Nemzetbiztonsági kockázat az informatikai biztonság hiánya

A Nemzetbiztonsági Hivatal (NBH) tapasztalatai szerint az államigazgatásban gyorsabban kezdték kihasználni az információtechnológiában rejlő lehetőségeket, mint hogy megteremtették volna a biztonságot szavatoló jogi és egyéb szabályozási, illetve technikai feltételrendszert. Ez a hivatal elmúlt évi tevékenységéről készített, az interneten nyilvánosságra hozott évkönyvből derül ki.

Mint írják, bár a nemzetbiztonsági védelemben részesített állami szervek, intézmények, illetve gazdasági társaságok egyre nagyobb figyelmet fordítanak számítógépes adatbázisaik, elektronikus összeköttetéseik védelmére, infrastruktúrájukat különböző bűnöző csoportok, de akár magányos bűnözők részéről is valós veszély fenyegeti.

Potenciális áldozat lehet minden olyan intézmény, amelynek tevékenysége döntő mértékben függ a számítógépes hálózatok és adatbázisok működőképességétől. Az NBH ezért folyamatosan méri a rendszerek sebezhetőségét, szükség esetén ajánlásokat fogalmaz meg az érintett intézmény vezetői részére a védelem megerősítése, a rezsimintézkedések szigorítása érdekében - olvasható az évkönyvben. Mint írják, az államigazgatásban egyes esetekben még mindig hiányoznak a helyi sajátosságoknak megfelelő rezsimintézkedések, a személyi feltételek, a szakképzettség, a felelősségi és a hozzáférési szintek egyértelmű meghatározása, az ellenőrzés, a kockázatelemzés, valamint az egész szervezetet átfogó biztonsági szemlélet kialakítása.

Elsősorban egyes állami intézmények sajátossága, hogy nem, vagy alig számszerűsíthető az esetlegesen bekövetkező kárérték, valamint a kár megelőzéséből eredő megtakarítás, profit. Ezek az intézmények gyakran alábecsülik a hiányosságokból származó kockázatot, így az informatikai terület jellemzően háttérbe szorul az egyéb beruházások mellett, a biztonsági szempontok gyakran csak egy bekövetkezett esemény hatására kerülnek előtérbe - írják. Hozzáteszik: a védelmi mechanizmus esetenként nem igazodik kellően az érintett intézmény igényeihez, hanem más célokra kidolgozott rendszert használnak. Mindezek következtében a számítógépes hálózat sebezhetősége, a külső behatolások lehetősége egyaránt növekszik, és - mivel a felhasználók egyre képzettebbek - fokozódik a belső támadásokból eredő veszély is.

Ezt támasztják alá a hivatal által felderített adatkiszivárgásokra vonatkozó információk - írják. Emellett a nyomon követhetőség hiánya, a hordozható eszközök széles skálája, és használatuk szabályozatlansága, valamint a védett adatot tartalmazó dokumentumok minősítésének elmaradása, esetleg nem előírás szerinti minősítése is a visszaélések elkövetését segíti.

További kockázatot rejt magában az egyre terjedő "tevékenység kiszervezés". Ebben az esetben nincs sem napi kapcsolat, sem kötődés a megbízóhoz, nehezen ellenőrizhetők a szerződött vállalkozás belső szabályzói, alkalmazottai. Növeli a veszélyt, hogy - a hivatal adatai szerint - esetenként nem fordítanak kellő figyelmet a titokbirtokos személyek és az őket körülvevő munkatársak kiválasztására, a külső munkavégzők ellenőrzésére. A hivatal szerint a következő időszakban valószínűleg kevesebb lesz a kihívást kereső, magányos "számítástechnikai zseni" által elkövetett, nem tudatos károkozás. Ellenben - részben kimondottan anyagi motivációból - egyre több célzott támadással számolhatnak a rendszereket üzemeltetők.