A BoE bizonyára olvasta azokat az informatikai szakértők által írt elemzéseket, amelyek szerint a tesztelés elmaradása az egyik leggyakrabban elkövetett hiba a külső támadásokkal szembeni felkészülésben. Megítélésem szerint egyenesen ez a legnagyobb hiba, bár kétségtelen, hogy vannak ennél gyakrabban elkövetettek is. De nézzük sorjában.
A legtöbbször elkövetett hiba, hogy a vállatok úgymond 100 százalékos biztonságot akarnak elérni. 100 százalékos biztonság természetesen nem létezik, viszont aki erre törekszik, vagy elhiszi, hogy elérte ezt, az biztosan megfeledkezik a veszteségek minimalizálásának fontosságáról. Márpedig, ha egy céget mégis támadás ér – és ez ilyen olyan formában szinte minden cégnél bekövetkezik – akkor a legfontosabb feladat, hogy képesek legyünk az adatvesztés okozta kár minimalizálására.
Ugyancsak gyakran elkövetett hiba azt gondolni, hogy a legjobb eszközök megvásárlásával a biztonság is megvásárolható. Ez természetesen nem igaz, mert amellett, hogy rendkívül költséges, semmit sem ér az IT-részleg és az alkalmazottak felkészültségének és elkötelezettségének hiányában. Minden vállalati informatikai rendszer végső felhasználója a munkavállaló, ha ő nem tartja be a biztonsági szabályokat, vagy azok nem nyújtanak megfelelő védelmet, akkor a legdrágább kütyü is eldobható. Ha mindenki felkészült, és mindenki be is tartja az előírásokat, csak akkor igaz, hogy a jobb eszközök segítik a megelőzést, a felderítést, és a kár minimalizálását.
Az sem igaz, hogy a támadóknál jobb fegyverekkel védhetjük magunkat a legjobban. Ez a feltételezés oda vezet, hogy a támadók fegyvereihez igazítjuk a felkészülésünket, holott nem kizárt, hogy azokkal csak olyan célpontokat lehet elérni, ami nekünk nem is fáj. A felkészülés során ezért priorizálni kell: azt kell védenünk, ami fontos számunkra, és azoktól kell megvédeni, akik meg akarják szerezni. Ehhez természetesen rangsorolnunk kell a kitettségeket, az egyes kockázatok bekövetkezéséből származó potenciális kárunkat, és tudnunk kell azt is, hogy mennyire kell másoknak az, ami nekünk fontos. Ezek ismeretében kell eldönteni, hogy a védekezés egyes területeire milyen erőforrásokat összpontosítunk.
Gyakori hiba, hogy az IT-biztonság megteremtése egyet jelent a törvényi, szabályzói előírásoknak való megfeleléssel, így a cyber bűnözés elleni védekezés bemerevedik a törvényi keretek közé. Fontos látni, hogy a kockázatok üzletspecifikusak. Más és más támadási minták és trendek jelennek meg az egyes szektorokban, amit még a szervezet mérete is befolyásolhat. Ha az adott társaság úgy gondolja, hogy a külső támadások elleni védekezés csimborasszója a törvényi előírások szószerinti kipipálása, és minden energiát erre összpontosít, akkor a törvényhozáshoz hasonlóan lemarad a technológia és az általa életre hívott felhasználói szokások változásáról. Éppen ezért nem szabad megfeledkezni arról, hogy a biztonsági szabályok kialakításának alapja a folyamatos tanulás és fejlesztés, melyet az élet változásai tartanak mozgásban.
Sok cégvezető gondolja azt, hogy a legjobb embereket alkalmazza a cyber bűnözés elleni védekezésben, és ezzel le is dobhatja a gondot a válláról. Csakhogy ez sem igaz. A legjobb szakember is tehetetlen akkor, ha a vállalat egészét nem járja át a cyber kitettség tudata, és a döntések ennek hiányában születnek meg. Az IT-biztonsági szempontoknak, a biztonságtudatosságnak a cég minden területén jelen kell lenniük a HR-től az üzleti döntéshozókon keresztül a beruházási döntésekig. Ennek hiányában ugyanis a legjobb szakemberek is tehetetlenek.
A jellemző IT-biztonsági hibák között előkelő helyen szerepel a rendszerek megfelelő tesztelésének hiánya. Nagy és fontos rendszerek fejlesztésénél a nemzetközi gyakorlat szerint az a munka harmadát a tesztelés teszi ki, miközben a kódolásra fordított erőforrás 10 százalék alatt marad, és ez nem véletlen. Rendszerek összekapcsolása, új rendszerek bevezetése olyan kockázatokat hordoz magában, melyek a cég egész működését veszélyeztetik. Az IT biztonság tesztelése – és ezt a brit jegybank szimulációja jól mutatja – megkerülhetetlen része a rendszernek, amivel az informatikusok rendszerint tisztában is vannak. Csakhogy a tesztelés rendszerint költséges és időigényes, a vezetőség pedig alulbecsüli az ennek hiányából fakadó károkat, így az erre fordított idő és pénz sokszor csak a funkcionális tesztekre elegendő, a biztonsági próbákra elvégzésére nem.
Portfóliónk minőségi tartalmat jelent minden olvasó számára. Egyedülálló elérést, országos lefedettséget és változatos megjelenési lehetőséget biztosít. Folyamatosan keressük az új irányokat és fejlődési lehetőségeket. Ez jövőnk záloga.