Kétségek gyötrik a bankigazgatót a New York és Washington elleni támadások óta. Cégét nem a kamikázéktól félti, az irodája fölött elhúzó repülőgépek zúgására oda se figyel. Nyugalma azonban egy szempillantás alatt elpárolog, ha a bank biztonsági szakembereinek fenntartásai ellenére megkötött szerződésekre gondol. Íróasztala fiókjában, mindjárt a szigorúan bizalmas jelzéssel ellátott lista elején ott az a szaúdi üzletember, aki 100 millió forint értékű valutát kötött le a banknál és hasonló nagyságrendű hitelt vett fel országhatárokon túlnyúló üzletei finanszírozásához. Hogy a volt orvostanhallgató hithű muzulmán és barátai között néhányan az Interpol nyilvántartásában, mint illegális fegyverkereskedők szerepelnek, fél éve még nem látszott túlzottan fontosnak. Manapság viszont…
Jó tanácsok a biztonságos működéshez1.
Újból át kell gondolni, hogy cégünk milyen veszélyeknek van kitéve (de nem “totális védelemre” kell törekedni).
2. Érdemes felderíteni a felettébb előnyös ajánlatot adó üzleti partnerek hátterét, akár szakértők segítségével.
3. A beszállítókat, alvállalkozókat is alaposan szemügyre kell venni.
4. Bármilyen kellemetlen, az sem mindegy, ki vásárol tőlünk, mert a rövid távon előnyös üzlet könnyen visszaüthet.
5.Külföldi üzletkötések, érdekeltségek vásárlása esetén ismerjük meg a helyi szokásokat.
6. Bár a stratégiai ágazatokat (például az energiaszektort) kiemelten védi a Nemzetbiztonsági Hivatal, a cégek maguk sem hanyagolhatják el az ellenőrzést.
7. Ha szükséges, építsünk ki videórendszereket, a telefonhívásokat vegyük hangszalagra, a fontos helyiségeket (például szerverszoba) pedig védjük az illetéktelen behatolástól.
8.Számszerűsítsük a létfontosságú cégadatok – beleértve a digitális adatok – fizikai és virtuális biztonsági kockázatát. Az adatok többszörözése véd a fizikai megsemmisülés ellen, viszont megnöveli adataink illetéktelen kezekbe jutásának veszélyét.
NEM LÓGUNK KI A SORBÓL. A New York-i World Trade Center (WTC) és a washingtoni Pentagon elleni terrortámadások után a pesszimista jövendölések szerint csak idő kérdése, hogy az Egyesült Államokban vagy Európában mikor kerül sor újabb merényletekre. A stratégiai intézmények, vállalatok védelmét világszerte megerősítették, de lehetőségeikhez mérten a nemzetbiztonsági szervek ingerküszöbe alatti gazdasági társaságok is igyekeznek garantálni saját biztonságukat.
A sorból természetesen Magyarország sem lóghat ki. A Ferihegyi repülőtéren ugyan már feloldották a rendkívüli biztonsági intézkedéseket, de a látszat ellenére a figyelem nem csökkent. A közintézményeket, a Paksi Atomerőművet és a “stratégiai” cégeket pedig továbbra is szigorúan őrzik. A kormány a terrorakciók megelőzésére 19 milliárd forintot különített el.
“Terrorizmus az erőszak, vagy az erőszakkal való fenyegetés szándékos használata bizonyos célok elérése érdekében. Gyakran jár szimbolikus jelentőségű bűnténnyel, célja az, hogy az áldozaton felül a társadalmat befolyásolja” – határozza meg a terrorizmust az Egyesült Államok kormánya által finanszírozott Anti-Terrorism Assistance Program (ATAP) egyik oktatóanyaga. Az amerikai Bureau of Diplomatic Security szervezésében rendezett speciális felkészítő programban Jasenszky Nándor, a POSYS Információs Kft. szakértője is részt vett. Szerinte a szeptember 11-i amerikai támadáshoz hasonló, vallási fanatizmuson, vagy politikai ambíciókon alapuló terrorakcióknak Magyarországon kicsi az esélye. Az itteni akcióknak ugyanis az ilyen jellegű támadások elkövetői számára nem lenne elég nagy a nemzetközi visszhangja. Az állami intézményeknek és cégeknek hazánkban nem elsősorban a fizikai támadások ellen kell védekezniük, hanem az ellen, hogy esetleg tudtukon kívül a terroristák eszközéül szolgálhatnak.
Világméretű veszélyzónaNem kizárt, hogy a szeptember 11-i terrorakciók nyomán a világ légitársaságai hamarosan az izraeli El Al gyakorlata szerint járnak el egy-egy repülőgép utasainak felszállás előtti ellenőrzése során. E vizsgálódásnak hála, az izraeli járatokon 1968 óta nem történt gépeltérítés. Az El Al utasainak nem csupán a csomagjait és egyéb személyes holmiját világítják át kínos alapossággal, hanem töviről-hegyire kifaggatják őket utazásuk céljáról, a poggyászuk becsomagolásának körülményeiről, ha kell, többször is rákérdeznek személyazonosságuk részleteire, és mindenre kiterjedő figyelemmel vizsgálják át úti okmányaikat. Amennyiben egy utassal szemben kétségek merülnek föl, az El Al cseppet sem zavartatja magát amiatt, hogy esetleg megvárakoztat egy repülőgépet.
Az elmúlt hónapokban tapasztalható világgazdasági lefékeződés, illetve a merényletek sokkja már jócskán elriasztotta a cégvezetőket attól, hogy repülőgépre üljenek. Az amerikai üzleti utasok szervezete, a National Business Travel Association (NTBA) úgy véli, a vállalatok mostantól még az eddigieknél alaposabban átgondolják majd: kinek és miért kell útra kelnie, és valóban elengedhetetlen-e az utazása.
Az Egyesült Államokon belüli, különösen az 500 mérföldnél (mintegy 800 kilométernél) rövidebb utaknál az eddigieknél jóval gyakrabban választják majd az autót, és a földi közlekedés előtérbe kerülése akár lökést adhat egy amerikai szuperexpressz-hálózat kiépítésének is, Amerika azonban mégiscsak egy kontinensnyi ország, a nemzetközi utaknál pedig még kevésbé lehet mellőzni a repülést. A tengerentúli üzletek biztonsági tanácsadójaként működő amerikai Control Risks Group szerint az ilyen utakon az első számú szabály, hogy az adott üzletember a lehető legkevésbé “vonja magára a figyelmet”. Ne utazgasson például szükségtelenül a felkeresett országban: intézze el, amiért odament, majd a lehető legrövidebb időn belül távozzon onnan. Kerülje az olyan kávézókat, éttermeket és egyéb szórakozóhelyeket, amelyekről köztudott, hogy a külföldi üzletemberek kedvelt találkozóhelyei. A poggyászcímkén lehetőleg ne tüntesse fel illetőségét, illetve semmi olyan jelet, amely egyértelművé tenné, melyik országból érkezett. Az NTBA mindemellett azt ajánlja, hogy a “fokozott kockázatot jelentő” országokba készülő üzletemberek az indulás előtt feltétlenül adják át az utazás részletes tervét családtagjaiknak, illetve kollégáiknak, azután tartsák is magukat ehhez a menetrendhez. Egyetlen, a személyazonosságukat igazoló úti okmány se hiányozzon a poggyászukból. Tartsanak maguknál továbbá egy részletes leírást az esetleges betegségeikről és a szükséges orvosságok listájáról, illetve mindig legyen náluk a helyi nagykövetség telefonszáma. Végül ellenőrizzék, hogy a mobiltelefonjuk akkumulátora fel van-e töltve, sőt ha tehetik, vigyenek magukkal egy tartalékakkut is. A Control Risks Group egyébiránt azt javasolja, hogy a következő időszakban senki se utazzon Afganisztánba, Pakisztánba és Jemenbe.
Simon Ernő
Arra, hogy egy ország milyen könnyen válhat a terroristák háttérbázisává, Magyarország is figyelmeztető példa. A rendszerváltás után nyilvánosságra került és a sajtóban is megjelent dokumentumok tanúsága szerint a hetvenes években az egyik legveszélyesebbnek tartott terrorista, Carlos és csoportja az akkori nemzetbiztonsági szervek tudtával rendszeresen Budapesten “pihente ki fáradalmait”. A szakértők azt tartják, a jelenlegi nemzetközi biztonsági rendszerben természetesen már nem “weekendezhetnek” a Balatonnál az FBI és az Interpol által keresett terroristák.
Az viszont valószínű, hogy a magyar gazdaságot használják fel pénzük egy részének tisztára mosására. Ezt támasztja alá a Nemzetbiztonsági Hivatal (NBH) honlapja is. “A szervezett bűnözés elleni küzdelem során az NBH számos, a Magyar Köztársaság gazdasági, pénzügyi biztonságát veszélyeztető olyan jelenséggel szembesül, amelynek többsége összefügg a nemzetközivé vált szervezett bűnözéssel (pénzmosás, illegális fegyver- és kábítószer-kereskedelem stb.)” – olvasható a hivatal internetes oldalain.
RÉSEK A RENDSZERBEN. Az egyik legveszélyeztetettebb területnek a pénzügyi szektort tartják. Szakértők szerint a bankoknak az eddigieknél nagyobb figyelmet kell szentelniük az ügyfeleikkel kapcsolatos információk megszerzésének. Az európai uniós (EU) országok ma már rendkívül szigorúnak számító pénzmosás elleni törvényei miatt a bűnözői csoportok – köztük akár terroristák – kénytelenek kevésbé ellenőrzött területen tisztára mosni pénzüket. Erre a kelet-európai országok fejlett, színvonalasnak számító szolgáltatásokat nyújtó pénzintézetei egészen addig kitűnő lehetőséget kínálnak, amíg a meglévő pénzmosás elleni jogszabályok betartása nem elég szigorú. Nálunk például a pénzmosás elleni törvény szerint a bankoknak minden 2 millió forint feletti tranzakciót nyilván kell tartaniuk, illetve szükség esetén jelezniük kell a rendőrségnek. Arról azonban, hogy bejelentéseik alapján hány esetben indul eljárás, keveset hallani. (A bankbiztonság gyakorlatáról lásd külön.)
Megfigyelők szerint a vállalatok és a nemzetbiztonsági szervek kapcsolatai általában meglehetősen felületesek. Ha a pénzintézetek valamiért gyanúsnak látszó ügyfeleikről az állami szervektől kérnek bizalmas információt, sokszor hónapokat várhatnak a válaszra. Márpedig “hatékonyabb együttműködés csak ott van, ahol a céges biztonsági szakértő személyes kapcsolatait is latba tudja vetni a rendőrségnél, illetve a nemzetbiztonsági szerveknél” – állítja Jasenszky Nándor. Persze nem lehet mindent az információhiányra fogni. Az üzleti életben a közvetlen pénzügyi érdekek sokszor az elfogadhatónál nagyobb biztonsági kockázat vállalására késztetik a döntéshozókat. Így gyakran előfordul, hogy a gazdasági társaságok olyan ügyfelekkel is szóba állnak, akikről pontosan tudják, hogy környezetük, üzleti kapcsolataik kétesek.
Ráadásul a kétes vállalkozások jelentős része ma már szabályosan bejegyzett honi gazdasági társaság. A magyarországi cégalapítás egyszerűsége, valamint a magyar vállalatokkal szembeni európai bizalom vonzó hellyé teszi hazánkat a tisztességtelen üzleti vállalkozásokat folytatók számára. Egy bejegyzett magyar gazdasági társaság ügyleteire az EU országaiban kevésbé figyelnek oda a hatóságok, mint akár egy arab országban működő vállalatéra. Ennek következtében megfelelő tőkével felvértezve mozgásterük is lényegesen nagyobb. Az pedig, ha egy magyar céggel nincs minden rendben, csak különleges esetekben derülhet ki.
SZEMLÉLETVÁLTÁS? Annak ellenére, hogy az Amerikát ért terrortámadások után vállalatok biztonsági vezetői új feladatokat kaptak, pozíciójuk megerősödött, a vállalkozásbiztonság szempontjából szükséges szemléletváltás jeleit Tóth János, az Ultimadata Tanácsadó Kft. vezetője nem érzékeli. A szakember úgy véli: ez azért sajnálatos, mert az abszolút makulátlan – csupán elméleti kategóriába tartozó – cégeknek nem kell tartaniuk az üzleti leszámolásoktól, a zsarolástól.
Vastag falakEgy éppen sorra kerülő Raiffeisen banki ügyfél észre sem venné, ha a XV. kerületi informatikai központ átmenetileg felmondaná a szolgálatot, mert a fiókok ilyenkor automatikusan a másik központra csatlakoznának, az Akadémia utcaira. Ám ilyen esetre egyelőre nem volt példa. “Sajnos mégsem indulhatunk ki abból, hogy ez idáig szerencsénk volt; arra kell készülnünk, hogy bármikor bármi megtörténhet” – mondja Imre Zsolt, az osztrák tulajdonban álló pénzintézet bankbiztonsági főosztályának vezetője.
A banki alkalmazottak és ügyfelek, valamint az adatok védelme érdekében a normálistól eltérő esetek megoldásához kríziselhárítási kézikönyv készült. A dokumentumot, amely mintegy ezer oldalra rúg, a szakemberek négy évvel ezelőtt állították össze, és azóta évente megújítják. Olyan extrém helyzetre ugyan nem tér ki a “kódex”, hogy repülőgép zuhan valamelyik banképületre, azzal viszont tisztában vannak a munkatársak, hogy mit kell tenniük, ha a házban, illetve a gépekben komoly károk keletkeznek, de ezen túl is nagyon sokféle helyzeten képesek elméletileg úrrá lenni – állítja a főosztályvezető. A dokumentum azért is sikeredett ilyen vaskosra, mert gyakorlatilag valamennyi problémás helyzet teendőit tartalmazza, munkakörökre leosztva. (Azért kellett ezt a megközelítést alkalmazniuk, mert, azok a statisztikák nem hozzáférhetők, amelyek bizonyos “paranormális” események – például terrortámadás – bekövetkezésének valószínűségéről szólnak.) Lévén, hogy minden “veszélyelhárító” intézkedés súlyos összegekbe kerül, a szükséges lépésekről hozott döntéseket komoly anyagi mérlegelés előzte meg. Minden helyzetet forintosítottak: a mérleg egyik serpenyőjébe az került, hogy az adatok, a banki dolgozók és ügyfelek biztonságát veszélyeztető helyzetek mekkora anyagi kárt okoznának, a másikban pedig az áll, hogy mekkora veszteségeket hajlandó elviselni a bank, illetve hol húzódnak a határok, ahol már a megelőzés kerül előtérbe, akár komolyabb anyagi áldozatokat árán is.
Az informatikai rendszer védelmére például többlépcsős intézkedési tervet készítettek. Abból indultak ki, hogy egy egészen rövid üzemszünetet még vélhetően tolerálnák az ügyfelek, nem volna számottevő továbbá az adatvesztés sem. Hosszabb kiesésből azonban már túl sok kár származna, így huzamosabb idejű áramkimaradás esetén már tartalék energiaforrásokat kell munkába állítani, illetve ki kell kapcsolni a nem kulcsfontosságú gépeket. A tartós leállást pedig végképp nem viselné el a normális üzletmenet, ennek kivédését szolgálja a központ duplikálása, méghozzá a város különböző pontjain. Mint Imre Zsolt elmondta, a Raiffeisen Bank XV. kerületi és Akadémia utcai központja egyaránt alkalmas arra, hogy a funkciók némi csökkentése mellett ugyan, de biztosítsa a technikai hátteret a bank normális működéséhez.
A bankbiztonsági intézkedés-gyűjtemény felülvizsgálatára egyébként sem az Amerikát ért terrortámadás, sem az Aranykéz utcai robbantás nem kényszerítette a pénzintézet vezetését. Az előbbi azért nem, mert politikai indíttatású támadásoknak a bank általában nincs kitéve. Utóbbi pedig egy “szimpla” bűncselekmény volt – vélekedik Imre Zsolt -, ami ellen legfeljebb a banképület fizikai megerősítésével lehet védekezni.
Sajátos kockázatokkal kell szembenézniük azoknak a magyar cégeknek, amelyek akvizícióikkal a szomszédos országokban próbálnak szerencsét. Az olyan társaságoknak, mint a romániai és közvetve szlovák üzemanyagtöltő állomásokat üzemeltető Mol Rt.-nek, vagy a Macedóniában telefontársaságot szerző Matáv Rt.-nek piaci fellépésüket, magatartásukat a helyi viszonyokhoz kell igazítaniuk. És ez nem csupán a helyi tárgyalási szokások elsajátítását jelenti. Fontos az is, hogy a társaság az adott ország színvonalához igazítsa imázsát is.
Megfontolandó, hogy a cégek újragondolják az informatikai biztonsági stratégiájukat is. A WTC és a Pentagon irodáiba telepített számítógépek fizikailag megsemmisültek ugyan, a múltra vonatkozó adatok mégis nagy biztonsággal megmenthetők – hívja fel a figyelmet Kürti Sándor biztonságtechnikai szakértő, a Kürt Rt. vezérigazgatója. A világ vezető cégei ugyanis a legfejlettebb biztonságtechnikát alkalmazták, így adataik több szerveren szóródtak szét, ezek tehát aprólékos munkával ugyan, de újra pótolhatók. Kürti Sándor szerint azonban a titkosított, stratégiai fontosságú, jövőre vonatkozó adatok elvesztek. Ezeket a cégek biztonsági okokból általában egyetlen szerveren tárolják, amelyek nagy része a katasztrófa után keletkező tűzben vélhetően megsemmisült. A romeltakarítási munkálatok közepette valószínűleg tonnányi számítógép-hulladékot különítenek el, ebből kell majd kihalászni az adattárolókat, amelyekből aztán különleges technológiával esetleg még megmenthetők a lényeges információk.
MAGYAR VÉDELEM. Amit a fizikai támadások ellen ésszerűen meg lehet tenni, azt a magyar vállalatok többsége megteszi. Az információ védelmét viszont a gazdasági társaságoknál általában nem kezelik fontosságának megfelelően – állítja Tarjányi Péter, a ProWare ügyvezetője. A korábban terrorelhárítóként dolgozó szakember természetesen nem becsüli le a fizikai támadások veszélyességét, úgy véli azonban, hogy az 1992-1993-ban készült magyar terror-elhárítási koncepció mindenképpen aktualizálásra szorul. A korábbi védelmi stratégiában ugyanis az informatikai védelem nem kapott helyet. Ennek egyik következménye, hogy a kormányzati informatikai rendszerek üzemeltetői jelenleg nem lehetnek biztosak abban, hogy hálózatukra nincs rátelepítve semmiféle információgyűjtő eszköz. Emellett a kormányzati és üzleti szférában egyaránt számolni kell a beépített “ügynökök” jelenlétével, tevékenységével. Leleplezésük Tarjányi szerint azért fontos, mert segítségük nélkül az egyébként védett számítógépes rendszerekbe rendkívül nehéz behatolni. Úgy véli: az Egyesült Államok elleni merényleteket is aprólékos információgyűjtő munkának kellett megelőznie. Ha ez eredménytelen lett volna, elképzelhető, hogy a World Trade Center még ma is állna.
Magyarországon természetesen egyetlen vállalatnak sem kell a totális védelem kiépítésére törekednie. A biztonságtechnikai szakértők egy része – Tarjányinak ellentmondva – mégis azt szorgalmazza, hogy a rendkívüli helyzetekben szokásos üzleti reflexek beinduljanak a gazdasági társaságoknál.
KIVÉTELES ESETEK. A legtöbb vállalkozás nálunk jelenleg azt sem ellenőrzi, létezik-e az a cég, amelynek a számláját elfogadja. De azzal is kevesen törődnek, hogy termékeiket, szolgáltatásaikat ki vásárolja meg. Márpedig egyes területeken, így például a high-tech vállalatoknál ma sem mellékes, kinek a megrendeléseit fogadják el. Az intenzív információszerzéssel még az NBH által védett stratégiai vállalatoknak is foglalkozniuk kell. Egy elektromos távvezetékek, olajfinomítók, vagy földgázvezetékek elleni támadás megakadályozásában nem lehet kizárólag az állambiztonsági szervekre hagyatkozni.
A napi ügyek tengerében elmerülő menedzserek gyakorta nincsenek tisztában a veszélyekkel. Az üzleti információk gyűjtése a vállalatvezetők körében nem tartozik a fontosnak tartott tevékenységek közé. A költséges számítástechnikai és informatikai beruházások során általában elspórolják a biztonsági elemeket – állítják szakértők. Takarékossági megfontolások alapján a védett helységekbe – például a szerverszobába – való belépést biztosító, egyúttal a belépőket is regisztráló kódolt ajtó nem készül el. A videó rendszereket nem egyszer pusztán demonstrációs céllal építik ki, a kamerák képeit sokszor senki nem nézi.
A terroristák általános célpontjai• közlekedési eszközök
• közlekedési infrastruktúra
• állami intézmények
• pénzintézetek
• szállodavállalatok
• energiatermelő objektumok
• hírközlési, számítástechnikai központok
Vannak azért kivételek is. Tiszavasváriban, az amerikai ICN tulajdonában lévő kábítószer- és vegyi üzemi engedéllyel rendelkező gyógyszergyárban – a hajdani Alkaloidában – rendkívüliek a biztonsági előírások. Minden eshetőségre védelmi rendszereket dolgoztak ki, a szabályok betartását nemcsak belföldi hivatalok, de esetenként nemzetközi hatóságok is ellenőrzik. Négy műszakban, 24 órán keresztül folyamatos a fegyveres őrizet. A ki- és belépőket például nem csupán regisztrálják, hanem meg is motozzák, a táskákat megvizsgálják. Az őrséget óránként ellenőrzi a rendőrség, és más hatóságok bejelentés nélküli ellenőrzésére is állandóan számítani kell. Az ország második legnagyobb vállalatában, az Audi Hungáriában pedig az amerikai események miatt csupán azért nem szigorították a belső védelmi stratégiát, mert a védelmi rendszereket folyamatosan tökéletesítik. A cég három évvel ezelőtt foganatosított nagyobb változásokat a lopások, az Audi TT kocsikat szállító vonatok “megdézsmálása” ellen. A termelés védelmét a Volkswagen konszern standardjai alapján szervezték meg, a számítógépes hálózatot például speciális háromszintű védelemmel látták el.
VÁRATLAN HELYZETEK. A terrorista támadások végrehajtásának egyik lehetséges csatornájának tekintik a nemzetközi postai hálózatokat, emlékezve az 1995-1996-os ausztriai levélbombákra. Keszthelyi Vilmos, a Magyar Posta Rt. belsővédelmi osztályának vezetője szerint a védelem szervezésénél elsősorban a szállítójáratok biztonságára koncentrálnak. A postai szállítmányok és objektumok biztosításában részt vevő fegyveres biztonsági őrök megbízhatóságát a rendőrség segítségével ellenőrzik. A postai dolgozókat rendszeres képzéseken igyekeznek felkészíteni a várható és az előre nem látható helyzetekre való reagálásra.
A posta gondjaira bízott napi több mint egymillió küldemény közül a bizonyos ismérvek alapján gyanúsnak ítélt küldeményeket a vállalat meghatározott pontokon speciális detektorral ellenőrzi. Keszthelyi Vilmos nem csinál titkot belőle, hogy az elmúlt időszakban a detektorok több esetben azonosítottak bombagyanús küldeményeket. Arról azonban, hogy a tűzszerészeknek ezek közül mennyi adott valóban éles feladatot, nem beszél.
