Új kihívásokkal, problémákkal is jár a kommunikációs szabadság. A vállalati szervezeteken belül a sokkal átláthatóbb, a korábbinál kevésbé hierarchikus körülményekhez kell alkalmazkodniuk vezetőknek és alkalmazottaknak egyaránt. Technológiai téren talán az információk szelektálása jelenti a legnagyobb gondot: a behálózott világban csak az a cég lehet sikeres, amelyik ki tudja választani az információfolyamból, a szerteágazó kapcsolathálóból a számára fontos tudnivalókat, kapcsolatokat. Nem elég tehát szabadjára engedni az információáramlást, hanem kezelni is kell – ez a tanulság a hálózatok világában. Az intelligens hálózati platformokon – amilyennek a tanulmány szerzői saját cégeik termékeit tartják – a felhasználó üzleti céljai szabják meg a végpontokon ülő ügyfelek hozzáférési lehetőségeit minden információforráshoz, az alkalmazásoktól az adatbázisokon át az Internet-használat egyénre szabott szabályaiig. A hálózatmenedzselő szoftverek lehetővé teszik, hogy a rossz falak lebontása és a jók felállítása techni-kai problémaként, a folyamatos változásokat követve gyorsan, zökkenőmentesen megoldható legyen.
Napjainkra az információ vált a legfőbb gazdasági erőforrássá. Ez egyfajta paradoxonhoz vezet: hogyan lehet egyszerre kitárulkozni, lényegében bárki számára hozzáférhetővé tenni egy vállalat minden tudnivalóját, ugyanakkor biztosítani, hogy az információ pontos, naprakész legyen, viszont ne jusson illetéktelen kezekbe?
Becslések szerint az információfüggő vállalati működés azzal jár, hogy a cégére vonatkozó információk 90 százalékára szinte minden alkalmazottnak szüksége van valamikor a munkája során. Az elsőrendű biztonsági probléma a megfelelő helyre a megfelelő időben eljuttatni ezt a 90 százalékot, de úgy, hogy közben a maradék 10 százaléknyi csak azok elé kerüljön, akiket megillet.
A megfelelő információvédelem kialakításának egyik legfőbb akadálya, hogy a vezetők azt hiszik, ez sokkal inkább technikai probléma, mint a menedzsment ügye. Pedig nem így van.
A hálózatok biztonságával kapcsolatban a legfontosabb kérdés, honnan érkezik az illetéktelen “kíváncsiskodás”, “támadás”. Az FBI nemrégiben a következő támadási statisztikát tette közzé (egy-egy konkrét illetéktelen hálózati behatolás az alábbiak közül több fajtának is megfelelhet): szabotázs az adatbázisok vagy a hálózat ellen 14 százalék, megvesztegetési kísérletek 15 százalék, lopási kísérletek 18 százalék, külső behatolási kísérletek a számítástechnikai rendszerbe 24 százalék, a biztonsági rendszer kijátszása: 25 százalék, alkalmazottak felhatalmazás nélküli hozzáférése 44 százalék. Mindezek nyomán a támadásokat négy csoportba sorolja a tanulmány: külső fenyegetések, belső fenyegetések, “Isten keze” típusú veszélyek, mint amilyenek a villámcsapások, illetve a vírusfertőzések, végül a 2000. év problémája.
A külső fenyegetés tíz éve még csak természeti csapásokban, véletlen balesetekben vagy gyűlölet szülte rongálásokban merült ki, ám az Internet, az elektronikus kereskedelem és a számítástechnikai hálózatokon keresztül lebonyolódó üzleti forgalom terjedésével, a vállalati informatikai rendszerek külső hálózatokba való bekötésével ugrásszerűen megnőtt az ilyen behatolások veszélye.
A lehetséges támadók közül a legenyhébb fenyegetést az alkalmi hackerek, az általános és középiskolás fiúk jelentik, akiknek rengetek idejük van számítógépezni, hackerkedni, de sem komoly károkozó szándékuk, sem az igazi bajkeveréshez szükséges felkészültségük nincs.
Az egyetemi hallgatók már veszélyesebbnek számítanak, minthogy sokkal többet tudnak a számítógépes rendszerekről, azok gyengeségeiről, jobb az elemzőképességük is és erősebb gépekkel rendelkeznek az alkalmi behatolóknál. Az e csoportba tartozókat ráadásul sok esetben szociális vagy politikai megfontolások motiválják a kiszemelt célpontjuk elleni akciónál.
A zsarolók és információkereskedők már igazán nagy veszélyt jelentenek. Az előbbiek egyértelműen bűnözők, az utóbbiak a konkurenciának eladható információért kutakodnak mások rendszereiben. E csoport tagjai kizárólag pénzért dolgoznak, következésképpen hajlandóak befektetni a megfelelő hackertudás megszerzésébe. (Jellemző, hogy az információtechnológia az egyik legnépszerűbb stúdium az európai börtönökben. Sok rab számottevő tudást szerez a rehabilitációs szándékú informatikai kurzusokon.)
A “cyberharcos” áll a hackerhierarchia csúcsán. E csoport tagjainak majdhogynem korlátlan erőforrásaik, szellemi hátterük van (lehetnek például védelmi, hírszerzési területen dolgozó, ott szerzett tapasztalatokkal rendelkező számítógépes szakemberek), katalógusokba rendezett ismeretekkel rendelkezhetnek minden “tűzfal”, hálózati megoldás, operációs rendszer gyengeségeiről és rá tudnak lépni nemzetközi távközlési hálózatokra. Nagyon képzett, erősen motivált emberekről van szó, akik rendkívüli szakmai felkészültséggel rendelkeznek és az egyetemistákhoz hasonlóan gyakran valamilyen extrém ideológia nevében cselekszenek.
A külső fenyegetéssel szemben a belső titoksértés minden szervezet örök problémája. Az alkalmazottak illetéktelen tettei egy brit felmérés szerint 57 százalékban véletlen esetek és csak 24 százalékban van a hátterükben valamilyen sérelem keltette gyűlölet. Tipikusan a hozzá nem értésből, a gondatlanságból, a figyelmetlenségből, a megfelelő biztonsági szabályok hiányából, egyszóval a rosszul menedzselt informatikai hálózatokból erednek a véletlenszerű hibák, károkozások.
Az “Isten keze” típusú balesetek ellen, mint amilyen a villámcsapás, a viharkár stb. alig lehet védekezni. Az információk többszörös tárolása, fizikailag (akár földrajzilag) is elkülönült elhelyezése, az egyik lépésről a másikra visszavezethető üzleti tervek segíthetnek. Érdekes konkrét példa, hogy míg az egyik nagy európai távközlési cég számítástechnikai központja sose szenvedett ilyen fajta kárt annak ellenére, hogy egy repülőtér kifutópályájától 500 méterre telepítették, addig az egyik bank hasonló létesítményére, amelyet mindentől távol, egy város környéki helyszínen építettek fel, majdnem rázuhant egy repülőgép.
Végül a vírusfertőzések és a 2000. év problémája olyan veszélyek, amelyek nem illenek az előbb említett kategóriákba, de azokhoz hasonlóan folyamatos rendszerfelügyeletet igényelnek. Az előbbiek elleni védelem eszközei: a programok származásának nyilvántartása, illetve vírusirtó szoftverek futtatása, amelyek időről időre átvizsgálják a hálózatot és likvidálják az általuk ismert program-kórokozókat. A 2000. év kezelése egyfajta minőségbiztosítási folyamat, amelynek során a számítástechnikai rendszer minden elemét ellenőrizni kell “2000-állóság” szempontjából, eközben egy hardver- és szoftverkatalógust létrehozva a vállalatnál.
A hálózatok védelmének költségeit az esetleges károk miatti kiadásokkal kell összevetni. A védekezés nem feltétlenül jelent plusz- kiadást, a megfelelő szabályok megalkotása adott esetben még közvetlen megtakarítással is járhat. Egy londoni nemzetközi bank például ügyfélkezelői felületén tűzfalat működtetett, de eközben megengedte, hogy a banki PC-ken modemek legyenek. A hackerek vad elterelő hadmozdulatokat intéztek a tűzfal ellen, s amíg a rendszergazdák ezzel foglalkoztak, felhívogatták a modemeket és azokon keresztül milliókat emeltek le banki számlákról. Tanulság: ha nincs modem, nincs probléma – a rendszer olcsóbb és biztonságosabb lett volna. Egy svéd informatikai cégtől egyetlen hétvégén ellopták legújabb fejlesztéseit tartalmazó nyilvántartását, aminek egyedüli oka a biztonsági szabályozás lyukassága volt. Azt ugyan megkövetelték, hogy minden kutatási dokumentumról azonos idejű másolat készüljön, ám azt már nem rendezték, hogy a másolatokat milyen védelem illesse meg. Minthogy azok a helyi hálózat egy másik gépére kerültek, onnan lopták le őket a hackerek.
Egy felmérés szerint Nagy-Britanniában 200 millió font kár éri a cégeket a megfelelő adatbiztonság hiánya miatt. Más becslések szerint az összeg ennek sokszorosa lehet. El lehet képzelni, hogy Európában összesen mekkorák lehetnek az ilyen veszteségek.
Az Egyesült Államokban tavaly egyes kimutatások szerint 137 millió dollárt vesztettek a cégek a számítógépes bűnözők miatt, a véletlenszerűen okozott károkat is hozzávéve az összeg sokkal magasabb lenne. Az FBI által megkérdezett cégek 64 százalékának volt számítógépes biztonsági problémája 1997-ben (egy évvel korábban még csak 22 százalék volt az arány), 54 százalékuk jelentette, hogy Internet-kapcsolata gyakori helyszíne a behatolási kísérleteknek (17 százalékos arány 1996-ban) és a válaszadók körében 241 eset járt – együttesen a fenti összegű – veszteséggel.
Látható tehát, hogy a védekezés elmulasztásával elérhető “megtakarítás” igazából beláthatatlan mértékű veszteségekhez vezethet. Ha a megelőzés költségeiből ki kell emelni egyet, talán a munkatársak képzésére kiadott összegekre eshet a választás, minthogy ez az egyik legfontosabb tennivaló ezen a téren.
Egy európai divatcég igen bölcsen úgy döntött, tűzfalat telepít rendszerei védelmére azon a ponton, ahol az Internetre kapcsolódnak a cég termékeinek reklámozása céljából. A takarékosság jegyében azonban saját technikusukra bízták a feladatot, akinek ilyen irányú szakképesítése ugyan nem volt, de egyébként értette a dolgát. Az illető elszúrta a telepítést, emiatt már azelőtt kilopták a divatház legújabb kollekciójának dokumentációját, mielőtt végleg elkészültek volna vele. Ajánlatos persze a külsős szakértőkkel is vigyázni. Az FBI jelentése szerint a maffia “szolgáltató céget hozott létre a millenniumcsapda kezelésére”. “Szakértői” ugyan kiküszöbölték a 2000. év jelentette problémát, csakhogy közben anyagot gyűjtöttek egy későbbi zsaroláshoz.
Az információbiztonság megfelelő vezetői szinten való kezelése, az ezzel kapcsolatos stratégia kidolgozása és végrehajtása, az alkalmazottak képzése és a külső partnerek alapos megválogatása – ezek a feltételei annak, hogy csak annyi kára származzon egy vállalatnak a hálózatos világ nemkívánatos mellékhatásaiból, amennyi elkerülhetetlen.
