Öltönyös kasszafúrók, digitális széfek

„Tizenöt éves tanácsadói pályafutásom során nem találkoztam még olyan vállalatvezetővel, aki társasága alapdokumentumait, cége éves pénzügyi, termékfejlesztési stratégiáit és egyéb értékes dokumentumait a bejárat melletti recepciós pulton, kiteregetve tartaná, így üdvözölve akár előre bejelentkezett üzleti partnereit, akár saját, adminisztratív feladatokat végző kollégáit, akár az utcáról betévedő bámészkodókat. Vannak bizonyos információk, amelyeket a vállalatvezetés nem szívesen oszt meg illetéktelenekkel, és mindezt a saját és cége jól felfogott érdekében teszi, hiszen az információ pénz, egy komplett vállalati beruházási terv pedig (például) vagyonokat érhet, nemcsak a gazdájának, hanem a közvetlen versenytársainak is – mondja Antal Lajos.

Miközben ezeket az értékes nyomtatott üzleti dokumentumokat a felső vezetők hajlamosak a páncélszekrényük mélyén őrizni, az egészséges óvatosság mintha hiányozna belőlük akkor, amikor ugyanezen iratok digitális megfelelőinek védelméről kellene gondoskodniuk. Ennek oka a tapasztalatok szerint a leggyakrabban az, hogy a vállalatvezetők nem értik, illetve nem érzik reálisnak a vállalatukra leselkedő informatikai veszélyt, vagy nem szeretnének számukra átláthatatlan, bonyolult és drága rendszerekkel bajlódni üzleti adataik védelmében. A struccpolitika egyik esetben sem vezet sehova, hiszen csak mert nem érzékelünk egy fenyegetést, a fenyegetés attól még létezik, külső és belső szereplők (például alacsony fizetésű, „eltévelyedett” rendszergazdák, sértett vagy próbaidős vállalati informatikai szakemberek) képében.

A hiedelmekkel ellentétben Magyarországon bármely vállalat informatikai támadás célpontjává válhat, mivel szinte minden vállalkozásnak vannak piaci konkurensei, amelyek nem feltétlenül a rosszakarói, elég, ha csupán kíváncsibbak a kelleténél. A megváltozott globális gazdasági környezet miatt ráadásul az üzletileg értékes adatok szivárgásával összefüggő informatikai kockázatok nemcsak nőttek, hanem át is alakultak. A külső támadások mellett egyre komolyabb veszélyt jelentenek a tolvajokat segítő „belső emberek”, vagyis a saját munkavállalók, akik véletlenül vagy éppen teljesen tudatosan közreműködnek az adatlopásokban. Mindebből évente óriási – de publikus adatok híján megbecsülhetetlen – kára származik a magyarországi vállalatoknak. Ugyanúgy, ahogy adminisztratív munkatársakra általában nem bíznak felügyelet nélkül stratégiai dokumentumkötegeket, ezen dokumentumok digitális párjait sem lenne szabad védtelenül hagyni a cég informatikai hálózatán, amelyhez a szűkebb vezetőségen túl általában még legalább fél tucat embernek van hozzáférése.

Egy hálózati hozzáféréshez beállított jelszó ráadásul ma, a tömegesen használt saját mobileszközök, okostelefonok és táblagépek, az otthoni és nyilvános hálózatokról történő bejelentkezések korában a valóban szenzitív adatok védelmét tekintve nem sokkal több látszatintézkedésnél. A dokumentumok a jelszóval védett hálózatokat pillanatok alatt elhagyhatják e-mailen, zenelejátszókon vagy egyszerű USB-kulcsokon keresztül, és ettől kezdve már semmi nem korlátozza a felhasználásukat. Vannak persze ennél jóval bonyolultabb védelmi megoldások is, például azok a rendszerek, amelyek folyamatos titkosításban tartják a vezetői hatáskörbe rendelt összes dokumentumot, csak azok megnyitásakor „fejtik vissza” a titkosított adatokat – és ezt is kizárólag a meghatározott hozzáféréssel rendelkező felhasználó gépén. Mivel azonban a legtöbb vállalatvezető nem szeretné bonyolult vagy annak tűnő informatikai rendszerek kezelésével tölteni az idejét, akkor és ott kívánja megnyitni számítógépén a fontos üzleti dokumentumait, amikor erre lehetősége és ideje van, célszerű ennél praktikusabb módszerek után néznie.

„Ilyen biztonságos megoldást kínál például az úgynevezett digitális széf technológia (sensitive information vault technology), melyet egyre több vállalat alkalmaz világszerte, Magyarországon azonban egyelőre kevesen ismerték fel a jelentőségét” – húzza alá a biztonsági szakértő. Ez a technológia nem a szenzitív információ tárolására szolgáló helyet – tehát például egy fontos mappát –, hanem magát az adattartalmat védi egy speciális titkosítási megoldással. Ez a megoldás lehetőséget ad az információ tulajdonosának, vagyis a vállalat vezetőjének arra, hogy a digitális széf „kulcsát” mindenfajta további közreműködő, adminisztratív munkatárs kihagyásával maga őrizze, és csak azzal ossza meg, akivel ő maga is szeretné. Ha például a vállalkozás egy nagyobb beruházás elindítására vagy egy termék piaci bevezetésére készül, az erre vonatkozó értékes dokumentáció csak akkor kerülhet a cég különböző operatív egységeinek kezébe, amikor a vezetés erre elérkezettnek látja az időt. Sőt, a technológia segítségével teljesen kiszűrhetők azok az esetek is, amikor belső informatikai munkatársak kutathatnak a stratégiailag fontos dokumentumok között.

A vállalati informatikai biztonság terén a hiányosságokra legtöbbször csak akkor derül fény, amikor az értékes adatok már rossz kezekbe kerültek – ilyenkor a vállalkozások rendszerint a szükséges (optimális) informatikai védelem költségeinek sok százszorosát bukják el, ami még a legtőkeerősebb vállalat számára is fájdalmas veszteség, az esetleges reputációs károkról nem is beszélve – hangsúlyozza Antal Lajos. Ez a veszély sok vállalatvezetőben egyáltalán nem tudatosul, ami valahol törvényszerű lehet, de ettől még nem kell annak lennie. Ahhoz, hogy egy vállalkozás hosszú távon is sikeresen működhessen, célszerű alacsonyan tartania a kockázatait. A megváltozott gazdasági környezet, az élesedő verseny és az új termékek sikerébe vetett hit, azok sokszor óriási, potenciális „cégmentő” jelentősége, továbbá az ezzel párhuzamosan növekvő külső és belső fenyegetettség egytől-egyig amellett szólnak, hogy a biztonságért tenni kell. Például oda kell figyelni a cég jövője szempontjából kulcsfontosságú dokumentumokra, legyen szó nyomtatott vagy elektronikus anyagokról, és ehhez a jó öreg páncélszekrény mellé érdemes csatasorba állítani a digitális védelem eszközeit is – teszi hozzá.