Az információs rendszerek biztonsága nem csak Magyarországon marginális kérdés. A brit kereskedelmi és ipari minisztérium 1000 cég körében végzett felmérést arról, miként cselekszenek, amikor résre bukkannak a biztonsági rendszerben. A megkérdezettek 60 százalékánál már súlyosabb gondokat is okozott az, hogy kívülről átjutottak a biztonsági rendszerükön, ilyenkor azonban az esetek kétharmadában semmilyen lépés nem követte a felismerést. A cégek négyötöde nem használ tűzfalat, s a saját weboldalat fenntartó vállalkozások 59 százalékánál nincs semmilyen speciális rendszer, amely a site-ot védené. A válaszadók az ilyen jellegű károk értékét 20 ezer és 100 ezer dollár közöttire becsülik, s 40 százalékban az emberi mulasztást okolják.
Kovács Tamás, a Montana Rt. információvédelmi divíziójának rendszermérnöke ezeknek az adatoknak az értelmezésekor arra hívja fel a figyelmet, hogy egy cégnek gyakran nem éri meg betömni a bizton0sági réseket: bizonyos esetekben olcsóbb a károkat elszenvedni. Így a fenti számok nem okvetlenül jelentik azt, hogy ekkora nagyságrendben lehetne nemtörődömségről beszélni. Az azonban bizonyos, hogy a biztonsági lépések fontossága még mindig nem stratégiai kérdés, pedig annak kéne lennie.
A londoniak vizsgálatával egy időben a KPMG is megkérdezett 179 informatikai biztonsággal foglalkozó menedzsert, olyan nagy-britanniai cégek köréből, ahol az éves árbevétel meghaladja a 10 millió fontot. A cégek egyharmadánál hiányzik az az automata rendszer, amely a hackerek támadásait rögzítené; negyedük sosem tesztelte az internetkapcsolatot biztonsági szempontból; s megint csak egyharmad azoknak az aránya, ahol nincs kidolgozott terv támadás esetére.
Noha a legnagyobb bajokat a számítógépes vírusok okozzák, a biztonság kiépítésekor – ha az anyagiak kerülnek szóba – a vírusok elleni védekezés nagyon kis arányban szerepel. Ezt a válaszadóknak csupán 7 százaléka említette egyáltalán, miközben 55 százalékuk utalt az újabb és újabb elektronikus kereskedelmi alkalmazásokra, mint a biztonsági rések “hordozójára”, amelyek kiküszöbölésére költeni kell. A KPMG tanulmánya szerint az információtechnológiai részlegeken nem tudják, melyek azok az adatok, amelyeket védeni kell, mivel hiányzik az együttműködés: az üzlettel foglalkozó vezetők nem állítanak fel számukra kereteket. A biztonsági kérdésekhez ráadásul nagyon nehéz számokat rendelni egy cég éves költségvetésének készítésekor, mivel az internet használatának kockázata szinte kiszámíthatatlan.
Ugyanakkor látszik, hogy a hagyományos kockázatok kezelésében történik némi előrelépés: már nagyobb figyelmet szentelnek az olyan feladatoknak, mint a rendszeres jelszócsere, vagy a katasztrófa terv, s az üzleti partnerekkel történő szerződésekben is egyre inkább helyet kapnak a biztonsági szempontok.
“Magyarországon két-három éve a rendszerbiztonság még egyáltalán nem volt téma, ma már szerencsére az a helyzet, hogy egyre többen keresnek meg minket ilyen jellegű megbízásokkal” – számol be a Montana rendszermérnöke. Hasonló felmérések itthon még nem készültek, de látszik, hogy a biztonsági kérdésekhez való hozzáállás, noha még korántsem elég érett, fejlődik. Általában nem akkor hajlanak a cégek a biztonság fejlesztésére, amikor történik valamilyen betörés vagy vírusfertőzés, hanem akkor, amikor egyébként is az informatikai területek felé fordulnak, például új rendszerek bevezetésénél. Míg nyugaton az IT-költségkeret 10 százalékát költik biztonságra, nálunk ez az arány csupán 1-2 százalék. –
