Kürti Sándor: Amikor odanyújtja a pontgyűjtő kártyáját, eladta a lelkét

2017. augusztus 16. 16:14 - szerző: Szabó Brigitta

Nem beszél az ügyfelekről, a megbízásokról, és nem akar magyarázkodni, amiért téves in­­formációk jelentek meg a cégről a BKK online rendszerének feltörése kapcsán. Kürti Sándor, a Kürt Zrt. elnök-tulajdonosa úgy véli, mivel az információbiztonság bizalmi ágazat, egyetlen ügynek sem tesz jót, ha a közvélemény tárgyalja. Annyit azért elmond, hogy szerinte a BKK rendszerét feltörő gimnazista nem etikus hekker. Beszél arról is, hogy a big data világában elektronikus lábnyomunk alapján már szinte mindent tudnak rólunk, ezért valamennyiünk érdeke, hogy adatainkat szabályozottan, törvényi keretek közé szorítva kezeljék.

– Mi zajlott le a Kürtnél, amikor megjelentek az első sajtóhírek arról, hogy önök auditálták a Budapesti Közlekedési Vállalat online jegyértékesítési rendszerét, amelybe egy gimnazista srác is simán betört?

– Csöndben maradtunk. Magától értetődő, hogy ilyenkor mi egy információbiztonsággal foglalkozó cég feladata: nem publikálhat, nem fordulhat a nyilvánossághoz, még akkor sem, amikor nincs alapja az állításnak, amivel szembesül. A Kürtnek volt és van feladata a BKK-nál, de nem a szóban forgó üggyel kapcsolatban, hanem a kialakítandó RIGO rendszerhez kapcsolódóan, egy meglévő keretszerződésünk alapján.

– Miután kitört a botrány, jelentkezett a BKK?

– Persze. Napi szinten együttműködünk. De ezeket a dolgokat nem a sajtó és a nyilvánosság előtt kell meg­­beszélnünk, mert soha nem lesz sikeres egy biztonsági rendszer, amelyet a publikum előtt tárgyalnak meg. Nem beszélni akarunk a problémáról, hanem megoldani.

– Értem, de ha hallgatnak, akkor a közvélemény úgy tudja, hogy az a Kürt, amely a World Trade Center romjai között talált számítógépekről mentette ki az adatokat, s jelenleg a világ három legjelentősebb információbiztonsági vállalata között tartják számon, egy olyan rendszert engedett át a szűrőjén, amelyet az utcáról is feltör bárki.

– Nagyon sajnálom, ha így van, de bár­­mennyire rosszul érint is bennünket az ügy, számunkra nem a saját jó hírünk védelme a legfontosabb. Mondok egy tanmesét. Még 2004-ben az év üzletembere lehettem Magyarországon, ami együtt járt azzal, hogy részt vehettem egy nemzetközi versenyben. A hozzá kapcsolódó képzésen tanultam, hogy a demokratikus országokban négy alapvető rendszer van, amelyek együttműködése meghatározza, hogy az ország milyen sikereket fog elérni. A négyből az egyik, a gazdaság kiemelt, mert globális, a politika, az állam és a társadalmi szervezetek rendszere viszont lokális. Én a gazdaság szereplője vagyok, vagyis sokkal nagyobb a felelősségem, mint a többieknek, akiknek hangja alapvetően az országhatáron belül érvényes.

– És mit gondol a BKK rendszerét feltörő gimnazista fiúról? Ő magát etikus hekkernek nevezi. Az is?

– Nem az. Biztos vagyok benne, hogy a gyerek nem alapvetően elvetemült, nem börtöntöltelék, de úgy használta a tudását, hogy nem volt tisztában a következményekkel. Az üggyel foglalkozni kell, mégpedig az oktatás oldaláról.

– Akkor ki az etikus hekker?

– Sokan úgy hiszik, attól etikus a hek­­ker, hogy nem okoz kárt.

Fotó: Pictorial collective

– Ezt mondta magáról a fiú is: ő nem okozott kárt, hiszen nem akarta használni az ötven forintért megvett bérletet, csak a rendszer hiá­­nyosságára szerette volna felhívni a figyelmet.

– Ha megnézzük, milyen sajtója lett az ügynek, például a Telekom részvényei miképp reagáltak, nem mondanám, hogy nem okozott kárt. Etikus hekker különben az, akinek részletesen kidolgozott megbízása van arra a területre, amivel foglalkozhat.

– A Kürt Akadémia képzi az etikus hekkereket. Elolvasva a tanfolyam tematikáját és a megtanulandó tech­­ni­­kákat, azt éreztem, egy átlagos felhasználó tudatlan és védtelen, az tör be az eszközeire, aki akar.

– Egy átlagfelhasználó számára valóban sok a tisztázatlan fogalom, ismeretlen szakkifejezés az információbiztonság területén. Például az audit, ami a BKK kapcsán is bekerült a köztudatba, azt jelenti, hogy egy informatikai rendszert biztonsági szempontból egy sztenderd alapján átvilágítok, a végén pedig kiállítok egy megfelelőségi nyilatkozatot pont úgy, ahogy az ISO-minősítések esetében. Szakmai protokoll szerint dolgozom, a rendszer sérülékenységének vizsgálata csak apró eleme e folyamatnak. Vannak persze kifejezetten sérülékenységi vizsgálatok, amelyeket megrendelésre az etikus hekkerek szoktak csinálni. Ilyenkor a szakember (etikus hekker) a saját módszerével megnézi, hogy a rendszer kompromittálható-e. Az etikus hekkerrel megvizsgáltathatnak olyan helyzeteket, amilyenket az élet is hozhat: vizsgálhatja a rendszert kívülről, mint bárki, vagy belülről, mint például egy alkalmazott. Az etikus hekkertől nem kell félni. A Kürt Akadémiára jelentkezőknek még a tanfolyam előtt alá kell írniuk egy hozzájárulást, hogy az oktatásuk első pillanatától kezdve az életük végéig megfigyelés alatt állhatnak. Az állam is akkreditálta a képzést, sőt az első évfolyamokra a megfelelő szervezetei két-két munkatársat is küldtek, akiket térítésmentesen felkészítettünk a kihívásokra. A mindenkori kormányzatnak óriási szüksége van magasan kvalifikált etikus hekkerekre, hiszen ez az egyik legkorszerűbb védekezési módszer.

– A magyar állam adatai biztonságban vannak?

– Rendben vannak. Nem olvasunk róluk naponta, hogy kikerültek volna az utcára az adatok. Értékarányosan működik a védelem. Sokan és sokat tesznek azért, hogy egyre jobb legyen, de ez megint az a téma, ami nem a közvélemény ügye. Ezt azokkal kell megbeszélnünk, akik hivatásból, üzleti oldalról vagy társadalmi ellenőrzés érdekében aggódnak az ország jövőjéért. A megbeszélések a sajtó kizárásával zajlanak.

– Attól még az egészséges kíváncsiság szintjén érdekelheti az embert, hogy mi zajlik a háttérben. Mit csinálnak? Folyamatosan támadják és tesztelik a rendszereket?

– Rendszerben dolgozunk, vannak, akik hivatásszerűen művelik, vannak, akik nemzetbiztonsági szinten csinálják. Az informatika rendszere nagy lemaradásban van például az egészségügy vagy a villamosipari gépek rendszeréhez képest. De ettől nem kell idegeskedni. Informatikai biztonságunk szintje is folyamatosan javul. Ha okosak vagyunk, akkor egy ilyen hekkertámadás is sokat javíthat rajta.

– Szóval ne foglalkozzak azzal, hogy az eszközeim milyen veszélynek vannak kitéve?

– Amikor repülőn utazik, tudja, milyen veszélynek van kitéve?

– Információbiztonság szempontjából nem, de amúgy hosszan tudnám sorolni. Viszont ha igaz az állítás, hogy a megelőzés az informatika területén is fontos, akkor mégiscsak jogosan foglalkoztatja az embert a téma.

– Erre kell az oktatás, amire mindenkinek szüksége lenne. A rendszerek két fő elemből állnak: eszközökből és magából az emberből. Ebből rám mint felhasználóra az vonatkozik, hogy miképp kell viselkednem a rendszerben. Például a repülőgépre nem vihetek fel fegyvert. Ezt mindenki tudja. Az informatikát most tanuljuk. Az Euró­­pai Unió szabályozása szerint jövő májustól az informatikai eszközökön megadott személyes adatokat titkosan kell kezelni, nem szolgáltathatók ki harmadik félnek. Ez a felhasználó számára megnyugtató lehet.

– Miért?

– A törvényi szabályozás a lényeg, hogy megvannak a keretek, amelyek között mozoghatunk. Amikor megérkezett az első zsarolóvírus, és óriási károkat okozott, mindenki azt szajkózta, hogy mit kellett volna tenni, hogy ez ne történjen meg. Jött az ahaélmény, ja, tényleg ezt kellett volna csinálni. Két hét elteltével érkezett a következő zsarolóvírus, megint bedöntött egy sor vállalatot. Hiába mondtuk el, mit kell tenni a védelem érdekében, szinte senki sem hajtotta végre. Mondok mást. Amikor bevásárol egy hipermarketben, és a végén odanyújtja a pontgyűjtő kártyáját, akkor eladta a lelkét. Mindent tudnak önről: hány éves, hol lakik, mikor szokott vásárolni, mennyit költ, mit vesz – s mindezek alapján profilt tudnak alkotni. Ha van törvényi szabályozás, amely a gyűjtőknek és a szolgáltatóknak is előírja, hogy az adatokat milyen módon lehet kezelni, akkor az nagyobb biztonságot jelent, mint ami jelenleg van.

– Visszaadom az összes kártyámat.

– Mielőtt visszaadná a kártyáit, gondolja meg, hogy másik oldaluk is van a fentieknek. Egy új fogalmi rendszerrel állunk szemben, amit úgy hívunk: big data. Ha én, a kereskedő, aki rendelkezem ezzel a rengeteg adattal, a kártyákat anonimizálom, akkor az egész társadalom számára hasznos értéket hozok létre. Van erre már példa. Autózom, és megnézem az okostelefonom alkalmazásával, hogy merre menjek, hogy elkerüljem a dugót. Nem tudom, kik állnak a sorban, mert a nevet leszedték az adatokról, csak arról kapok információt, hogy merre ne menjek. Mondhatja, hogy ha bejelentkezem erre az alkalmazásra, akkor lekövethető, hogy éppen nem vagyok otthon, tehát nyugodtan be lehet törni hozzám, de állítom: a big data olyan lehetőségeket rejt, amilyenekről ma még nem is álmodunk. Persze a borzalmai ellen védekezni kell. A kulcsmondatot Krokodil Dundee mondta: a kés egy olyan csodálatos dolog, amit bármire tudok használni, egyetlen rossz van vele, amikor a torkomhoz szorítják.

– Amikor az amerikai Demokrata Párt számítógépein másfél évig ténykedhettek a hekkerek, vagy ellopták a Twitter-főnök jelszavát, és vírust juttattak el egy űrállomásra, mit lehet mondani egy átlagos felhasználónak, hogyan vigyázzon az adataira?

– Tanulni, tanulni, tanulni! Jobbat nem tudok mondani. Hasonlóan, mint minden más nagy rendszernél, ami az emberiségnek örömöt, boldogságot hozott, ennél is hangsúlyozni kell az oktatás és az elfogadás fontosságát.

– Ez állami feladat?

– Inkább közösségi, amiben benne van az állami szerepvállalás is. A Kürt szociális felelősségvállalási programjában cigány gyerekekkel foglalkozik. Bármilyen furcsa, bár áram nincs otthon, az okostelefon ott van a gyerek zsebében. Akkor is van neki, ha nem eszik miatta, vagy mezítláb jár. Az iskolában van áram, ott feltölti. Ha pedig így áll a helyzet, akkor az eszközöket oktatásra kellene használni, elárasztani olyan tartalmakkal, amelyek előrevisznek. Oktatási rendszereink mindig együtt haladnak a társadalmi rendszereinkkel, most az informatikai kütyük segítségével lehetne a leghatékonyabban tanítani. Ha viszont nem teszünk mögé tartalmat, akkor a gyerekeink arra használják, amire éppen tudják, és megint Dundee-hoz jutunk.

– Ahol megtörténhet, hogy a kormányzat tudtával a vizes-vb ingyenes wifijéhez egy azeri cég adja a szoftvert, s az minden adatot beszív a felhasználók Facebook- vagy Ins­­tag­­ram-profiljáról, majd egy harmadik országba továbbítja, vagy amikor a nemzeti konzultáció honlapjáról egy orosz forgalomfigyelő, adatgyűjtő cég orosz szervereknek küldi el magyar állampolgárok adatait, nem tudom, mennyire vagyunk készek arra, hogy megtanítsuk a gyerekeket biztonságosan és okosan használni az eszközeiket.

– Nem tudok megnyugtatót mondani, meg nem is akarok. Mint magánember, tudatosan kezelem az eszközeimet, mint cég pedig érdekem, és teszek is érte, hogy ez az ország jól működjön és megbízható legyen.

 


Tanács, ezeknek?


A rendszerváltozás évében kétezer informatikai vállalkozás alakult Budapesten, köztük a Kürt is, amely a csúcstechnológiát képviselő Magyar Optikai Művek addigi fejlesztőiből állt össze. A kanadai állam tanácsadókat küldött Magyarországra, hogy segítse a demokrácia kialakulását, és a kis magyar informatikai cégnek is jutott valaki.

– Megkérdezte tőlünk, hány kompetenciánk van. Mondtam neki, sok. Erre ő: az nem hihető, egyet mondjunk – meséli Kürti Sándor. – Gondoltam magamban, ez még nem járt Magyarországon, itt, ha azt mondom, egy dologhoz értek, éhen halok.

Akkor a Kürt nagyjából mindennel foglalkozott, rendszert integrált, számítógépet szerelt össze, installált, vincsesztert javított, meg ami jött.

– Végül bemondtam az adatmentést, csak már menjen haza – mondja az elnök.

A kanadai tanácsadó egy év múlva visszatért, hogy megnézze munkája nem létező gyümölcsét.

– Elém állt, és azt mondta, nem hiszi el, hogy a kanadai állam ilyen hülyéket támogat – emlékszik vissza Kürti Sándor. – Ez a kanadai milliárdokat tett a zsebünkbe azzal, hogy megértette velünk: brandet kell építeni. Az ezredfordulón már mi kerestük meg a kanadait, megkérdeztük tőle, mit gondol arról, ha lenne még egy üzletágunk. Az adatmentés arról szól, hogy ha elveszítettem az adatot, hogyan lehet minimalizálni a kárt. De mi lenne, ha elkezdenénk foglalkozni a megelőzéssel, vagyis mit kell csinálni ahhoz, hogy ne vesszen el az adat? Erre ő azt mondta: nagyon jó! Sokan intettek, hogy megöljük a saját üzletünket, ha kiépítjük a biztonságos rendszereket, de nem lett igazuk, mert ma a megelőzés globálisan sokkal több bevételt hoz a cégnek, mint az adatmentés.

A Kürtöt, amelynek német leányvállalata is van, a világ három-négy legjobb adatmentő vállalkozása között tartják számon. Az ágazatban nagyjából félévente történik technológiaváltás, idén szinte nincs olyan probléma, ami már tavaly is létezett volna. De ahogy Kürti Sándor mondja, ők épp ezt szeretik. A nyolcvanas évek óta gyártott csaknem tízezerféle adattároló közül nyolcezer-ötszázféle ott pihen a Kürtnél, csak hogy legyen mihez nyúlni, ha valamit reprodukálni kell.