Esetenként még tűzfalat vagy vírusirtót sem telepítenek

Ahogy az intézményi szférában is egyre több folyamatot gépesítenek, a szervezetek mind jobban függenek informatikai rendszereiktől. Mivel a hatékonyság növelése megfelelő it-támogatás nélkül nehezen képzelhető el, sőt egyre komplexebb rendszerek alkalmazása a jellemző, a döntéshozók kénytelenek valamilyen szinten felkészíteni folyamataikat és rendszereiket az elképzelhető legrosszabbra, de legalábbis az előre látható összes reális fenyegetés kezelésére. A BellResearch által készített Magyar Infokommunikációs Jelentés legfrissebb eredményei rávilágítanak, hogy bár a szervezetek döntő többsége tesz bizonyos erőfeszítéseket a kockázat csökkentése érdekében, a biztonsági tudatosság terén számos intézmény komoly kihívásokkal küszködik.

A küszöbig jutnakA jelentés adatait felszínesen szemlélők azt állapíthatják meg, hogy a legtöbb intézmény alkalmaz valamilyen it-biztonsági, illetve üzletmenet-folytonossági megoldást. Az adatok részletesebb elemzése azonban rámutat, hogy a biztonsági erőfeszítések legtöbbször kimerülnek az antivírusszoftverek és tűzfalmegoldások használatában.

Az olyan szofisztikáltabb védelmi megoldások, mint a rendszerhasználat és a hozzáférés naplózása vagy a behatolásérzékelés, még az intézmények egyötödében sem terjedtek el. A mintegy 15 ezer szervezet 5 százalékánál pedig a hiányosságok alapvető szintűek. Ennél a körülbelül 750 intézménynél egyetlen számítógépen sem üzemel it-biztonsági megoldás, azaz még egy tűzfalat vagy vírusirtót sem telepítettek.

Papíron sincs megGyakran hallani olyan külföldi példákat, ahol értékes – akár kormányzati – adatok gigabájtjai kerültek illetéktelen kezekbe mulasztás, szándékos károkozás vagy véletlen hiba következtében. A veszély mértékét nem könnyű becsülni, de léte bizonyosan belátható.

Ennek ellenére az it-biztonságot stratégiai szintre emelő tudatos gondolkodás csak a hazai intézmények kis hányadára jellemző. Erre utal, hogy például katasztrófa-elhárítási terve csak minden tizedik intézménynek van, de informatikai szabályzatot is csak az érintett döntéshozók egyötöde követelt meg, biztonsági auditnak pedig kevesebb mint 3 százalék vetette alá magát. Pedig a szabályozási keretek és a cselekvési tervek pontos és részletes definiálása nélkül nehezebb a számonkérés, nem beszélve arról, hogy nehezebb előrevetíteni, mi történik, ha bekövetkezik a baj.

A részletes írásos biztonsági stratégia elkészítésének ráadásul előfeltétele az üzleti-intézményi folyamatok és az azokat támogató it-rendszerek kapcsolatainak, összefüggéseinek meghatározása, az üzletileg kritikus pontok beazonosítása, ami már önmagában is számos potenciális problémára deríthet fényt.

Filozófiai hasonlatosságA magyarországi intézmények és vállalatok jellemzően csak a védelem legalapvetőbb elemeit alkalmazzák, míg a szervezet mélyebb rétegeit is átható stratégiai szemlélet igen ritka. És bár az is igaz, hogy mind az intézmények, mind a gazdálkodó szervezetek jelentősebb reprezentánsai az informatikai biztonság terén is jóval az átlag előtt járnak, az alkalmazott megoldások skálája az ő esetükben is gyakran viszonylag szűk.

Az intézményi szféra szereplőire kevés kivételtől eltekintve jellemző, hogy it-biztonsági tudatosságuk sokkal inkább az alkalmazott eszközök halmazaiban ölt testet, mint hogy a szervezet működésének egészét befolyásoló filozófiában csúcsosodna ki. nA veszély mértékét nem könnyű becsülni, de léte bizonyosan belátható.