Remélve, hogy ez nem ringatja hamis megnyugvásba a magyar vállalatok IT döntéshozóit, eláruljuk, hogy határainkon túl sem derűsebb az általános helyzetkép. A tavaly rendezett Infosecurity kiállításon – Európa legnagyobb IT biztonsági seregszemléjén – a biztonsági rendszereket fejlesztő Cyber-Ark Software háromszáz informatikai szakembert vont be egy felmérésbe, amely a nagyvállalatok mindennapi adatkezelési gyakorlatát volt hivatott feltérképezni. Az eredmények még a legpesszimistábbak sejtéseiket is alulmúlták.

Annak ellenére, hogy a felmérésben érintett cégek egyharmadánál a vezetők szerint is rendszeresen szivárognak az érzékeny adatok, sőt, minden negyedik cég tapasztalt már belső szabotázst, illetve súlyos visszaélést az IT-rendszerben, a belső szabályozatlanság még mindig a boldog nyolcvanas éveket idézi. A legjellemzőbb tünet, hogy nincs lefektetett szabály vagy eljárás a kiemelt jogosultságot biztosító jelszavak ütemezett frissítésére, így a legtöbb cégnél nem is cserélik ezeket rendszeresen, mert úgy látják, mindez túl sok vesződséggel járna. Ez természetesen azt vonja maga után, hogy egy a cégtől távozó bennfentes jó eséllyel találhat olyan felhasználónév/jelszó párost, amely a hálózat valamely pontján azután is teljes hozzáférést tesz lehetővé számára, hogy már semmi keresnivalója nem lenne a rendszerben.

Meglepő volt az is, hogy a felmérésben résztvevők 35 százaléka simán átküld bizalmas cégadatokat egy közönséges email-fiókra, ugyanennyien aggodalom nélkül rábíznának egy fontos adathordozót egy futárcégre. Négy százalékuk bevallottan a posta szolgáltatását is igénybe vette már ilyen esetekben. Az sem megnyugtatóbb, hogy a megkérdezett rendszergazdák, akikre a cégek a gyakran milliókért rendszerbe állított védelmi megoldások üzemeltetését bízzák, harmadrészben igennel válaszoltak arra a kérdésre, hogy tárolták-e már a monitoruk szélére ragasztott post-it jegyzeten a vállalati szerver rendszerszintű hozzáférési kódját.

Az M&M’s védelem
Milyen a jó védelem? Nos, nem kell azonnal méregdrága, mindenre rátelepedő alkalmazáscsomagra gondolnunk – a helyzet kulcsa nem ez. Sőt, sok felelős vezető esik abba a csapdába, hogy úgy gondolja, egy ilyen védelmi rendszer beszerzésével megtett minden szükségeset a vállalati adatok védelme érdekében, és beköszönt a boldog hátradőlés kora. Sajnos elfelejti, hogy egy technológiai eszköz önmagában nem védelem, csupán egy hatékony szabályozásba illesztve válik azzá. Az ilyen típusú eszközbeszerzésekkel valósítja meg a legtöbb cég azt a fajta adatvédelmet, amelyet Kevin Mitnick, a legendás hacker – ma már jó útra tért IT-biztonsági tanácsadó – szemléletesen M&M’s védelemnek nevezett: belső szabályozás nélkül vállalati hálózatunk jó eséllyel egy kívül kemény, belül puha csokigolyóvá válhat.

Pedig az igazi károkozás általában nem kívülről, hanem belülről fenyeget. Ennek az az oka, hogy egy vállalati rendszer kívülről sokkal kevesebb interfészen keresztül támadható, és ezek védelmét kielégítően el tudják látni az automatizált védelmi eszközök. Ezzel szemben egy belső támadás a rendelkezésre álló bennfentes tudás miatt jóval nagyobb kárt okozhat, sok esetben felderíteni is nehezebb, mivel a belső hozzáférés révén a nyomokat is könnyebb eltüntetni. A szervezeten belül nemcsak szándékos visszaélésekre kell felkészülni, a dolgozók véletlen károkozása jóval gyakoribb eset, de ugyanúgy sokba kerülhet egy cégnek.

A jó védelem mindezeket a fenyegetéseket egy folyamat részeként, egységes nézőpontból és szabályozottan kezeli. Ennek legfőbb alappillére a jogosultságok körültekintő kezelése – ez főleg heterogén környezetben okozhat fejtörést –, a biztonsági incidensek észlelése és a felelősségi körök meghatározása.
Ugyanerre mutat rá egyébként a Gartner egy korábbi vizsgálata is. A jól ismert piacelemző cég szerint a vállalatoknak nem többet, hanem átgondoltabban kellene költeniük az IT-biztonságra, a védelem modernizálását meg lehetne oldani a jelenlegi források átcsoportosításával is. A cégek ugyanis még mindig sokat fordítanak a külső, tömeges támadások elhárítására, miközben a fenyegetések jellege az utóbbi években megváltozott, ma már inkább a célzott támadásoktól kell tartani, amelyek gyakran belülről erednek. Ráadásul a tömeges támadásoktól védő eszközök, mint a tűzfalak és kliensoldali vírusszűrők, az évek során tömegtermékké váltak, mégis sok cégnél fizetnek értük indokolatlanul magas összeget. A döntéshozók általában azért nem mérik fel a versenytársak termékkínálatát, mert eleve azt feltételezik, hogy az átállás bonyolult és költséges lenne, ezért inkább kitartanak a régi beszállító mellett.

Gondatlanság = pendrive
Ha egy szervezet hatékony informatikai védelméről van szó, a legnagyobb ellenség maga a szervezet. A biztonsági protokollok – ha igyekeznek is feleslegesen nem bonyolítani – nem teszik egyszerűbbé az alkalmazottak mindennapi munkáját, így a dolgozók szívesen megfeledkeznek róluk. Az eredményt pedig ismerjük. Hasonló ez ahhoz, ahogy az üzemi balesetek is mindig a gépek biztonsági berendezésének kiiktatásából erednek, mivel a melós úgy érzi, az csak púp a hátán, tud ő vigyázni magára. Hát nem tud, mint ahogy a felhasználó sem tud az adatokra.
Az alkalmazottak gondatlanok, ezt alapigazságnak kell elfogadni. Gyenge – értsd, rövid és könnyen megfejthető – jelszavakat használnak, ezeket, ha munkájukat megkönnyíti, másoknak is megadják. Kinyomtatnak, majd megsemmisítés helyett kukába dobnak vagy íróasztalukon pihentetnek bizalmas dokumentumokat, munkaállomásaikat zárolás nélkül hosszabb időre magukra hagyják.

A gondatlanság tárgyiasult formában manapság egy pendrive képében jelentkezik. Az IT-szektorban dolgozók zöme veszítette már el saját, vagy találta meg mások pendrive-ját, és naná, hogy ezekbe bele is kukkantott, ha lehetősége volt rá. Az igazán riasztó nem ez, hanem inkább az, hogy az IT vezetők 35 százalékra becsülték azon dolgozók arányát, akik saját pendrive-jukon céges adatokat is utaztatnak, míg az alkalmazottak válaszai alapján 77 százalékos volt ez az arány. Vagyis a döntéshozók e tekintetben is durván alábecsülik a fenyegetés súlyát. 

Jellemző adalék, hogy míg az IT vezetők egyharmada rendelkezett már cégénél a pendrive-okra vonatkozó biztonsági szabályokról – sajnos ez jellemzően reaktívan, vagyis egy már bekövetkezett incidens okán történik –, addig a náluk dolgozók fele nem tud ilyen szabályozásról, 23 százalékuk pedig, bár tudja, hogy van ilyen, azt, hogy mit is tartalmaz pontosan, már nem tudja felidézni.

Ki ne rúgd a rendszergazdát!
A másik szervezeten belüli veszély a szabályozás alóli kivételekben rejlik. Ez már egyértelműen inkább a felső vezetés passziója. Annak ellenére, hogy ebben a körben már mindenki tisztában van az IT-biztonsági folyamatszabályozás fontosságával, a tekintélyelv mégis gyakran felülírja a racionalitást. Így születnek meg a teljesen szükségtelen, ám annál veszélyesebb adminisztrátorszintű, teljes hozzáférést kínáló igazgatói accountok, amelyeket persze ugyanúgy titkárnők vagy rendszergazdák kezelnek.

A korábban idézett Cyber-Ark felmérés megdöbbentő adatokat szolgáltatott erről is: a megkérdezett rendszergazdák 88 százaléka bevallotta, ha holnap utcára tennék őket, érzékeny céges adatokkal gazdagon megrakodva távoznának. A kicsempészendő adatok toplistáját az ilyen jolly joker felsővezetői jelszavak vezetik, de sokan vinnék a vállalat pénzügyi terveit, kutatás-fejlesztési eredményeit és az ügyfelek adatbázisát is. Aggodalomra semmi ok: a rendszergazdák egyharmada saját bevallása szerint már most is rendszeresen szemlézi a bizalmas adatokat, beleértve a személyes postafiókokat, baj tehát csak akkor van, ha kirúgják őket.
Könnyen belátható, ez ellen csak körültekintő jogosultság-kezeléssel, a hozzáférések rendszeres felülvizsgálatával és teljes körű naplózással lehet tenni.

A vállalat mint Nagy Testvér
Apropó, naplózás. A hazai cégek még mindig szemérmesek, ha a dolgozók számítógépes tevékenységének megfigyeléséről van szó, holott csak arra kellene ügyelniük, hogy világosan elkülönüljön a privátszféra tiszteletben tartása és az adatbiztonság érdeke. A cég szempontjából a legfontosabb, hogy egy dokumentum hálózati életútja világosan követhető legyen: kik, hányszor, melyik gépen nyitották meg, készítettek-e róla másolatot, kinyomtatták-e. Ez az operációs rendszer csoportházirend-beállításai mellett legegyszerűbben külső programokkal oldható meg, ezzel csökkenthető leginkább az adatszivárgás kockázata. Átesik azonban a ló túloldalára, aki a dolgozók levelezését is olvasgatni szeretné, jóllehet, a cég által biztosított számítógépen, céges e-mail címen jogilag lehetőség van rá.
A nagyobb szervezeteknél általában már a munkába állás feltétele a biztonsági szabályzat és az adatvédelmi nyilatkozat elfogadása, amely kitér a számítógépes tevékenység naplózására is, így ezzel kapcsolatban manapság ritkán vetődnek fel jogi problémák.

A vállalati IT-biztonságról, illetve a hatóságok ezzel kapcsolatos jogosítványairól további érdekes részleteket olvashatnak a Techline szakmai támogatásával készült IT Plusz 2009 kiadványban, amelyet megvásárolhatnak az újságárusoknál, illetve közelebbről is megismerhetnek a www.hvgplusz.hu oldalon.

Fontosabb jogszabályhelyek
Büntető Törvénykönyv
177. §, a foglalkozásnál vagy közmegbízatásnál fogva szerzett magántitokról
178. §, zárt küldemény vagy távközlési berendezés útján közvetített küldemény felbontásáról, kifürkészéséről
300/C. §, számítástechnikai rendszerbe történő jogosulatlan belépésről, vagy a jogosultság kereteit meghaladó bent tartózkodásról
300/E. §, a 300/C. §-ban meghatározott bűncselekmény elkövetéséhez használható számítástechnikai programról, jelszóról, belépési kódról

1998. évi XIX. törvény a büntetőeljárásról
158/A. §, a bizonyítási eljáráshoz szükséges számítástechnikai adatok, adathordozók lefoglalásáról és megőrzéséről

1992. évi XXII. törvény a Munka Törvénykönyvéről
103. §, a munkavállaló titkotartási kötelezettségéről
192/E. §, a távmunkavégzés során keletkezett adatok védelméről

1992. évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról

1996. évi CXII. törvény a hitelintézetekről és a pénzügyi vállalkozásokról
13/B. §, a pénzügyi vállalkozások számára kötelezően kialakítandó informatikai biztonsági és szabályozási rendszerről

195/2005. (IX. 22.) Korm. rendelet az elektronikus ügyintézést lehetővé tevő informatikai rendszerek biztonságáról

Az öt aranyszabály
Összefoglaljuk azt az öt fontos szabályt, amelyet érdemes átgondolniuk az informatikai vezetőknek.
- Mérje fel az IT-biztonsági rendszer hiányosságaira visszavezethető eddigi károkat.
- Vizsgálja felül a jogosultságokkal és eljárásokkal kapcsolatos szabályozást, ehhez akár külső biztonsági céget is vegyen igénybe.
- Ismerje fel, hogy egy biztonsági eszköz önmagában még nem védelem, az IT-biztonság ugyanis folyamat, nem tárgyak összessége.
- Határozza meg a rendszeres felülvizsgálat idejét. Ne felejtse el, hogy a biztonság csak egy adott időpontra vonatkozik.
- Mindig kockázatarányosan vizsgálja a fentieket.