Stratégia nélkül védekeznek az informatikusok

Az informatika védelmére szinte valamennyi intézmény áldoz, ám a stratégiai szemlélet ritkán nyer teret, jellemzően az alkalmazott eszközökre fókuszálnak.

Ahogy az intézményi szférában is egyre több folyamatot gépesítenek, a szervezetek mind jobban függenek informatikai rendszereiktől. Mivel a hatékonyság növelése megfelelő IT-támogatás nélkül nehezen képzelhető el, sőt egyre komplexebb rendszerek alkalmazása a jellemző, a döntéshozók egyetlen választása, hogy igyekeznek felkészíteni folyamataikat és rendszereiket az elképzelhető legrosszabbra, de legalábbis az előre látható összes reális fenyegetés kezelésére. A BellResearch kutatása szerint bár a szervezetek döntő többsége tesz bizonyos erőfeszítéseket a kockázatok csökkentése érdekében, a biztonsági tudatosság terén számos intézmény komoly kihívásokkal küszködik.

A cég adatait felszínesen szemlélők azt állapíthatják meg, hogy szinte valamennyi intézmény alkalmaz valamilyen it-biztonsági, illetve üzletmenet-folytonossági megoldást. Az adatok részletesebb elemzése azonban rámutat, hogy a biztonság megteremtése érdekében tett erőfeszítések legtöbbször kimerülnek az antivíru­sszoftverek és a tűzfalmegoldások használatában. Az olyan, szofisztikáltabb védelmi megoldások, mint a rendszerhasználat és a hozzáférés naplózása vagy a behatolás-érzékelés még az intézmények egyötödében sem terjedtek el. A mintegy 15 ezer magyarországi szervezet 5 százalékánál azonban a hiányosságok alapvető szintűek. Ennél a körülbelül 750 intézménynél egyetlen számítógépen sem üzemel IT-biztonsági megoldás, azaz még egy tűzfalat vagy vírusirtó megoldást sem telepítettek.


Gyakran hallani olyan külföldi példákat, ahol értékes - akár kormányzati - adatok gigabájtjai kerültek illetéktelen kezekbe mulasztás, szándékos károkozás vagy véletlen hiba következtében. A veszély mértékét nem könnyű becsülni, de léte bizonyosan belátható. Ennek ellenére az IT-biztonságot stratégiai szintre emelő tudatos gondolkodás csak a hazai intézmények kis hányadára jellemző. Erre utal, hogy például katasztrófa-elhárítási terve csak minden tizedik intézménynek van, de informatikai szabályzatot is csak az érintett döntéshozók egyötöde követelt meg, biztonsági auditnak pedig kevesebb mint 3 százalék vetette alá magát. Pedig a szabályozási keretek és a cselekvési tervek pontos és részletes definiálása nélkül nehezebb a számonkérés, nem beszélve arról, hogy nehezebb előre vetíteni, mi történik, ha bekövetkezik a baj.

A részletes írásos biztonsági stratégia elkészítésének ráadásul előfeltétele az üzleti-intézményi folyamatok és az azokat támogató IT-rendszerek kapcsolatainak, összefüggéseinek meghatározása, az üzletileg kritikus pontok beazonosítása, ami már önmagában is számos potenciális problémára deríthet fényt.

A magyarországi intézmények és vállalatok jellemzően csak a védelem legalapvetőbb elemeit alkalmazzák, míg a szervezet mélyebb rétegeit is átható stratégiai szemlélet igen ritka. És bár az is igaz, hogy mind az intézmények, mind a gazdálkodó szervezetek jelentősebb reprezentánsai az informatikai biztonság terén is jóval az átlag előtt járnak, az alkalmazott megoldások skálája az ő esetükben is gyakran viszonylag szűk. Az intézményi szféra szereplőire kevés kivételtől eltekintve jellemző, hogy it-biztonsági tudatosságuk sokkal inkább az alkalmazott eszközök halmazaiban ölt testet, mint hogy a szervezet működésének egészét befolyásoló filozófiában csúcsosodna ki.