Dojcsák Dániel
Szigorúan bizalmas szemléletváltás
Az internet biztonság és az adatbiztonság az elmúlt évek egyik divatszavává vált az informatikában, s bár korábban a vállalati szektorban főként a nagyobb szereplők és a sokgépes hálózatokat üzemeltetők hobbija volt az ilyen irányú fejlesztés, mára már mérettől függetlenül egyre több elkötelezett híve van a témának, még akkor is ha a megoldáshoz vezető út nehéz és rögös.
A hálózati biztonság (h)őskorában csupán néhány fanatikus rendszergazda megszállottsága volt a rendszerek vírus és behatolás elleni védelmének megoldása. Néhány évvel ezelőtt viszont már szinte minden IT szakember igyekezett részt venni a védekezésben, mostanra pedig szinte első számú prioritássá vált a vállalati környezetek legalább a minimum sztenderdekkel való felvértezése.
A hazai piacokon legalább két cégtípus van, akik kényszerűségből is kell, hogy védekezzenek, mégpedig a pénzpiaci szereplők, bankok, biztosítók, hitelintézetek, hiszen a PSZÁF (Pénzügyi Szervezetek Állami Felügyelete) kemény, szigorú előírások betartására kötelezi őket. Továbbá az amerikai tőzsdéken jegyzett cégek leányvállalatai az anyacégre kötelező előírásokat kénytelenek betartani, ami szintén komoly IT Security fegyelmet követel meg tőlük.
Manapság a legféltettebb üzleti titkokat is elektronikus formában tárolják a vállalatok, melyek a cég IT biztonsági környezeti fejlettségének függvényében veszélybe kerülhetnek, ami közvetlenül veszélyeztetheti az adott társaság napi működését is. Továbbá nem elhanyagolható az a tény sem, hogy ezen vállalatok számtalan ügyfélinformációt, adatot tárolnak, melyek védelméről illene gondoskodniuk és arról még nem is esett szó, hogy az ellenőrző szervek igenis megkövetelhetik a működés precíz naplózását, ami alapján fény derülhet a simlis esetekre.
"Míg korábban kizárólag a nagyvállalatok fordítottak figyelmet informatikai rendszereik védelmére, ma már a cégek biztonság iránti igényét nem a méret határozza meg. A kis- és közepes vállalatoknak is egyre inkább szem előtt kell tartaniuk a törvényi előírásokat és szabályozásokat, valamint mindazon kockázatokat, amelyek kritikus fontosságú üzleti adataik biztonságát veszélyeztetik és ezáltal kihatással lehetnek üzletmenetükre" - mondta el Dr. Kőrös Zsolt, a Noreg Kft. ügyvezető igazgatója.
Számos olyan vállalat is jelentkezik az IT biztonsági megoldások alkalmazására, akiknek erre nincs igazából törvényi kötelezettségük, viszont a józan ész azt diktálja számukra, hogy tartsanak lépést a fejlődéssel. A korábbi tapasztalatok azt mutatták, hogy a nagyvállalatok éppen csak a minimális törvényileg előírt kötelezettségeket teljesítik, gyakorlatilag kipipálnak minden elvárást anélkül, hogy valós hasznot remélnének bármelyik fejlesztésből, de a bölcsebb vállalati vezetők képesek hasznot húzni ezekből.
Eddig szinte kivétel nélkül katasztrófaterveket kértek a vállalatok a biztonsági megoldásokat kínáló cégektől, de egyre szaporodik a proaktív felkérések száma, ahol a cél nem egy esetlegesen bekövetkező világvége hangulatú kár esetére készülő forgatókönyv létrehozása, hanem egy olyan környezet kialakítása, ahol elkerülhetővé válik a katasztrófa és minden esetben biztosítható a cég megszokott munkamenete. Így a szokásos vírus- és spam-, hálózati behatolás védelem mellett növekszik az igény minden szegmensben a komplex audit+tanácsadás típusú szolgáltatásokra, előtérbe került az üzletbiztonság fogalma.
A korábban említett pénzügyi felelősséggel bíró cégek esetében pedig a szabályozások bonyolultsága, az elvárások szigorodása is elősegíti a téma fejlődését, aminek a biztonsági megoldást nyújtó cégek őszintén örülnek, hiszen egy bizonyos szintig minél bonyolultabb a szabályozás, annál több tanácsadásra és megoldásra van szükség, ami számukra bevételnövekedést generál. A Nasdaq-on jegyzett vállalatokra például kötelező érvényű, évente megújítandó IT biztonsági auditra van szükség (Sarbanes-Oxley - SOX), illetve az ISO tanusítványokért ácsingózó vállalatoknak is egyre komolyabb minőségbiztosítási megoldásoknak kell megfelelni.
Alapvető elvárás például az ilyen esetekben a logelemzési megoldások használata, ami homogén informatikai környezetben nem túl bonyolult feladat, hiszen számos megoldás készül a dobozos termékek naplózásának rendszerezésére. Viszont olyan esetekben, ahol egy testreszabott, egyedi fejlesztésekkel tarkított heterogén rendszer adja a gerincét a vállalatnak, ráadásul a különböző IT rendszerek nincsenek összekötve, ott szinte lehetetlen már meglévő terméket vásárolni az elvárások teljesítéséhez, az egyedi fejlesztés, pedig akár több tízezer dolláros befektetést is kívánhat. Viszont egy ilyen működő megoldás akár a kötelező ellenőrzésen túl hétköznapi problémákra is megoldás lehet. Egy integrált rendszerben például feltűnik, hogy a már két hete táppénzen lévő dolgozó alkalmanként miért jelentkezik be a vállalati loginjével, ami akár egy figyelmeztető jel lehet a biztonsági résekre.
A kötelező érvényű fejlesztések mellett a hazai vállalati IT Security trendjeiben főszerepet fog kapni a jogosultságkezelés, a személyazonosság alapú hozzáférés kezelés, illetve a középvállalatok komplex biztonsági megoldásainak elterjedése. A középvállalatok (kb. 100 fő) kérdése azért válik kritikussá, mert már rendelkeznek egy olyan IT háttérrel, ami veszélyforrás lehet, de speciálisan képzett szakértőgárda és az ehhez szükséges vállalati kompetencia nem áll rendelkezésre. Ezekben az esetekben a szolgáltatóknak olyan megoldással kell előrukkolniuk, ami a vállalat számára külön plusz erőforrások és magyarázatok nélkül nyújt megoldást, olyan megoldást, ami működőképesen tartja a vállalatot.
Szintént kiemelt téma az elektronikus aláírás kérdése, amivel kapcsolatban Dr. Kőrös Zsolt kissé óvatosan azt mondta, hogy "kezd körvonalazódni az elterjedésének a lehetősége". Itt elsősorban a törvényi szabályozás lassította le a folyamatokat, ráadásul a döntés pillanatában anno nem tudtak megegyezni egy egységes szerkezetben. Így alakulhatott ki, hogy a ma akkreditált négy elektronikus aláírást kiadó szervezet között vajmi kevés kapocs van. Olyan anomáliák is sokkolják a piacot, hogy a szolgáltatóktól az elektronikus tanusítványt már megszerző vállalat amikor használja azt, kénytelen egy visszacsatolást kérni arról, hogy azt a tanusítványt valóban számára adták ki. Ez egész Európában egyedülálló plusz teher, amihez egy egyedi protokollt kellett kifejleszteni, csupán a döntéshozók döntésképtelensége miatt. A már nem létező IHM iránymutatásai viszont érvényesek jelenleg is, a jelenlegi kormányzat egyelőre nem bolygatta még meg ezt a témát.
Az elektronikus aláírás használatára áttérő vállalatok választhatnak két megoldás közül. Egyrészt igénybe vehetnek a szolgáltatók által kifejlesztett megoldásokat, melyet gyakorlatilag termékként vásárolnak meg, ezzel viszont a rendszerük nyitottá válik, hiszen a szolgáltató számára kaput kell nyitni a tanusítványok kezelése céljából. A másik megoldás - amit főként a nagyobb szereplők és az adataikat féltők választanak - a saját rendszer létrehozása, ami jóval bonyolultabb és drágább megoldás. Ugyanakkor a kisebb cégeknek nem érdemes, éppen a nagyobb költségek miatt, saját rendszerben gondolkodni, sőt a zárt változatnak megvan az a hátránya is, hogy nem lesz kompatibilis a többi szereplő felé. Ennek feloldására jött létre egy hibrid verzió, ahol a zárt PKI (Public Key Infrastructure) rendszert egy nagyibb szabványhoz láncolják hozzá a kompatibilitás érdekében.
A piaci változások tehát folyamatos innovációra ösztönzik a vállalatokat és az információbiztonsággal foglalkozó szolgáltatókat is, viszont a megnövekedett (adó)terhek és a jogszabályi szigorítások rögössé teszik ennek az innovációnak az útját. Azt mondják a remény hal meg utoljára, de amennyiben a vállalati IT biztonság szerepének kommunikációja nem tud megerősödni, akkor nehezen képzelhető el, hogy markánsan lejjebb megy az a szint, ahol tudatosan és szervezetten veszik igénybe ezeket az eszközöket. A következő években elérhető uniós támogatások, melyek a vállalatfejlesztés területén jelennek meg, többnyire IT fejlesztéseket is előírnak, így ha mesterségesen is, de előbb-utóbb gyökeret ver a tudatosság a kisebb szereplők fejében is.
A hálózati biztonság (h)őskorában csupán néhány fanatikus rendszergazda megszállottsága volt a rendszerek vírus és behatolás elleni védelmének megoldása. Néhány évvel ezelőtt viszont már szinte minden IT szakember igyekezett részt venni a védekezésben, mostanra pedig szinte első számú prioritássá vált a vállalati környezetek legalább a minimum sztenderdekkel való felvértezése.
A hazai piacokon legalább két cégtípus van, akik kényszerűségből is kell, hogy védekezzenek, mégpedig a pénzpiaci szereplők, bankok, biztosítók, hitelintézetek, hiszen a PSZÁF (Pénzügyi Szervezetek Állami Felügyelete) kemény, szigorú előírások betartására kötelezi őket. Továbbá az amerikai tőzsdéken jegyzett cégek leányvállalatai az anyacégre kötelező előírásokat kénytelenek betartani, ami szintén komoly IT Security fegyelmet követel meg tőlük.
Manapság a legféltettebb üzleti titkokat is elektronikus formában tárolják a vállalatok, melyek a cég IT biztonsági környezeti fejlettségének függvényében veszélybe kerülhetnek, ami közvetlenül veszélyeztetheti az adott társaság napi működését is. Továbbá nem elhanyagolható az a tény sem, hogy ezen vállalatok számtalan ügyfélinformációt, adatot tárolnak, melyek védelméről illene gondoskodniuk és arról még nem is esett szó, hogy az ellenőrző szervek igenis megkövetelhetik a működés precíz naplózását, ami alapján fény derülhet a simlis esetekre.
"Míg korábban kizárólag a nagyvállalatok fordítottak figyelmet informatikai rendszereik védelmére, ma már a cégek biztonság iránti igényét nem a méret határozza meg. A kis- és közepes vállalatoknak is egyre inkább szem előtt kell tartaniuk a törvényi előírásokat és szabályozásokat, valamint mindazon kockázatokat, amelyek kritikus fontosságú üzleti adataik biztonságát veszélyeztetik és ezáltal kihatással lehetnek üzletmenetükre" - mondta el Dr. Kőrös Zsolt, a Noreg Kft. ügyvezető igazgatója.
Számos olyan vállalat is jelentkezik az IT biztonsági megoldások alkalmazására, akiknek erre nincs igazából törvényi kötelezettségük, viszont a józan ész azt diktálja számukra, hogy tartsanak lépést a fejlődéssel. A korábbi tapasztalatok azt mutatták, hogy a nagyvállalatok éppen csak a minimális törvényileg előírt kötelezettségeket teljesítik, gyakorlatilag kipipálnak minden elvárást anélkül, hogy valós hasznot remélnének bármelyik fejlesztésből, de a bölcsebb vállalati vezetők képesek hasznot húzni ezekből.
Eddig szinte kivétel nélkül katasztrófaterveket kértek a vállalatok a biztonsági megoldásokat kínáló cégektől, de egyre szaporodik a proaktív felkérések száma, ahol a cél nem egy esetlegesen bekövetkező világvége hangulatú kár esetére készülő forgatókönyv létrehozása, hanem egy olyan környezet kialakítása, ahol elkerülhetővé válik a katasztrófa és minden esetben biztosítható a cég megszokott munkamenete. Így a szokásos vírus- és spam-, hálózati behatolás védelem mellett növekszik az igény minden szegmensben a komplex audit+tanácsadás típusú szolgáltatásokra, előtérbe került az üzletbiztonság fogalma.
A korábban említett pénzügyi felelősséggel bíró cégek esetében pedig a szabályozások bonyolultsága, az elvárások szigorodása is elősegíti a téma fejlődését, aminek a biztonsági megoldást nyújtó cégek őszintén örülnek, hiszen egy bizonyos szintig minél bonyolultabb a szabályozás, annál több tanácsadásra és megoldásra van szükség, ami számukra bevételnövekedést generál. A Nasdaq-on jegyzett vállalatokra például kötelező érvényű, évente megújítandó IT biztonsági auditra van szükség (Sarbanes-Oxley - SOX), illetve az ISO tanusítványokért ácsingózó vállalatoknak is egyre komolyabb minőségbiztosítási megoldásoknak kell megfelelni.
Alapvető elvárás például az ilyen esetekben a logelemzési megoldások használata, ami homogén informatikai környezetben nem túl bonyolult feladat, hiszen számos megoldás készül a dobozos termékek naplózásának rendszerezésére. Viszont olyan esetekben, ahol egy testreszabott, egyedi fejlesztésekkel tarkított heterogén rendszer adja a gerincét a vállalatnak, ráadásul a különböző IT rendszerek nincsenek összekötve, ott szinte lehetetlen már meglévő terméket vásárolni az elvárások teljesítéséhez, az egyedi fejlesztés, pedig akár több tízezer dolláros befektetést is kívánhat. Viszont egy ilyen működő megoldás akár a kötelező ellenőrzésen túl hétköznapi problémákra is megoldás lehet. Egy integrált rendszerben például feltűnik, hogy a már két hete táppénzen lévő dolgozó alkalmanként miért jelentkezik be a vállalati loginjével, ami akár egy figyelmeztető jel lehet a biztonsági résekre.
A kötelező érvényű fejlesztések mellett a hazai vállalati IT Security trendjeiben főszerepet fog kapni a jogosultságkezelés, a személyazonosság alapú hozzáférés kezelés, illetve a középvállalatok komplex biztonsági megoldásainak elterjedése. A középvállalatok (kb. 100 fő) kérdése azért válik kritikussá, mert már rendelkeznek egy olyan IT háttérrel, ami veszélyforrás lehet, de speciálisan képzett szakértőgárda és az ehhez szükséges vállalati kompetencia nem áll rendelkezésre. Ezekben az esetekben a szolgáltatóknak olyan megoldással kell előrukkolniuk, ami a vállalat számára külön plusz erőforrások és magyarázatok nélkül nyújt megoldást, olyan megoldást, ami működőképesen tartja a vállalatot.
Szintént kiemelt téma az elektronikus aláírás kérdése, amivel kapcsolatban Dr. Kőrös Zsolt kissé óvatosan azt mondta, hogy "kezd körvonalazódni az elterjedésének a lehetősége". Itt elsősorban a törvényi szabályozás lassította le a folyamatokat, ráadásul a döntés pillanatában anno nem tudtak megegyezni egy egységes szerkezetben. Így alakulhatott ki, hogy a ma akkreditált négy elektronikus aláírást kiadó szervezet között vajmi kevés kapocs van. Olyan anomáliák is sokkolják a piacot, hogy a szolgáltatóktól az elektronikus tanusítványt már megszerző vállalat amikor használja azt, kénytelen egy visszacsatolást kérni arról, hogy azt a tanusítványt valóban számára adták ki. Ez egész Európában egyedülálló plusz teher, amihez egy egyedi protokollt kellett kifejleszteni, csupán a döntéshozók döntésképtelensége miatt. A már nem létező IHM iránymutatásai viszont érvényesek jelenleg is, a jelenlegi kormányzat egyelőre nem bolygatta még meg ezt a témát.
Az elektronikus aláírás használatára áttérő vállalatok választhatnak két megoldás közül. Egyrészt igénybe vehetnek a szolgáltatók által kifejlesztett megoldásokat, melyet gyakorlatilag termékként vásárolnak meg, ezzel viszont a rendszerük nyitottá válik, hiszen a szolgáltató számára kaput kell nyitni a tanusítványok kezelése céljából. A másik megoldás - amit főként a nagyobb szereplők és az adataikat féltők választanak - a saját rendszer létrehozása, ami jóval bonyolultabb és drágább megoldás. Ugyanakkor a kisebb cégeknek nem érdemes, éppen a nagyobb költségek miatt, saját rendszerben gondolkodni, sőt a zárt változatnak megvan az a hátránya is, hogy nem lesz kompatibilis a többi szereplő felé. Ennek feloldására jött létre egy hibrid verzió, ahol a zárt PKI (Public Key Infrastructure) rendszert egy nagyibb szabványhoz láncolják hozzá a kompatibilitás érdekében.
A piaci változások tehát folyamatos innovációra ösztönzik a vállalatokat és az információbiztonsággal foglalkozó szolgáltatókat is, viszont a megnövekedett (adó)terhek és a jogszabályi szigorítások rögössé teszik ennek az innovációnak az útját. Azt mondják a remény hal meg utoljára, de amennyiben a vállalati IT biztonság szerepének kommunikációja nem tud megerősödni, akkor nehezen képzelhető el, hogy markánsan lejjebb megy az a szint, ahol tudatosan és szervezetten veszik igénybe ezeket az eszközöket. A következő években elérhető uniós támogatások, melyek a vállalatfejlesztés területén jelennek meg, többnyire IT fejlesztéseket is előírnak, így ha mesterségesen is, de előbb-utóbb gyökeret ver a tudatosság a kisebb szereplők fejében is.