Elszivárgó biztonság

Egy vállalat - az adatszivárgás elleni védelmet is tartalmazó - biztonsági stratégiájának kiépítése minden esetben biztonsági kockázatelemzés elvégzésével veszi kezdetét. Ennek során meg kell határozni a védendő elemeket, azokat osztályokba sorolni - például kikerülésük veszélyének szempontjából -, ezután következhet a mind technikai, mind szabályozásbeli kérdéseket magában foglaló védelmi mechanizmusok kialakítása. Ha az adatvagyon felmérése nem történik meg, követhetetlenné válik, hogy milyen információk szivárognak ki különböző csatornákon - hangsúlyozza Tóth Árpád, a McAfee magyarországi képviselője. A biztonsági szint emeléséhez ösztönzőnek sem utolsó az esetleges adatszivárgásból származó hátrányok mértékének felmérése Egerszegi Krisztián, a CDSYS ügyvezető igazgatója szerint. Ehhez mérten a döntéshozók könnyebben látják át, hogy mi az a szükséges biztonsági szint, ami mellett nyugodtnak érezhetik magukat a mindennapokban. Az adatszivárgás kockázatait a legtöbb cégvezető sajnos csak akkor ismeri fel, ha már megtörtént a baj, és a rendszer megsérült.

Jogosult?

Az adatszivárgás elleni védelem első vonala a jogosultságkezelés megfelelő kialakítása és üzemeltetése. A védettségi szint emelésének első lépése a szakemberek szerint annak felmérése, hogy egyes munkafolyamatokhoz milyen információkhoz való hozzáférésre van szükség. Meg kell vizsgálni a felhasználó- és jogosultságkezelést, adattárolást és levelezési beállításokat is. A vállalat informatikai rendszereiben tárolt vagy mozgásban lévő információk elhelyezkedésének és használatának elemzésével fény derülhet arra, hogy hol vannak érzékeny adatok, kik, milyen gyakran és hogyan használják azokat, majd megtervezhetjük a szükséges védelmet - magyarázza Egerszegi Krisztián. A felmérés szoftverrel is támogatható, amely automatikusan feltérképezi a szervezet hálózatában fellelhető, előzetesen meghatározott érzékeny információkat és azok mozgását. Így felderíthető mind a veszélyezetett információ, mind az azt kiszivárogtatni szándékozó személy és a felhasznált adatközvetítési csatorna is.

Az érzékeny területek védelmére többféle lehetőség is van, és típustól függ, hogy melyik a leghatékonyabb a szakemberek szerint. A technológia azonban önmagában kevés. Számos egyéb védelmi intézkedés kell a fenyegetettségek kellő mértékű csillapításához. Bizonyos információkat informatikai bástyákkal célszerű körülvenni, másokat szigorú jogi védelem alá kell sorolni, míg olyanok is vannak, amelyeket elég formális belső adatvédelmi szabályzattal óvni. Egy jól működő szabályozás kialakításához külön kell kezelni a céges, a személyes és a harmadik, külső fél részéről érkező információkat, és elkülönült szabályzatokat kell lefektetni a cég különböző státusú dolgozói részére. A menedzsment számára készült szabályzat a különböző dokumentumok jogosultsági szintjeit határozza meg a védelmi osztályba sorolásuk alapján, a dolgozókra vonatkozó szabályrendszer pedig a fájlok általános felhasználásáról szól. A szabályzatokat mind a cég dolgozói, mind a cégtől független, de vele kapcsolatban álló érintettek számára kötelezővé kell tenni minden munkafolyamat során.

Felelősség és figyelem

A megfelelő áttekintés és előkészítés mellett fontos azonosítani az adatszivárgás lehetséges okait is. Az adatszivárgás kockázatait növeli a technológia fejlődése is, így például a nagyobb mobilitás, az online üzleti alkalmazások népszerűsége vagy a kiszervezett tevékenységek terjedése, hiszen ezek révén sokszor bővül a támadható felület. Sok esetben mégsem ezek okozzák a bajt. A külső támadások mellett a tipikus okok között szerepel a jóindulatú munkavállalók hibája, valamint a belső dolgozók által tudatosan okozott károk. Természetesen ezek bármilyen kombinációja is elképzelhető.

A leggyakoribb esetben a cég valamely dolgozója egyszerű figyelmetlenségből szegi meg a vállalat által megfelelően meghatározott adatkezelési és adatbiztonsági előírásokat. Nem lenne szabad például a titkosított rendszerből származó adatokat az alkalmazottaknak saját gépükön tárolni, titkosítás nélkül másolni, vagy továbbküldeni. Ez mégis sokszor megtörténik úgy is, hogy az alkalmazott teljes mértékben jóindulatú és lojális. A hibák oka sok esetben a munkatársak nem kielégítő oktatása. Hiába van ugyanis tökéletesen kialakított és átgondolt biztonsági szabályrendszer, ha az alkalmazottak nem ismerik, és ami különösen fontos, nem értik meg azt. Abban, hogy a munkavállalók átérezzék a védelem fontosságát, a megfelelő vállalati kultúrának is fontos szerepe van. A cég életében játszott egyéni felelősségérzet megerősítésére éppúgy kiválóan alkalmasak a tréningek, mint a konkrét szabályzat megismertetésére. De a szakemberek szerint a határozott számonkérés sem mellőzhető az adatvédelmi szabályok betartatása szempontjából.

A cég alkalmazottjának szándékos visszaélésére példa a munkaviszony megszűnése előtti napokban a munkavállaló által végzett „adatkimentés". Egy - még a válság előtt készült - 1385 üzletembert megcélzó nemzetközi felmérés megállapította, hogy a megkérdezett cégvezetők 29 százaléka tulajdonított el vállalati információt akkor, amikor távozott korábbi munkahelyéről. Ezt a helyzetet rontotta tovább a gazdasági válság - hangsúlyozza Antal Lajos, a Deloitte Zrt. informatikai biztonság és adatvédelem üzletágának vezetője. A krízis következtében megjelent a félelem a potenciális munkahelyvesztéstől, miközben az anyagi haszonszerzés, barátoknak tett szívességek és a szándékos károkozás továbbra is ugyanolyan motivációt jelenthetnek, mint korábban.

Sőt, a vállalatok falain kívülre szivárgó érzékeny információknak - ilyenek többek között a beruházási adatok, költségtervek, üzleti tervek, személyes adatok - létezik felvevő piaca is. A McAfee 2010-es évet értékelő jelentése szerint tavaly minden eddiginél több biztonsági incidens történt, amelynek során bizalmas adatok szivárogtak ki. Ezek felhasználása irányulhat cégek, ismert emberek, de akár kormányok ellen is. Ilyen például a legnagyobb visszhangot kiváltó, bizalmas diplomáciai táviratokat kiszivárogató Wikileaks esete.

Együttműködéssel védhető

A legtöbb vállalat mára kezdi felismerni az adatszivárgás jelentette kockázatokat, ezek kezelése azonban egyelőre nem optimális. A vezetők többsége a megoldást az informatikai részlegre hárítja, amely viszont nem feltétlenül ismeri megfelelően a cég üzletmenetét, tehát szinte előre programozott az információhiány a felelősök körében. Így Antal Lajos szerint a hatékony vállalati információbiztonsághoz elengedhetetlen az együttműködés az informatikai és az üzleti vezetők között. A cég alapvető érdeke, hogy megalapozott döntések születhessenek az informatikai beruházásokat illetően is. Ehhez pedig a pénzügyi vezetők számára is érthető és átlátható biztonsági kockázatelmezésre és átvilágításokra van szükség. Alapvető, hogy nyomon követhetővé kell tenni a vállalatok informatikai rendszerében zajló folyamatokat, növelni a biztonsági kontrollt, áttekinteni és szükség esetén felülbírálni a biztonsági irányelveket a cégen belül. Emellett azonban a szakember szerint fejleszteni kell a cégek incidenskezelő képességét és rutinját is. Ez nemcsak a lehetséges számítógépes támadások elhárítására való felkészülést jelenti, hanem a korábbi visszaélések felderítésének képességét is.

A filmbe illő szivárogtatás

A Wikileaks-ügy talán a legjobb bizonyíték arra, hogy milyen károkat okozhatnak a kiszivárgott anyagok. A nemzetközi nonprofit szervezetként működő, közösségi szerkesztésű oldal nemzetközi botrányt okozott az Amerikai Egyesült Államok, majd a világ számos más országát érintő bizalmas kormányzati információk – azaz államtitkok – kiszivárogtatásával. Nem pusztán anyagi hátrányról, hanem nemzetbiztonsági kockázatról is szó esik, és az is világosan látszik ezen a példán, hogy a már kikerült adatok terjedését nem lehet megállítani. Az internet eddigi legnagyobb cenzúrakampánya zajlik a Wikileaks ellen, ennek ellenére a publikált adatok folyamatosan elérhetők, ugyanis már december közepére több mint ötszáz helyen jelentek meg szaknyelven szólva tükrözve, azaz változatás nélkül másolva. Pedig ennek megállításán olyan pénzzel és hatalommal meglehetősen jól ellátott szervezetek dolgoznak, mint az amerikai védelmi minisztérium.

Banki adatok veszélyben?

A Magyar Nemzeti Bank 2010. október 13-án bejelentett rendelete értelmében 2012. július 1-jétől a belföldi bankközi forintátutalások időtartama egy napról négy órára rövidül. Komoly informatikai fejlesztések várhatók ennek kapcsán a banki-pénzügyi szektorban, hogy rendszereik minden szempontból megfeleljenek az új elvárásoknak. A fejlesztés során alkalmazott rendszerek viszont kevésbé védettek, mint az üzleti folyamatokat kiszolgálók, ugyanakkor gyakran éles adatokkal tesztelik őket – mondta el Frész Ferenc, a Kürt Zrt. stratégiai üzletág-fejlesztési vezetője a Magyar Bankszövetséggel közösen szervezett tájékoztatón. Az információbiztonság, azon belül is az adatszivárgás kezelése a rendszerfejlesztésekkor ezért különösen akut probléma, de gyakran háttérbe szorul a költséghatékonyság és a szoros határidők betartásának kényszere miatt.