Tudja biztonságban!

Az informatikai biztonság korántsem csak adatvédelmet jelent, épp ilyen fontos eleme az üzembiztonság fenntartása. Egy jól menedzselt infrastruktúra esetében jelentősen csökkenhet az informatikai problémákból adódó leállások száma, ami kritikus fontosságú lehet például egy gyártással foglalkozó cég esetében - magyarázza Gombás László, a Symantec vezető rendszermérnöke. De épp ilyen nagy és pénzben is jól mérhető gondot okozhat, ha például egy könyvelőcégnél válnak elérhetetlenné az adatok, rövidebb-hosszabb időre.

Szivárgásvédelem

Az adatlopásban utazó bűnözők célkeresztjébe egyelőre szerencsére még nem kerültek be a kkv-k, inkább a nagyobb vállalatokat fenyegetik. Mindemellett az adatszivárgás jellemző probléma, és a vállalkozói felelősség szempontjából is figyelmet kell fordítani a spamek vagy a belső vírusforrások megszűrésére.

Ingyenes és fizetős

Az ingyenes szoftverekkel nem árt vigyázni, és minden esetben megbízható forrásból származó programot szabad csak a gépre telepíteni. Könnyen megeshet ugyanis, hogy az ingyenes védelmi szoftver valójában álcázott károkozó, és telepítésével gyakorlatilag mi magunk fertőzzük meg a rendszert. A szakma ezeket hívja hamis védelmi megoldásoknak. Sok esetben az ingyenes verziók csak az alapfunkciók ellátására képesek, hogy ezáltal mintegy kedvet csináljanak a szoftver fizetős verziójának a használatához. Ennek megfelelően ezek gyakran csökkentett képességűek, és nélkülözik a terméktámogatást. Az ingyenesen elérhető védelmi szoftverek között remekül működő típusok is vannak, vállalati környezetben mégis ajánlott a fizetős verziókat választani, mivel előbbiek jellemzően egyetlen behatárolt funkció ellátására alkalmasak, például víruskeresők vagy -irtók. Ilyenekből ha ki is alakítható komplett védelmi rendszer, az idő- és szakértelem-igényes feladat. A profi cégek ehelyett újabban úgynevezett végpontvédelmet kínálnak, amelynek a vírusvédelem mindössze egy ötödét jelenti, emellett adatszivárgással, titkosítással, adatvesztés elleni védelemmel is felvértezi a megrendelőt. A támogatás és garancia, amely a fizetős szolgáltatások velejárója, csak ezek után következő előny. A cégek számára fejlesztett szoftverek lehetővé teszik a biztonság központi menedzselését, valamint a távriportolást, így a vezetőség biztos lehet abban, hogy a cégben lévő egyetlen gép egyetlen felhasználója sem lazítja megszabott biztonsági korlátokat.

Számos cég olyan adatokkal dolgozik, amelyek értéke pénzben is kifejezhető, például ügyféllistákat kezel. Ilyen profil esetén mindenképpen érdemes kiemelten kezelni a védelmet. Elrettentő példa egy friss eset: az Egyesült Államok egyik legnagyobb marketing-adatbázisokkal foglalkozó vállalata, az Alliance Data érdekeltségi körébe tartozó Epsilon szervereire betörtek, s az ügyféladatok megszerzésével akár 4 milliárd dolláros kárt is okozhattak a cégnek és ügyfeleinek.

A károkozók ráadásul sok esetben nem kívülről jönnek. A Ponemon Intézet felmérése szerint a megkérdezett munkavállalók 80 százaléka magával vitt valamilyen adatot a cégtől való távozásakor. A kapcsolatrendszer, az évek során az egyes partnerekről felhalmozott tudás mind-mind olyasmi, amivel könnyebben érvényesülhettek további szakmai életükben - sok esetben viszont kárt okoztak a korábbi foglalkoztatónak.

A költségek egyharmadát mindig az új vevő megszerzése jelenti, a megtartás mindössze egytizedet tesz ki. Az ilyen költségek „optimalizálása" érdekében előfordul például, hogy az értékesítők egymás között cserélgetik a velük kapcsolatban lévő ügyfelek adatait. De kikerülhetnek akár folyamatban lévő fejlesztésekre vonatkozó információk is, akár minden rosszhiszeműség nélkül. Ennek kiküszöbölésére a Symantec szakembere elsősorban a cégen belüli jogosultságok, hozzáférések áttekintését javasolja. A legtöbb esetben ezek jelentős szigorítása sem bonyolítja a munkafolyamatokat, viszont nagyban növeli a biztonsági szintet. Kisebb cégeknél sokszor a legbizalmasabb adatok is egyszerű e-mailekben jutnak el egyik kollégától a másikig, amit, mint egy nyílt levelezőlapot, minden „postás" elolvashat, holott indokolt lenne a titkosítás bevezetése. Tehát függetlenül az adott cég nagyságától és tevékenységi körétől, a régóta megszokott alapvető védekezési formák - például vírusvédelem, tűzfal - mellett adott esetben adaszivárgás-védelmi megoldások bevezetése is hasznos lehet - hangsúlyozza Kecskés Győző, a Nollex Nemzetközi Kft. szakértője.

Elmosódott határok

Sokszor okoz problémát a magán- és a céges szféra összemosódása is, jellemzően a kisvállalati környezetben. A kkv-k dolgozói és vezetői legtöbbször egy gépet használnak, ezen végzik napközben a munkájukat, és ugyaninnen csatlakoznak a közösségi oldalakra, játszanak online játékokat vagy szörfölnek a neten éjszaka. Ugyanilyen problémákhoz vezet az is, ha otthon a gyerek a szülők munkában használatos laptopján játszik, vagy használ torrent oldalakat. Ezek működéséhez ugyanis szinte minden biztonsági kaput ki kell kapcsolni, a nyitottság viszont az ugyanazon az eszközön lévő érzékeny adatokhoz való hozzáférést is megkönnyíti. A munkahelyi, érzékeny adatokat kezelő, bankolásra használt gépet tehát lehetőség szerint külön kellene választani Gombás tanácsa szerint. Hasonló a helyzet az egyre kisebb - és egyre könnyebben elhagyható - USB memóriákkal is - teszi hozzá Kecskés. Mennyivel biztonságosabb lenne, ha azokat is titkosítanánk, sőt azt is központilag szabályoznánk, hogy a cég gépeibe mely USB eszközöket (USB memória, fényképezőgép, mobiltelefon és a többi) lehet bedugni, és arra adatot kimásolni.

Veszélyforrást jelent az is, ha egy-egy gépen túlságosan sok adat gyűlik össze. A magyar felhasználók jellemzően gyűjtögető alkatúak, azt érzik biztosnak, ami a gépen elérhető. Így a nyaralóban internet nélkül is lehet dolgozni a folyamatban lévő feladaton - szól a magyarázat. Ugyanakkor a biztonságos vállalati környezetből, adott esetben a professzionálisan védett felhőből kikerülve az adatok sokkal könnyebb prédává válnak. Ez is azt mutatja, hogy az egyik legfontosabb dolog, amit meg kell tenni egy cég informatikai biztonságának érdekében, az a munkatársak megfelelő oktatása, valamint egy jól megtervezett és szigorúan betartatott biztonsági protokoll megalkotása.

Az adataink természetesen házon belül is biztonságban kell legyenek. A vezetők körében népszerű és valóban hasznos távoli elérések - például e-mailek webes elérése, a magánhálózati (VPN) belépések - biztonsága kiemelten kritikus védendő pont a rendszerben a Nollex szakértője szerint, hiszen az itt még manapság is használt egyszerű jelszavas védelem gyakorlatilag a legtámadhatóbb felületet nyújtja a cég rendszerén. A sima jelszavas védelem helyett egyszeri jelszavas rendszer használata ajánlott. Létezik már olyan egyszeri jelszavas rendszer, ami a bankok SMS-jelszavánál nagyobb biztonságot nyújt, ugyanakkor kkv-ra optimalizálták, így jelentősen kedvezőbb az árfekvése, ráadásul SMS-küldésmentes.

A konfekció és az egyéni

Az informatikai biztonságot kereső cég számos különböző megoldással találkozhat a piacon. Az ingyenes és fizetős, szabvány szerint készült vagy egyéni igényekre formált szoftverek között a döntést gyakran egyszerűen az ár határozza meg.

Gombás László szerint a gyári csomagok alapvetően megfelelnek a kkv-k igényeinek, a legtöbb esetben felesleges a drága, személyre, cégre szabott alkalmazások fejlesztésének magas díját megfizetniük. A csomagolt termékek általában többet tudnak annál, mint amire egy kisebb cég esetében egyáltalán szükség van. Ha mégis probléma van velük, az legtöbbször abból adódik, hogy nincs meg a szükséges ismeret ahhoz, hogy megfelelő használattal valóban megtehessék a programok azt, amire képesek lennének. Ezért például érdemes a professzionális megoldásokhoz kapcsolódóan általában elérhető támogatást vagy távfelügyeletet igénybe venni. Az üzemeltetés felügyeletét a felhő segítségével át lehet adni egy profi cégnek, így biztonságban lehetünk anélkül, hogy ezért egy külön munkatársat kellene alkalmazni, amire a kisebb cégek esetében nem is igen van kapacitás.

Az IT-biztonsági megoldások beszerzését akár az öltönyvásárláshoz is hasonlíthatjuk: a méretünknek megfelelő konfekció biztosan jó lesz ránk, tulajdonképpen meg is felel a célnak. Ugyanakkor egy ügyes szabó által testre szabott darab kényelmesebb, az anyaga is strapabíróbb, és összességében elégedettebbek leszünk vele - fejti ki Kecskés Győző. A kkv-szektor talán a legszínesebb mind a tevékenységi köröket, mind a cégek nagyságát, mind az alkalmazott IT-megoldásokat tekintve. Így, bár a gyártók által kínált védelmi csomagok jelentősen leegyszerűsíthetik a döntést, és meggyorsítják a bevezetést, a tapasztalatok szerint egy jól felkészült csapat szakértelemmel, az adott vállalkozást közelebbről megismerve összeállított javaslata már rövid távon is jobb ár-érték arányt nyújt a megrendelőknek.

Az informatikai biztonságba történő befektetés a szakemberek szerint üzemeltetési szempontból biztosan megtérül, bár nehezen jósolható, mennyi kár keletkezett volna védelem nélkül. A károkozók kívül tartása és az informatikai hibák miatt bekövetkező leállások, kiesések megszűnése, a csökkenő javítási költségek és az ezek következtében jelentkező stabilitás akár növekedést is eredményezhet. Az árak nagyjából a hatékonysághoz mértek, a kínált csomagok a kisebb és nagyobb cégek számára is megfelelőek. Átlagosan 10-50 euró gépenkénti éves díjért már elérhető megbízható védelem. Ami egy háromgépes cég esetében havi kétezer forint alatti költséget jelent. Ennyit mindenki megengedhet magának.