Az elmúlt években számos üzleti területen lépett elő a központi tevékenység részévé az informatika, a szolgáltatások és termékek értékesítése sok helyen ma már olyan online felületeken zajlik, amelyek közvetlen kapcsolatban állnak a vállalati adatokat tároló szerverekkel, számlázó és ügyviteli rendszerekkel. Egyre több ügyféladatot kezelnek elektronikusan a pénzintézetek, biztosítók, különféle szolgáltató vállalkozások, webshopok és ingatlanközvetítők. Ezek amellett, hogy sok esetben az ügyfelek személyes adatai, a vállalatok számára pénzben kifejezhető értéket is jelentenek. (Erre az értékre hajtanak a kiberbűnözők. Szinte elkerülhetetlen, hogy megtámadjanak minket.)
„A vállalati informatikai rendszerek általános biztonsági állapotára vonatkozóan jó vonatkozási pontot jelentett a közműszolgáltatók IT-rendszereinek biztonsági auditja” – mondja az auditfolyamatban a vállalatok felkészülését segítő, a problémák javításában közreműködő PR-Audit Kft. ügyvezetője, Vízi Linda. A közműszolgáltatói auditok kapcsán kiemelte: kevés valóban felkészült szervezettel találkoztak, számos olyannal dolgoztak viszont, amelyek sok tennivalója akadt a felkészülés során. „Jellemzően 3-5 körös javítási folyamatra volt szükség ahhoz, hogy kritikusnak tekinthető maradvány biztonsági kockázatok ne maradjanak fenn. Iskolai hasonlattal élve ezek a rendszerek bukdácsoltak a megmérettetésen. Amíg ezen a folyamaton nem estek át, addig nem kaphattak tanúsítást” – teszi hozzá.
„Az az informatikai rendszer, amely évente nem teljesít sikeresen egy auditálási folyamat során, nem tekinthető felkészültnek biztonsági szempontból” – szögezi le Vízi Linda annak kapcsán, hogy a vállalati rendszerek kiberbiztonsági felkészítése nem csupán egyszeri feladat. Nem véletlenül írja elő jogszabály például a közműszolgáltatók számára is az évenkénti rendszeres biztonsági felülvizsgálatot. „Az a vállalat, amely ezen nem vesz részt, vagy elbukik a felülvizsgálaton, elveszti számlázási rendszerének tanúsítását” – hangsúlyozza az ügyvezető, aki hozzáteszi: a kockázatok folyamatosan változnak, aminek oka, hogy a technikai háttér, a támadásra fejlesztett szoftverek és eljárások is rohamléptékkel fejlődnek. Éppen úgy, mint ahogy a vállalat is fejlődik és alakul, ami szintén kockázatot jelenthet a rendszerek biztonságára.
Nem olyan drága, mint hiszik
Az ügyvezető tapasztalatai szerint elsősorban a vélelmezett költségek riasztják el a vállalatokat attól, hogy komolyabban foglalkozzanak kérdéssel. „Sok vezető gondolja úgy, hogy van a vállalatnál egy-két informatikus vagy rendszergazda, és az ő feladatuk a rendszerek biztonságának garantálása. Az IT-biztonság viszont egy különleges terület. A szakemberek számtalan nemzeti és nemzetközi képzés elvégzésével és minősítés megszerzésével képzik magukat és komoly szakmai gyakorlat után válnak jó IT-biztonsági szakértővé. Ahogy a háziorvos sem végez szívátültetést, úgy a vállalati informatikusok jelentős része sem szakértője az információbiztonságnak” – hangsúlyozza Vízi Linda.
Viszont annak sincs gazdasági és erőforrás oldali racionalitása, hogy minden vállalati informatikust kiképezzenek a feladatok ellátására. Egy valóban hozzáértő IT-biztonsági szakértő képzése éveket vesz igénybe, ráadásul a környezet és a kockázatok folyamatos változása életfogytig tartó tanulást jelent. A minősítések megszerzése is költség. Ezekhez a kiadásokhoz járul, hogy kifejezetten IT-biztonsági feladatok havonta 2-4 munkanapnyi tennivalót jelentenek, így viszont már sokkal költséghatékonyabb megoldás külső partnert megbízni a feladattal.
„Ráadásul összetett feladatokról van szó: a rendszer szoftveres és hardveres biztonsági felkészítése mellett ugyanilyen fontos a jogi háttér megteremtése és a belső eljárásrendek kialakítása és működtetése is. Ez már nem is egy, hanem több szakember munkáját igényli, amelyet egy felkészült partner sokkal jobb erőforrás-kihasználás mentén tud biztosítani” – mutat rá az ügyvezető.