2012. június 1.

Szerző:
B. Szabó Edina

Körültekintő IT védelem

Az informatika területére vonatkozó biztonsági szabályozások éppolyan szerte­ágazóak, mint maga az informatika. A kockázati és a bevezethető biztonsági tényezők szüntelenül fejlődnek, próbálva mindig egy lépés előnyt tartani a véletlen vagy szándékos támadásokkal. Ez néha sikerül, máskor pedig nem.


A gyártási, kutatási, fejlesztési folyamatok egész sora támogatja a felhasználókat abban, hogy mind lakossági, mind vállalati szinten tartani tudják a lépést. Abban minden szakember egyetért, hogy a gondatlanság okozta rések kiváló terepet kínálnak a károkozáshoz.
Cikkünkben a szoftvereket érintő biztonsági megoldásokról, ajánlott szabályozásról olvashatnak; a gyártáshoz, kereskedelemhez kapcsolódó biztonság területe, bár szorosan az informatikához tartozik, komplexitásából adódóan külön írást érdemel.

Komplexitásról szólva természetesen a „csupán” szoftveres terület is igen kiterjedt, ezért tovább szűkítve a kört egyenesen a közepén kezdjük: a vállalati informatikai biztonsággal foglalkozunk.
A jogtiszta, licenc alapú szoftverek használatáról szót ejteni talán kár is volna, de foglaljuk össze, milyen előnyökkel jár egy ilyen megoldás. Először is a megfelelő licencszám betartása mellett a darabszámnak megfelelő garancia, az esetleges működési hibák korrigálhatósága, központi ügyfélrendszer áll a vállalatok rendelkezésére. Másodszor pedig a rendelkezésre álló biztonsági frissítések, az új verziók biztonsági protokolljainak bevezethetősége mind azt biztosítják, hogy az esetleges külső, internetes kapcsolatokon beszivárgó károkozókat lefüleljék. Ez nem csak a vírusirtó programokra igaz, az operációs és levelezőrendszerek szintén igyekeznek támogatni a felhasználók biztonsági szintjének megtartását.

Az egyedi, tematikus tervezésű szoftverek is fel vannak vértezve a kiadáskor érvényben lévő protokollok szerint, ezzel együtt az alkalmazott eszközök – PC, notebook, tablet, okostelefon – külső kapcsolatai magukban hordozzák a betörés lehetőségét. A vírusfigyelők és vírusirtó programok használata elengedhetetlen. Fontos, hogy ez ne egy alkalmi vásárlást jelentsen, ezeket is ajánlott időről időre frissíteni, kiegészíteni, képességeiket a hozzájuk kapcsolódó szolgáltatásokkal bővíteni.

A kapcsolatokat biztosító utak – eszköz-eszköz, eszköz-internet – kiválasztásánál nemcsak a megoldás, hanem az azt biztosító védelem kialakítására is törekedni kell.
A nagysebességű kapcsolatok biztosítása már minden szolgáltatónál kulcskérdés, a különbség abban nyilvánul meg, hogy mennyire gyors az a bizonyos kapcsolat, illetve hogy alapvetően milyen védelmet nyújt a felhasználók számára szerver szinten is.

Az alapvetően nem biztonságos, nyílt hálózatok használata (vezeték nélküli hálózat vagy nem titkosított hálózat) az egyik legmobilabb megoldás minden IT eszköz számára – amennyiben a látogatott oldalon életbe léptethető a HTTPS (Hypertext Transfer Protocol Secure), a titkosított kommunikációt lehetővé tevő biztonsági protokoll. Ezek az oldalak nagyobb biztonságot nyújtanak, lehetővé teszi ezt a Google vagy a Facebook is.

A felhőalkalmazásokkal egy időben kiemelt kérdéskörré nőtte ki magát az adattárolás is, hiszen első olvasatra érzékeny vállalati adatok online tárolása nem tűnik éppen kikezdhetetlen megoldásnak. Az utóbbi időben azonban nagyon sok, kifejezetten ezt kezelő szoftver került piacra, így körültekintő használat mellett a cloud computing költséghatékony támogatója lehet akár a néhány fős, akár a megavállalatoknak.
A digitális biztonság szerteágazó területe nem csupán a vírusriasztók vagy az adattárolás szintjén vált fontossá. A legutóbbi felmérések szerint elképesztő egyszerű jelszavakkal védik a vállalatok az oldalaikat, ezzel együtt pedig az adataikat, információs adatbázisaikat. Közösségi megjelenésükben pedig kifejezetten óvatlanok.

Lévai Richárd

Lévai Richárd, az RG Stúdió online marketingvezetője szerint a vállalatok biztonságát jelentő egyik legfontosabb tényező maga az ember.

A digitális vállalati biztonságról azt gondolnánk, hogy döntő százalékban a megfelelő hardver és szoftver felszereltségen múlik.
– Pedig nem, persze az is fontos. Alapvetően három területet emelhetünk ki, amikor erről beszélünk: a belső rendszer, a kifelé kommunikáló, megjelenő rendszer, valamint a kapcsolódó kommunikációs eszközök.
Kiindulópontként a legfontosabb talán az, hogy Magyarországon – de valószínűleg nemzetközileg – sem jellemző az, hogy egy vállalatnak olyan biztonsági protokollja lenne, amely kifejezetten a digitális biztonságra vonatkozik. Leginkább a külföldi multinacionális cégekre jellemző, hogy nemcsak munkavédelmi oktatásra kötelezik a dolgozóikat, hanem a digitális biztonságra vonatkozó szabályokat is átadják, betartásukat megkövetelik. Ide tartozik a jelszócsere szabályozása, hogy kinek és melyik jelszó, e-mail cím, telefonszám adható ki. Minden eljárásnak szabályozott a folyamata, ezeket pedig különböző alrendszerek is támogatják.

Itt lép be máris az emberi tényező. A leg­több hiba vagy hiányosság általában nem a rendszerekben van, hanem a dolgozókban – a vezetőkben is. Egyrészt alapvetően fontos az erős jelszavak megkötése – ne kiskutya 123 vagy asdasdasd legyen. Ami amúgy azért háromszor asd, mert már minimum nyolckarakteres jelszót követel a legtöbb informatikai rendszer… Viszont miután hosszabb és erősebb jelszavakra van szükség, a szavak bonyolódnak, ezért jönnek a postitek, azokat pedig kiteszik a monitorra. Vagy vegyük a több telephellyel rendelkező cégeket. Régebben főleg a multiknál – ahol nem feltétlenül ismerik egymást személyesen a dolgozók – esett meg például a következő típusú telefonos megkeresés: szervusz, XY vagyok az informatikáról, kérlek, mondd meg nekem a monitorodra postitezett jelszót, mert biztonsági frissítést kellene végeznem a gépeden… az emberek pedig megadják a kért információkat minden további nélkül, hiszen az informatikáról hívták őket… Hogy van-e nekik informatikai részlegük, vagy nincs, azt már nem biztos, hogy végiggondolják. Érdekes anekdoták keringenek arról, hogyan szereztek be cégek piackutatási adatokat másoktól.

A probléma alapvetően abból ered, hogy sokszor nem látjuk, milyen értékes adatokkal dolgozunk. Elég csak abból kiindulni, hogy van egy céges laptopunk, amelyen a kimutatásoktól kezdve a szerződéseken át a tervekig mindent tárolunk. Ha a gép egy gyerek kezébe kerül, ő nem feltétlenül képes kárt okozni. De ha netán a konkurenciához kerülne, feltételezhetően igen boldogok lennének, hogy mindent megtudnak egy másik cégről. A legdrágább dolog éppen ezért nem a hétszázötvenezres ujjlenyomat-figyelő laptop, hanem a dokumentáció, amit azon tárolunk. Lehet persze, hogy ez csupán 6 kilobájtot foglal el a 100 gigabájtos merevlemezen…

Mi erre a megoldás?
– Az egyik a jelszó. Egy nagyon erős jelszó, ahogy kell: kisbetű, nagybetű, szám, alulvonás és így tovább. Ha a fontos dokumentumok is jelszavas védelmet kapnak, az még erősebb védelmet nyújt.
A másik védelmi tényező a rendszeres archiválás. Legyen hivatalos rendszeresség abban, ahogy a munkát el kell menteni. A legjobb a napi archiválás. Persze, nem az adatlopásból kell kiindulni, hanem a mindennapos balesetekből: leesik, összetörik, leöntik, megbolondul a merevlemez, bármi megtörténhet. Biztosítani kell, hogy ilyen esetben az új hardver megvásárlása után minden tartalom megmarad, és egy szinkronizálással folytatni lehet a munkát.

Léteznek erre kiváló külső merevlemez-megoldások; minimális beruházással már igen komoly eszközökhöz lehet jutni, emellett kiváló célszoftverek is rendelkezésre állnak. Ezekkel semmi más dolgunk nincs azon kívül, hogy naponta összekötjük a gépet a külső winchesterrel, amely aztán elvégzi a különbségi mentést, szinkronizál, és máris védett minden. Lehet, hogy össze sem kell kötni a két eszközt, hiszen kiváló wi-fis megoldások is léteznek erre. És ez az összes munkagépen elvégezhető. Egy a munkahelyen, egy otthon vagy a laptopon. Kicsit paranoiásnak tűnhet, de érdemes átgondolni, hogy ki miket őriz a gépén, gépein…

A legbosszantóbb, legfájdalmasabb mindig az adatok elvesztése. Persze mindez olyan, mint az autóknál: ha valamit el akarnak lopni, úgyis ellopják. Kérdés, hogy mennyire nehezítjük meg a tolvajok dolgát.

Mit tartalmazzon egy informatikai biztonsági szabályzat?
– Protokollszinten érdemes egyszerű megoldásokkal és főleg automatizmusokkal operálni. Ezek sosem bonyolultak, de rájuk kell szánni egy kis időt, hogy ha egyszer elmegy a rendszergazda, akkor se álljon meg a cég… Olyan ez, mint az arculati kézikönyv, csupán az informatikai biztonságra vonatkozik.

Rengeteg dolog van, amire nem gondolnak a cégek. Az alap mindehhez a biztonsági szabályzat. Tűzvédelmi, munkavédelmi szabályzat mindenhol van, működési szabályzatot is készítenek, van szabályzat a logisztikára és minden olyan folyamatra, amely szerves részét képezi a vállalati működésnek. Az IT biztonságot azonban hajlamosak le- vagy inkább félrekezelni. Pedig nem feltétlenül kell ezekre belső embert alkalmazni, hiszen általában ügyvéd vagy könyvelő sincs a cég alkalmazásában, erre ugyanúgy találhatunk kiváló külső szakembereket.

Tehát alapvetően szükséges a belső IT biztonságot megteremteni a jelszókiadástól az e-mail archiváláson át az online felületek használatáig. Ez utóbbi nem a cenzúra, vagy a „munkaidőben tilos netezni” elvének érvényesítését jelenti, csupán a megfelelő biztonsági protokollok betartását követeli meg.
Ezt követi az irodán, telephelyen kívül folytatott munka, ide tartozik természetesen a telefonos biztonság is.
És végül a megjelenés kezelése: milyen a weboldal, milyen a biztonsága, ki fér hozzá, vagy a közösségi, interaktív megjelenésre vonatkozó szabályok. Ez utóbbi úgy tűnik, egyszerű kommunikációs előírás, de mivel ez a kommunikáció az interneten zajlik, ugyanúgy részét kell képezze a vállalati IT biztonságnak.

Egyébként külön probléma – s ezt egyre többen belátják –, hogy ma már elengedhetetlen a külső kommunikáció. Ki tud, kinek és miért van joga kommunikálni egy cég életében, kinek, hol milyen engedélyezésre van szüksége? Mindezt elegendő egyszer átgondolni, és persze nincs szükség harmincoldalas szabályzatra. Kifejezett „katasztrófahelyzetben” azonban mindennek igencsak érezhető a hiánya, amikor nincs meg az a folyamatleírás, amelyik ilyen esetekben kézikönyvként, útmutatásként szolgálhat: kit mikor kell riasztani, kinek mikor kell beavatkoznia, melyik sablont kell elővenni a fiókból. Ezek olyan egyszerű dolgok, amikre egy weboldal-élesítés vagy egy kampány indítása előtt több idő van felkészülni, mint éles helyzetben. Aztán persze előfordulhat, hogy nem lesz rá szükség, és inkább ne is legyen.

Ha egy cég elkészíti és betartja a szükséges protokollt az összes gépén, telephelyén, komoly saját admi­nisztrációs rendszere van, stb. nyugodt lehet?
– Nem, az IT biztonsághoz számtalan terület tartozik még. Tegyük fel, hogy a cég webáruházat is üzemeltet, ekkor az ügyfelek adatait is meg kell védeni. Arról nem is beszélve, hogy ha valaki „betör” a webáruházba, és elkezdi az árakat átírogatni a weblapon, az nem feltétlenül örömteli dolog. Ez még akkor is minimum kellemetlen, ha az ügy­felek megértőek. Aztán, ha mondjuk ez olyan webáruház, amelyik össze van kapcsolva a belső rendszeremmel, hogy az ott tárolt adatokkal is kommunikálhasson, annak feltörése nagyon komoly következménnyel járhat.

Mindezt fordítva is át kell gondolni. Mi történik, ha a cég kommunikál ezeken az oldalakon? Az egyik legkényesebb kérdés az adatbiztonság. Ez túlmisztifikált terület, pedig egyszerűen csak érdemes tisztában lenni azzal, hogy ha rámegyünk egy weboldalra, az bizony adatokat fog gyűjteni rólunk. A weboldal és a kapcsolódó közösségi oldalak is, ha vállalati szerverről, vagy vállalati e-maillel regisztrálunk, akkor is. Ha a weboldal profi, ezt úgy csinálja, hogy a látogató ne tudjon róla. (Természetesen az oldal adatvédelmi szabályzatában minden ezekkel kapcsolatos folyamatot meg kell említeni.) Ha felteszünk a weboldalra egy közösségi, megosztási funkcióval rendelkező dobozt vagy akár egy Google térképet, YouTube videót, ezeket kiválóan lehet adatgyűjtésre használni, felmérni az internetes piacot, a látogatóinkat. Ez persze nem elsősorban az oldal gazdájának jó, hanem a Google-nak, a Facebooknak stb. Amikor internetezünk, annyi és olyan adatot gyűjtenek rólunk, amennyit csak mi magunk tudunk magunkról.

Tulajdonképpen nagyon izgalmas világ ez, és mind a személyes, mind a vállalati védelemhez kiemelten hozzátartozik, hogy a felhasználó mindig pontosan tisztában legyen azzal, hogy mi miért történik az interneten.

Logikus: ha én gyűjthetek adatokat, rólam is gyűjtenek egyforma jogokkal és kötelezettségekkel…
– Igen, erre általában nem gondolunk vállalati szinten. Ráadásul, ha a cég weblapja adatokat tárol, akkor azokat egyrészt a legmagasabb fokon kötelessége megvédeni, másrészt meg közölnie kell, hogy adatokat gyűjt és tárol a látogatókról, valamint, hogy mire használja azokat. Egyébként ettől a ponttól a közösségi oldalak és weboldalak 90 százaléka hibás, mert nem tartja be a magyar adatvédelmi törvényeket. Érdemes adatvédelmi szakértőkkel konzultálni.

Tegyük fel, hogy egy vállalat alapvetően „csupán” dolgozni szeretne, és tegyük fel, hogy nem IT területen működik, hogy tisztában legyen minden kockázati tényezővel. Az elmondottak alapján szükségük van egy rendszergazdára, egy biztonsági protokollra és oktatásra, egy adatvédelmi szakemberre, és úgy tűnik, hogy még sok minden másra…
– Igen, így lenne optimális. De azért annyira nem vészes ez, hiszen az egyik legfőbb része mindennek a „józan paraszti ész”, amivel sok gondot meg lehet előzni: legyenek annyira paranoiásak, hogy ha valaki elkér egy adatot, legalább rákérdeznek a felhasználás céljára.

A másik: fel kell ismerni, hogy ami a saját gépeimen, a vállalati gépeken van, az igenis nagyon értékes dolog. Felmerül néha a kérdés: hogyan tudom megvédeni a lopástól a weboldalamon vagy a közösségi oldalamon található adatokat? Sehogy. És minden adattal így van ez. Ezért nem szabad feltenni szupertitkos adatokat online tárolásra, vagy olyan minőségben kell elhelyezni azokat, hogy avatatlan ne menjen vele sokra. A cél legyen egyértelműen a támadások megnehezítése.

Ha már közösségi oldalak…
– Ez szintén nagyon izgalmas terület. Az biztos, hogy mindent tudnak rólunk – csak éppen nem biztos, hogy mindenki ugyanazokat az információkat tudja. Sokan nem gondolnak bele abba, hogy a néha huszonöt gigabájt ingyen tárhelyért mit kér cserébe például a Google. Vagy hogy a Facebook ingyenes levelező, csevegő, lájkoló, feltöltő funkciói miért költségmentesek egy vállalat számára is. Minden megállapodás, amelyet elfogadunk, amikor regisztrálunk valamelyik oldalra, arról szól, hogy adatainkkal fizetünk a szolgáltatásokért. Gondoljuk végig, miért érné meg a Google-nak dollármilliókat fektetni egy szerverparkba? Elgondolkodtató az a megállapítás: ha valamiért nem fizetsz, akkor te magad vagy a termék. Persze ennek megnehezítéséhez sem kell varázslónak lennünk, csupán alkalmaznunk kell az oldalak által kínált adatvédelmi és biztonsági beállításokat. Egyszer kell végigvezetni, néha nem árt frissíteni, de sok kellemetlenségtől megkíméljük magunkat és a vállalatot is.

Azt is el kell fogadnunk, hogy ha valami történik velünk, a céggel kapcsolatban, ha kapcsolatba lépünk emberekkel, utána valószínűleg ugyanúgy ránk keresnek, mint ahogyan mi tesszük az ő esetükben. Interjú után, vacsora előtt, üzletkötés előtt, ajánlatkészítés előtt. Online keresnek a HR-esek, a konkurencia, az ismerősök ismerőseinek ismerősei. Ráadásul egyre több nyilvános vállalati vagy pénzügyi adatbázis elérhető az interneten. Legyen ennek az egyik tanulsága, az egyik következménye az, hogy időnként mi magunk is rákeresünk a cégünkre, a nevünkre. Tudjuk meg mit, mikor és ki ír rólunk.
Rendkívüli fegyver lehet ez az ügyfélkezelésben, hiszen azonnal lehet reagálni akár a rossz, akár a jó véleményekre.

Kicsit mindent tanulni kell. Éppúgy, ahogyan teljesen normális az, hogy autóvezetés előtt rengeteget tanulunk, vizsgázunk. Más kérdés, hogy ez az informatikai és online műfajban nem kötelező, de azt gondolom, hogy előbb-utóbb el kell kezdeni például azt megtanítani, hogy mit kivel szabad megosztani. Nem a hogyant, mert az nagyon egyszerű, hanem hogy minek milyen következménye lehet. Ha lenne ilyen típusú oktatás, jóval fegyelmezettebb dolgozói, vezetői közösségek lennének. Ma már attól is tartanunk kell, hogy fel ne vegyenek és meg ne osszanak rólunk valami kompromittálót. Ugyanez vonatkozik a vállalati élet szereplőire: dolgozói és vezetői szinten egyaránt. Az internet pedig nem felejt, ha valaki elég elszánt, egy sok­szor törölt és többéves fényképet, videót, cikket is képes előkeresni bárkiről.•


 
Archívum
 2011  2012  2013  2014  2015  2016  2017  2018  2019  2020  2021  2022
Címkék

Innotéka