2010. november. 08. 17:37 hvg.hu Utolsó frissítés: 2010. november. 08. 17:33 Vállalkozás

Tömeges adatlopás, sorozatos visszaélések: nem használ a struccpolitika

Ahogyan a nyelvvizsgát igazoló papír sem jelent garanciát arra, hogy tulajdonosa minden helyzetben képes azon a szinten beszélni az adott idegen nyelvet, igen sok, informatikai biztonsági tanúsítvánnyal rendelkező vállalatra igaz az, hogy a sebezhetőségek és kockázatok nagy részét a „papírok” megléte ellenére sem kezeli jól. Mi az, ami változást hozhat?

 Az internetes bűnözés 2009-ben majdnem 600 százalékkal növekedett. Magyarországra vonatkozóan nem lelhetők fel megbízható adatok, de a veszélyeztetettséget mindenképpen növeli, hogy sok hazai vállalkozás a költséges és időigényes munka miatt ma még mindig csupán jogszabályi kötelezettség hatására hajt végre bármilyen információbiztonsági intézkedést -  figyelmeztet Antal Lajos, a Deloitte Zrt. Informatikai biztonság és adatvédelem üzletágának vezetője.  Hozzátéve, törvényi kötelezettségek pedig egyelőre csak a hitel- és pénzintézetekre, illetve pénzügyi szervezetekre vonatkoznak, és vélhetően ez is oka annak, hogy a banki szektort leszámítva ma még nagyon sok társaság nincs is tudatában annak, hogy a birtokában lévő üzleti adatok megszerzése közvetlen előnyhöz juttathat másokat - például versenytársakat - továbbá mindez olyan jelentős üzleti veszélyeket rejt, amelyeket utólag a legtöbbször már lehetetlen kezelni. 

A nemzetközi gyakorlat természetesen számos előírást és keretszabályozást ismer, amelyek adatbiztonsági elvárásokat támasztanak a cégekkel szemben. Ilyen például a COBIT (az információtechnológia irányításához, kontrolljához és ellenőrzéséhez készített útmutató és kézikönyv), az ISO 27001 szabvány (az információbiztonsági irányítási rendszer követelményszabványa), vagy a PCI – DSS (bankkártya adatokra vonatkozó adatbiztonsági szabvány) is - mondta Dr. Vizi Linda, a Deloitte Zrt. Vállalati Kockázatkezelés osztályának szenior tanácsadója. Ezek szerinte a pénzügyi szektortól eltekintve egyrészt nem kötelezőek, másrészt sok esetben nem adnak valódi garanciát arra, hogy a társaság által kezelt, vagy a működése során felmerülő adatok tökéletes biztonságban vannak. Sőt, a társaságok sok esetben egészen alapvető gyakorlati biztonsági teszteket sem képesek teljesíteni, mert nem kezelik a helyén ezeket a teszteket.

Mi lehet a megoldás?

A cégeknek mindenekelőtt el kell fogadniuk, hogy a megszerzett tanúsítványok a tökéletes módszertan ellenére sem garantálhatják a biztonságukat. Sok múlik a biztonsági audit alaposságán és összetettségén, ami elsősorban a bevont tanácsadó szakmai felkészültségén múlik. Nem elég a biztonsági standardok által diktált előírások mechanikus, soronkénti vizsgálata, a folyamatokat ezzel egyidejűleg átfogóan, egymással összefüggésben is célszerű vizsgálni ahhoz, hogy a teljes rendszer működéséről egységes, megbízható képet kapjunk.

De ezzel párhuzamosan a vállalat részéről is szükség van egyfajta tudatosságra, amelynek köszönhetően a vállalatvezetés nem csak az igazolás (tanúsítvány) megszerzésére, hanem a valós védettségre, biztonságos működésre is törekszik, hiszen a sikeres működés a társaság jól felfogott üzleti érdeke kell, hogy legyen.
Éppen ezért nem szabad megvárni azt sem, amíg a cég valamilyen komolyabb anyagi, vagy reputációs károkat okozó biztonsági incidens áldozatává válik – a későbbi problémák leginkább azzal védhetők ki, ha valamely új üzleti funkció, vagy szolgáltatás fejlesztésébe már a tervezési fázisban bevonják a biztonsági szakembereket, és igyekeznek mindvégig partnerként kezelni őket. Célszerű a vállalaton belül is alkalmazni egy olyan személyt, aki képes a biztonság sérülésével járó kockázatokat idejében felismerni, és erről a megfelelő módon és időben értesíteni a menedzsmentet, de gyorsan és hatékonyan kezelni is képes az ilyen eseteket.

A nyilvánosság is segíthet

Mivel a hazai piacon rendszerint nem hozzák nyilvánosságra azt, ha valamely közepes- vagy nagyvállalatot rosszindulatú informatikai támadás ér - például megzavarják a rendszereit, vagy tömeges méretekben lopnak tőle ügyféladatokat - jelenleg megbecsülni sem lehet, hogy mekkorák évente az effajta szándékos visszaélésekből eredő károk hazánkban. A cégek zárkózottsága egyfelől érthető, hiszen nem szívesen rontanák saját reputációjukat kínos vállalati hírekkel, ám egyben veszélyes gyakorlat is, hiszen szőnyeg alá söpör olyan problémákat, amelyek ettől még léteznek. Ezek a problémák sok Magyarországon működő vállalat rengeteg ügyfelét érinthetik, de ellehetetlenítik azt is, hogy a ma még gyanútlan vállalatvezetők belássák: komoly kockázatoknak teszik ki saját vállalkozásukat, ha nem gondoskodnak a megfelelő (tanúsítványokon is túlmenő) informatikai biztonságról a társaságuknál.