Ebben a nagyszámú, sokszor kezelhetetlennek tűnő gond mellett fontos szerepe volt annak, hogy világossá vált, a ma tömegméretekben használt informatika, a PC forradalom “eredménye”, számos sebből vérzik, és ezek között talán a legriasztóbb pont a biztonság kérdése. A világnak tudomásul kellett vennie, hogy az új körülmények között bizonytalan lábakon rogyadozó informatikát nem lehet a korábban megszokott módon használni, pedig már nem tudunk meglenni nélküle. Meg kell tanulnunk tehát az együttélés megfelelő és az eddiginél lényegesen kényelmetlenebb módját. Szerencsére feltűnt a fény az alagút végén a nemzetközi szabványok megjelenésével. A Cobit, a Common Criteria, a BS7799 és a belőle megszületett ISO 17799 segíti az eligazodást.
A Gartner Group előrejelzése szerint az informatikai beruházásokon belül a biztonságra fordított összegek aránya hamarosan elérheti a 40%-ot, szemben a korábbi 4-5, illetve a jelenleg átlagosnak tekinthető 10-12 százalékkal.
Ezek a hatások már a magyar piacon is érezhetőek. 1997-ben és 1998-ban még szinte senkit nem érdekelt az informatikai biztonság. Ma már elmondhatjuk, hogy mindenki foglalkozik vele, a kép azonban még korántsem tökéletes. A cégek általában csak valamilyen káresemény (adatvesztés, vírustámadás, a levelezőrendszer leállása, információk kikerülése, hacker-támadás) után kezdenek el foglalkozni a biztonsági kérdésekkel. Ez, bár jellemzően emberi viselkedés, de semmiképpen sem nevezhető preventívnek, ami pedig ma minden cégnek és szervezetnek alapvető érdeke lenne.
Jelenleg még az informatikai biztonsági boom kezdetén vagyunk, ma a cégek többsége az első lépéseket teszi meg. A KÜRT-től megrendelt IT biztonsági megoldások közül a legnagyobb szeletet a rendszerfelmérés, kockázatelemzés képviselik. Az összes projekt mintegy 35 százalékában rendeltek szabályzatrendszer kialakítást, ami azt jelzi, hogy az emberi tényező megregulázását kezdik komolyan venni. Ez komoly fegyvertény, mert ez az egyik leghatékonyabb eszköz informatikai rendszereink biztonságosabbá tételére, de még nagyon sok a tennivaló.
A KÜRT 2001-ben eddig 36 informatikai biztonsági projektet hajtott végre, jelenleg pedig 9 projekt van folyamatban. Legfőbb tapasztalataink a következők.
A legnagyobb gond a rendszerszintű és stratégiai gondolkodás valamint a megfelelő metodika hiánya. Sokszor még mindig elegendőnek tartják eszközök megvásárlását, és a legtöbbször hiányzik az informatikai és ezen belül a biztonsági stratégia. Másrészt még mindig hiányosságokkal küzd az a két terület, amelyik pedig a legnagyobb eredményt hozhatná. Ezek az emberi tevékenységek szabályozása és az oktatás. A statisztikák és az eddigi tapasztalataink is azt mutatják, hogy a biztonsági problémák túlnyomó része (legalább 70-80 százaléka) a nem megfelelően szabályozott emberei tevékenységekre és a szükséges ismeretek hiányára vezethető vissza. Nagyon sok helyen van gond a jogosultságokkal, a jelszavakkal, a hálózati eszközök beállításával, a nem megfelelően átgondolt és szabályozott mentési és archiválási rendszerekkel, illetve a szintén hiányosan szabályozott vírusvédelmi rendszerekkel. A BSA szindróma ellenére még mindig aktuális a szoftver licencek kérdése, mert az esetek 75 százalékában fordul elő, hogy többen a használják a szoftvereket, mint ahány licenccel a cég rendelkezik.
A tanulmány nagyobb terjedelmű kivonatát a KÜRT honlapján (http://www.kurt.hu ) a nyitó oldalon (alul, a Hírek alatt) találhatja meg: http://www.kurt.hu/news/st_20011129.htm
