Ahogyan a nyelvvizsgát igazoló papír sem jelent garanciát arra, hogy tulajdonosa minden helyzetben képes megfelelően használni az adott idegen nyelvet, igen sok, informatikai biztonsági tanúsítvánnyal rendelkező vállalatra igaz az, hogy a sebezhetőségek és kockázatok nagy részét a „papírok” megléte ellenére sem kezeli megfelelően. Változást a Deloitte álláspontja szerint csak az hozhatna, ha a vezetők sokkal tudatosabban kezelnék a cégüket fenyegető veszélyeket - áll a könyvvizsgáló szerkesztőségünknek küldött közleményében.
Antal Lajos, a Deloitte Zrt. Informatikai biztonság és adatvédelem üzletágának vezetője elmondta, hogy az internetes bűnözés 2009-ben majdnem 600 százalékkal növekedett. Magyarországra vonatkozóan nem lelhetők fel megbízható adatok, de a veszélyeztetettséget mindenképpen növeli, hogy sok hazai vállalkozás a költséges és időigényes munka miatt ma még mindig csupán jogszabályi kötelezettség hatására hajt végre bármilyen információbiztonsági intézkedést. Törvényi kötelezettségek pedig egyelőre csak a hitel- és pénzintézetekre, illetve pénzügyi szervezetekre vonatkoznak, és vélhetően ez is oka annak, hogy a banki szektort leszámítva ma még nagyon sok társaság nincs is tudatában annak, hogy a birtokában lévő üzleti adatok megszerzése közvetlen előnyhöz juttathat másokat - például versenytársakat - továbbá mindez olyan jelentős üzleti veszélyeket rejt, amelyeket utólag a legtöbbször már lehetetlen kezelni.
Dr. Vizi Linda, a Deloitte Zrt. Vállalati Kockázatkezelés osztályának szenior tanácsadója szerint a nemzetközi gyakorlat természetesen számos előírást és keretszabályozást ismer, amelyek adatbiztonsági elvárásokat támasztanak a cégekkel szemben. Ilyen például a COBIT (az információtechnológia irányításához, kontrolljához és ellenőrzéséhez készített útmutató és kézikönyv), az ISO 27001 szabvány (az információbiztonsági irányítási rendszer követelményszabványa), vagy a PCI – DSS (bankkártya adatokra vonatkozó adatbiztonsági szabvány) is. Ezek a pénzügyi szektortól eltekintve egyrészt nem kötelezőek, másrészt sok esetben nem adnak valódi garanciát arra, hogy a társaság által kezelt, vagy a működése során felmerülő adatok tökéletes biztonságban vannak. Sőt, a társaságok sok esetben egészen alapvető gyakorlati biztonsági teszteket sem képesek teljesíteni, mert nem kezelik a helyén ezeket a teszteket.
Mi lehet a megoldás?
Dr. Vizi Linda elmondta: A cégeknek mindenekelőtt el kell fogadnia, hogy a megszerzett tanúsítványok a tökéletes módszertan ellenére sem garantálhatják a biztonságukat. Sok múlik a biztonsági audit alaposságán és összetettségén, ami elsősorban a bevont tanácsadó szakmai felkészültségén múlik. Nem elég a biztonsági standardok által diktált előírások mechanikus, soronkénti vizsgálata, a folyamatokat ezzel egyidejűleg átfogóan, egymással összefüggésben is célszerű vizsgálni ahhoz, hogy a teljes rendszer működéséről egységes, megbízható képet kapjunk.
De ezzel párhuzamosan a vállalat részéről is szükség van egyfajta tudatosságra, amelynek köszönhetően a vállalatvezetés nem csak az igazolás (tanúsítvány) megszerzésére, hanem a valós védettségre, biztonságos működésre is törekszik, hiszen a sikeres működés a társaság jól felfogott üzleti érdeke kell, hogy legyen.
Éppen ezért nem szabad megvárni azt sem, amíg a cég valamilyen komolyabb anyagi, vagy reputációs károkat okozó biztonsági incidens áldozatává válik – a későbbi problémák leginkább azzal védhetők ki, ha valamely új üzleti funkció, vagy szolgáltatás fejlesztésébe már a tervezési fázisban bevonják a biztonsági szakembereket, és igyekeznek mindvégig partnerként kezelni őket.
Célszerű a vállalaton belül is alkalmazni egy olyan személyt, aki képes a biztonság sérülésével járó kockázatokat idejében felismerni, és erről a megfelelő módon és időben értesíteni a menedzsmentet, de gyorsan és hatékonyan kezelni is képes az ilyen eseteket.
A nyilvánosság is segíthet
Antal Lajos hozzátette: Mivel a hazai piacon rendszerint nem kerül nyilvánosságra az, ha valamely közepes- vagy nagyvállalatot rosszindulatú informatikai támadás ér - például megzavarják a rendszereit, vagy tömeges méretekben lopnak tőle ügyféladatokat - jelenleg megbecsülni sem lehet, hogy mekkorák évente az effajta szándékos visszaélésekből eredő károk hazánkban.
A cégek zárkózottsága egyfelől érthető, hiszen nem szívesen rontanák saját reputációjukat kínos vállalati hírekkel, ám egyben veszélyes gyakorlat is, hiszen szőnyeg alá söpör olyan problémákat, amelyek ettől még léteznek. Ezek a problémák sok Magyarországon működő vállalat rengeteg ügyfelét érinthetik, de ellehetetlenítik azt is, hogy a ma még gyanútlan vállalatvezetők belássák: komoly kockázatoknak teszik ki saját vállalkozásukat, ha nem gondoskodnak a megfelelő (tanúsítványokon is túlmenő) informatikai biztonságról a társaságuknál.
Privátbankár