és a jövőnket szignifikánsan meg fogják határozni (Big Data, IoT, Cloud), valamint említésre kerültek azon veszélyek, amelyekre kiemelten figyelnünk kell (malware, adatlopás, zsarolás, stb.). A továbbiakban szemléletes módon tekinthettük át, hogy milyen következményei lehetnek mind nagyvállalati, mind egyéni szinten az adatvesztésnek, és hogy milyen eszközökkel lehet védekezni ezek ellen.

  ■ Dr. Kürti Sándor, a Kürt Zrt. elnöke és tulajdonosa csaknem 30 év távlatából adott áttekintést a vállalkozás eddig elért eredményeiről és a kihívásokról, hiszen a növekvő célok csak folyamatos fejlődéssel és nem utolsó sorban egyedi, saját innovációval elérhetők, fenntarthatók. Szó szerinti gyártmányok nincsenek, de szaktudás, technológia és kutatás-fejlesztés igen. Az információnak valószínű soha nem volt akkora és pénzben nem kifejezhető értéke, mint napjainkban. Ezért válhatott létfontosságú tevékenységgé, szolgáltatássá az információmentés. Az „átmentés” mellett az információk tárolása is fontos, ahol az adatvédelemre és időtállóságra is gondolni kell. Időközben a harmadik fő terület az információbiztonság lett.

A cég kiemelten kezeli az oktatás kérdését is: „Mert nem csak azt kell nézni, hogy mit kaptunk a társadalomtól, hanem azt is, mi mit tudunk adni neki.”

  ■ Tomolák Péter, az Avigilon értékesítő mérnöke egy új, az IP-kamerarendszereken keresztül alkalmazható, megjelenés alapú, keresési szisztémát ismertetett, amely nagy segítség lehet a keresett személy(ek) folyamatos és utólagos nyomon követésében. Az eseményt elsőként rögzítő kamera képén szereplő, kijelölt cél/személy/ek képét ki lehet terjeszteni a többi kamera által rögzített képre is. Így bármerre is mozognak, mozgásuk nyomon követhető, akár a biztonsági szolgálat más tagjainak számára is, idő- és dátummegjelöléssel. A felismerőrendszer személyre, gépkocsira vagy annak rendszámára szintén kiterjeszthető. A keresett személy vagy tárgy elraktározható az újbóli felismeréshez. A felismerés napszaktól, fényviszonyoktól független. Azonban vannak olyan felhasználói igények, amikor a felbontás mértékét (pixeligényt) határozzák meg, nem pedig a ráközelítés mértékét. A felismerés mintázat, forma, kontúr alapján történik. A keresés maximum 250 kamerára terjeszthető ki. A felismerés és visszakeresés teljesen elektronikus úton történik, nem kell végignézni az összes kamera képét, a találatokat a rendszer automatikusan megjeleníti.

Közismert régi probléma, a monotonitás, a nagyon „hasonló” vagy „azonos” megkülönböztetése, felismerése. Ezért a mesterséges intelligencia jelentős segítséget nyújt. A proaktív megfigyelés másik előnye, hogy könnyedén kiszűrhető a gyanús személy és csak szükség esetén kell fizikailag is követni vagy intézkedni vele szemben.

  ■ Szász Gábor, üzletfejlesztési igazgató (MOBOTIX) előadásában egy okos és egyben biztonságos világot vázolt fel. A cég jelenleg 400 alkalmazottal működik, a prémiumkategóriás kameráikat Németországban gyártják. 2016-ban összesen 1 millió kamerát értékesítettek. Minden tevékenységük a biztonságtechnikára irányul és teljes körű szolgáltatásokat nyújtanak, hálózatépítéssel együtt. Rendszereik érdekessége, hogy a kamerák képrögzítése a készüléken belül történik. A kamerák időjárásra érzéketlenek és úgynevezett öntanuló rendszerűek, így elkerülhetők a téves riasztások.

Talán a leggyakoribb szakmai kérdés a megrendelők részéről, hány kamera szükséges az adott helyszínek biztonságos felügyeletéhez? 4 kamerával már garantáltan 360 fokos látómező biztosítható, sőt tesztkamerát is felajánlanak előzőleg. A MOBOTIX kamerák számos technikai előnnyel rendelkeznek, például inframegvilágítás sem szükséges, mert úgynevezett Moonlight (holdfény), magas fényérzékenységű szenzorral dolgoznak. Mozgó objektumoknál is éles képet adnak. Nincs bennük mozgó alkatrész, ezért nem tudnak túlmelegedni. A kamerák CAN-bus rendszerbe köthetők, a vezérléshez nincs szükség külön hardverre.

A saját fejlesztésű hőkamerák embert már 550 méterről, míg egy gépkocsit 1200 méterről érzékelnek. Ezen kívül bármilyen más rendellenes hőmérséklet-változást képesek érzékelni és riasztani (például bozóttűz, épülettűz, transzformátor-túlmelegedés stb.).

  ■ Polonyi Tibor, mérnök, közgazdász, üzletfejlesztési igazgató (DSC Hungária Kft.), a távol-keleti kameragyártók és a műszaki színvonal kapcsán tartott előadást a konferencia második napján. Az előadás a távol-keleti eszközök ár-érték arányáról, műszaki színvonaláról és megbízhatóságáról szólt. Érdekes és valós érvek, ellenérvek hangzottak el a prémium videós márkák és a távol-keleti brandek megoldásai kapcsán.

  ■ Laczkó Gábor, az Aspectis ügyvezetője Varys „madárkái” címmel tartott előadást a rendezvény második napján (lásd részletesebben:  cikkük lapunk 42. oldalán). Egy videomegfigyelő-rendszernek azt a szerepet szánja annak használója, üzemeltetője, hogy hozzájáruljon a saját biztonságának növeléséhez. De vajon mennyire biztonságos maga a megfigyelő- rendszer? Biztonságban vannak-e a felvételeink? Milyen sérülékenységi pontjai lehetnek egy rögzítőnek? Kik férhetnek hozzá a felvételeinkhez? Hekkelhető-e a kameránk? Esetleg ő maga kémkedik utánunk? Ilyen és ehhez hasonló kérdésekre kereste a válaszokat és próbált iránymutatást adni Gábor előadása. Célja nem titkoltan az volt, hogy már a tervezési fázisban előtérbe kerüljenek a  kiberbiztonsági  szempontok a cégeknél.

A Cég az előadáson kívül a kiállításra egy kis standdal készült, ahol a legújabb kamerákat mutatta be, valamint gondolt a lazább, kötetlenebb programra is, hiszen a rendezvény ideje alatt bonyolította le az első Aspectis Csocsó Bajnokságot. Az előre meghirdetett verseny hamar vonzóvá vált a résztvevők között, számos csapat adta le nevezését az induláshoz, és nagyon jó hangulatú meccsek zajlottak a csapatok között. Az első díjat végül a Kiss Ákos és Bíró Ákos alkotta csapat nyerte meg, és lett gazdagabb többek között egy-egy üveg whiskyvel.

  ■ Fodor Gábor, műszaki menedzser (IP Cam Kft.) a VIVOTEK járműfedélzeti megoldásait, IP-kameráit mutatta be előadásában. A különféle kamerák nem pusztán csak az utasteret figyelik, nem csak közbiztonsági feladatuk van, hanem alkalmazhatók forgalomirányításra (vezénylésre) vagy utasszámlálásra is. Továbbá, a fedélzeti adatrögzítő egységekhez más érzékelők is csatlakozhatnak, mint például gyorsulásérzékelő, elektronikus behajtási jogosultság stb.

Ugyanakkor az utasok számára kényelmi szolgáltatásokat is kínálhatnak, amelyek különféle alkalmazások segítségével letölthetők.
A busz garázsba érkezésekor, az üzemeltető számára minden szükséges adat letölthető, amenynyiben a felhasználó a VIVOTEK rendszerét alkalmazza. A jövőben az alkalmazhatóságok köre tovább bővül. Szó volt még a fedélzeti megfigyelés sajátosságairól és az esetleges problematikákról is.

  ■ Sólyom Bernát műszaki igazgató, (RIEL Kft.) elsőként az őrzés-védelem belső és külső kihívásairól beszélt. A belső kihívás, maga a rendszer, az adott technikai háttér, amellyel a régi és új személyzetnek egyaránt jól kell dolgozni. A leggyakoribb probléma, hogy a telepítéskor hiába a legmodernebb rendszer, előbb-utóbb fokozatosan elavul, mert lesznek jobbak. Ezért vagy korszerűsíteni kell, vagy újra kell cserélni (inkább az előbbi jellemző). A legrosszabb, ha nem történik semmi az évek alatt. Ezért nagyon fontos, hogy egy könnyen, költséghatékonyan továbbfejleszthető rendszert válasszanak a felhasználók.
A külső kihívás, az erőszakos vagy trükkös fizikai- vagy éppen elektronikus behatolás. Napjainkban a drónok rohamos fejlődése és várható gyors elterjedése egy teljesen új fenyegetési formát, biztonsági problémát vetít előre, mert mindig lesznek, akik a legújabb fejlesztéseket, azonnal és tudatosan rossz célokra kezdik el használni: lopás, csempészés, kémkedés, légi forgalom megzavarása, de sajnos már a terror- célú támadást sem lehet kizárni. Vagy éppen egy kereskedelmi célú szállítódrónt próbálnak meghekkelni, eltéríteni. A katonai célú eszközök már ma is fel vannak szerelve zavarás elleni védelemmel.

Mivel kisméretű eszközök, ezért csak különleges érzékenységű radarokkal vagy akusztikus felderítéssel érzékelhetők. Itt azonban fennáll a téves riasztás kockázata a madarak miatt. A drónelhárítást például ellendrón és háló, vagy az eszköz fegyverrel történő lelövése jelentheti. A meghekkeléses támadás és működésképtelenné tétel vagy az irányítás megszakítása már nagyobb kihívás és biztonsági kockázat –, hova történik a kényszerleszállítás vagy hova fog lezuhanni.

Ellenben kamerával felszerelve lehet egy gyors felderítő, vagy automatikus, programozott járőreszköz is, hőkamerával üzemzavar megelőzésére vagy személy- és járműfelderítésre szintén alkalmas, amelyet már most integrálni lehet a meglévő biztonsági rendszerekbe. Továbbá előnyösek elektromos távvezetékek ellenőrzésére, híd- és adótornyok vizsgálatára, magas épületek külső állapotfelmérésére, katasztrófavédelmi megfigyelések, felderítések (árvíz, erdőtűz), kárfelmérés céljára, de említhetnénk még a nagy tömegrendezvények biztosítását, felügyeletét vagy terrorelhárítást is.

  ■ Papp Gergely biztonságtechnikai mérnök, (Partnertech Kft.) az integrált biztonságtechnikai rendszerekről szóló előadásában a technikai háttér, a műszaki tartalom fontosságára hívta fel a figyelmet. Ettől függ, hogy egy rendszer mennyire „jó” külső-belső támadások elleni védelemnél, milyen a gyakorlati hasznossága, alkalmazhatósága.

Minden rendszer számos alrendszerből épül fel: személy- és járműbeléptető, belső beléptetés, behatolásjelző (nyitás és mozgásérzékelő), térfigyelés, tűzjelző, IT biztonság és még sorolhatnánk. A lényeges kérdés, hogy jel, esemény esetében csak jelez, vagy automatikus parancsot ki tud-e adni (például helyi- és távriasztás, elszívás, vészkijáratok nyitása stb.), vagy mi tudunk utasítást adni másoknak vagy a technikának valamilyen beavatkozásra. A másik lényegi kérdés az események automatikus dokumentálása, visszakereshetősége, vagy akár bizonyítékként történő felhasználása. Kell-e grafikus megjelenítés vagy nem.
Az integráció szintje függ az eszközöktől, a szoftvertől és a firmware-től (közvetlen vezérlőeszköztől) és a szoftverkövetési nehézségektől. Az integráció egy folyamatos munka, amely a rendszerek változása miatt szintén változik és valójában soha nem fejeződik be.

Az ATS Advisor Management egy komplett és integrált rendszert, adatbázist biztosít a teljes biztonságtechnikai portfolió számára. Ezt főleg többtelephelyes rendszerek kiépítéséhez kínálják, oktatással és terméktámogatással egybekötve. A magas szintű integrációval a belső elkövetések ellen is hatékonyan lehet védekezni.

■ Molnár Gábor és Schulmann Péter kommunikációs szakértők, (ELTE) az új adatvédelmi törvényekről beszéltek. Az első ilyen rendelkezés még 1992-ben született, ezt azonban a gazdálkodó szervezetek még nem igazán ismerték. Más cégek, szervezetek a „saját” értelmezésük szerint alkalmazták. A törvények megsértéséért eddig legfeljebb 20 millió forintos bírságot lehetett kiszabni, de 2018-tól már egy új, egységes európai rendelet lép életbe, itt szintén 20 millió a maximális bírság, de már euróban számolva! Bírságot azonban csak az országok saját nemzeti adatvédelmi hatósága szabhat ki. A szabályozás részletes és kiterjed az információbiztonság szakterületére, valamint érinti a vagyonvédelem szolgáltatói és felhasználó területeit egyaránt. Az adatok kijuttatásában gyakran személyes bosszú áll, például egy kérdőre vont vagy éppen elbocsátás előtt álló dolgozó szereplésével.
A másik jellemző probléma, amikor valamilyen technikai vagy emberi biztonsági rés „keletkezik” és valamilyen adatbázisból – ahol egyébként például ügyfélként jelen vagyunk – számunkra teljesen ismeretlen vállalkozások keresnek meg keresetlen ajánlatokkal.
Adatokat csak tisztességesen szabad kezelni, minimalizált (csak a tevékenységhez valóban szükséges mennyiségű információ) mennyiségben, célirányosan és csak a szükséges ideig (kamerafelvételeknél). Az új előírásokkal párhuzamosan szükséges egy belső „házi” szabályozás is. Bizonyos adatmennyiségtől már adatvédelmi felelős kinevezése szintén szükséges.
Napjainkban a leggyakoribb peres eljárások a munkáltatók és munkavállalók között alakul ki, amikor a céges informatikai berendezéseket magáncélra használják.

  ■ Baneth Ádám IT biztonsági szakértő, (Whiteshield Kft.) szintén az adatbiztonságról, az adat- és információlopásról tartott előadást, amely részben kapcsolódott az előző két előadóhoz. Nagyon lényeges különbség, amikor belső szándékos információkiadás történik vagy külső támadás (hackelés) vagy kémprogram telepítése megy végbe. A hackelés rendszerint gyorsan észlelhető, de a kémprogram, vagy egy, a bejárásra jogosult személy által rejtett adattovábbító eszköz már nehezebben deríthető fel. Az adatlopás egy érdekes kategória, mert attól hogy ellopják adatainkat, azok még attól fizikailag változatlanul ott maradnak számítógépeinken és más adathordozóinkon. Az adatlopás vagy feltörés nagyon gyakran csupán presztízsakció, nem is a pénzről szól. Az adat egy különleges „áru”.

Az adatlopások jelentős része felhasználói tévhiteken és nemtörődömségen (védelem hiánya) alapul. Feltétlenül át kell gondolni, mi történik ha…, főleg vállalatok esetében. Évente egyszer mindenképpen ajánlatos egy szakértői felülvizsgálat is. Az automatikus vizsgálatok lefuttatása nem elég komplex és nem kellő mélységű! A közkedvelt wifivel is óvatosan kell bánni, telepíteni, hiszen az elektronikus jelek nem fognak megállni a falaknál és ablakoknál. Megfelelő technikával, hozzáértéssel az épület közelében is foghatók még adatok.

  ■ Hortobágyi Ágoston ügyvezető, (DO-Q-MENT Kft.) egy már ismert témakörükről, a „papírmentes” irodáról beszélt. Ehhez szintén nélkülözhetetlen a magas fokú adatvédelem. Ezzel együtt jelentősen felgyorsítja az ügyintézést, például egy fuvarlevelet elektronikusan és hitelesen is lehet „on-line” továbbítani a központ felé, nem kell megvárni, míg a gépkocsivezető visszajut valamikor a telephelyre. A számlát azonnal lehet küldeni, a pénz jóval hamarabb érkezik. Ezen kívül a lerakott áru sértetlenségét szintén lehet dokumentálni csatolt fényképpel.

A másik példa, amikor egy biztonsági szolgálat kivonul riasztáshoz, minden esetben többpéldányos jegyzőkönyvet kell kitölteni, egyik a megbízónál marad. De mi történik, ha a papír elvész, amíg a megbízó a helyszínre ér reggel vagy szabadság után, napokkal később? Mi lesz a bizonyíték, hogy a helyszínre vonultak? Elektronikusan azonnal, akár képpel dokumentálva el lehet küldeni, hogy minden rendben volt vagy sem, de a képet GPS koordinátával és időbélyeggel is hitelesíteni kell, lehet.

Az említett megoldások gyakorlatilag költség nélkül alkalmazhatók és ma már nemzetközileg is elfogadottak az Európai Unión belül – legmagasabb szintű elektronikus másolatok eredetiként.

K. M.–K. B.