Mára szinte nincs olyan vállalkozás, amely ne használna a mindennapi működés során internetet. Vannak, akiknél az alaptevékenység része, ahol semmi nem is mozdulna szinte a világháló nélkül – mi például, internetes lapként tipikusan idetartozunk –, vannak, akik az olcsóbb és hatékonyabb működés miatt, mondjuk, az általuk használt alkalmazások jelentős részét használják SaaS-, vagyis bérelt, interneten keresztül elérhető szolgáltatásként, vagy épp adataik halmazait tárolják a felhőben. De legalábbis egy netes levelezőrendszert vagy éppen valamelyik közösségi oldalt minden bizonnyal használják azok is, akik az előbbi kategóriák egyikébe sem tartoznak.

Kép: Fotolia

Az előnyöket tehát ismerjük, meglepően keveset foglalkozunk viszont a veszélyekkel. A figyelemfelhívás a célja a Biztonságos Internet Napnak (Safer Internet Day, SID) is, amelyet minden év második hónapjának, második hetének második napján, azaz idén február 7-én tartanak meg. A globális kampány elsősorban a gyerekeket és fiatalokat célozza meg, de hasonlóan fontos az is, hogy a vállalkozások tisztában legyenek azokkal a kockázatokkal, amelyekre fel kell készülniük a világháló használatával.

Sajnos gyakori probléma, hogy a kis- és középvállalkozások takarékossági törekvéseinek az informatikai biztonság esik áldozatul. Tavaly is számos hackertámadás történt, amelyek egyenként sok millió embert érintettek, de volt olyan is – a Yahoo esete –, amely milliárdos nagyságrendben volt hatással a felhasználókra. A kiberbűnözőktől egyetlen vállalat sincs biztonságban, tavaly a vállalatok fele (53 százaléka) vált támadás áldozatává. Minden évben milliárdos veszteséget okoz az átlag felhasználókat érintő kiberbűnözés. Az áldozatok átlagosan 140 ezer forint értékű kárt szenvednek egy eredményes támadás esetén.

Az adatszivárgásból, adatlopásból eredő anyagi károk 39 százalékát ugyanakkor nem támadás, hanem az alkalmazottak okozzák.

A legtöbb szervezetnél úgy próbálják kivédeni a támadásokat, hogy a lehető legkevesebb jogosultságot biztosítják a felhasználóknak, és folyamatosan ellenőrzik a hozzáféréseket, illetve monitorozzák a felhasználói tevékenységeket. Ennek következtében azonban az egyébként is leterhelt IT-biztonsági szakembereknek még több adattal kell dolgozniuk, ami nem mindig vezet eredményre az idő és az energia hiányában. Ugyanakkor a munkavállalók többsége nem érzi saját felelősségének a vállalati IT-biztonság kérdését, a vállalatok negyedénél pedig nincs biztonsági szabályzat. De ha van, sokan akkor sem tartják be.

Egyértelmű tehát, hogy a munkavállalók magatartása, illetve a tudatosság hiánya a vállalati IT-biztonság Achilles-sarka, amely egyre nagyobb kockázati tényezővé válik. Pláne, hogy a BYOD trendet valószínűleg már nem lehet visszaszorítani: egy felmérés szerint a 20 és 29 év közötti munkavállalók harmada bármilyen szabályt képes áthágni a saját eszközének munkahelyi használata érdekében. Azaz a BYOD ma már inkább elvárt munkavállalói jog, semmint hatékonyságnövelő eszköz.

Egy átlagos felhasználó mobilján ma 10 személyes és 8 munkához köthető applikáció található, és nem a munkáltató fogja eldönteni, hogy melyek legyenek azok. Kialakult ugyanis egy olyan, az informatikában jártas munkavállalói kör, amely képes akár magas szintű technológiát alkalmazni, hogy a saját szájíze szerint dolgozhasson – ha kell, a céges szabályok áthágásával is. A People-Inspired Security kutatás szerint sok esetben e mögött nincs rossz szándék, a cél tényleg a hatékony munkavégzés, a végeredmény azonban hatalmas biztonsági lyukak kialakulása. A dolgozók maguktól az ingyenes és természetesen sokkal kevésbé professzionális megoldásokat választják majd: ha nincs vállalati chat, akkor marad a Skype vagy a Google megfelelő alkalmazása. Ha nincs közös tárhely, a Dropboxban tűnhetnek fel a titkos céges dokumentumok, és így tovább.

Négy kiemelten fontos területre kell odafigyelniük a vállalatoknak, hogy biztonságban tudhassák adataikat.

1. Külső támadások kivédése és a támadók távol tartása

Egy vállalat IT rendszerének alapját képezi a külső támadások kivédésére/megelőzésére alkalmas környezet kialakítása. Az úgynevezett proaktív, azaz megelőző védekezés magában foglalja az új generációs tűzfalak, vírusirtók és tartalomszűrő eljárások használatát.

2. Adatszivárgás elleni rendszer

Feladata, hogy a háttérben felügyelje az adatok tárolási helyét és módját, a felhasználók körét, az adatfelhasználás módját, illetve megakadályozza azokat a felhasználási módokat, amelyeket a szervezet a biztonsági szabályzatában rögzített és ismertetett. Azonban adataink az engedélyezett felhasználás során is kikerülhetnek a felügyeletünk alól: e-mailben, USB tárolókon, cloud felhasználáskor stb. Az adatok titkosítása az a kiegészítő védelem, amely egy újabb védelmi vonalat jelent, hogy csak az arra illetékes személyek köre ismerhesse meg az információ tartalmát.

3. Belső szabályozás, irányítás és minőség-ellenőrzés

Azonban a biztonságot nem lehet pusztán szoftverek alkalmazásával megoldani, ezek a megfelelő szabályozás, keretrendszer és a szükséges folyamatok hiányában életképtelenek maradnak vagy legalábbis nem lesznek hatékonyak. Szükség van a biztonsági szabályzatok betartatására, kockázatmenedzsmentre, megfelelőségi vizsgálatra és sérülékenységmenedzsmentre is.

4. Szakszerű, szakértői tervezés és támogatás

Az IT és a hozzá kapcsolódó biztonsági terület rendkívül gyorsan változik, szerteágazó és speciális ismeretek szükségesek a biztonsági feladatok eredményes ellátáshoz. Manapság bevett szokás egy-egy feladat kiszervezése, jelen esetben a Security as a Service (SaaS – biztonság mint szolgáltatás) igénybevétele. Ezzel jelentős terhet vehetünk le az IT vezető válláról, míg szakképzett, speciális ismeretekkel rendelkező csapat dolgozik a vállalat teljes körű IT biztonságáért.