Élhető kiberbiztonság

Szőke Ágoston

6 min read
Élhető kiberbiztonság

A CyberSec konferencián adtam elő a felhasználó központú tervezésről a kiberbiztonság vonatkozásában.

Az előadás eredeti címe ez volt: "Vissza a tervezőasztalhoz: a lakossági kiberbiztonsági tanácsok felhasználóközpontú átgondolása".

Ez sajnos nem fért ki a diára, ezért választottam az élhető kiberbiztonságot címként, ami az előadás lényegére utal.

Az online fiókhálózatunk kusza, amit felhasználóközpont tervezéssel lehet kibogozni, és ez elvezet az élhető kiberbiztonsághoz.

A kattintgatás tud fun lenni, főleg ha CTF-ről van szó, ami kvázi egy online szabadulószoba. Technikailag ugyanez történik, amikor este kilenckor küzdünk egy közműszolgáltató honlapjára történő belépéskor a jelszókezelővel, de az kevésbé fun.

A felhasználó alapélménye szerintem, hogy sokszor nem érti hol van a kibertérben, illetve, hogy mit miért kell beállítani.

Az előadásban a kiberbiztonságra és az ehhez kapcsolódó beállításokra fókuszálok. A digitális tudatosság ennél tágabb. A fentiek mellett a közösségi média és a tartalomfogyasztás is hozzátartozik. Ezek a területek adják a készülő Felhasználói Kézikönyv a Kibertérhez keretét (ld. start.kiberitiner.hu).

A készülő kézikönyvről és az első kidolgozott témákról (fiókhelyreállítás, 2FA, dokumentáció) részletesebben beszéltem ebben a logbook részben:

A videó lejátszásával a YouTube-ról tartalmat töltesz be és sütik kerülnek a böngésződre. Arról, hogy a Google hogyan kezeli és használja fel ezeket az adatokat a Google adatkezelési tájékoztatójában olvashatsz.

A kiberbiztonsági tudatosításban már alapelv, hogy a felhasználó nem kiberbiztonsági szakember, és nem is informatikus. Bizonyos megoldások (pl. self-hosting, vagy még lehet a jelszókezelő sem) alkalmazása nem elvárható.

A brit kiberbiztonsági központ elfogadja, hogy van olyan felhasználó, aki nem tud jelszókezelőt használni. A jelszóproblémákat ettől még kezelni kell, erre ajánlják a három random szó elvet. Ugyanakkor az ilyen tanácsoknak is, bár felhasználóközpontúak, megvannak a limitációi, mert a felhasználók online fiókhálózata komplex.

A felhasználók fiókhálózata a gyakorlatban valahogy így néz ki. Kusza.

Ez az account graph egy egészen kiváló 2022-es kutatásból (pdf) van. Ebben a kutatók feltérképezték és vizualizálták egy egységes módszertan alapján az alanyok biztonsági setup-ját.

A fiókhálón nagyon jól modellezve vannak a biztonsági elemek közötti kapcsolatok. Az ujjlenyomattal hozzá lehet férni a telefonhoz, és el lehet olvasni az e-maileket. Szaggatott vonal jelzi, hogy az e-mail fiókkal vissza lehet állítani a vásárlási fiókot. Ugyanezt az e-mail fiókot helyre lehet állítani SMS-kóddal, ami SMS-kódot egyébként lezárt telefonnál is el lehet olvasni.

A kapcsolódások kijelölik a fiókhálózat központi, kritikus elemeit (pl. egy okostelefon, vagy e-mail fiók), ezek biztonságának növelését így lehet priorizálni.

A szerzők szerint kihívás általános kiberbiztonsági tanácsok nem célravezetőek. Szerintük a biztonság növeléséhez a feltérképezett fiókhálózat alapján személyre szabott kiberbiztonsági tanácsadás kell. Ez az egyének szintjén így van, ugyanakkor bízom abban, hogy létezik egy ideális account setup, ami némi személyre szabással az átlagfelhasználók nagy részének megfelelő és biztonságos.

Az előadásnak ez a legfontosabb diája. Ugyanis a kutatás felülnézetből láthatóvá teszi azt a labirintust, amiben a felhasználók bolyonganak. Ez az amit szem előtt kell tartani, amikor kiberbiztonsági tanácsokat fogalmazunk meg. Ez a kontextus, amiben a felhasználók léteznek.

Az élhető kiberbiztonság felé az első lépés az, ha ezt a kusza hálót sikerül kibogozni.

Az online gordiuszi csomó kibogozásához három dologra van szükség: design, design, design. (Meg rengeteg post-it 😄 ).

Itt olyan fogalmakra kell gondolni, mint a user centered design, human centered design, vagy journey mapping, service design hasonlók.

Az Egyesült Királyságban a 2010-es évek elején indult a Government Digital Services intézmény, akik összefogták a gov.uk-hez tartozó oldalak user centered design alapú egységesítését. Megalkottak 10 kormányzati design alapelvet. Ezek közül kettőt emelek ki:

  • Start with user needs - a felhasználó szemszög fontossága kvázi.
  • Do the hard work to make it simple

A fő üzenet az, hogy a felhasználóközpontú tervezés nem bonyolult, de nehéz. Át kell gondolni a dolgokat, és minél inkább le kell őket egyszerűsíteni.

A DÁP nemcsak egy app, hanem egy weboldal is. Itt a service design-t követve 10 életesemény köré vannak gyűjtve a fontos információk.

Még a user centered design elterjedésének az elején tartunk. Hasonló a helyzet, mint amikor a Google alapítói egy Lego kockákból építettek szervert. Nem a legelegánsabb megoldás, de a szerveren már PageRank algoritmus futott. Hasonlóan fontos lehet a felhasználóközpontú tervezés.

Jelenleg így néz ki a Felhasználói Kézikönyv a Kibertérhez. Formailag ez egy dokumentációs rendszer, de lehetne más is. Időben most nekem ez fér bele.

A 2FA-nél általában a fő üzenet, hogy be kell állítani, mert kell, és növeli a biztonságot. Nézzük meg ezt az Ügyfélkapu+ példáján keresztül.

Ha a felhasználó végigért a lépéseken, és konfigurálta a hitelesítő alkalmazást, akkor mondhatjuk, hogy nőtt a biztonsága. A támadók nehezebben férhetnek hozzá a fiókhoz, a bizalmasság garantált.

De mi a helyzet a rendelkezésre állással? Az újabb faktor némiképp megnövelte a fiókból való kizáródás kockázatát. A 2FA beállításánál erre is figyelni kell. Az itteni útmutató utolsó lépésében szerencsére szerepel a törlőkód elmentése, viszont talán kaphatott volna nagyobb hangsúlyt.

A 2FA-ről vonatkozó részt itt található.

Az felhasználóközpontú tervezést szem előtt tartva az alábbi elveket követtem:

  • A bizalmasság és a rendelkezésre állás egyaránt fontos.
  • Ingyenes megoldások kellenek (a biztonsági kulcs ilyen szempontból problémás)

A rendelkezésre állás biztosításához hangsúlyozandó, hogy minimum két második faktort kell beállítani. Az egyik mindenképp a tartalékkódok, a másik pl. lehet SMS-kód.

Pontosan hol és mit állítsunk be? A rendelkezésre állás miatt a központi fióknak (általában ez Google fiók) megkülönböztetett szerepe van. A rendelkezésre állás sérülése az Ügyfélkapu+-nál max. kellemetlen, mert legrosszabb esetben be lehet sétálni egy kormányablakba. A Google-nek nincs élő ügyintézős ügyfélszolgálata, ezért ott a kizáródással járó kár nagyobb.

A központi fióknál ezért azt javaslom, hogy ami lehet második faktort az állítsunk be. A fontos fiókoknál, így a közösségi média és banki fiókoknál kevesebb 2FA is elég. A központi fióknál így beállítandó pl. a push értesítés, az SMS-kód (átlagfelhasználókról van szó, és nekik is kockázat pl. a SIM cserés támadás, de a rendelkezésre állás és használhatóság miatt indokolt lehet a használat), esetleg a kódgeneráló app, és a tartalékkódok.

A tartalék kódok menedzselésére én javaslom, hogy ezeket kinyomtatva. egy dokumentációs mappába, dobozba gyűjtsük, hogy ne kallódjanak el.

Úgy tűnik, hogy az átlagfelhasználók fiókstruktúrája erősen Google központú lesz.

Izgalmas fejlemény, hogy megjelent a DÁP, amivel számos közműszolgáltatóhoz, bankhoz és az e-Magyarország felületre is be lehet lépni. Hosszabb távon a Google mellett az online identitásnak lehet így egy másik lába.

Az előadás tervezésekor Russell Davies kiváló blogbejegyzését vettem alapul.

Bármilyen kérdést, észrevételt szívesen várok az [email protected] címre [beta verzió - a válaszüzenet lehetséges, hogy a spam mappába kerül], vagy más kapcsolattartási módon keresztül.

A digitális tudatossághoz kapcsolódó forrásokat itt találsz.

A bejegyzés elkészítéséhez szükséges idő: 30h

Est. GSS: 6