Veszélyes helyzetek

Manapság a vállalati működés alapvető eleme az információs technológia. Egyre több és egyre fontosabb adat tárolódik vagy éppen továbbítódik informatikai eszközökön, és ez a megszerzésükre, a velük való visszaélésre törekvők érdeklődését is felkeltette. Kifinomult módszerekkel igyekeznek megszerezni az információt, vagy éppen az informatikai rendszer megbénításával kárt okozni a cégeknek.

Előrelátás

Az informatika látványos fejlődése, az internet, az e-business térhódítása az informatikai biztonság követelményeit is jelentősen módosította. Napjainkban az IT-stratégia kulcsfontosságú egy sikeres vállalat életében: egyaránt szükséges a hatékony üzletmenethez és a jövőbeli fejlődési irány meghatározásához - hangsúlyozzák az Atsystems Számítástechnikai Zrt. szakemberei. Az IT-stratégia révén a vezető felvázolhatja, mely üzleti területek hatékonyságának támogatása a cél, milyen szerepet tölt be a szervezeten belül az informatika a jövőben, milyen fejlesztések szükségesek a feladatok elvégzéséhez.

A szakemberek többsége egyetért abban, hogy a cégek jelentős része még mindig nem látja az informatikába és az informatikai biztonságba való befektetés eredményességét. Ma komoly veszélyt jelent az a felfogás, amely az informatikai biztonság költségét szükségtelen kiadásnak tekinti, bár már láthatók a változás első jelei: a vállalatvezetők egyre nagyobb hányada veszi figyelembe és kezeli kritikus üzleti tényezőként, egyfajta kárkezelő, megelőző beruházásként az informatikai biztonságot, amely nélkül nem valósítható meg a folyamatos üzletvitel, nem védhető meg a szellemi vagyon, nem őrizhető meg a cég jó hírneve. Ezt erősíti dr. Kőrös Zsolt, a Noreg Információvédelmi Kft. ügyvezető igazgatójának a FigyelőNet számára adott interjúban kifejtett véleménye: tapasztalatai szerint az informatikai rendszerek biztonságát prioritásként kezeli a legtöbb szervezet.

Az Informatikai Tárcaközi Bizottság (ITB) állásfoglalása szerint az IT-biztonság nem más, mint a szervezeti tevékenységek informatikai összetevőinek a célok eléréséhez szükséges megfelelő állapotban tartása. Következésképpen az informatikai biztonság integráns része az informatikai és egyúttal a szervezeti szintű biztonsági rendszernek is.

Optimális védelem

A minimum

Szakértők szerint a kkv-k minimális biztonsági szintjének kialakításához mindenképpen szükség van tűzfalra, jogtiszta és friss antivírusrendszerre, valamint egy központi helyre a biztonsági mentésekhez. Fontos, hogy a személyes adatok védelmével kapcsolatos híreket is komolyan vegyék a fenyegetett cégek, ezek ismeretével sok támadás kivédhető. Nem hagyható ki az sem, hogy az operációs rendszer és a használt alkalmazások biztonsági javításait időben mindig telepítsék. Az adathalászattól nem lehet eléggé félni, de nem szabad elfeledni, hogy a védelem célja a produktív munkavégzés feltételeinek megteremtése, nem lehet olyan szigorú, hogy gátolja a tényleges munkát. A védelmi szoftverek és a kiépített rendszer mellett fontos, hogy a biztonságos működést a rendszerben dolgozók viselkedését meghatározó biztonsági szabályzat is segítse. Az ebben foglaltaknak tükröződniük kell a munkaköri leírásokban, vagyis rögzíteni kell a jogosultságok megfelelő szintjét. A felhasználók részére az IBT Biztonsági Kézikönyv kiadását javasolja, amely leírja a számukra fontos, az informatikai biztonságot is érintő operatív szabályokat és teendőket. Szükség van egy központi file-szerverre, amelyre minden dokumentumot és adatot lementenek. Ezt sokkal könnyebb központilag megvédeni, mint az egyes gépeket, és a biztonsági mentés is megoldottá válik.

A biztonság stratégiai elemként való kezelése alapkövetelmény kellene, hogy legyen, mert ez garantálja a rendszer egészére vonatkozó magas biztonsági szintet - áll az ITB informatikai stratégiára vonatkozó ajánlásai között. Ennek igazsága könnyen belátható, hiszen a kevésbé fontosnak ítélt és ezért kevésbé védett elem funkciócsökkenése értelemszerűen a vele összefüggő folyamatok működését is veszélyezteti.

A vírusfejlesztők és adathalászok „főállásban" foglalkoznak az újabb és újabb támadások megtervezésével, így a védekezésnek is ugyanennyire naprakésznek kellene lennie. Ám - többek között ezért is - szinte lehetetlen tökéletes informatikai védelmet kialakítani, így a cél sokkal inkább az optimális védettség elérése. A szolgáltatások a fenyegetettség minimálisra csökkentésében játszanak fontos szerepet.

A biztonságnak mint szükséges funkciónak a feltárásához és megjelenítéséhez a szervezet tevékenységének teljes körű átvilágítására van szükség, s az így feltárt biztonsági funkció az elemzések nyomán kritikus sikertényezővé válhat. Az IT-biztonsági kérdések kritikus sikertényezővé való nyilvánítása szükséges ahhoz, hogy az informatikai célok között a biztonságos informatikai rendszer megteremtésének célja megjelenjen. A funkcióelemzéssel tisztázott és a stratégiai célrendszerbe beiktatott biztonsági szempontok eredményeként kerülnek be az informatikai stratégiába a biztonsági projektek. Az ezek megindításához szükséges biztonsági értékelés az IT-biztonság létrehozásának a kiindulópontja.

A válság okozta drasztikus költségcsökkentés jegyében lejjebb engedni a biztonsági szintet nem racionális döntés. Ez belátható, ha végiggondoljuk az informatikai rendszerekre leselkedő veszélyek mértékét és jelentőségét. Természetesen nem elhanyagolható szempont a védelem ára, ami a kisebb cégek számára különösen fontos. Teasdale Harold, a Symantec-képviselet területi igazgatója szerint fontos, hogy a védelem a megbízó cégnek megfelelő, méretéhez, tevékenységéhez mérten optimális legyen, ez azonban nem jelenti azt, hogy egy kis cég informatikai védelmét kevésbé kellene komolyan venni. A webes vírusok és kártevő kódok száma egyre nő, és mind kifinomultabbá válnak. A kisvállalkozásoknak is többre van szükségük a hagyományos vírusirtónál a megfelelő védekezéshez - hangsúlyozza a Symantec szakembere. A kkv-k ugyanazokkal a kártékony szoftverektől és levélszemétből eredő, összetett veszélyekkel néznek szembe, mint a nagyok, de nekik nincs akkora személyzetük, annyi pénzük és idejük, amit a védelmi rendszerük folyamatos kezelésére fordíthatnának.

Ezért különösen fontos, hogy olyan „felhasználóbarát" védelmi szoftver mellett döntsenek, amelynek fenntartása és üzemeltetése számukra sem jelent megterhelést.

Stratégiai tanácsadás

Az informatikai rendszerben működő alkalmazások alapfenyegetettségei közé sorolják a szakemberek a bizalmasság, a sértetlenség, a hitelesség, a rendelkezésre állás és a funkcionalitás elvesztését. A biztonságerősítő feladatok elvégzéséhez a szakirodalom három nagy tervezési módszert ismer: a „kockázatelemzés" az értékkel arányos védelem megteremtését helyezi előtérbe, a „kritikus működési jellemzők elemzése" a szervezet számára különösen fontos tevékenységek rangsorolásával és az e szerinti védelmi intézkedések súlyával dolgozik, az „értékek sérülési hatásainak elemzése" pedig a várható károk nagyságrendjére koncentrál. Mindhárom módszernek vannak előnyei és hátrányai. A kiválasztást az elsődleges védelmi célok, a kiterjedtség nagyságrendje és az érvényesítési területek jellege határozhatja meg.

Az ITB ajánlása szerint, figyelembe véve az elsődleges védelmi célkitűzéseket, egy kevert megoldást célszerű alkalmazni, amelynél érvényre jutnak a módszerek előnyei, de nem teszi túl költségessé a tervezést. A teljes rendszer kialakításához stratégiai informatikai biztonsággal foglalkozó cégek szolgáltatásai is igénybe vehetők, így könnyebb lehet egy komplex, a cég igényeihez alkalmazkodó, optimális rendszer kiépítése.