Kürt szerint a természeti katasztrófák

A közelmúltban bekövetkezett természeti és ipari katasztrófák miatt az érintett hatóságok tevékenységének hangsúlya – világszerte és hazánkban is – e veszélyek megelőzésének, hatásuk mérséklésének irányába tolódott el. A folyamat egyik jelentős és üdvözlendő lépése, hogy a parlament hétfőn elfogadta a kritikus infrastruktúrák védelméről szóló törvényt. A szabályozás illetékességi körében nagy súllyal szerepel az információbiztonság, napjaink egyik legkomolyabb kihívása.

Ha végignézzük a XXI. század eddig eltelt éveit, egymást érték a különböző, globálisan is súlyos hatású katasztrófák, amelyek szinte mindig váratlan helyzet elé állították a lakosságot és a hatóságokat. Mivel az informatika térhódítása ebben az időszakban jelentősen felgyorsult, és az informatikai hálózatok, rendszerek és adattárak a kritikus rendszerek többségében is az alapinfrastruktúra meghatározó elemét jelentik, nem meglepő, hogy valamennyi katasztrófának jelentős volt az informatikai, információbiztonsági kihatása.

Igaz ez függetlenül attól, hogy természeti vagy ipari katasztrófáról, terrortámadásról beszélünk, gondoljunk csak 2001. szeptember 11-re, a japán földrengés hatásaira vagy a Sandy hurrikán tombolásának következményeire. Tovább árnyalja a képet, hogy az elmúlt évtized volt a kiberbűnözés professzionális szintre emelkedésének az időszaka, mára mindennapossá váltak a globális nagyvállalatok és a közművek, vagyis kritikus infrastruktúrák elleni hackertámadások.

Nem véletlen, hogy ebben a közegben világszerte a középpontba került a kritikus rendszerek és infrastruktúrák védelmének kérdése, és a megoldandó feladatok között nagy hangsúllyal szerepel az információbiztonsági kockázatok csökkentése. Az új magyar törvény, amely világviszonylatban is az elsők között van, fontos lépcső a kritikus infrastruktúrák biztonságának megteremtéséhez vezető úton. A megvalósítás pontos tartalmi elemei még nem ismertek, és részben kidolgozásra várnak. Az azonban már az eddigiek alapján is elmondható, hogy a törvény hatálya alá tartozó szervezetek számára az átfogó kockázatmenedzsment a napi tevékenység részévé kell, hogy váljon. Ennek elengedhetetlen része a sérülékenységek rendszeres feltárása (legális hackelés) és a kockázatkezelő intézkedések megnevezése, végrehajtása (hardening). Mindezek jótékony hatásait nem csupán a normatív előírásoknak való megfelelés miatt érezhetik majd a szervezetek, hanem a hatékonyság javulásában, az üzletmenet, az üzleti, termelési folyamatok stabilitásának növekedésében, a biztonsági incidensek számának csökkenésében, és persze az ügyfelek elégedettségében is.

Az új törvény megvalósítása óriási feladat a hatóságok és a törvény hatálya alá tartozó szervezetek számára egyaránt. Módszertani oldalról azonban a feladat megoldható, hiszen gyakorlatilag a már nagy múlttal rendelkező kockázatmenedzsment és üzleti folyamatmenedzsment eszköztár alkalmazására van szükség. Az informatikai, információbiztonsági projektekhez képest a módszertant ki kell terjeszteni más területekre is, mint ahogy az történt például a termelés folytonosság menedzsment (PCM) esetén a KÜRT Zrt. gyakorlatában

A KÜRT története során számtalanszor vett részt a katasztrófák következményeinek elhárításában, a károk enyhítésében, mint a világ egyik vezető adatmentő vállalkozása. Ugyanakkor mindig nagy hangsúlyt kapott információbiztonsági tevékenységében és kommunikációjában a megelőzés, különös tekintettel a tágabban vett környezetükre is jelentős hatást gyakorló szervezetekre és vállalatokra. Így a KÜRT rendkívül örvendetesnek tartja a kritikus infrastruktúrák védelméről szóló törvény megszületését.