Hiányos védelem az informatika terén

Hiába rendelkeznek több informatikai biztonsági tanúsítvánnyal, számos vállalat az ilyen jellegű sebezhetőségek és kockázatok nagy részét a „papírok” megléte ellenére sem kezeli megfelelően. Miközben az internetes bűnözés 2009-ben majdnem 600 százalékkal növekedett, sok hazai vállalkozás a költség- és időigény miatt ma még mindig csupán jogszabályi kötelezettség hatására valósít meg információbiztonsági intézkedéseket – mutatott rá lapunk kérdésére Antal Lajos, a Deloitte Zrt. informatikai biztonság és adatvédelem üzletágának vezetője. Hozzátette: törvényi kötelezettségek egyelőre csak a hitel- és pénzintézetekre, valamint a pénzügyi szervezetekre vonatkoznak, és minden bizonynyal ez is oka annak, hogy ezt az ágazatot leszámítva ma még nagyon sok társaság nincs is tudatában annak, hogy a birtokában lévő üzleti adatok megszerzése közvetlen előnyhöz juttathat másokat – például versenytársakat.

A nemzetközi gyakorlatban ugyanakkor számos keretszabályozás létezik, amely adatbiztonsági elvárásokat támaszt a cégekkel szemben – szögezte le Vízi Linda, a Deloitte Zrt. szenior tanácsadója. Ezek között említette a COBIT informatikai keretrendszert (amely az információtechnológia irányításához és ellenőrzéséhez készített útmutató és kézikönyv), az ISO 27001 szabványt (amely az információbiztonsági irányítási rendszer követelményszabványa), vagy a bankkártyaadatokra vonatkozó PCI DSS adatbiztonsági szabványt is. Ezek használata azonban egyfelől a pénzügyi szektor kivételével nem kötelező, másfelől sok esetben még e szabványok betartása sem ad valódi garanciát arra, hogy a társaság által kezelt vagy a működése során felmerülő adatok tökéletes biztonságban vannak. Sőt, a társaságok sok esetben egészen alapvető gyakorlati biztonsági teszteket sem képesek teljesíteni, mert nem kezelik megfelelő szinten a biztonsági kockázatokat.

A biztonság terén nagyon sok múlik a biztonsági audit alaposságán és összetettségén: nem elég a biztonsági standardok által megkövetelt előírások mechanikus vizsgálata, a folyamatokat egymással összefüggésben is vizsgálni kell ahhoz, hogy a teljes rendszer működéséről egységes, megbízható képet kapjunk. Emellett pedig a vállalat részéről is szükség van egyfajta tudatosságra, amelynek köszönhetően a vállalatvezetés nemcsak az igazolás (tanúsítvány) megszerzésére, hanem a valós védettségre, biztonságos működésre is törekszik. Éppen ezért nem szabad megvárni azt sem, amíg a cég valamilyen komolyabb anyagi vagy reputációs károkat okozó biztonsági incidens áldozatává válik – a későbbi problémák leginkább azzal védhetők ki, ha valamely új üzleti funkció vagy szolgáltatás fejlesztésébe már a tervezési fázisban bevonják a biztonsági szakembereket, és igyekeznek mindvégig partnerként kezelni őket.