Kirúgni – ez volt az elnök-vezérigazgató első gondolata. A kézenfekvőnek látszó lépés megtétele előtt azonban még egyszer átgondolta a helyzetet. Biztonsági szakembereitől tudta: a konkurenciának bizalmas adatokat szolgáltató munkatársak azonnali eltávolítása veszélyes megoldás.
KémtipológiaGAZDASÁGI HÍRSZERZÉS:
Egy ország gazdasági érdekei ellen irányuló, másik állam titkosszolgálatának megbízásából folytatott információszerző tevékenység.
IPARI KÉMKEDÉS: Egy cég versenytársának titkait igyekszik megszerezni saját piaci pozíciója megerősítése, pénzügyi helyzetének javítása érdekében.
Tóth János, a vállalkozásbiztonsági tevékenységgel, gazdasági információk gyűjtésével, elemzésével foglalkozó AXA Pénzügyi Információs Kft. ügyvezetője szerint sokkal célszerűbb az “árulóvá” vált beosztottat a gyors kirúgás helyett a versenytársak félretájékoztatására felhasználni, vagy megpróbálni ismét a cég mellé állítani. A helyes döntéshez azonban speciális felkészültségre lenne szükség, ezzel szemben Tóth szerint a biztonságközpontú gondolkodás elsajátításához a magyar cégvezetők többségének még sokat kell tanulnia.
A vállalatirányítók gondolkodásmódját jellemző hiányosságokat mutatja az is, hogy gyakran olyan társaságokkal is készek szerződést kötni, amelyeket saját biztonsági szakembereik kockázatos partnernek tekintenek. Holott a konkurensekkel, lehetséges partnerekkel kapcsolatos információgyűjtésnek, elemző munkának éppen az a célja, hogy megkönnyítse a vezetők számára a kockázatok minimalizálását. Egy bank számára például létkérdés, hogy csak olyan hitelkérelmeket fogadjon el, amelyek mögött megalapozott tevékenységet folytató, feddhetetlen gazdasági társaságok állnak. Illegális ügyletekkel, mondjuk olajszőkítéssel foglalkozó cégek számára akkor sem érdemes hitelt folyósítania, ha a kölcsönre a biztosan fizetőképes ukrán maffia vagy a KGB vállal garanciát. A hiteligénylők esetleges alvilági kapcsolatait azonban a pénzügyi elemzők egyedül biztosan nem tudják feltárni.
Nem James Bondok
“A gazdasági információszerzéssel foglalkozóknak, ha hosszú távú piaci szereplésre akarnak berendezkedni, le kell mondaniuk az illegális vagy a törvényesség határán mozgó módszerekről” – véli Jasenszky Nándor, a Posys Információs Kft. versenytárs-figyelési (CI) szakértője. Elismeri: a kémkedéshez vagy a rendőrségi nyomozómunkához hasonlóan misztifikált gazdasági hírszerzéssel foglalkozó vállalkozásokkal kapcsolatban ezt sokszor éppen a megbízókkal a legnehezebb elfogadtatni. A cégvezetők általában azt gondolják, a gazdasági információszerzés másból sem áll, mint telefon-lehallgatásból, titkos dokumentumok megszerzéséből, megvesztegetésből és egyéb üzelmekből. Holott a valóság ennél sokkal prózaibb. A gazdasági információszerző munka javarészt nyilvános információk gyűjtögetéséből, egymás mellé rakosgatásából, összefüggések kereséséből áll.
Topmenedzserek barátnői
Talán éppen romantikus hangulata miatt, az információszerzés szükségességét sokkal könnyebben elismerik a vállalatvezetők, mint a védelemmel kapcsolatos rendszereket. Különösen akkor, ha az utóbbiakról kiderül, hogy többségük korlátozza a menedzserek exhibicionizmusának kibontakozását, ráadásul megjelenik a privát szférájukban is. Magyarországon kevesen adnak igazat a biztonsági szakértőnek akkor, ha azt javasolja: cseréljék közönségesre a vezérigazgatói gépkocsi különleges rendszámát. Holott a multinacionális cégeknél trivialitás, hogy a társaság vezető menedzsereinek járművét nem díszítheti mondjuk a Cola-1 rendszám. Az pedig mindennek a teteje, ha a személyes védelemért felelős szakértő tudni akarja, tart-e barátnőt a topmenedzser, s ha igen, hol és mikor találkozik vele. Holott Jasenszky szerint éppen ezeken a területeken meglehetősen nagy a kockázat.
“Tökéletesen semmit nem lehet megvédeni, de ahhoz is meg kell változnia a vezetők szemléletének, hogy a magyarországi gazdasági társaságok biztonsági helyzete legalább a tűrhető szintet elérje” – vélekedik Búzás Pál, a vállalkozásbiztonsági felkészítő tanfolyamokat szervező Clavis Kft. ügyvezető igazgatója. Első lépésként szerinte a menedzsereknek sutba kell dobniuk hamis biztonságérzetüket. Rendkívül veszélyes ugyanis, ha azt hiszik, őket és vállalkozásukat semmiféle támadás nem érheti. Ha a vezetők fejében sikerül elültetni az egészséges gyanakvást, már nem nehéz elfogadtatni, hogy egy társaság működése elképzelhetetlen a munkatársak folyamatos képzése, titokvédelmi intézkedések bevezetése és betartatása nélkül.
Persze azért napjainkban is szép számmal akadnak aktív védelmi tevékenységet folytató vállalatok. Keszthelyi Vilmos, a Magyar Posta Rt. belsővédelmi osztályvezetője több dossziéra való jegyzőkönyvet tudna összeállítani a postát ért különféle támadásokról. Ennek ellenére valószínűnek tartja, hogy a gazdasági információik megszerzésére irányuló kísérletek jelentős hányada rejtve marad. Az ismertté vált esetekből leszűrt tanulságok szerint azonban érzékelhetően harc dúl az elektronikus postaszolgáltatás, a hírlapterjesztés, a csomagüzletág, illetve a nemzetközi küldeményszolgáltatás bizalmas információinak megszerzéséért.
Nemzetbiztonsági ügyek
A gazdasági információszerző tevékenység erősödése, illetve a hazánkban bejegyzett gazdasági társaságok információbiztonsági helyzetének gyengeségei nem ismeretlenek a Nemzetbiztonsági Hivatal (NBH) előtt sem. Olyannyira, hogy a hivatal munkájában egyre nagyobb a súlya a gazdasággal kapcsolatos védelmi, valamint információgyűjtő tevékenységnek. Ebben persze nincs semmi meglepő, hiszen a becslések szerint a nagyhatalmak ma már gazdasági háttérinformációk megszerzésére és feldolgozására fordítják hírszerzési és elhárítási kiadásaik 40-60 százalékát. Dobokay Gábor főigazgató szerint a gazdálkodó szervezetek valamilyen szinten többnyire törekednek információs védelmi rendszereik megszervezésére. Van, ahol ez szigorú portaszolgálat, máshol korszerű számítástechnikai védelmi rendszerek, belső biztonsági utasítások képében jelenik meg. Az NBH tapasztalatai szerint azonban üzleti információk megszerzésének és megóvásának jelentőségét a magyar vállalatok zöme még nem ismerte fel.
Az NBH-nál szigorúan különbséget tesznek a gazdasági hírszerzés és az ipari kémkedés között. Az előbbi ellen az NBH hivatalból fellép. Az ország gazdasági érdekei ellen irányuló, másik állam titkosszolgálatának megbízásából folytatott információszerző tevékenységet a szakértők egyértelműen kémkedésnek minősítik. Ezen a területen az NBH figyelmének középpontjában elsősorban az államtitkokat őrző állami vállalatok védelme áll, de egyre gyakrabban magántársaságok is bekerülnek e körbe. Mellettük a hivatal figyelemmel kíséri a nemzetgazdasági szempontból meghatározó stratégiai társaságok védelmi tevékenységét is.
A hagyományosnak mondható feladatok köre hazánk NATO-taggá válásával újabb elemmel egészült ki. A nyugati védelmi szövetséghez való csatlakozáskor Magyarország kötelezettséget vállalt ugyanis a minősített NATO-adatok védelmére. A titkos információk mennyisége elsősorban azoknál a gazdasági társaságoknál jelentős, amelyek részt vesznek a NATO beszállítói programjaiban. Ilyen jellegű szerződéskötések alapvető feltétele, hogy a minősített adatok az üzleti szférában is megfelelő védelmet kapjanak. Az NBH ennek oly módon szerez érvényt, hogy úgynevezett iparbiztonsági ellenőrzéseket végez az érintett vállalatoknál. Az előírásoknak megfelelő személyi, fizikai, informatikai és dokumentumbiztonsági feltételek teljesítése esetén a jelentkező társaságok különféle minősítéseket kaphatnak. Ezek sorában a legrangosabb cím az úgynevezett minősített NATO-beszállító, amely viselőjét feljogosítja a katonai szervezet beszállítói programjaiban való részvételre.
Az NBH szakértői ipari kémkedésnek nevezik, amikor egy cég – saját piaci pozíciója megerősítése, pénzügyi helyzetének javítása érdekében – versenytársának titkait igyekszik megszerezni. Mint mondják, az ipari kémkedést folytató vállalatok a gyakran illetéktelenül megszerzett információkkal rendszerint kutatási-fejlesztési költségeket takarítanak meg. Ennek különösen nagy a jelentősége az olyan területeken, mint a vegyipar és a gyógyszeripar.
Dobokay Gábor hangsúlyozza, hogy az ilyen jellegű tevékenységek elleni fellépés nem tartozik az NBH feladatai közé. Ipari kémkedéssel legfeljebb eseti jelleggel, felkérésre, a biztonsági magáncégekkel együttműködve foglalkoznak. A tudomásukra jutó, ipari kémkedésre utaló tevékenységekről a hivatal – saját munkája titkosságának megőrzése érdekében – általában nem is tájékoztatja az érintetteket.
A főigazgató hozzáteszi ugyanakkor azt is: a cégek közti információszerzés ellen jogi eszközökkel igen nehéz fellépni. Az üzleti titok védelmét törvény írja elő, ám az ipari kémkedésről a jogszabályok a mai napig nem rendelkeznek. A védekezés és a titkok megőrzése jelenleg kizárólag a vállalati menedzsment feladata, felelőssége.
Új Gazdaság, új kockázatokAz internet segítségével ma már akár a harmadik világháború is lebonyolítható lenne – állítják számítástechnikai szakemberek. Akkora zavart lehetne okozni ugyanis bármely katonai nagyhatalomnak számító állam polgári számítógépes rendszereiben, aminek hatása felérne egy kisebb fajta atomtámadással. Éppen ezért a gazdaság minden szereplőjének és valamennyi állami intézménynek gondoskodnia kellene számítógéprendszerének, információforgalmának biztonságossá tételéről – figyelmeztetnek a rejtjelező és hardver eszközök fejlesztésével foglalkozó ITEA Kft.-nél.
Sziklay Péter, a Honvédelmi Minisztérium többségi tulajdonában lévő EI Rt. főmérnöke úgy látja, öngyilkossággal ér fel megfelelő “védelmi felszerelések” nélkül kimerészkedni az internetre. Tapasztalataik szerint ugyanis elég, ha valaki véletlenül rákattint egy “hacker oldal” címére, cége számítógéprendszere kiszolgáltatottá válik az elektronikus behatolásra szakosodott oldalgazda előtt. Szerencsés esetben csupán néhány bosszúságot okozó vírus fut be az ilyen oldalakról. Előfordul azonban, hogy a speciálisan kialakított kémoldal lemásolja az őt megkereső számítógép és hálózata teljes adatállományát. A kulcsokkal védett adatok megfejtésére pedig már megjelentek a kulcskereső, feltörő algoritmusok is. Ráadásul ezeket is bárki letöltheti az internetről, holott használatuk a szakemberek szerint legalább olyan veszélyes, mint a világhálón szintén megtalálható bombarecepteké.
A főmérnök állítja, komoly veszélyeket rejt az elektronikus levelezés is. A menedzserek levelezését ugyanis speciális keresőprogramokkal könnyen figyelemmel lehet kísérni. Az pedig rendkívüli mértékben megkönnyíti az ipari kémkedéssel foglalkozók dolgát, hogy a elektronikus levelek akkor sincsenek kódolva, ha történetesen bizalmas információkat tartalmaznak.
Az ITEA munkatársai elgondolkodtatónak tartják, hogy a számítástechnikai biztonsági rendszerek kiépítésére látszólag nincs igény a hazai cégeknél. A hamis biztonságérzetet mutatja, hogy a információbiztonsági szempontból viszonylag jó helyzetben lévő társaságok többsége is öt-tíz éves védelmi rendszereket alkalmaz. Azok feltörése pedig egy speciálisan felszerelt számítógép, és megfelelő tudású kezelője számára legfeljebb néhány óráig tart.
Minél nagyobb, annál veszélyeztetettebb
Az NBH szakembereinek tapasztalatai szerint az ipari kémkedés napjainkban már nem szokatlan tevékenység Magyarországon sem. A hivatal látókörébe került esetek azonban azt mutatják, hogy a hazai cégekre ez (még?) kevéssé jellemző, gyakoribb, hogy külföldi cégek kísérlik meg “átvilágítani” egyik vagy másik magyar vállalat tevékenységét, megszerezni üzleti titkait. Egyre több magyar gazdasági társaság éri el azt a piaci részesedést a maga területén, amely már elegendő a nagy európai konszernek figyelmének felkeltéséhez, így nem csoda: az esetek szaporodnak. A közepes magyar vállalkozásoknak is lehetnek azonban olyan üzleti titkaik, amelyek megszerzéséért mások hajlandóak komoly összegeket áldozni, így ők sem engedhetik meg maguknak, hogy legyintsenek a biztonsági intézkedésekre.
Bár erről az NBH-nál nem beszélnek, valószínű, hogy – hasonlóan a különféle nemzetek kémszervezeteihez – az ipari kémkedésre szakosodott vállalkozások nem finnyásak a felhasznált eszközök tekintetében. A legális információgyűjtés mellett hazánkban is mindennapossá váltak az üzleti titkok megszerzését szolgáló betörések, megvesztegetések, befolyásolások és a piacvezető cégeknél rendszeresen “buknak le” a konkurenciának dolgozó beépített ügynökök. Ennek ellenére, amennyire tudni lehet, üzleti titoksértés címén nálunk még nem indult eljárás senki ellen. Hogy az ilyen eseteket általában nem doboltatják ki országszerte, az persze természetes, hiszen senki sem akarja elveszíteni a támadások után még megmaradt renoméját.
Ahhoz, hogy egy vállalkozás bizalmas információi kielégítő színvonalú védelemben részesülhessenek, teljes informatikai rendszerét a biztonsági követelményeknek megfelelően kell kialakítania. “A vendégek portai ellenőrzése, az épületek környezetét figyelő kamerák felszerelése nem sokat ér, ha a dolgozók nem tartják be a biztonsági előírásokat” – állítja Gál Sándor, a Synergon Rt. informatikai rendszerauditora. Egy rendszer akkor tekinthető a maga szintjén biztonságosnak, ha minden egyes elemét egyformán nehéz feltörni. Ha meghagyunk akár csak egyetlen megkerülhető elemet, biztosak lehetünk benne, hogy azt meg is kerülik. A szakember úgy véli: a magyar vállalatoknál ugyan általában megvan az a tudás, ami elegendő lenne a megfelelő szintű biztonsági rendszerek kialakításához és működtetéséhez, de a munkahelyi hierarchia többnyire “közbeszól”. Hiszen melyik belső biztonsági szakember merne a társaság elnök-vezérigazgatójának szemrehányást tenni, ha az nem tartja be a védelmi utasításokat? Ezt jobbára csak független, külső szakértők tehetik meg kockázatmentesen. Az persze már más kérdés, hogy tanácsaikat megfogadják-e.
Az ember a legfontosabb
Gál Sándor tapasztalatai szerint a védelmi rendszerek legfontosabb láncszemei maguk az emberek. Ezt jelzi, hogy a gazdasági társaságokat érő károkat több mint 50 százalékban emberi tévedések, mulasztások okozzák. További csaknem 30 százalék pedig az elégedetlen, vagy tisztességtelen munkavállalók számlájára írható. A komplex védelmi rendszerek üzemeltetéséhez is nélkülözhetetlen az emberi közreműködés.
Az információbiztonság területén emellett a számítástechnika támadások “jöttek divatba” az elmúlt években. Néhány héttel ezelőtt például a Microsoft új programjainak forráskódjait őrző szervereket törték fel ismeretlen tettesek. De bukkant már fel az interneten bizalmas NATO-dokumentum is. És azt is keserű tapasztalatok igazolják, hogy a magyar közintézmények, vállalatok számítógépes rendszerei sem érinthetetlenek. Május elején például a Külügyminisztérium honlapját törte fel egy hacker, és helyezett el rajta a miniszterelnököt kritizáló versikét. De ért már támadás az idén hazai internetszolgáltatót, sőt a hírek szerint lakossági bankszámlákat vezető pénzintézetet is.
