„A valóság vélhetően az amúgy igen szűk körű statisztikáknál is szomorúbb, hiszen egy vállalat rendszerint inkább eltitkolja, ha informatikai rendszerét támadás éri – árnyalja tovább a képet Török Szilárd, A BDO Magyarország IT Megoldások üzletágának partner ügyvezetője. – Gyakorlati tapasztalataink alapján nyugodtan kijelenthetem, hogy két jó szakember átlagosan két nap alatt a legnagyobb hazai vállalati és pénzügyi rendszerekbe is képes ma behatolni. Ennek fényében – mivel a hacker bűnözők célpontjai közül a hazai rendszerek sem hiányoznak – erősen valószínűsíthető, hogy sokféle felderítetlen vagy elhallgatott informatikai vonatkozású pénzügyi károkozás történik az országban, amiről az áldozatok természetesen szívesebben hallgatnak. ”
Tökéletes védelem persze legfeljebb elméletben létezik, ám az adatvédelemért felelős vállalati informatikusoknak célszerű priorizálniuk: bár hasznos lehet akár százmillió forintot is elkölteni jogosultsági mátrixok elkészítésére, sokszor égetőbb szükség volna megfelelő betörési tesztek elvégzésére – amelyek egyébként a fenti összeg töredékéből is megvalósíthatók. Az sem elég, ha a vállalat a legkorszerűbb rendszerekkel szereli fel magát, azt testre is kell szabni. Ahogy egy hacker megfogalmazta: „Ha látom, hogy egy behatolásvédőn alapértelmezett beállítások vannak, két dolgot is megtudok egyszerre: pénz van, szaktudás nincsen.” Mindez pedig szinte vonzza a feltöréssel próbálkozókat, akiknek jó esetben csak a kihívás motivál, rosszabb esetben azonban komoly gazdasági kárt is okoznak áldozatuknak.
Adatvédelem: kulcsszerepben a gyakorlati tapasztalat
A gyakorlat egyértelműen azt mutatja, hogy a megelőzés az adatvédelem területén is jóval kevesebbe kerül, mint a kármentés. Hangsúlyozni kell, hogy az adatlopások száz százalékosan sosem zárhatók ki, hiszen például a monitor adott pillanatban történő lefényképezése egy mobiltelefonnal is komoly veszteséget okozhat az adatgazdának. Az viszont tény, hogy a megfelelő védelem nagyobb eséllyel riasztja el a behatolással próbálkozót.
Egy adatszivárgás elleni szoftver jelenléte már önmagában is erősíti a munkavállalókban a biztonsági tudatosságot. A testre szabás során ugyanakkor arra is ügyelni kell, hogy miközben a valódi támadások ellen hatékony védelmet nyújt, a téves riasztások gyakorisága mindenképpen minimális legyen.
„Az adatszivárgás megelőzésében azonban a legnagyobb súlya a megfelelő adatvédelmi szakember kiválasztásának van – hangsúlyozza a BDO Magyarország szakembere. – A legfejlettebb védelmi szoftverek is csak annyit érnek, amennyit a tapasztalt felhasználó az adott rendszerbe illesztve alkalmazni tud belőlük. A kulcs a gyakorlati tapasztalat, csak olyan tanácsadókat érdemes megbízni, akik valódi esetek hosszú sorával találkozva, nyomozati folyamatokba is bevonva tettek szert a megfelelő ismeretekre.”
Az adatlopás elleni védekezés alapvető lépései
- Mérjük fel a meglévő IT rendszereket – szükség esetén ne habozzunk tapasztalt külső tanácsadót is bevonni
- Azonosítsuk a kockázatainkat, szakemberrel végeztessünk mindezen kockázatokra kiterjedő elemzést, majd kockázatarányosan tervezzük meg a védelmi rendszereket
- Nagyvállalatok esetében feltétlen nevezzünk ki egy IT biztonsági vezetőt, aki mind szervezetileg, mind költségvetési szempontból független az informatikai részlegtől (Kisebb cégek esetében ez akár outsourcing keretében is megvalósítható)
- Gondoskodjunk a munkavállalók megfelelő oktatásáról és lojalitásuk fenntartásáról
- A folyamatok átláthatósága érdekében alkalmazzunk már bevált szabványon alapuló kockázatkezelést
Milyen a megfelelő adatbiztonsági tanácsadó?
- Sokéves gyakorlati tapasztalattal is rendelkezik – információbiztonsági visszaélések kivizsgálása, részvétel nyomozati, bírósági eljárásokban
- Független termékektől és megoldásoktól – az ilyen jellegű elkötelezettség gátolja az optimális megoldások kiválasztását
- Megfelelő mértékű felelősség-biztosítással rendelkezik (legalább 1 millió EUR/év)
- Képes testre szabott protokollokat, szabályzatokat összeállítani – a polcra gyártott sémadokumentációk betartatása szinte lehetetlen
- Az általa kidolgozott alkalmazás illeszkedjen a cég meglévő rendszerébe – általános tapasztalat, hogy a belső munkatársak a tanácsadó távozását követően még akár hónapokig dolgoznak az alkalmazás beillesztésén
- Előny a nemzetközi háttér is – adott speciális problémára könnyebb egy kiterjedt cégcsoporton belül megtalálni a megfelelő szakembert
Privátbankár