Létezik egy olyan általánosan használt eszköz, amely alapvető fontosságú az internet, a digitális azonosítás és a kibervédelem szempontjából. Az OpenSSL a biztonságos online kommunikáció alapját képezi és még ez a rendszer sem makulátlan. Egy 2026 január frissítés során az OpenSSL fejlesztői összesen tizenkét, korábban nem ismert, évek óta létező sérülékenységet javítottak.
Hiába a nagy szoftverfejlesztő cégek tapasztalata, minőségbiztosítási rendszere és tőkeereje, mégis naponta jelennek meg a fentiekhez hasonló újabb és újabb sérülékenységek. Jó példa erre a Microsoft Windows is, amelyet évtizedek óta fejlesztenek, mégis minden hónapban tucatnyi új CVE-t (Common Vulnerabilities and Exposures) javítanak a Patch Tuesday frissítésekben. Ezek között rendszeresen előfordulnak kritikus, jogosultságemelésre vagy távoli kódfuttatásra alkalmas hibák. Hasonló a helyzet az Apple iOS és macOS esetében is: a zárt ökoszisztéma és szigorú ellenőrzés ellenére rendszeresen jelennek meg nulladik napi (zero-day) sérülékenységek, amelyeket sürgős biztonsági frissítésekkel kell befoltozni.
A nyílt forráskódú világ sem kivétel. A Log4Shell (CVE-2021-44228) esete megmutatta, hogy egy széles körben használt, évek óta stabilnak hitt Java könyvtárban is rejtőzhet olyan kritikus hiba, amely globális kockázatot jelent. Ugyanígy a Linux kernel esetében is rendszeresen kerülnek napvilágra új sérülékenységek, annak ellenére, hogy szakértők ezrei vizsgálják a kódot.
A sérülékenységek nem feltétlenül a fejlesztők hibájából, hanem a szoftverek már-már átláthatatlan komplexitásából és a támadási módszerek folyamatos fejlődéséből fakadnak. Ezért a biztonság nem egyszeri állapot, hanem egy folyamatos folyamat: a frissítések, javítások és CVE-k kezelése nélkül ma már egyetlen rendszer sem tekinthető hosszú távon biztonságosnak.
Van segítség: Automata kiberbiztonsági riasztórendszer, ARR
Az MKIK által ingyenes szolgáltatásként biztosított Automata kiberbiztonsági riasztórendszer (ARR) erre a problémára kínál megoldást. A rendszer lényege, hogy a csatlakozott KKV-k számára testreszabott riasztásokat küld a szoftverek által jelentett kiberbiztonsági kockázatokról, fenyegetésekről. A rendszer működése azon alapul, hogy az informatikai rendszerek világában természetes, hogy a nagy gyártók, fejlesztők és egyes kiberbiztonsági szervezetek publikus adatbázisokat, nyilvántartásokat vezetnek a rendszereket érintő sérülékenységekről, pontosan azzal a céllal, hogy az érintett felhasználók képesek legyenek felkészülni, védekezni.
Ezeken a csatornákon naponta jelennek meg a sérülékenységek leírásai. Sajnos ezen adatbázisokat általában csak a komolyabb szakmai felkészültségű, enterprise üzemeltetéssel foglalkozó, valamint a kiberbiztonsági tanácsadással foglalkozó cégek ismerik és használják rendszeresen. A nem a területen működő cégek számára probléma, hogy több százezer informatikai rendszerrel kapcsolatban jelennek meg ezek az információk, így viszonylag kevés az adott szervezet számára a valóban releváns és személyre szabott jelzés, ezek követése számukra nehézkes és időigényes. Az ügyfélre szabott riasztórendszer ezen a problémát orvosolja.
A rendszer használatára egyszerű regisztrációs folyamatot követően van lehetőség. Az ARR csak azokról a hibákról, javítandó szoftverekről küld értesítést, amik új ismert sérülékenységgel rendelkeznek. Ez segíti a vállalkozás döntéshozói, hogy kezeljék a kockázatot, például idejekorán telepítsék a frissítéseket vagy egyéb intézkedéseket hozzanak a kitettség csökkentése érdekében.
A cikk megírásában Elter András és Kott Ferenc az MKIK Kibervédelmi programjának vezetői segítettek.
A riasztórendszer itt érhető el: https://kiberbiztonsag.mkik.hu/szolgaltatasok/arr
További kibervédelmi szolgáltatások a Kamarától: https://kiberbiztonsag.mkik.hu/
