 |
Három tizenéves hacker törte fel az Elender internetszolgáltató cég honlapját 2000 elején, s ott közzétette 1900 felhasználó nevét és jelszavát. „Mérhető veszteség volt cégünknek az ellopott jelszavak megváltoztatása, az ügyfelek kiértesítése, ami jó néhány kollégánknak egy darabig 16 órás munkanapokat jelentett” – számol be Békési Sándor műszaki igazgató. A kuncsaftok lemorzsolódását nem tapasztalták a betörés után, azt azonban nem lehet tudni, hány potenciális ügyféltől esett el emiatt a szolgáltató, s nem mérhető az erkölcsi kár sem, amit a cég renoméjának sérülése okozott.
Az internetszolgáltatók által észlelt hackertámadások zömének célja nem az adatok feltörése, hanem az illegális levélreklámok (spamek) küldése – tapasztalta Békési Sándor. Az ADSL kapcsolat elterjedése óta számos ügyfél folyamatosan, gyors adatkapcsolattal van fenn a világhálón, az ő gépeik a spamküldők célpontjai. Ha a tulajdonos nem törődik a biztonsági beállításokkal, akkor a spammelő viszonylag könynyen bejuthat, s a feltört gépről zúdítja szerteszét tiltott küldeményeit meghamisított feladó adatokkal.
ESŐ UTÁN KÖPÖNYEG. Az informatikai védelemnek kulcsszerepe van a vállalatok működésében, ám erre többnyire csak egy hasonló trauma után ébrednek rá. Az európai cégek 54 százaléka nem rendelkezik a teljes informatikai infrastruktúrára vonatkozó katasztrófa-helyreállítási tervvel, 18 százalékuknál pedig egyáltalán nincs ilyen terv, derül ki a Taylor Nelson 200 nyugat-európai nagyvállalatot átfogó felméréséből. A hazai cégekre vonatkozóan nem készült felmérés, ám vélhetően még hátrább tartanak az informatikai biztonság terén. A honi kis- és közepes cégek egyáltalán nem figyelnek oda erre a területre. Pedig katasztrófa mindenkit érhet, és itt nemcsak árvízre vagy bombatámadásra kell gondolni. Elég, ha egy vírustámadás pár napra megbénítja a vállalat levelezési rendszerét, a cég ezalatt eleshet az e-mailben érkező megrendelésektől, s forintosítható kára keletkezik.
| Hiányosságok |
GAZDASÁGI IGAZGATÓK
• 64 százalékuk nincs tisztában a vállalatnál végrehajtott IT projektek pénzügyi hatásaival
• 40 százalékuk nem tudja, hol férhet hozzá azokhoz az információkhoz, amelyekkel az IT üzletmenetre gyakorolt hatása javítható
• 73 százalékuk nem kíván jobban bekapcsolódni az IT-vel kapcsolatos döntésekbe
INFORMATIKAI IGAZGATÓK
• 67 százalékuknak nehezére esik kiszámítani a szerverekről eltűnt adatok értékét
• 77 százalékuk nem tudja számszerűsíteni annak pénzügyi hatását, ha szervereket kihagy
a meglevő infrastruktúrából, vagy felvesz oda
• 28 százalékuk nem teszteli a katasztrófa helyreállítási tervet még kritikus fontosságú területeken sem |
|
Az Elender a 2000-es támadás után megerősítette szerverei védelmét. A szolgáltató a szalagegységre is kimentette a legfontosabb adatokat – mint például az ügyfelek felhasználóneve, jelszava -, s emellett ezeket minden éjszaka online elmenti egy „tartalék” szerverteremben is, amely az elsődleges helyszíntől fizikailag távol található. Így, ha például tűzvész vagy földrengés miatt az egyik adatállomány elpusztul, a másikból vissza tudják állítani a korábbi állapotot. „Ha egész Budapest elpusztul, akkor persze vele vész az Elender is” – jegyzi meg a műszaki igazgató. (Főleg bankoknál jellemző ugyanis, hogy még ilyen szintű katasztrófára is felkészültek.) A mentett adatokat időnként felülvizsgálják.
Hasonlóan védekezik az Audi Hungária Motor Kft.: a legfontosabb funkciókról – mint a gyártósor vezérlése, a logisztikai és raktárkezelő rendszerek – két, egymástól fizikailag is távol levő számítógépes központ gondoskodik, így ha az egyik megsérül például egy katasztrófa vagy szabotázs miatt, a másik veszi át a vezérlést. „A helyreállítási tervet rendszeresen teszteljük. Előfordult már vírustámadás, illetve áramszünet a cégnél, de ezek csak helyi zavarokat okoztak az informatikai rendszerekben, nagymértékű gyártáskieséssel nem jártak” – mondja Győri András IT-igazgató. A kritikus rendszerek kiesése esetén emberi munkával ideig-óráig ki lehet küszöbölni a számítógép használatát, például lehet kézzel vámpapírokat vagy szállítólevelet írni. Ezek a megoldások azonban legfeljebb egy-két napig, egyes területeken pedig mindössze negyed órán keresztül működnek. A társaság most alakítja át folyamatait az EU-ban is elfogadott BS 7799 informatikai biztonsági szabvány szerint.
ÉLEN A NAGYOK. Hazánkban egyelőre kevés cég vállalkozik ilyen auditra. Az informatikai védelem terén élen járnak a bankok, légitársaságok, internet-szolgáltatók, illetve azok a főleg multinacionális cégek, ahol az IT létfontosságú, és anyacégük is szigorú biztonsági előírásokat alkalmaz. Ezeknél is rangsorolják azonban az üzleti alkalmazásokat, s katasztrófa esetén a legfontosabb területek helyreállítására összpontosítanak. „Minden alkalmazás megduplázása ugyanis tetemes többletköltséggel jár” – mutat rá Tóth József, a Unisys Magyarország Kft. vevőszolgálati igazgatója. A költségeket az is befolyásolja, milyen gyorsan szeretné a cég visszanyerni az elveszett adatokat.
| Sötétben tapogatóznak? |
| Az informatika terén a legtöbb problémát a biztonság és a költségek okozzák – derül ki a Taylor Nelson idei felméréséből, amelyben 200 angol, német, francia, holland, olasz, spanyol és portugál nagyvállalat informatikai és a gazdasági igazgatóit kérdezték. A válaszok szerint a cégek nagy részének gondot okoz az informatika pénzügyi hatásainak számszerűsítése, miközben a felső vezetők bevonása nélkül zajlik az IT beszerzések 43 százaléka. Az informatikára fordított pénzek felhasználása nem hatékony. A pazarlás fő forrásai az informatikai igazgatók szerint a szerverekkel kapcsolatos tervezés és problémamegoldás (32 százalék), a nagyszámú szoftverlicenc (31 százalék) és a támogató személyzet létszáma (24 százalék). |
|
Bankok esetében például a felügyeleti törvény is előírja a hardver megduplázását. Minden tranzakcióról biztonsági másolat készül, s több, egymástól független informatikai alrendszer képes a főrendszer kiváltására, ha ott áramszünet vagy termé-szeti csapás következik be. „A védelem azonban nemcsak a hardver megduplázásáról szól, hanem szervezési, folyamat-szabályozási kérdés is” – jegyzi meg Tóth József.
Sok cégnél azonban nincs katasztrófa-helyreállítási terv, csak mentik az adatokat, és a rendszer megsérülése esetén az archívumból próbálják meg helyreállítani a korábbi állapotot.
Tökéletes védettség egyébként soha nem érhető el, és bizonyos szint felett a biztonság növelésére fordított költségek exponenciálisan nőnek. Ezért az aktuális védettségi szint mindig az erőforrások és kockázatok közti kompromisszum eredménye.
EMBERI TÉNYEZŐ. „Az informatikai biztonságnál mindig az ember a leggyengébb láncszem, az esetek kétharmadában szándékos vagy vétlen emberi mulasztás miatt lopnak el adatokat” – véli Békési Sándor. A legtöbb operációs rendszerben ugyanis a rendszergazda az „atyaúristen”: bármibe bele tud nézni, és el is tudja tüntetni maga után az erre utaló nyomokat. Megfelelően védett naplózási rendszerekkel és elosztott hozzáférési jogosultságokkal ugyan ez a veszély kivédhető, de erre csak nagy szervezeteknél van meg az anyagi keret. A kis- és középvállalatok többnyire egy-két rendszergazdát alkalmaznak, de gyakran előfordul, hogy például a cég levelező szerverét egy külsős szakember üzemelteti alvállalkozóként vagy másodállásban. A korszerű titkosítási rendszerek a rendszergazdai jogú hozzáférések ellen is védenek, ezeket azonban még nem alkalmazzák elterjedten a belső vállalati levelezésben sem, noha itt bevezetésének licencköltségei nem meghatározóak.
A fokozott biztonsági előírások ráadásul általában kényelmet-lenek is a kollégáknak. Korlátozásként élik meg, ha az interneten nem látogathatnak egyes oldalakra, nem tölthetnek le anyago-kat, vagy többszörös jelszó nehezíti meg bejutásukat a céges hálózatba, illetve a belső anyagokhoz csak az irodában férhet-nek hozzá. Az „értelmetlen basáskodásnak” ítélt szabályokat, ha megtehetik, gyakorta áthágják, veszélyeztetve ezzel a cég teljes adatvagyonát. Ezen lehet IT biztonságtechnikai oktatással javítani, de ennek hatékonyságát a tűzvédelmi vagy a munkavédelmi oktatáshoz hasonlóan nehéz lemérni.
