Akinek az adat üzlet, költ is a biztonságra

Felhasználói tudatosság nélkül nincs jól működő vállalati IT sem, az átlagemberek mégsem féltik annyira a biztonságukat a virtuális térben, mint a való világban. A GDPR bevezetése ezt a képet is megváltoztatja, egy helyi hibáért is globálisan érezhető bírságokat kaphatnak a cégek. A cikk eredetileg a Kreatív májusi számában jelent meg.

Az informatikai biztonság kérdése szinte egykorú a számítógépes hálózatok történetével. Már az internet létrejötte előtt, 1973-ban figyelmeztetett az egyik kísérleti megoldás, az ARPANET sebezhetőségére a később mindenfelé elterjedt Ethernet szabvány feltalálója, Robert Metcalfe. A világháló megjelenése előtt Vinton G. Cerf és Robert E. Kahn kísérletet tett az adattovábbításra szolgáló TCP/IP protokoll titkosítására, de ezt a Snowden-botrányban világhírűvé váló amerikai nemzetbiztonsági szerv, az NSA megakadályozta. 

A megfigyelési ügyről elhíresült Edward Snowden esete csak egy a világméretű informatikai és adatvédelmi válságok közül, amik nélkül szinte nem telik el negyedév. Tavaly zsarolóvírus söpört végig az interneten, 2014-ben Jennifer Lawrence feltört iCloud-fiókja került a figyelem középpontjába, napjainkban pedig a Facebook és a Cambridge Analytica esete világítanak rá a problémákra. 

Már e korántsem részletes felsorolásból is látható, hogy az IT-biztonság terén számos megoldandó feladat merül fel. Az elmúlt évek során több magyar vállalat is a piac sikeres résztvevőjévé vált. A nemrég nagykorúvá érett, és az év elején a One Identity által felvásárolt Balabit, valamint a Tresorit társalapítóival beszélgettünk a vállalati IT-biztonság helyzetéről és kihívásairól. 

Előbb-utóbb mindenkit feltörnek 

A külvilág számára talán homogénnek tűnő szektort Györkő Zoltán, a Balabit ügyvezető igazgatója az orvosláshoz hasonlította. Szükség van a bőrgyógyász és az agysebész munkájára is, ahogy az IT-biztonság terén is különböző problémákat kell megoldani a végfelhasználók által használt vírusírtóktól a vállalati szintű, viselkedésalapú felhasználókezelésig. Györkő az év exitjének tartott Balabit történetéről tartott előadást a SMART 2018 konferencián, a Veszprémi Egyetemen elkezdett, már akkor is egyedülálló technológiával megírt tűzfalszoftvertől a tőkebevonásokon át a nemzetközi nagybankok vagy az Adobe és a Facebook problémáinak kezeléséig. 

Györkő Zoltán

A One Identity az úgynevezett Identity & Access Management (azonosítás és hozzáféréskezelés) piacon működik, és nagyvállalatok számára kínál olyan megoldásokat, amelyek révén menedzselhetik az alkalmazottaik informatikai jogosultságait. „Ennek van egy szűkebb szegmense, a Privileged Access Management piac, amely a kiemelt jogosultságú felhasználók, mint például a rendszergazdák hozzáféréseinek kezelésére vonatkozik. Ezen dolgozunk mi” – mondta Györkő a Kreatívnak. A privilegizált felhasználók kezelését a többitől eltérő technológiákkal kell megoldani az átfogóbb jogosultság és nehezebb ellenőrizhetőség miatt. 

„Olyan cégek az ügyfeleink, ahol érzékeny adatokat tárolnak, például kritikus fontosságú üzleti adatok vagy a GDPR hatálya alá is tartozó személyes adatok kezelését végzik egy komplex IT rendszerben, amit sokan üzemeltetnek, külső beszállítókkal, és az üzlet hatékonysága azon múlik, hogy ez működik-e vagy sem – világított rá, és elárulta, hogy az árbevételük 92-95 százaléka külföldi nagyvállalatoktól származik. Magyarországon szerinte csupán néhány tucat cég dolgozik akkora felhasználószámmal, hogy a Balabit megoldásainak bevezetése felmerülhessen náluk. 

„Az IT-biztonság terén is van egy Maslow-piramis. Amivel mi foglalkozunk, az nagyvállalati feladat, mert nekik vannak olyan összetett problémáik, amiket mi meg tudunk oldani – mondta. – Mi valahol a piramis csúcsán, az új technológiáknál vagyunk” – tette hozzá. Miközben a személyes Maslow-piramisban az ember biztonsági szükségletei az alapvető motivációs faktorok között szerepelnek, Györkő rámutatott, hogy a digitális térben ez nem feltétlenül érvényesül.

Példaként említette, hogy az emberek több zárral is védik a lakásuk ajtaját, de folyamatosan megosztják a közösségi oldalakon, ha nincsenek otthon, így támadási felületet adnak a betolakodóknak. „Az informatikai biztonság egyik sarokköve a felhasználói tudatosság” – foglalta össze. Az informatikai rendszereket is emberek tervezik és használják, így előfordulhat, hogy hiba marad a kódban, vagy a felhasználók módosíthatnak, esetleg törölhetnek fontos adatokat véletlen hiba folytán, emiatt az emberi tényező a leggyengébb láncszem. 

Vállalati környezetben azonban az IT-biztonság kérdését nem lehet elbagatellizálni, mert a termelési folyamatok egyre nagyobb részében kulcsfontosságú az informatika. Ez akkor is igaz, ha e terület megítélése egyébként nem feltétlenül kedvező. 

„A klasszikus értéküzenet olyan, mint a biztosítás: Kössünk életbiztosítást, mert mi lesz velünk, ha meghalunk! Abszolút negatív. Ez a megoldás azért kell, mert különben jönnek és betörnek! Ez felkelti a fenyegetettség érzését” – mutatott rá Györkő Zoltán a döntéshozói szemszögre. „A másik oldal az IT-biztonsággal kapcsolatos közvélekedés, hogy falakat épít: egyszerűen meg tudnám csinálni a dolgomat, de jön a biztonsági szakember, hogy nem, nem, ide kell egy autentikáció, ahhoz meg kell egy engedély valakitől. Betesz elém három akadályt, pedig egyszerűen meg tudnám csinálni. Ez a múlt század technológiája” – véli. 

Györkő szerint a vállalatok szempontjából az a hatékony megközelítés, ha az IT-vezető az üzletmenet megkönnyítésén dolgozik, és olyan szabályzatokat készít a felhasználóknak, amiket könnyen be lehet tartani. Azt javasolta, hogy a vállalatok az ISO szabványok vagy a National Institute of Standards and Technology (NIST) ajánlásai szerint térképezzék fel a saját sérülékenységüket, és dolgozzanak ki fejlesztési tervet. Az IT részleg feladata az is, hogy a személyzetet, beleértve a felsővezetést is kiképezzék a rendszerek használatára és a krízisek kezelésére. „Nem az a kérdés, hogy fel fognak-e törni, hanem az, hogy mikor. Illetve, hogy amikor ez megtörténik, az IT csapat rögtön észreveszi-e, és tudnak-e azonnal és megfelelőképpen reagálni a további károk megelőzése érdekében. Ezért az IT-biztonsági vezető például kommunikációs képzésre küldi a vezérigazgatót, hogy ha van egy adatszivárgás, akkor ki tudjon állni a sajtó elé. Ilyen úgyis lesz. Nem lehet mindenre felkészülni, de az kell, hogy agilisan, gyorsan tudjunk változtatni. Ha volt egy sebezhetőség a rendszerünkben, reagáljunk és zárjuk be, aztán készüljünk a következőre” – mondta. 

„Az ismert negatív dolgokra való felkészülés csökkenti a kockázatot. Ebben segítenek a felhasználók tevékenységeit monitorozó és elemző technológiák. Ez utóbbi arról szól, hogy tudjuk, hogy egy felhasználó nagyjából hogyan működik a szervezetben, és ha azt látjuk, hogy a jelenlegi viselkedése eltér a megszokottól, akkor az lehet rossz is, de legalábbis szokatlan, és foglalkozni kellene vele. Nem kell szabályok tömkelegét felállítani előzetesen arról, hogy mi a rossz és mi a jó, hanem azt kell mondani, hogy amivel általában elégedettek vagyunk, az mehet, ami attól eltér, azt ki kell vizsgálni.”

Mi az, ami meg is véd, meg nem is utálod? 

Az IT-biztonsági piac egy másik szegmensében működik a 2011-ben létrehozott, mára svájci-magyar vegyesvállalattá fejlődő Tresorit, ami titkosított felhőszolgáltatásokat kínál elsősorban vállalatok, kisebb részben magánfelhasználók részére. Szilágyi György termékfejlesztésért felelős vezetővel a BME-n megrendezett Business & Technology konferencián tartott előadása után beszélgettünk. 

„A nagyvállalatoknál sokkal erősebb tudatosságot és hajlandóságot látok, hogy az IT biztonsággal foglalkozzanak. A kis- és középvállalkozásoknál erre jóval kevesebb figyelem jut – mondta Szilágyi György. – Bármilyen rendszert kiépíthet az IT, ha az nem felhasználóbarát. A beszerzéseknél ez az egyik utolsó szempont. Az teljesen egyértelmű dolog, hogy aki a beszerzést végzi, arra törekszik, hogy a személyes karrierkockázatát minimálisra szorítsa le, emiatt az iparágban leginkább elterjedt megoldásokat fogja választani.”

Szilágyi György

„Ezek a szolgáltatók viszont sokszor elkényelmesednek, és csak az erős értékesítési szervezetre koncentrálnak, ami eladja a szolgáltatásokat és a termékeket a cégeknek. A végfelhasználói élmény nem fontos szempont, és ilyenkor a végfelhasználók elkezdenek kiskapukat keresni, valamint olyan szolgáltatásokat találni, amik nem hivatalosan támogatottak, de könnyen használhatók. Ilyen a Dropbox, a WeTransfer, a Google Drive, és vannak különböző fejlettségi szintű IT infrastruktúrák, amik ezek használatát meg tudják akadályozni.”

„Most, hogy az üzleti csapatunk már nagyobb, mint a fejlesztőcsapat, azt látjuk, hogy a belső infrastruktúránkat úgy kell kialakítani, hogy használható, de mégis biztonságos legyen az egész. Meg kell találni azokat a belső- és külső kommunikációs eszközöket, például jelszómenedzsereket, amiket az emberek úgy látnak, hogy azok nem ellenük, hanem értük vannak, és ezeket használva produktívabbak tudnak lenni. Van, ami nem tökéletesen kényelmes, de nagyon jó kompromisszumot teremt a biztonság és a felhasználóbarátság között” – mutatta be a vállalatvezetői szemszöget. 

Az elmondottak alapján látható, hogy az IT-biztonság a fegyverkezési verseny egyik válfaja, és bizonyos szint csak a nagyvállalatok számára elérhető. Arra viszont Györkő Zoltán és Szilágyi György is rámutatott, hogy a szervezet gyengeségeinek feltérképezése minden vállalat számára lehetséges. 

„Kis cégeknél praktikus megoldás az, hogy osztályozzuk az adatokat: mi az, ami bizalmas, mi az, ami belső használatú, mi az, amivel nem történik semmi, ha kikerül. Ez kis cégeknél nincs meg” – mondta Szilágyi. „Jó, ha van egy erős kontroll. A felhasználók lehet, hogy észre sem veszik, de megfelelő biztonsági beállításokat kaphatnak. Ez alatt nagyon egyszerű dolgokat értek: erős jelszókövetelményt, kétfaktoros autentikációt, különböző felhasználói csoportokat. Ezeket például a Google termékeivel bárki meg tudja tenni. Minden egyes szolgáltatásnál az a probléma, hogy jön egy újabb, ahol ezt ismét konfigurálni kell. Online termékportfólió használatakor érdemes egy Single Sign-On megoldásban gondolkodni, ami [univerzális felhasználói adatok révén] megkönnyíti a bejelentkezést, és mégis biztonságosan tartja a folyamatot.” 

A Balabithez hasonlóan a Tresorit sem Magyarországot tekinti főbb piacai egyikének, ráadásul Szilágyi György szerint nagyon nehéz is üzleti ügyfeleket toborozni hazánkban. Az Erste Bank marketingcsapatával (a beszállítókkal való együttműködés terén) és a T-Systems egyik leányvállalatával dolgoznak, de elmondta, a hazai cégek gyakran idegenkednek a felhőalapú szolgáltatások használatától. Ha mégis bevezetik, akkor pedig azok a szoftvergyártók előnyben vannak, amik irodai programcsomagokkal, vírusírtókkal vagy más közkeletű megoldással bejutnak, és a felhőszolgáltatást nem különálló profittermelő ajánlatként, hanem a csomag részeként kezelik. 

„Ezzel nehéz versenyezni, de vannak pozitív tapasztalataink is, mert a felhő kapcsán a biztonság mindig előkerül, és akinek ez igazán fontos, nála a használhatóságot és a márkát is felülírja” – árulta el. 

Adatból cégérték 

Györkő Zoltánhoz hasonlóan Szilágyi György is úgy vélte, hogy az IT-biztonság megítélése vegyes a vállalati szektorban, és amíg nem történik visszaélés vagy büntetés az adatkezelés miatt, „addig ez az utolsó utáni szempont egy cég üzleti működésében. Ez teljesen érthető, mert ez olyan higiéniás tényező, ami nem termel pénzt, el lehet nélküle lavírozni, de ha baj van, akkor nagy baj van.”

E téren viszont arra számít, hogy a 2018. május 25-től hatályos új európai Általános Adatvédelmi Rendelet, a GDPR változást fog hozni. 

„Ez alapból elég nagy terhet ró az összes cégre, ami felhasználói adatokkal foglalkozik. Nagyon pikánssá teszi az egészet a multinacionális cégek hazai leányvállalatainál az, hogy ők globális szinten nem járulnak hozzá olyan nagymértékben az egész cégcsoport bevételéhez, de ha baj van, akkor a globális bevétel 4 százalékára lehet büntetni egy céget. Ez azt jelenti, hogy ha egy magyar leányvállalat csinál valami problémát, akkor lehet, hogy nagy baj esetén a büntetés mértéke nagyobb lesz, mint a teljes magyar leányvállalat bevétele. Akár a sokszorosa. Ez azért eléggé riasztó sok cégvezetőnek.” 

Az elrettentésen kívül azonban egyebek mellett a hazai Balabit és a Tresorit példája is mutatja, hogy az adatból már hosszú évek óta lehet cégértéket faragni. Szilágyi György rámutatott, két alapvető irány van: az egyik esetben mindent megosztunk, a másikban próbálunk mindent elrejteni. 

„Használunk egy szolgáltatást látszólag ingyen, mert a szolgáltatásra feltöltött rengeteg adatunkkal fizetünk érte, majd a Google meg a Facebook azt teszi pénzzé. Tehát mi vagyunk a termék. A másik ennek pont az ellenkezője: fizetünk azért, hogy ne tudjanak rólunk semmit, és az adataink is biztonságban legyenek. Ebbe a kategóriába tartozik a Tresorit. Mi az utóbbiban hiszünk, de a világ sokkal szegényebb lenne a Google és a Facebook által meghonosított technológiák és szolgáltatások nélkül, még akkor is, ha mi nehezen tudunk az általuk képviselt elvekkel azonosulni.”

A rovat támogatója a KPMG.

A cikk először a Kreatív májusi nyomtatott lapszámában jelent meg.

 

Adorján Viktor
a szerző cikkei

(forrás: Kreatív Online)
Ha hozzá kíván szólni, jelentkezzen be!
 

200 nevezésből összesen 57-et díjazott a zsűri.

2019. január 10-ig várja a nevezéseket az MPRSZ.

Budapesten nyílt az applikációval működtetett szálloda, amelynek gyakorlatilag nincs személyzete.

A magazin olyan hírességekről közölt fotósorozatot a különleges számban, mint Alföldi Róbert, Dobó Kata vagy Bródy János.

A Kreatív magazin ismét megrendezi a Nagy Kreatív Napot! Még nagyobb, még kreatívabb: itt a helye minden reklámosnak, kommunikációs szakembernek, marketinggel és PR-rel foglalkozó ügyféloldali megbízónak! Save the date: 11.27.

Díjátadó: 18.11.27. (19:30) Akvárium Vedd meg jegyed a bétéelesek bulijára!

A HR emberi oldala - hogy még többet tehess másokért! A hrpwr.hu és az Üzlet & Pszichológia konferenciája november 29-én.

A legsikeresebb digitális kommunikációs kampányok és megoldások versenye, pontszerzés a Kreatív-MAKSZ M+Listán. Nevezési határidő: november 30.

A Kreatív év végi médiakonferenciája mindig arra keresi a választ, mi vár a piacra a következő évben. Időpont: december 4.

Hogyan keress IT-s kollégát? Félnapos konferencia december 4-én.