A közszféra it-biztonsága

Ahogy az intézményi szférában is egyre több folyamatot gépesítenek, a szervezetek mind jobban függenek informatikai rendszereiktől. Mivel a hatékonyság növelése megfelelő it-támogatás nélkül nehezen képzelhető el, sőt egyre komplexebb rendszerek alkalmazása a jellemző, a döntéshozók egyetlen választása, hogy igyekeznek felkészíteni folyamataikat és rendszereiket az elképzelhető legrosszabbra, de legalábbis az előre látható összes reális fenyegetés kezelésére. A Magyar Infokommunikációs Jelentés legfrissebb eredményei rávilágítanak, hogy bár a szervezetek döntő többsége tesz bizonyos erőfeszítéseket a kockázatok csökkentése érdekében, a biztonsági tudatosság terén számos intézmény komoly kihívásokkal küszködik.

A Jelentés adatait felszínesen szemlélők azt állapíthatják meg, hogy szinte valamennyi intézmény alkalmaz valamilyen it-biztonsági, illetve üzletmenet-folytonossági megoldást. Az adatok részletesebb elemzése azonban rámutat, hogy a biztonság megteremtése érdekében tett erőfeszítések legtöbbször kimerülnek az antivírus­szoftverek és a tűzfalmegoldások használatában. Az olyan, szofisztikáltabb védelmi megoldások, mint a rendszerhasználat és a hozzáférés naplózása vagy a behatolás-érzékelés, még az intézmények egyötödében sem terjedtek el. A mintegy 15 ezer szervezet 5 százalékánál azonban a hiányosságok alapvető szintűek. Ennél a körülbelül 750 intézménynél egyetlen számítógépen sem üzemel it-biztonsági megoldás, azaz még egy tűzfalat vagy vírusirtó megoldást sem telepítettek.

Papíron sincs meg
Gyakran hallani olyan külföldi példákat, ahol értékes – akár kormányzati – adatok gigabájtjai kerültek illetéktelen kezekbe mulasztás, szándékos károkozás vagy véletlen hiba következtében. A veszély mértékét nem könnyű becsülni, de léte bizonyosan belátható.

Ennek ellenére az it-biztonságot stratégiai szintre emelő tudatos gondolkodás csak a hazai intézmények kis hányadára jellemző. Erre utal, hogy például katasztrófa-elhárítási terve csak minden tízedik intézménynek van, de informatikai szabályzatot is csak az érintett döntéshozók egyötöde követelt meg, biztonsági auditnak pedig kevesebb mint 3 százalék vetette alá magát. Pedig a szabályozási keretek és a cselekvési tervek pontos és részletes definiálása nélkül nehezebb a számonkérés, nem beszélve arról, hogy nehezebb
előre vetíteni, mi történik, ha bekövetkezik a baj.

A részletes írásos biztonsági stratégia elkészítésének ráadásul előfeltétele az üzleti-intézményi folyamatok és az azokat támogató it-rendszerek kapcsolatainak, összefüggéseinek meghatározása, az üzletileg kritikus pontok beazonosítása, ami már önmagában is számos potenciális problémára deríthet fényt.

A magyarországi intézmények és vállalatok jellemzően csak a védelem legalapvetőbb elemeit alkalmazzák, míg a szervezet mélyebb rétegeit is átható stratégiai szemlélet igen ritka. És bár az is igaz, hogy mind az intézmények, mind a gazdálkodó szervezetek jelentősebb reprezentánsai az informatikai biztonság terén is jóval az átlag előtt járnak, az alkalmazott megoldások skálája az ő esetükben is gyakran viszonylag szűk.

Az intézményi szféra szereplőire kevés kivételtől eltekintve jellemző, hogy it-biztonsági tudatosságuk sokkal inkább az alkalmazott eszközök halmazaiban ölt testet, mint hogy a szervezet működésének egészét befolyásoló filozófiában csúcsosodna ki.