Figyelőnet
Létezik-e IT-biztonság?
Az informatikai biztonság a XXI. század egyik legégetőbb problémájává kezd válni, amire ékes bizonyíték az ezen a területen tevékenykedő cégek minden átlagot meghaladó piaci növekedése. Mivel a vállalati adatok biztonságát legjobban maga a felhasználó veszélyezteti, a hardver- és szoftverkörnyezet fejlesztése mellett fontos az emeberek képzése is.
A szolgáltató cégek elkötelezettsége megkérdőjelezhetetlen, sőt az ügyfelek is egyre komolyabban veszik az informatikai biztonság kérdését, de a nyugat-európai szinttől még messze járunk. Annak ellenére, hogy a magyarországi piac némi lemaradásban van a világszinthez képest, itthon is megtalálható minden, a területen érintett profil a rendszerintegrátoroktól, az antivírus cégeken keresztül a tanácsadókig és a megoldásszállítókig. A piac méretét nehéz megbecsülni, hiszen attól függ, milyen megoldásokat sorolunk ide. Becslések azonban arról szólnak, hogy a tavalyi évi 5-10 milliárd forintos költéshez egy igen dinamikus 10-20 százalékos növekedési ráta tartozik, de nem ritka a komplex tevékenységet nyújtó cégek esetében az 50 százalékos növekedés sem.
A rendszerintegrátorok piacán nagyrészt külföldi multicégek és hazai középcégek szerepelnek, az utóbbi általában szűkebb tevékenységi körrel. A számos mikroszereplő mellett, 3-5 fős tanácsadó cégek, többszáz fős vállalatok is helyet foglalnak maguknak, akár 100 milliós nagyságrendű bevételt kihasítva az IT-biztonsági tortából.
Több más területhez hasonlóan az IT-biztonság is az integrált szolgáltatások felé hajlik, hiszen a szétaprózott, nem eléggé konzisztens rendszerek elemei egyenként hiába kínálnak szinte tökéletes védelmet, a kompatibilitási és egyéb problémák önmagukban is veszélyforrásként jelentkezhetnek.
Konkoly-Thege Szabolcs, a Symantec hazai vezetője szerint cégük is felismerte ezt az igényt, így évekkel ezelőtt akvizíciókba kezdtek (Veritas, SyGate, IMILogic, Relicore, Blindview), hogy az egyes komponensek összehangolt működését megteremtsék, illetve korábban nem létező integrált szolgáltatásokat hozzanak létre. Az ehhez hasonló folyamatok eredményeképp a következő években az informatikai rendszerek rendelkezésre állása és biztonsága látványos fejlődésen fog keresztül menni.
A korábbi évek IT-biztonsággal foglalkozó fórumai újabb és újabb rosszindulatú megoldásokról számolnak be, mára némileg lelassult az új fajok kifejlődése, az arányok viszont évről-évre tolódnak. Keleti Arthur, az ICON Rt. IT-biztonsági vezetője szerint "a támadások típusai alapvetően nem változnak. Talán szervezettebb, profibb vírusok, férgek és más kórokozók megjelenése a valószínűbb, illetve olyan emberi hibákat kihasználó és személyi adatokat fenyegető támadások, mint az úgynevezett "phising" vagy az "identity theft", amelyek az informatikai biztonsági hiányosságokat kihasználva jutnak eredményre.
Az év "sláger-támadástípusa" egyértelműen a phishing, azaz adathalászat volt, aminek az előfordulása 81 százalékkal növekedett, de a legelterjedtebb, az elővigyázatos cégek számára veszély helyett már inkább kellemetlenségnek számító spamek száma is további 50 százalékkal nőtt világszinten. Az újabb generációs támadások, mint az identity theft (azonosító lopás), esélyeit javítja, hogy számos hardware-eszköz sérülékenynek bizonyul ezek ellen.
A Symantec csak az idei első fél évben 2249 ilyen gyenge pontot fedezett fel, ami figyelembe véve a gyártók és a palettáikon lévő eszközök számát, túl sok. Ugyanakkor több független szakértő gondolja úgy, hogy az IT Security egy túlmisztifikált, túldimenzionált terület, melyben a kompetens cégek kihasználva a helyzet újszerűségét, az indokoltnál jóval nagyobb költésre, túlbiztosításra sarkallják a vevőiket.
A fenti kijelentés természetesen nem jelenti azt, hogy nem szükséges nagyarányú befektetés. Sőt, a leggyakoribb döntéshozói hiba, hogy a vállalatok "belefagynak" a korábbi biztonsági beruházások okozta hamis biztonságérzetbe, így a potenciális veszélyek elhárítása már a vezetőségi szinten elakad. Sokszor el sem jutnak a kockázatelemzés szintjéig, ami egyébként újabb hibalehetőség, hiszen a rosszul felmért igény torzíthatja a valóságot, rossz pontokon védekeznek erőteljesen. Így költhetnek magas összegeket védelemre, az valószínűleg mégsem lesz hatékony.
További hibalehetőség a kiépített, megfelelő rendszer melletti szakemberhiány. A legjobb eszközök sem képesek megfelelő üzemeltetés és felügyelet nélkül kellő védelmet nyújtani. A jogosultságok és a naplóállományok kezelése folyamatos kontrollt igényel. Hiába követeli meg az előírt házirend a vírusvédelmi szoftver telepítését és frissítését, ha a betartása nincs kikényszerítve, akkor akár egyetlen rosszul beállított munkaállomás is komoly károkat okozhat.
Az informatika nagyfokú biztonsági igényeit jelzi például a MasterCard esete: a tavalyi év egyik legnagyobb botránya volt a közel 40 millió folyószámlát érintő adatlopási fiaskó. Az ehhez hasonló vállalati vagy információs vagyon felett őrködő rendszerek védtelensége, az adatok megsemmisülése, torzulása, illetéktelen kezekbe való kerülése nemcsak komoly anyagi veszteséget jelent, hanem akár személyiségi jogokat is sérthet. Ugyanakkor a kisebb, kevésbé értékes adatokat kezelő rendszerek sincsenek biztonságban. Ezeket a hackerek ugródeszkának tekintik, felépítve kisebb klienshálózatokból összehangolt támadásra képes BotNet-et vagy éppen vírustenyészetté alakítva azt korlátlanul terjeszkedhet tovább, veszélybe sodorva a cég saját belső biztonságán túl partneri rendszereit is.
A vállalati szektor ilyen irányú fejlődéséhez viszont elkerülhetetlen, hogy maguk a dolgozók, az ügyfelek, a lakosság általában szintén fokozatosan lépjenek előre a biztonságtudatosság kérdésében. Ehhez a multinacionális cégek szerint is állami segítségre van szükség, hisz a vállalati szektorhoz képest az otthoni fogyasztó nem jelent akkora piacot. Az előírások, szabványok, rendeletek kiterjesztésével egy biztonságos, egységes államigazgatási közeg jöhet létre, aminek köszönhetően az állampolgárok gyorsabb, kényelmesebb és kevesebb pénzből megvalósított szolgáltatásokat vehetnek igénybe.
Másrészt állami feladatnak tartja a szakma a lakosság, főleg az ifjúság informatikai biztonságtudatosságra nevelését, információvédelmi képzését. Míg a felhasználó számára a fentebb sorolt ártó tartalmak, a naivitáson és megtévesztésen alapuló támadások jelentik a veszélyt, addig a vállalati adatok biztonságát, épp a fentebb soroltak miatt, legjobban maga a felhasználó veszélyezteti. Így a hardver- és szoftverkörnyezet fejlesztése mellett kritikusan fontos feladat marad a monitor előtt ülő ember képzése is.
A szolgáltató cégek elkötelezettsége megkérdőjelezhetetlen, sőt az ügyfelek is egyre komolyabban veszik az informatikai biztonság kérdését, de a nyugat-európai szinttől még messze járunk. Annak ellenére, hogy a magyarországi piac némi lemaradásban van a világszinthez képest, itthon is megtalálható minden, a területen érintett profil a rendszerintegrátoroktól, az antivírus cégeken keresztül a tanácsadókig és a megoldásszállítókig. A piac méretét nehéz megbecsülni, hiszen attól függ, milyen megoldásokat sorolunk ide. Becslések azonban arról szólnak, hogy a tavalyi évi 5-10 milliárd forintos költéshez egy igen dinamikus 10-20 százalékos növekedési ráta tartozik, de nem ritka a komplex tevékenységet nyújtó cégek esetében az 50 százalékos növekedés sem.
A rendszerintegrátorok piacán nagyrészt külföldi multicégek és hazai középcégek szerepelnek, az utóbbi általában szűkebb tevékenységi körrel. A számos mikroszereplő mellett, 3-5 fős tanácsadó cégek, többszáz fős vállalatok is helyet foglalnak maguknak, akár 100 milliós nagyságrendű bevételt kihasítva az IT-biztonsági tortából.
Több más területhez hasonlóan az IT-biztonság is az integrált szolgáltatások felé hajlik, hiszen a szétaprózott, nem eléggé konzisztens rendszerek elemei egyenként hiába kínálnak szinte tökéletes védelmet, a kompatibilitási és egyéb problémák önmagukban is veszélyforrásként jelentkezhetnek.
Konkoly-Thege Szabolcs, a Symantec hazai vezetője szerint cégük is felismerte ezt az igényt, így évekkel ezelőtt akvizíciókba kezdtek (Veritas, SyGate, IMILogic, Relicore, Blindview), hogy az egyes komponensek összehangolt működését megteremtsék, illetve korábban nem létező integrált szolgáltatásokat hozzanak létre. Az ehhez hasonló folyamatok eredményeképp a következő években az informatikai rendszerek rendelkezésre állása és biztonsága látványos fejlődésen fog keresztül menni.
A korábbi évek IT-biztonsággal foglalkozó fórumai újabb és újabb rosszindulatú megoldásokról számolnak be, mára némileg lelassult az új fajok kifejlődése, az arányok viszont évről-évre tolódnak. Keleti Arthur, az ICON Rt. IT-biztonsági vezetője szerint "a támadások típusai alapvetően nem változnak. Talán szervezettebb, profibb vírusok, férgek és más kórokozók megjelenése a valószínűbb, illetve olyan emberi hibákat kihasználó és személyi adatokat fenyegető támadások, mint az úgynevezett "phising" vagy az "identity theft", amelyek az informatikai biztonsági hiányosságokat kihasználva jutnak eredményre.
Az év "sláger-támadástípusa" egyértelműen a phishing, azaz adathalászat volt, aminek az előfordulása 81 százalékkal növekedett, de a legelterjedtebb, az elővigyázatos cégek számára veszély helyett már inkább kellemetlenségnek számító spamek száma is további 50 százalékkal nőtt világszinten. Az újabb generációs támadások, mint az identity theft (azonosító lopás), esélyeit javítja, hogy számos hardware-eszköz sérülékenynek bizonyul ezek ellen.
A Symantec csak az idei első fél évben 2249 ilyen gyenge pontot fedezett fel, ami figyelembe véve a gyártók és a palettáikon lévő eszközök számát, túl sok. Ugyanakkor több független szakértő gondolja úgy, hogy az IT Security egy túlmisztifikált, túldimenzionált terület, melyben a kompetens cégek kihasználva a helyzet újszerűségét, az indokoltnál jóval nagyobb költésre, túlbiztosításra sarkallják a vevőiket.
A fenti kijelentés természetesen nem jelenti azt, hogy nem szükséges nagyarányú befektetés. Sőt, a leggyakoribb döntéshozói hiba, hogy a vállalatok "belefagynak" a korábbi biztonsági beruházások okozta hamis biztonságérzetbe, így a potenciális veszélyek elhárítása már a vezetőségi szinten elakad. Sokszor el sem jutnak a kockázatelemzés szintjéig, ami egyébként újabb hibalehetőség, hiszen a rosszul felmért igény torzíthatja a valóságot, rossz pontokon védekeznek erőteljesen. Így költhetnek magas összegeket védelemre, az valószínűleg mégsem lesz hatékony.
További hibalehetőség a kiépített, megfelelő rendszer melletti szakemberhiány. A legjobb eszközök sem képesek megfelelő üzemeltetés és felügyelet nélkül kellő védelmet nyújtani. A jogosultságok és a naplóállományok kezelése folyamatos kontrollt igényel. Hiába követeli meg az előírt házirend a vírusvédelmi szoftver telepítését és frissítését, ha a betartása nincs kikényszerítve, akkor akár egyetlen rosszul beállított munkaállomás is komoly károkat okozhat.
Az informatika nagyfokú biztonsági igényeit jelzi például a MasterCard esete: a tavalyi év egyik legnagyobb botránya volt a közel 40 millió folyószámlát érintő adatlopási fiaskó. Az ehhez hasonló vállalati vagy információs vagyon felett őrködő rendszerek védtelensége, az adatok megsemmisülése, torzulása, illetéktelen kezekbe való kerülése nemcsak komoly anyagi veszteséget jelent, hanem akár személyiségi jogokat is sérthet. Ugyanakkor a kisebb, kevésbé értékes adatokat kezelő rendszerek sincsenek biztonságban. Ezeket a hackerek ugródeszkának tekintik, felépítve kisebb klienshálózatokból összehangolt támadásra képes BotNet-et vagy éppen vírustenyészetté alakítva azt korlátlanul terjeszkedhet tovább, veszélybe sodorva a cég saját belső biztonságán túl partneri rendszereit is.
A vállalati szektor ilyen irányú fejlődéséhez viszont elkerülhetetlen, hogy maguk a dolgozók, az ügyfelek, a lakosság általában szintén fokozatosan lépjenek előre a biztonságtudatosság kérdésében. Ehhez a multinacionális cégek szerint is állami segítségre van szükség, hisz a vállalati szektorhoz képest az otthoni fogyasztó nem jelent akkora piacot. Az előírások, szabványok, rendeletek kiterjesztésével egy biztonságos, egységes államigazgatási közeg jöhet létre, aminek köszönhetően az állampolgárok gyorsabb, kényelmesebb és kevesebb pénzből megvalósított szolgáltatásokat vehetnek igénybe.
Másrészt állami feladatnak tartja a szakma a lakosság, főleg az ifjúság informatikai biztonságtudatosságra nevelését, információvédelmi képzését. Míg a felhasználó számára a fentebb sorolt ártó tartalmak, a naivitáson és megtévesztésen alapuló támadások jelentik a veszélyt, addig a vállalati adatok biztonságát, épp a fentebb soroltak miatt, legjobban maga a felhasználó veszélyezteti. Így a hardver- és szoftverkörnyezet fejlesztése mellett kritikusan fontos feladat marad a monitor előtt ülő ember képzése is.