Meghaladta az egymilliárd forintot tavaly a hacker-támadások okozta kár értéke Magyarországon.#<# Ez a szám csupán a felderített esetekre vonatkozik, s csak olyan károkra, amelyek az informatikai rendszerek feltöréséből fakadtak (nem értendők tehát bele a számítógéppel mint eszközzel elkövetett bûncselekmények, így például a bankkártya-csalás, telefonkártya- és pénzhamisítás). Hogy ez az érték sok vagy kevés? Szinte mindegy, hiszen csupán meg nem határozható töredéke a fel nem tárt eseteknek.
Az informatikai biztonságot azonban lassan-lassan kezdik komolyan venni a hazai cégek. Az informatikai vezetők tíz évvel ezelőtt még ellenérdekeltek voltak abban, hogy biztonsági rendszereket vásároljanak, hiszen szûk költségvetésük a rendszerek kiépítésére is alig volt elegendő. Ma már a helyzet ennél jobb, bár teljes elkötelezettséget csak a nagyobb pénzintézetek és a külföldi tulajdonban lévő nagyvállalatok mutatnak arra, hogy ne csak a hacker-támadások után lépjenek, hanem már előre megpróbálják minimálisra csökkenteni azok esélyét. Pedig a külső feltételek immár adottak: míg két-három évvel ezelőtt az itthon elérhető szoftverek nem voltak elég korszerûek, addig ma már könnyû hozzájutni olyan programokhoz, amilyeneket a nyugati cégek is használnak. Ezek folyamatosan figyelik, érte-e valamilyen támadás a rendszert, s közben azt is vizsgálják, hogy melyek azok a rések, ahonnan a betörés várható. Talán az ilyen rendszerek megjelenésének, vagy az informatika további robbanásszerû terjedésének, de az is lehet, hogy a puszta véletlennek köszönhető, hogy Magyarországon tavaly az egy évvel korábbinál jóval kevesebb volt a felderített számítógépes bûncselekmények száma, illetve az ilyen eredetû kár nagysága (lásd a grafikont). Kondárok Tibor és Kőrös Zoltán, a Noreg Kft. vezetői csak találgatni tudnak, hogy mi állhat a számok mögött, hiszen a felderített esetek aránya nem állandó. A biztonságtechnológiára szakosodott cég vezetőinek intuíciói azonban azt súgják, hogy lassuló ütemben nőnek az ilyen jellegû bûncselekmények, hiszen a vállalatok ma már rajta vannak ezen a problémán, s a rendőrség is felkészültebb, mint korábban. Másrészt persze a “betörési” kultúra is fejlődik, ráadásul egyszerûbb hacker-programokat garmadával kínál az internet.
Az informatikai biztonság szintjei 1
. Informatikai rendszerekkel való ismerkedés, a védelem teljes mellőzése.
2. A rendszerek monitorozása, annak figyelemmel követése, történt-e betörés. Az erre vonatkozó költségek teljes egészében az informatikai büdzsét terhelik. A magyar cégek többsége ennél a szakasznál tart.
3. Annak felismerése, hogy az informatikai biztonság üzleti szempontból is fontos. A költségek kétharmada terheli az IT-büdzsét, egyharmada származik egyéb forrásból.
4. Annak felismerése, hogy a biztonság nem csupán szükséges, hanem üzleti (és marketing) előny kovácsolható belőle. Ez a hozzáállás még nyugaton sem jellemző.
A tapasztalat azt mutatja, hogy a cégek ugyanakkor hajlamosak hamis biztonságtudatot kialakítani magukban: megvesznek egy detektáló szoftvert, installálják is, csak elfelejtik frissíteni, s közben meg vannak győződve: felkészültek a támadásra. Márpedig egy régi detektáló program éppen annyit ér, mint egy lejárt vírusirtó: semmit nem tud kezdeni a kurrens, divatos támadási módszerekkel.
Az Egyesült Államokban alig egy éve indult el a biztonsági problémák házon kívülre helyezése, vagyis a rendszerek outsourcingban való mûködtetése, de a Noreg már itthon is kötött ilyen szerződést. Megfelelő szintû saját biztonsági rendszert csak a Fortune 500, nálunk pedig a TOP 200 cégei engedhetnek meg maguknak – állítják a tanácsadó cégek. Mégis, a legnagyobb felelősség házon belül van, erről tanúskodik az a már közhelyszámba menő megállapítás, hogy a betörések túlnyomó részét – 70-90 százalékát – cégen belülről követik el. Dévényi Gábor, az AAM Vezető Informatikai Tanácsadó cég tanácsadója szerint fontos lenne, hogy a cégek auditálják biztonsági rendszereiket, amelybe nem csupán a technikai megoldások, hanem a folyamatok is értendők.
Az American Society for Industrial Security és a PricewaterhouseCoopers tanácsadó cég közös felmérése alapján a Fortune 1000 körbe tartozó cégeket 1999-ben 45 milliárd dollár veszteség érte informatikai betörések és adatlopások következtében. Átlagban 2,45 betörést szenvedett el egy cég, s a becsült kár betörésenként meghaladta a félmillió dollárt. A technikai cégek körében a fenyegetettség sokkal nagyobb volt, egy átlagos high-tech céget 67-szer támadtak meg egy év alatt, s egy-egy támadás 15 millió dollár veszteséget okozott.
