Ma 2017. augusztus. 18, péntek, Ilona napja van.

Támogassa a függetlenséget:

Mennyire fontos az információ fizikai biztonsága?

Share

A fizikai adatvesztések túlnyomó többsége nem közvetlenül az adott technológia, vagy eszköz használatából adódik, hanem sokkal inkább ? az adatszivárgásokhoz hasonlóan ? emberi tényezők állnak a hátterében.

Adatvesztés - ne akarjunk így járni

Mit tehetünk ezek ellen, és miért is kell egy cégnek egységes  rendszerbe foglalt informatikai biztonsági technológiát kialakítania? Érdemes leszögeznünk, hogy az üzleti adatok megfelelő mértékű fizikai védelme nem éppen olcsó mulatság. Sok cégvezető nehezen is képes megemészteni azt az alapvető tényt, hogy míg egy modern 2,5-es, fél TB-os notebook HDD ára megközelítőleg 10-15 E Ft körül mozog, addig az ugyanekkora adatmennyiség kiszolgálásához szükséges redundáns, és kellőképpen védett, minőségi archiváló rendszer kiépítése összességében valahol egy-másfél millió forint környékén kezdődik. A valódi kérdés azonban nem az, hogy mekkora költséget jelent a cég számára 500 GB adat tárolása, hanem sokkal inkább az, hogy mennyit is ér a cég számára az a bizonyos 500 GB-nyi adat, amelyen adott esetben az összes fejlesztési dokumentáció vagy a cég értékesítési adatbázisa található. Ez az alapvető szemléletbeli különbség a két megközelítés között.

Az első lépés – az IBiT

Mit is jelent az adatok védelme? Mi az, amit védeni kell, mitől és mindez mennyibe kerül?

  • Vannak eszközök (gépek, hálózatok, programok), és vannak ezek segítségével kezelt input/output adatok, adatbázisok. Az értékes, védendő információ ezek terméke. Mondhatjuk: ez az informatikai biztonság tárgya. Ez a kör elméletileg jól behatárolható, erre a körre megfogalmazhatók az általános védelmi feladatok.
  • Az itt körülhatárolt rendszert sok külső és belső hatás éri. Ezek közül az ártalmasak: vírus, tűz, emberi mulasztás, szándékos károkozás, rendszerelem meghibásodás, stb. Ezek a hatások mérhetők, becsülhetők, rendszerbe foglalhatók, vizsgálhatók, modellezhetők.
  • A költségek általában peremfeltételként vagy célfüggvényként jelennek meg. Létezhet egy adott keret, amiből a védelmet meg kell valósítani, de a kérdés úgy is feltehető: mennyibe fog kerülni a kívánatos biztonsági szint elérése?

A korszerű adatvédelmi rendszereket az itt felsorolt három alapelemből gyúrják ki, és Informatikai Biztonsági Technológiának (IBiT) nevezzük.

Az informatikai biztonság azt jelenti, hogy az információtechnológiai (IT) rendszer valamennyi elemét külön-külön is és együtt is folyamatosan ellenőrzik az adatok védelme szempontjából, és a költségkereteken belül korrigálják a rendszert. A teljes vizsgálatot (auditot) általában egy külső, informatikai biztonsági tanácsadásra szakosodott cég végzi. Rávilágít az adatvédelem gyenge pontjaira, az adatvesztés és adatlopás kockázatára, meg még egy sereg kézzelfogható paraméterre. Mindez a felelős vezetők számára világos képet fest a pillanatnyi helyzetről, és kiindulópontot ad a jövő stratégiai döntéseinek meghozatalához. A hangsúly a rendszeres belső és külső, valamint a részleges és teljes auditáláson és ez alapján az informatikai biztonsági rendszer folyamatos ellenőrzésén, módosításán, felülvizsgálatán van.

A világ olyan irányban halad, hogy a működőképesnek ítélt módszereket, technológiákat egységesíti, szabványosítja. Ez a folyamat játszódik le most az informatikai biztonság háza táján is. Az adatvédelmi rendszerek tartalmi, felülvizsgálatuknak formai követelményei – hasonlóan például az ISO 9000 szabványsorozat alapján kidolgozott minőségbiztosítási rendszerekhez – szabványosítva vannak, illetve a szabványosításuk folyamatban van. Ahol az adatok komoly értéket jelentenek, ott súlyos gazdasági érdek fűződik az informatikai biztonság megteremtéséhez, legfeljebb ezt ma még nem mindenki ismerte fel.

Veszélyesebb a vírusoknál

A hazai IT és adatvédelemben a vírusvédelem – talán az érezhetően nagyobb marketing nyomás miatt is – az egyik legkomolyabb súllyal szerepelő terület. Ez persze nem is lenne olyan óriási probléma, ha nem fordítanánk erre a területre jóval több figyelmet, mint más lényegesebb dolgokra. Az IT rendszerek biztonságát ma már nemzetközi előírások alapján minősítik. Sajnos ezek még nem szabványok. Az Amerikai Védelmi Minisztérium skálája szerint a nem katonai alkalmazásoknál a legmagasabb minőségi fokozatot B1-gyel jelölik. E rendszerek biztonságos működésének szinte egyetlen veszélyforrása maradt, és ez nem vírustámadás, hanem a kezelőszemélyzet. Ide értendők mindazok, akik egy cégen belül hozzáférhetnek az adatokhoz, függetlenül attól, hogy van-e erre jogosultságuk vagy sem.

Hogy ez a kezelőszemélyzet mekkora kockázatot jelent az adatlopásoknál, arról időnként felröppen egy-egy hír, úgy mint: fejlesztési adatok átadása a vetélytársnak (VW – GM), üzleti stratégia kiadása a konkurensnek (Rover – BMW), de számtalan ehhez hasonló példát tudnánk még felsorolni illusztrálandó a probléma nagyságát. Az adatvesztés területét vizsgálva, minden veszélyforrást figyelembe véve, a legkülönbözőbb helyről származó statisztikai adatok mind egybecsengenek abban a tekintetben, hogy az emberi mulasztás viszi a pálmát, legyen az véletlen vagy szándékos károkozás. Számszerűsítve: az emberi mulasztás okozta adatvesztések a teljes adatvesztési portfólió 60-70 százalékát teszik ki. Ugyanakkor a vírusok által okozott adatvesztés “csak” 6-7 százalékos értéken van. Szinte biztosak vagyunk abban, hogy a fenti statisztikai adatok ellenére a cégek ma sokkal nagyobb erőforrásokat mozgósítanak a vírusvédelemre, mint a kezelőszemélyzet tevékenységének szabályozására, ellenőrzésére.

Az adatvédelem és az adatbiztonság szempontjából optimalizálni kell a rendszerben végbemenő folyamatokat és a szervezet felépítését, működését. Magyarán: a kezelőszemélyzetből a legkevesebben, és ők is a lehető legritkábban jussanak az adatok közelébe. Csak akkor és csak úgy, amikor ez előírt tevékenység a számukra. Most minden vezető tegye szívére a kezét és gondoljon bele: egy tipikus mai középvállalatnál sokszor mennyire is másként működik ez.

Gazdátlanul

A főnök mobilja - az összes kontakját ezen tárolta?

Számtalan kisebb, nagyobb állami szervezetnél, valamint piaci kis- és középvállalkozásoknál az adatbiztonság a ‘színvonal alatti’, és a ‘megdöbbentő’ szavakkal jellemezhető leginkább. Lehet, hogy a megállapítás túlságosan általánosra sikeredett, de valószínűleg még így sem fejezi ki a valós helyzet szinte már elképzelhetetlen mélységeit. Elrettentésül következzék itt néhány kockázati tényező egy ilyen részletesen vizsgált eset kapcsán – milyen is ne legyen egy informatikai biztonsági rendszer.

A vállalati szint:


- A feladatkörök és a felelősségek nincsenek definiálva.

- Egyik irányban sincs megfelelően szabályozott belső kommunikáció az IT szervezet és a felhasználók között.

Az IT szervezet:


- Az IT szervezeten belüli feladatok, felelősségek csak szóban vannak meghatározva, dokumentációjuk hiányos.

- Az informatikáért felelős osztályvezetőnek az informatikai feladatok menedzselésére nincs elég ideje.

Az Informatikai Stratégia:


- Nem létezik Informatikai Stratégia.

- Továbbképzés és oktatás sem a felhasználók, sem a rendszergazdák részére nincs tervezve.

Az informatikai rendszer:


- A működés folyamatos fenntartásához szükséges tartalékrendszerek nem állnak rendelkezésre.

- A munkák naplózása hiányos, a hibák kezelése nincs kiemelve.

- A jogosultságok, hozzáférések szabályozását a szerverek oldalán csak részben oldották meg, a felhasználói gépeken egyáltalán nem.

A vállalati adatstruktúra:


- A felhasználók saját asztali számítógépeiken is tárolnak fontos, bizalmas adatokat, melyek védelme és titkosítása nincs megoldva. Ez a probléma különösen fontos a vezetők által használt hordozható számítógépek esetében, mivel a társaságnál évente egy-két laptop el is tűnik.

A vállalat mentési rendszere:

A felhasználók saját asztali számítógépeiken is tárolnak fontos, bizalmas adatokat, melyek védelme és titkosítása nincs megoldva. Ez a probléma különösen fontos a vezetők által használt hordozható számítógépek esetében, mivel a társaságnál évente egy-két laptop el is tűnik.

- A backup rendszerre nincs megfelelő szabályozás, ezért azt kizárólag csak a rendszergazda tudja üzemeltetni.

- A mentésekhez nincsenek megfelelő hardver- és szoftvereszközök.

- A mentett adatokat tartalmazó médiák azonosítása és tárolása elégtelen.

Az informatikai vészhelyzet kezelése:


- Nincsen semmilyen katasztrófaterv. (Sem általános, sem az IT-re vonatkozó.)

És ezen kockázati tényezők (magyarán hiányosságok) felsorolásának jegyzőkönyve még 14 sűrűn teleírt oldalon keresztül folytatódik.

A notebook mint olyan

Az újsághírekből tudjuk, hogy már arra is volt példa, hogy az USA-ban néhány napig nem találtak egy nemzetvédelmi adatokat is tartalmazó notebookot. Később előkerült, de a nemzetbiztonság felelősei aggódnak, hogy ezalatt a merevlemez tartalmát lemásolták-e vagy sem. Ha pedig aggódnak, az azt jelenti, hogy a merevlemez adatai nem voltak védettek. A notebook ellopása olyan kockázati tényező, amellyel mindenki találkozik, aki rendelkezik ilyen eszközzel. Ha ilyen esetről hall az ember, először alkalmasint az anyagi kárra gondol, holott a számítógépeken tárolt adatok, információk értéke lényegesen meghaladhatja magának a hardvernek és a szoftvernek az értékét. Ezért még legalább két problémával számolnunk kell:

- Van-e olyan másolat az adatokról, amelyet nem loptak el?

- Az értékes adatok titkosítva voltak-e, hogy illetéktelen ne férhessen hozzájuk?

Ha egyáltalán foglalkoznak valahol a notebookokkal kapcsolatos biztonsági kérdésekkel (vállalati IT stratégia, biztonsági szabályzatok?), az akkor is legfeljebb a lopással összefüggő kockázatokig terjed.

Az Informatikai Biztonsági Technológia (IBiT) nemzetközileg elfogadott rendszerében a notebookhoz kapcsolódó adatbiztonsággal igen részletesen önálló fejezet foglalkozik.

A prevenció szerepe

A tapasztalatok – az egészségügyhöz hasonlóan – azt mutatják, hogy a megelőzés (prevenció) lényegesen olcsóbb, mint a gyógyítás, vagyis az eredeti, kívánt állapot helyreállítása. Ráadásul, aki nincs felkészülve a megelőzésre, az szinte biztosan teljesen felkészületlenül áll a katasztrófahelyzetben. A cégvezetők egy része ma még nem foglalkozik a fizikai adatvesztés problémájával – rendkívül rossz megoldásként az egész feladatkört a helyi informatikusra delegálva – mindaddig, amíg egy súlyos adatvesztésbe bele nem rohannak. És ennek az esélye a statisztikai adatok tanulsága szerint is egyre nagyobb. Szerencsére azonban ma már – az előbbiekkel párhuzamosan – az is megfigyelhető, hogy egyre több cég rendelkezik hatékony – külső szakértők által megtervezett – egységes rendszerrel, hatékony működési szabályzattal és egyebekkel. Sőt, egyre több olyan vállalattal is lehet találkozni, ahol a megfelelően kiépített IBiT-en belül, még az adatszivárgás elleni védelem (Data Leak Prevention) terén is a legmodernebb megoldásokkal rendelkezik.

Nézd meg a főoldalt is!
   



LIKE-olj!


Tényező.hu | Nem mindennapi hírek. Független, újságírók által fenntartott és szerkesztett, teljesen cenzúra mentes, tényeket, és magánvéleményeket tartalmazó elektronikus médum.

Print Friendly Nyomtatás Az oldal PDF verziója PDF

Ajánlott cikkek:

Szeptemberfeszt a Népligetben (videó)
A tűzszerész csak egyszer tévedhet
A narancssárga csillag
Ne fényképezzé'!
Az igazi Kína
A tévedés következő stációja - a Jobbik.
Interjú Fodor Gáborral
Márai: mi is a "jobboldaliság"?
Alan Watt interjú a propagandáról ("Másik oldal")
"A Szentkirályi titok" - Balogh Levente
"Bevetésre kész!" - A MH 25/88 katonái
Az Euronicsból ki, az Expertbe be

Comments Closed

Nem lehet hozzászólni


Bejelentkezés
tárhelytárhely