Ma 2017. június. 25, vasárnap, Vilmos napja van.

Támogassa a függetlenséget:

Az adatlopások többsége cégen belüli történik

Share

Biztonság a gépeken innen és túl. Szerencsére egyre több az olyan cégvezető, aki felismerte azt, hogy a biztonsági kérdések már rég túlmutatnak a cég biztonsági főnökének és informatikai vezetőjének a felelősségi körén, és adott esetben a cég üzleti eredményeit is képesek befolyásolni.

Az adalopások nagy részét alkalmazottak követik el

Mivel a cégek informatikai, és biztonságtechnikai feladatainak a megoldása mára az IT-iparág egyik legjelentősebb üzleti szegmensévé nőtte ki magát, a felelős döntéshozók és szakemberek – gyakorlatilag pillanatok alatt – a különböző megoldások hirdetéseinek az erdejében találhatják magukat. Ráadásul mivel a legtöbb felső vezetőnek sem ideje, sem kedve nincs a számára túlságosan száraz vagy a marketing szempontokat előtérbe helyező anyagok böngészéséhez és szelektálásához, ezek az információk először jobb esetben a biztonságért felelős, rosszabb esetben az IT-vezető asztalára kerülnek. Ha belegondolunk abba, hogy a terület átlátását mennyi régi időkből származó (mára legalábbis újragondolásra érdemes) elv és a cégek mérete és/vagy felépítése miatt előforduló gyakori integrációs és bevezetési probléma nehezíti, és ehhez hozzá tesszük azt, hogy a biztonságért vagy az IT-ért felelős vezető csak a saját szakterületén van otthon, akkor a problémák csúcsát már láthatjuk.

Öntsünk tiszta vizet a pohárba

Először is tisztázni kell, hogy egy jól működő – a valós életben is bizonyító – teljes biztonsági rendszer nem olcsó befektetés. Csakhogy, még mindig olcsóbb lehet, mint egy komolyabb biztonsági probléma okozta kár, ami az üzleti eredményeket is befolyásolja. Ráadásul az ilyen károk a mai gazdasági helyzetben, a piaci lehetőségek általános zsugorodásával egyre gyakoribbak is lehetnek. Ha rendszerben gondolkodunk, akkor a biztonsági kérdéseknek az IT-n kívül is meg kell jelenniük, többek között a HR-ben és a fizikai biztonságban is. Érdekes megfigyelés, hogy kevés az a cég, amelynél hatékonyság szempontjából a biztonságért és IT-ért felelős vezető a vállalati hierarchiában a megfelelő helyen van. Nézzünk egy példát: hazánkban a legtöbb komoly cégnél a marketing végre nem csak egy felirat a cég 23. irodájának ajtaján, és nem olyan emberek gyűjtőneve, akik a hirdetésekkel foglalkoznak, hanem alapvető és meghatározó funkciója van a cég piaci stratégiájában – tehát ma már nem is kérdés, hogy a marketingvezetőnek a csúcsmenedzsmentben a helye. Ilyen fokú kiemelésre a biztonsági területen természetesen nincs szükség, de az mindenesetre elengedhetetlennek tűnik, hogy a biztonsági főnök köztelenül a vezetőnek számoljon be, és az is fontos, hogy az IT- és biztonsági vezető között, a vállalati hierarchia szintjén ne alá-fölérendeltségi viszony legyen.

Kiemelten fontos az is, hogy a biztonsággal, az információ- és adatvédelemmel kapcsolatos előírásokat lehetőség szerint gyakorlatiasan, minden (akár rendkívüli) helyzetre alkalmazhatóan és naprakészen kivétel nélkül minden dolgozó számára elérhetővé kell tennünk – természetesen egyénre szabott formában. A régiónkban működő cégek egyelőre ilyen téren meglehetősen el vannak maradva a világ élvonalától. Éppen ezért rendkívül nagyon fontos a HR részleg szerepe is, ugyanis az ő feladatuk az, hogy a biztonság növelését célzó képzéseket bevezessék egy vállalatnál. Több szakértő egybehangzó véleménye szerint egyelőre kivételnek kell tekintenünk azokat a cégeket, amelyeknél az információbiztonság oktatási oldalát a HR az elvárt szinten és megfelelően hatékony formában végre tudja hajtani.

Gyakorlati példa az elinduláshoz

A leggyengébb láncszem az ember

Ha egy cégnél egy átlagos középvezetőnek lehetősége van arra, hogy egy aprócska, 16 gigabájtos USB kulcsra vagy egy hasonlóképpen kevéssé feltűnő, irattárca méretű, de fél terabájt kapacitású  külső merevlemezre a cég számára komoly értéket képviselő adatok szinte teljes körét le tudja másolni pár óra alatt anélkül, hogy ezt a műveletet még a kezdetekkor automatikusan leállítaná a rendszer, és biztonsági riasztást jelentene, akkor a cég gondban van. Ekkora kapacitású háttértáron ugyanis szinte bármit el lehet lopni: kiadatlan könyvek kéziratait, bizalmas gazdasági, eladási adatokat, e-maileket, címlistákat, vásárlói adatbázisokat, fejlesztői projekteket, szabadalmak dokumentációját és így tovább. Az alkalmazottak lojalitásban vetett feltétlen bizalom nem tűnik túl szerencsésnek. Manapság különösen nem, hiszen annak fényében, hogy 2008-ban számtalan cég tőzsdei részvényértéke feleződött, szinte biztosra vehető, hogy az illegális információszerzés gyakorisága radikálisan nő.

Régiónkban sok cégnek egyszerűen az a szerencséje, hogy errefelé még nem általános gyakorlat a konkurens cégnél dolgozók megkörnyékezése átigazolás előtt, hogy ezen az úton szerezzenek fontos információkat a konkurensről. Ez a helyzet azonban két-három éven belül akár 180 fokos fordulatot is vehet. A régebbi IT-kultúrával (és demokráciával) rendelkező országokban egyébként már igencsak konkrét eszközökkel próbálja meg az állam presszionálni a cégeket és intézményeket arra, hogy az általuk kezelt adatokra vigyázzanak. Angliában például gyakorlatilag automatikusan küldik a pénzbüntetést abban az esetben, ha bizonyíthatóan illetéktelenek kezébe kerültek egy intézmény adatai. Mivel a büntetést adatbázis-rekordonként kell fizetni, már egy pár százas rekordot tartalmazó információvesztés (pontosabban: információszivárgás) is komolyabb összegű bírságot vonhat maga után.

Komplex megoldások

Régiónkban sok cégnek egyszerűen az a szerencséje,  hogy errefelé még nem általános gyakorlat a konkurens cégnél dolgozók megkörnyékezése átigazolás előtt, hogy ezen az úton szerezzenek fontos információkat a konkurensről.
 A helyzet kétségkívül lehangoló, ha az előbbi megközelítésben vizsgáljuk meg a kérdést, de ugyanakkor szerencsés helyzetben is vagyunk, hiszen a számunkra újkeletű fenyegetés Nyugat-Európában és a tengerentúlon már régen jelen van, ezért jó pár cég foglalkozik a mind teljesebb körű biztonsági megoldásokkal. Ennek az egyik előnye az, hogy az ilyen cégek portfoliója nincs szorosan limitálva, magyarán nemcsak egy bizonyos biztonságtechnikai megoldásszállítót vagy rendszert tartalmaz. Az sem elhanyagolható, hogy az ilyen biztonsági integrátor cégek olyan hiányosságokra is rá tudnak világítani, amelyre egy adott speciális területtel foglalkozó cégnek általában nem terjed ki a figyelme. Például egy hackertámadások elleni eszközöket szállító cég valószínűleg nem fogja megjegyezni az egyeztetésen, hogy a megrendelőnek tapasztalatuk szerint nincs jól működő biztonsági gyakorlata a telephelyére látogató vendégekkel, partnerekkel és a kiszolgáló személyzettel szemben, és hogy első körben (vagy párhuzamosan) erre is figyelmet kellene fordítani. Azaz bármilyen jó is lesz ezek után a hackerek elleni védelem IT fronton, ha például a szerviztechnikusként bemutatkozó illegális behatolót a portás maga kíséri fel az irodákhoz.

Az információ védelmének jelenleg is számtalan módozatát ismerjük, és az sem titok, hogy ezek  különböző hatékonyságú módszerek. Régi igazság, hogy egy rendszer annyira erős, mint a leggyengébb láncszeme. Ma már a behatolók (melyek a statisztikák szerint többnyire belső dolgozók) adatlopási kísérleteinek legidőigényesebb része az, hogy megtalálják ezt a gyengébb láncszemet. Éppen ezért azok a védelmi rendszerek a leghatékonyabbak, melyek minden részfeladat megoldására és összekapcsolására képesek, és ezáltal teljes körű védelmet nyújtanak. Ezeket a rendszereket egyszerűbb menedzselni is, beleértve itt a komplett port- és eszközkontrollt, a hozzáférések információszintű lebontását és menedzsmentjét. Az információvédelem frontján a például a legnagyobb gyártók, a Symantec, McAfee, Websense megoldásaival (csak hogy a legismertebb konkurens gyártókat említsük) lehetőség van a hatékony védekezésre.

Az egyik legdivatosabb hívó szó a biztonság terén jelenleg a DLP (Data Loss Prevention, Data Leakage Protection). Hatalmas előnye a megközelítésnek, hogy hatékonyan járul hozzá az egyenszilárdságú védelem megvalósításához, hiszen a technológia alkalmazásával az adatokhoz való hozzáférés, azok feldolgozása és továbbítása is csak a megfelelő jogosultságok birtokában lehetséges. Így a védelmi rendszerben esetleg meglévő hiányosságok a DLP bevezetésével adott esetben nagyságrenddel csökkenthetők. Egy DLP rendszer minimálisan a végpontokon, fájlszervereken, a web- és e-mail átjárókon elemzi az átáramló információt, de a legjobb rendszerek képesek a nyomtatószervereken OCR technológiával, a Sharepoint-szervereken, sőt akár a hálózat tetszőleges pontján, áramlás közben felismerni (és szükség esetén blokkolni) az érzékeny adatokat.

Az egyes rendszerek között perdöntő különbség lehet az érzékeny információ meghatározásának, majd felismerésének módszere és hatékonysága, különösen igaz ez az állítás a magyar nyelvi környezetre. A területen vezetőnek számító Websense DLP-technológiája például szöveges állományokat is képes felismerni akár egyetlen bekezdés egyezése esetén, de meghatározható az is, hogy egy adatbázisból hány rekord vagy rekordrészlet továbbítására van jogosultsága egy felhasználónak. Mi több, nem szükséges a copy/paste metódust vizsgálni, mivel ha az adattolvaj az információt egyszerűen újragépeli, akkor is megállítható az adatszivárgás.

Jogszabályi problémák

Az adatok védelmét jogszabályok is előírják

Ha kicsit eltávolodunk az IT nézőpontjától, akkor tapasztalhatjuk, hogy a hazai jogi szabályozás és a céges biztonsági főnökök viszonya is meglehetősen érdekes képet mutat. Mivel a terület jogi szabályozás szempontjából eléggé általánosra sikerült, sok esetben a biztonsági vezetők érdeklődési köre és a jogi előírások által lefedett terület nem mindig esik egybe. Például születhet olyan döntés, hogy bár az előírások miatt az egyik biztonsági terület megoldása fontos lenne, mégsem foglalkoznak vele, mert azt nem tartják a cég számára valós biztonsági kockázatnak. Ezért adott esetben olcsóbb büntetést fizetni, mint azzal a területtel foglalkozni. A jogilag nem szabályozott másik terület viszont már jelenthet biztonsági kockázatot a vállalatnak, és azzal – előírások ide vagy oda – már komolyan foglalkoznak. Természetesen a cégek biztonsággal kapcsolatos, alapvetően költség szempontú hozzáállása is érthető, de együtt tudunk érezni a jogalkotókkal is. Az ideális állapot mégis az lenne, ha egyrészt a szabályozás is életszerűbb és naprakészebb lenne a jelenleginél, másrészt a cégek is megtalálnák a maguk sebezhetetlen megoldásait.

Az elkövetkező évek fontos kihívása az lehet a biztonságtechnikai területen, hogy mennyire lesznek képesek a cégek a saját adataikra úgy tekinteni, mint egy állandóan védendő, értékes információra, és a döntéshozók mennyire tudnak majd az egyes részmegoldások helyett hatékony rendszerben gondolkozni. Az információbiztonság sokkal inkább egy általános, mindenre kiterjedő vezetési elv, mint egy szimpla szakterület, és mára jóval fontosabbá vált annál, hogy azt teljes egészében egy IT vezetőre merjük bízni. Hiszen már maga a szó is túlmutat a számítógépeken, a kábeleken és a programokon, bár kétségkívül ezek jelentik az alapot. A biztonsági disztribúcióval foglalkozó cégeknek mindenesetre elég komoly jövőt jósolhatunk az elkövetkező években, csakúgy mint az új személetű, teljes körű, kimondottan információbiztonsági rendszereknek.

Fontosabb adatvédelmi jogszabályok:

A 2001. évi CVIII. törvény-t 2003-ban egészítették ki adatvédelemmel kapcsolatos funkciókkal.
(Az elektronikus kereskedelmi szolgáltatásokkal, és információs társadalommal kapcsolatos kérdéseket szabályozza) A 2003. évi XCVII. törvény rendelkezéseinek többsége jelenleg is hatályos.

1992. évi LXIII. törvény – A személyes adatok védelméről és a közérdekű adatok nyilvánosságáról (2005. június 1-jétől hatályos)

- Adatbiztonság

10. § (1) Az adatkezelő, illetőleg tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek e törvény, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.

(2) Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. A személyes adatok technikai védelmének biztosítása érdekében külön védelmi intézkedéseket kell tennie az adatkezelőnek, az adatfeldolgozónak, illetőleg a távközlési vagy informatikai eszköz üzemeltetőjének, ha a személyes adatok továbbítása hálózaton vagy egyéb informatikai eszköz útján történik.?

(részlet)

 

Nézd meg a főoldalt is!
   



LIKE-olj!


Tényező.hu | Nem mindennapi hírek. Független, újságírók által fenntartott és szerkesztett, teljesen cenzúra mentes, tényeket, és magánvéleményeket tartalmazó elektronikus médum.

Print Friendly Nyomtatás Az oldal PDF verziója PDF

Ajánlott cikkek:

Őstulkok, avagy a magyar média működési módja
A tömegmédia hazugságainak az okai
Az iraki dosszié - a valóságban
Ellenség a kapuknál? Kína és Magyarország
9/11 - igazság? Médiahazugságok nélkül?
A felsőoktatási kontraszelekcióról
Az igazi Kína
Interjú Salát Gergely Kína-szakértővel
Interjú Fodor Gáborral
Egyetemista önkéntes katonák - interjú
Szinte védtelen a Magyar Honvédség
Szekértáborok a magyar ugaron

Comments Closed

Nem lehet hozzászólni


Bejelentkezés
tárhelytárhely