Elállt a hangja az egyik nagy magyar bank informatikai vezetőjének, amikor az auditoroktól megtudta, hogy 7-8 olyan munkatárs van a cégnél, akinek a rendszer helytelen beállításai megengednék, hogy egymaga elutaljon péntek este 10 millió dollárt a Bahamákra, majd odautazva hétfőn reggel felvegye a pénzt. Az alapbeállítás szerint egy ilyen művelethez három ember kell, biztonsági hiányosságok miatt azonban az átutalási osztály bizonyos munkatársai, köztük olyanok is, akik már korábban kiléptek, egyedül is tudtak volna utalni. “Az eset nem egyedülálló – állítja Nagy Péter, az Ernst & Young (E&Y) menedzsere – más bankoknál is találtunk hasonlóan súlyos hiányosságokat. A bomba mindenütt ott ketyeghet, csak az a kérdés, tud-e róla az informatikai, a biztonsági vezető, vagy nem.”
NAGYÍTÓ ALATT. Az említett banknál úgy derült fény a veszélyre, hogy előzőleg megrendelték informatikai rendszerük szisztematikus átvilágítását. Az informatikai audit célja, hogy ellenőrizzék, a jogszabályok vagy más előírások által lefektetett követelmények (bankok esetében például az értékpapírtörvény vagy a Giro Rt. szab meg ilyeneket), továbbá az ügyfél elvárásai teljesülnek-e. Megnézik, hogy milyen kockázatokat kell kezelni, s azokat valóban kezelik-e. Cél a benchmarking is, tehát, hogy megállapítsák, az adott rendszer milyen a szektorban szokásosakhoz képest, s összehasonlítják az alkalmazott legjobb gyakorlatokkal (best practices) is. “Kedvezőbb, ha már a bevezetésnél kérik az auditor tanácsát, mert ilyenkor a szoftver kiválasztásánál is tud segíteni, nemcsak utólag, az esetleges biztonsági lyukak feltárásában” – mondja Nagy Péter.
A mai rendszerek már olyan bonyolultak, hogy a szállítók nem szabják azokat testre, a beállítást ráhagyják a megrendelőre. Utóbbi azonban nem rendelkezik a szükséges szaktudással. Sokszor szükség van a rendszer változtatására is, ilyenkor is keletkeznek biztonsági lyukak.
Az informatikai audit egyik fő területe a hozzáférés-kontroll. Ilyenkor azt ellenőrzik, hogy ki férhet hozzá a rendszerhez. A másik fő terület az üzletmenet folyamatosságának biztosítása, vagyis annak áttekintése, hogy ha valamilyen rendkívüli esemény, például támadás, katasztrófa éri a rendszert, milyen lehetőség van az üzletmenet folytatására. Magyarországon azonban a legnagyobb kockázatokat a változás-menedzselés rejti magában: amikor egy régi rendszert újra cserélnek, nem biztos, hogy sikerül helyesen átvinni az összes adatot. Arra sincs garancia, hogy ezek az adatok pontosak, mert sokszor már a régi rendszerben is rossz adatokat tároltak. “Több millió ügyfél adatát manuálisan ellenőrizni hónapokig tart, a megfelelő automatizált rendszerrel azonban a tényleges rendszerátállás csak néhány óra” – jegyzi meg Nagy Péter.
Magyarországon a pénzügyi szektorban már elterjedt az informatikai audit alkalmazása. Az iparban azonban még nem annyira használják, inkább csak multinacionális vállalatok igénylik ezt a szolgáltatást, pedig például a termelésirányító rendszerek esetében szükség lenne rá. “Egyik ügyfelünknél úgy vezették be az SAP rendszert, hogy minden egyes felhasználónak rendszergazda-jogosultságokat adtak. A főkönyvelő rettegett, hogy mikor fogják módosítani vagy eltüntetni az adatokat, nem feltétlenül rosszindulatból, hanem véletlenül” – említi meg Nagy Péter. A szakemberek mindazonáltal az elektronikus kereskedelem felfutásától várják az igények növekedését az informatikai audit iránt.
Hasznos kérdések az informatikai auditról szóló döntés előtt• Stratégiai jelentőséget tulajdonítanak-e a cégnél az informatikának, vagy infrastruktúraként kezelik?
• Ismerik-e a legjobb gyakorlatokat (best practice) az iparágban?
• A legjobb gyakorlatokkal összehasonlítva túl sokat vagy túl keveset költenek-e az informatikára, a biztonságra?
• Megbíznak-e a saját pénzügyi adataikban?
• Terveznek-e jelentős változtatást a rendszerben? Ez a változás milyen kockázatokat hordoz?
• Nagy projekt esetén gondoltak-e minőségbiztosításra?
Forrás: Ernst & Young
Az interneten megjelentetett reklámoknál a hirdető szeretné ellenőrizni, hogy valóban annyian kattintottak-e rá a reklámcsíkjára, ahányról a szolgáltató beszámol. Ilyenkor egy auditor átvilágítja a számláló rendszert, s ellenőrzi, hogy a felek egymás közötti elszámolása valós-e. A számlálást sokszor harmadik félre, egy ezzel foglalkozó szolgáltatóra bízzák. Ilyenkor az auditor ennek a szolgáltatónak a rendszerét vizsgálja át, s jelentést ad ki annak korrekt működéséről. Hasonlóan, bankkártyával történő fizetés esetén egy harmadik szolgáltatóra bízhatják a kártya érvényességének ellenőrzését. Ilyenkor is előnyös ezt a rendszert auditáltatni. Kisebb cégek a működtetéshez szükséges rendszereket (könyvelés, emberi erőforrás és hasonlók) egyre gyakrabban bízzák kívülállóra (outsourcing). “Amerikában már gyanús, ha egy ilyen szolgáltatónak nincs független auditor által kiállított bizonyítványa” – számol be Danyi Pál, az E&Y menedzsere, aki nemrég tért haza a tengerentúlról -, volt olyan megbízónk, aki kérte, évente többször is vizsgáljuk át a rendszerét.” Internetszolgáltatás kihelyezésekor célszerű például a szerver biztonságán túl a tűzfalak beállítását is auditáltatni, s a digitális aláírásokat hitelesítő központokat is minősíteni kell.
VÉDŐPAJZS. Fontos, hogy a rendszerek betörésbiztosak legyenek, s nemcsak a külső betörők (hackerek), hanem a belső támadások ellen is védekezni kell. A technológia már lehetővé teszi biztonságos rendszerek kialakítását. Ha azonban a hackerek felfedeznek egy biztonsági rést, majd ezt publikálják, akkor az ilyen tippeket figyelő többi hacker lecsap. Azt nem lehet megvalósítani, hogy egyáltalán ne legyenek biztonsági rések – mondja Danyi Pál -, arra azonban van mód, hogy egy szolgáltató éppen az ilyen hacker-honlapokat figyelje, s az ott megjelenteket a veszélybe kerültek tudomására hozza. E szolgáltatás előfizetői gyorsabban tehetik biztonságossá rendszerüket, mint amilyen hamar a hackerek megtámadhatnák.
A Netlock Informatikai és Hálózatbiztonsági Szolgáltató Kft. azért végeztetett informatikai auditot, mert így is bizonyítani kívánta a külvilágnak, hogy megbízható – tudtuk meg Rózsahegyi Zsolt ügyvezető igazgatótól. Ugyanakkor maguk is kíváncsiak voltak egy független, harmadik személy véleményére. Konkrétan az amerikai és kanadai auditorok által kidolgozott WebTrust for CA (Certification Authorities) audit mellett döntöttek, ezt ugyanis a világon már széles körben alkalmazzák. Az is szempont volt, hogy a vizsgálatot jó nevű, nagy szervezetre bízzák. “Egy évvel azután, hogy megrendeltük az auditot, a Microsoft bejelentette: azokat a hitelesítés-szolgáltatókat ismeri el megbízhatónak, amelyek rendelkeznek a WebTrust audittal” – mutat rá Rózsahegyi Zsolt arra, hogy helyesen döntöttek. Maga a vizsgálat nem tárt fel nagy hibákat – ennek örültek, hiszen rendszerük jónak bizonyult. Javítanivalók azonban akadtak, így például standardizálták a szabályzataikat, s dokumentáltak olyan folyamatokat, amelyeket korábban magától értetődőnek vettek.
