Mára szinte nincs olyan vállalkozás, amely ne használna a mindennapi működés során internetet. Vannak, amelyeknél az alaptevékenység része, ahol semmi nem is mozdulna szinte a világháló nélkül – mi például, internetes lapként tipikusan idetartozunk –, vannak, amelyek az olcsóbb és hatékonyabb működés miatt mondjuk az általuk használt alkalmazások jelentős részét használják SaaS, vagyis bérelt, interneten keresztül elérhető szolgáltatásként, vagy épp adataik halmazait tárolják a felhőben. De legalábbis egy netes levelezőrendszert vagy éppen valamelyik közösségi oldalt minden bizonnyal használják azok is, amelyek a fenti kategóriák egyikébe sem tartoznak.
Jobb internetet!
Az előnyöket tehát ismerjük, meglepően keveset foglalkozunk viszont a veszélyekkel. A figyelemfelhívás a célja a Biztonságos Internet Napnak (Safer Internet Day, SID) is, amelyet minden év második hónapjának, második hetének második napján, azaz idén február 10-én tartanak meg. A globális kampány elsősorban a gyerekeket és fiatalokat célozza meg, de véleményünk szerint hasonlóan fontos az is, hogy a vállalkozások tisztában legyenek azokkal a kockázatokkal, amelyekre fel kell készülniük a világháló használatával. Az utóbbi években a „biztonságosabb” helyett a „jobb” internet létrehozására került a hangsúly. Ezért idén a SID közös felelősségünkre fókuszál: mindannyiunk közös feladata, hogy az internetet egy jobb hellyé tegyük egymás számára.
Az ipar szerepe ebben a pozitív online tartalmak és szolgáltatások létrehozása és terjesztése, etikus és átlátható irányelvek megalkotása, és az engesztelhetetlen szigor az adatvédelemmel kapcsolatban. Hogy biztonságosabb rendszereket tervezzenek, és megbízhatóbb szolgáltatásokat nyújtsanak.
Lépésről lépésre
Sajnos gyakori probléma, hogy a kis- és középvállalkozások takarékossági törekvéseinek az informatikai biztonság esik áldozatul. Pedig akár húszmillió forint értékű anyagi kárt is okozhat a kisvállalatok számára egy sikeres célzott számítógépes támadás. A cégeknél sokkal kevesebb pénz jut az IT-biztonságra, és a vállalkozások nagy részénél egy incidens bekövetkeztéig nem veszik komolyan a fenyegetést, illetve a napvilágra került nagy hírverést kapott esetek sem befolyásolták a vállalatok adatvédelmi lépéseit. Az adatszivárgásból, adatlopásból eredő anyagi károk 39 százalékát ugyanakkor nem támadás, hanem az alkalmazottak okozzák.
1. Külső támadások kivédése és a támadók távol tartása
Egy vállalat IT rendszerének alapját képezi a külső támadások kivédésére/megelőzésére alkalmas környezet kialakítása. Az úgynevezett proaktív, azaz megelőző védekezés magában foglalja az új generációs tűzfalak, vírusirtók és tartalomszűrő eljárások használatát.
2. Adatszivárgás elleni rendszer
Feladata, hogy a háttérben felügyelje az adatok tárolási helyét és módját, a felhasználók körét, az adatfelhasználás módját, illetve megakadályozza azon felhasználási módokat, amelyet a szervezet biztonsági szabályzatában rögzített és ismertetett. Azonban adataink az engedélyezett felhasználás során is kikerülhetnek a felügyeletünk alól: e-mailben, USB tárolókon, cloud felhasználáskor stb. Az adatok titkosítása az a kiegészítő védelem, amely egy újabb védelmi vonalat jelent, hogy csak az arra illetékes személyek köre ismerhesse meg az információ tartalmát.
3. Belső szabályozás, irányítás és minőség-ellenőrzés
Azonban a biztonságot nem lehet pusztán szoftverek alkalmazásával megoldani, ezek a megfelelő szabályozás, keretrendszer és a szükséges folyamatok hiányában életképtelenek maradnak, vagy legalábbis nem lesznek hatékonyak. Szükség van a biztonsági szabályzatok betartatására, kockázatmenedzsmentre, megfelelőségi vizsgálatra és sérülékenység menedzsmentre is.
4. Szakszerű, szakértői tervezés és támogatás
Az IT és a hozzá kapcsolódó biztonsági terület rendkívül gyorsan változik, szerteágazó és speciális ismeretek szükségesek a biztonsági feladatok eredményes ellátáshoz. Manapság bevett szokás egy-egy feladat kiszervezése, jelen esetben a Security as a Service (SaaS – biztonság, mint szolgáltatás) igénybevétele. Ezzel jelentős terhet vehetünk le az IT-vezető válláról, míg szakképzett, speciális ismeretekkel rendelkező csapat dolgozik a vállalat teljes körű IT-biztonságáért.
Egyértelmű tehát, hogy a munkavállalók magatartása, illetve a tudatosság hiánya a vállalati IT-biztonság Achilles-sarka, amely egyre nagyobb kockázati tényezővé válik. Pláne, hogy a BYOD trendet valószínűleg már nem lehet visszaszorítani: egy felmérés szerint a 20 és 29 év közötti munkavállalók harmada bármilyen szabályt képes áthágni a saját eszközének munkahelyi használata érdekében. Azaz a BYOD ma már inkább elvárt munkavállalói jog, semmint hatékonyságnövelő eszköz – fogalmaznak a Symantec szakértői. Egy átlag felhasználó mobilján ma 10 személyes és 8 munkához köthető applikáció található, és nem a munkáltató fogja eldönteni, hogy melyek legyenek azok. Kialakult ugyanis egy olyan, az informatikában jártas munkavállalói kör, amely képes akár magas szintű technológiát alkalmazni, hogy a saját szájíze szerint dolgozhasson – ha kell, a céges szabályok áthágásával is. A People-Inspired Security kutatás szerint sok esetben e mögött nincs rossz szándék, a cél tényleg a hatékony munkavégzés, a végeredmény azonban hatalmas biztonsági lukak kialakulása. A dolgozók maguktól az ingyenes és természetesen sokkal kevésbé professzionális megoldásokat választják majd: ha nincs vállalati chat, akkor marad a Skype vagy a Google megfelelő alkalmazása. Ha nincs közös tárhely, a Dropboxban tűnhetnek fel a titkos céges dokumentumok, és így tovább.
