Ha a kiberbiztonság szóba kerül, a legtöbben sötét, alagsori szobákban kuksoló, kapucnis hekkereket vízionálnak, majd nevetve jön a kérdés: „Ki a fene akarná pont a mi rendszerünket feltörni?” De valóban csak a külső támadásoktól kell tartani? Mi tartozik bele egyáltalán az IT security fogalmába és hogyan lehet felvértezni a vállalatot a kiberbiztonsági veszélyekkel szemben?
Erről kérdeztük Kós Tamás, Üzemeltetés-támogatás üzletág igazgatónkat, egyben ISACA (Information Systems Audit and Control Association®) CISA tanúsított auditorunkat.
Kezdjük a legelején: mit értünk egyáltalán kiberbiztonság alatt?
Az informatikai rendszereink védelmét, a folyamatainkat, melyek lehetővé teszik az alapvető, megbízható, stabil működést, szolgáltatást. Azt a képességet, hogy tudsz működni, gyártani, ki tudod szolgálni az ügyfeleidet az IT rendszereid révén vagy azok támogatásával, mert azok IT biztonsági szempontból felkészültnek tekinthetőek.
Hogyan jelenik ez meg a mindennapokban? Egy átlag vállalatnál mik azok az elemek, amik a kiberbiztonság témakörébe beletartozhatnak?
Ez nagyon szektorfüggő. De az alapok ugyanazok: ha például nem tudsz levelezni, nem tudsz megrendelést befogadni, gyártani vagy szolgáltatni, az óriási probléma.
Ezeknek a folyamatoknak valamilyen IT kötöttsége biztosan van, gondolj csak a számlázásra például. Mondhatja a cég, hogy “jó, állítunk ki kézzel számlát”, de kellően nagy forgalom mellett ez komoly gondot jelenthet, főleg egy webshop esetében. Ez az egyik oldala.Másfelől, ma már az adat a legnagyobb érték, azonban, hiába van adatom, ha nem tudom megnyitni, nem tudom feldolgozni, nem férek hozzá, mert működésképtelenné vált a rendszer vagy az adatomat betitkosította egy zsarolóvírus. Akkor az olyan, mintha nem is lenne. És itt már vissza is kanyarodunk ahhoz, hogy adatokkal, azok alapján dolgozik minden cég, így megint csak a működés ellehetetlenüléséhez lyukadunk ki.
Továbbá, ha az adathoz illetéktelenek is hozzáférhetnek, az szintén hatalmas problémát, komoly gazdasági és jogi károkat okozhat. Szóval beszélhetünk adatbiztonságról és működési biztonságról is a kiberbiztonságon belül.
„Az se jó, ha kilopják alólad, az se jó, ha például letitkosítják és nem férsz hozzá, de az sem jó, ha egyszerűen leáll a rendszered.”
Ha kiberbiztonságról van szó, a legtöbben a vállalaton kívülről érkező, szándékos betörésekre vagy túlterheléses támadásokra gondolnak. Valóban elég a külső veszélyekre fókuszálni?
Nem, bár a legtöbben ezt teszik. Pedig a vállalati IT security incidensek többsége, amelyek a rendszerek működésképtelenségéhez vezetnek, nem kizárólag a külső, szándékos támadás miatt sikeresek, hanem belső hibákból – például szabályozatlan folyamatok miatt vagy egy-egy túlbuzgó kolléga tájékozatlanságából – származnak.
Egy vállalat esetében melyek azok a területek amelyekre kiberbiztonsági szempontból gondolni kell?
A kiberbiztonságnak van egy technikai része, egy elméleti része, van, ami a napi működésre, folyamatokra vonatkozik és van egy jogi része is, bár ez utóbbi szintén erősen szektorfüggő.
Például a hentesekre vagy a festékgyárakra nem vonatkoznak olyan rendeletek, jogszabályok – a GDPR-t leszámítva – mint a pénzügyi szektor szereplőire. Nekik nincs egy olyan szabályozásuk, mint a hitel- és pénzintézeti törvény. Nem ad az MNB kiberbiztonsági ajánlást a festékgyáraknak, de még az iparkamarájuk sem.
Remek joker mondat a szükséges kibervédelmi szint jogi meghatározására a “kockázatokkal arányos védelem”. Csak valaki mondja meg, hogy mi a kockázat és mi tartozik bele az azzal arányos védelembe…Ugyanis, ha túltolod, biztosan nem lesz probléma, de feleslegesen pazarlod az erőforrásaidat és a pénzedet. Ha meg alulkalkulálod, akkor hiába a belefektetett energia, mert – bár nem egy ajtónyi, csak egy ablaknyi rés lesz a védelmeden – de azon még bőven be lehet jutni, illetve ki lehet vinni dolgokat.
Ha túlzásba viszik a biztonsági intézkedéseket, túlszabályozottá, élhetetlenné válhat a vállalat. Ez már simán akadályozhatja a napi működést is akár vagy ellenállást válthat ki a kollégákban, ami a szükséges biztonsági szabályok figyelmen kívül hagyásához is vezethet. Ez utóbbi pedig már komoly biztonsági kockázatot jelent.
Ezzel már át is tértünk a jogi aspektusról az elméleti-folyamatszabályozási részre.
Biztonsági szempontból alapvetőek a sztenderdek, azaz a vállalat legyen képes ugyanazt a folyamatot többször, ugyanúgy végrehajtani. Nem baj, ha nem optimális maga a processz, de legyenek képesek lépésről lépésre megismételni azt.Ha ez nem valósul meg, ha mindig “bele kell nyúlni kicsit a folyamatba”, az működés biztonság szempontjából jelentős kockázatot rejt. Hiszen, ha nincsenek rendben a folyamatok, akkor valójában honnan tudod, mi alapján dolgozol? Honnan tudhatod, hogy amit csinálsz az jó és szükséges?
A harmadik aspektusa a kiberbiztonságnak a technikai feltételek, azonban ez talán a legképlékenyebb is egyben. A kibervédelem technikai oldala sokrétű kérdés: lehet neked szuper tűzfalad és SQLinjection elleni védelmed, ha valaki simán bemegy a szerverszobába és hóna alá kapja a vasat. A technikai megközelítésen belül is külön területek vannak, az egészet egy piramishoz vagy hagymához hasonlítanám, mert a különböző területek egymásra épülnek.
Hogyan tud segíteni e három terület összehangolásában egy IT security audit?
Sajnos a kiberbiztonsággal általában két okból foglalkoznak a cégek: vagy mert kötelezik őket rá, törvényi megfelelés miatt, vagy, mert érte már őket támadás.
Míg a törvényi megfelelésnél van valamiféle konkrét elvárás, ami sorvezetőként szolgál a kibervédelmi stratégia kialakításában, addig egy támadás esetén nem ritka a túlzott, átgondolatlan reakció (hirtelen minden területen azonnali és szigorú szabályozásokat vezetnek be), ami nem csak hosszú távon tarthatatlan, de roppant költséges is.Egy kiberbiztonsági audittal átfogó képet nyerhetünk az adott vállalat érettségéről a biztonsági szempontból kritikus területeken és feltárhatjuk a szükséges fejlesztendő részeket. Ez az ún. GAP-analízis.
A kiberbiztonsági auditorok vagy tanácsadók, mint én is például, nem csak felmérnek, hanem segítenek is az audit eredményeit konkrét stratégiára, gyakorlati megoldásokra lefordítani.
A vállalati igényektől függően ide érthetők a különböző folyamatok és szabályozások kialakításában való szakmai támogatás, a szükséges technikai fejlesztések meghatározása és akár konkrét megvalósítása is, vagy épp a kollégák edukációja. Mindezt, persze, úgy, hogy figyelembe vesszük az adott cég sajátosságait, hiszen akkor lesz valóban hatékony a védelem, ha az praktikus, élhető és hosszú távon fenntartható.
„Nem kell egyedül lenni a hajóban, profi szakemberek leauditálnak és segítenek, irányt mutatnak, ami alapján tudsz javítani, fejleszteni, ez a kiberbiztonsági audit lényege.”
Új kiberbiztonsági szolgáltatások az Intalionnál
Az Intalionnál rutinos, nagy- és középvállalati környezetben egyaránt mozgó architektekkel együttműködve, több mint 10 évnyi pénzügyi IT területen szerzett tapasztalattal olyan kiberbiztonsági szolgáltatás csomagokat állítottunk össze, amelyekkel hatékonyan, lépésről lépésre felmérhető és fejleszthető egy vállalat IT biztonsága.
Látogass el Kiberbiztonság aloldalunkra és tudj meg még többet kiberbiztonsági szolgáltatásainkról!