BUX 143072.29 0,94 %
OTP 46920 0,45 %
Promo app

Töltse le az Economx appot!

Letöltés

Az informatikai biztonság helyzete Magyarországon 2001-ben

A 2001. év világszerte az informatikai biztonsági problémák eszkalációját és ezzel párhuzamosan a terület informatikán belül elfoglalt pozíciójának felértékelődését hozta. Mára világossá vált, hogy a tömegméretekben használt informatika, a PC-forradalom „eredménye” számos sebből vérzik, és ezek között talán a legriasztóbb pont a biztonság kérdése – állítja a Kürt Rt. IT-biztonsági jelentése.

2001. december 14. péntek, 17:35

Google Állítsd be, hogy az Economx az elsők között legyen a Google-találatokban!

Az internetes üzlet megtorpanásában – sőt mélyrepülésében –, amely a korábbi csodavárás miatt sokkolta a világot, szintén jelentős része volt annak, hogy éppen az internet révén kialakuló világméretű hálózat vált rendkívül sebezhetővé. Ebben a helyzetben a megfelelő informatikai biztonsági megoldásoknak természetes módon megnőtt a jelentősége.
A jelenlegi tendencia az, hogy a világ informatikai beruházásokra fordított összegeinek egyre nagyobb szeletét rabolja el az informatikai biztonság, a Gartner Group előrejelzése szerint ez hamarosan elérheti a 40 százalékot a korábbi 4-5, illetve a jelenleg átlagosnak tekinthető 10-12 százalékkal szemben. Ezek a hatások már a magyar piacon is érezhetőek. A téma alig érdekelt valakit 1997-ben és 1998-ban (lásd 1-es grafikon).
Még mindig általános, hogy a cégek csak valamilyen káresemény (adatvesztés, vírustámadás, a levelezőrendszer leállása, információk kikerülése, hackertámadás) után kezdenek el foglalkozni a biztonsági kérdésekkel. Ez a viselkedés nem nevezhető preventívnek, ami pedig minden cégnek és szervezetnek alapvető érdeke. Ma még az informatikai biztonsági boom kezdetén vagyunk, hiszen messze a legnagyobb arányban szerepel az Informatikai biztonsági felmérés, ami az ilyen projektek első lépése (lásd 2-es grafikon). Az is tanulságos, hogy – bár a rendszerfelmérés csak kockázatelemzéssel együtt végrehajtva számít igazán hatékonynak – csak az összes esetek alig több mint felénél kérték a cégek a kockázatelemzést is. A tendencia egyébként javuló, mert bár az ábrából ez nem látszik, de az év második felében sokkal jobbak az arányok.
A Kürt 2001-ben harminchat informatikai biztonsági projektet hajtott végre, jelenleg pedig kilenc van folyamatban. Ezek során az alábbi tapasztalatokat szerezték az informatikai biztonság magyarországi helyzetére.
Az informatikusok nagy része már tudja, hogy merre kellene lépni és megfelelő módon elkötelezett az informatikai biztonság iránt, de ez sokszor kevés. Az informatikai biztonság megteremtéséhez a felső vezetés döntése és ennek a döntésnek a felvállalása szükséges, hiszen az anyagi erőforrásokat ők tudják biztosítani, és a cég stratégiáját is ők határozzák meg. A biztonság pedig bármely szervezet életében szigorúan stratégiai kérdés. Ma még jellemző állapot, hogy a felső vezetés csak bizonyos külső tényezők hatására szánja el magát lépések megtételére, holott a belső információk már korábban is rendelkezésre álltak.
A vállalatok többségének nincs olyan informatikai stratégiája, ami meghatározná, hogy az informatika milyen módon szolgálja ki a tervezett üzleti célokat, folyamatokat. Megfelelő informatikai biztonsági stratégiát és rendszert pedig csak egy jól definiált, a cég érdekeit, jellemzőit és lehetőségeit adekvát módon kiszolgáló informatikai stratégia mentén lehet kialakítani. Az elvégzett kockázatelemzések eredményei az esetek többségében hatalmas meglepetést okoznak a felső vezetésnek.
Még a legnagyobb társaságokra is jellemző, hogy hamis illúzióba ringatják magukat, különösen akkor, ha már történtek lépések az informatikai biztonság megteremtésére. Az ilyen rendszerek számtalan esetben sok helyen lyukasak, például a már közzétett javítókészletek sincsenek feltelepítve, illetve egy adatvesztés után a tökéletesnek hitt mentési rendszer ellenére sem tudják visszaállítani az adatokat. A hamis biztonságérzet ezeknél a cégeknél is azt eredményezi, hogy valamilyen káreseménynek kell bekövetkeznie ahhoz, hogy a szükséges lépésekre rászánják magukat.
Az egyik legproblémásabb területnek a jogosultságok és jelszavak kérdése számít: nincs megfelelően különválasztva a fejlesztői, üzemeltetői és felhasználói jogosultság, ami kuszasághoz és többnyire indokolatlan jogosultságok alkalmazásához vezet. Számos cégnél indokolatlanul sok munkatársnak (főleg vezetőnek) van adminisztrátori jogosultsága, annak ellenére, hogy a feladataik eredményes elvégzéséhez nem lenne rá szükségük. Ez elsősorban annak a helytelen gyakorlatnak a következménye, hogy a jogosultságokat nem feladatorientáltan, hanem a vállalati hierarchiában betöltött pozíciók szerint osztják ki.
Sok helyen a vezetők bizalmatlanok az üzemeltetőkkel szemben, ami szintén torzulásokhoz vezethet a jogosultsági rendszerben. Szinte minden esetben tapasztaljuk, hogy legális hackelési tevékenységünk során a jelszavak könnyedén visszafejthetők, akár ingyenes, az internetről letölthető eszközök segítségével is, és ez a multinacionális cégek esetében is igaz. A legjellemzőbb problémák: nincs is jelszó, a jelszó azonos a login névvel, a jelszó csak néhány karakterből áll vagy könnyen azonosítható. Ugyancsak probléma, hogy a jelszó ki van téve a „placcra” (monitorra, billentyűzetre ragasztva).
A felhasználók tevékenysége többnyire nincs megfelelően szabályozva, azaz gyakorlatilag korlátozás nélkül dönthetik el, hogy mit változtatnak a meglévő konfiguráción, illetve hogy milyen programokat telepítenek fel és használnak a számítógépeiken. Ezek a problémák egyrészt kiszolgáltatottá tehetik az adott számítógépet és rajta keresztül a cég egész informatikai hálózatát, másrészt szoftverlicenc-problémákat is jelenthetnek, ami biztonsági szempontból szintén veszélyezteti a cég működését.
Komoly problémát jelent a hálózati eszközök (tűzfalak, routerek) nem megfelelő beállítása is. A megfelelő beállítások paraméterei hozzáférhető információk, a paraméterezés elmulasztása pedig olyan fenyegetettségeknek teszi ki a cég hálózatát, amelyek egy jól szabályozott rendszerben nem fordulhatnának elő.
Még mindig sok a gond tapasztalható az egyik legrégebbi biztonsági területen, a mentéseknél. Szinte mindenhol készülnek mentések kisebb-nagyobb szervezettséggel és szabályozottsággal, de mégsem eléggé átgondoltan. A 2001. év vírusdömpingje pedig arra hívja fel a figyelmet, hogy a vírusvédelem területén is sok hiányosság tapasztalható.

Keretes:
A tanulságok
A legnagyobb gondot az okozza, hogy a felmerülő problémákat a legtöbb helyen nem átfogóan, rendszerben gondolkodva közelítik meg, hanem csak egyes részterületeken próbálnak meg eredményeket elérni, és ezek megvalósítására sokszor még mindig elegendőnek tartják az eszközök megvásárlását. A rendszerben gondolkodás egyik összetevője az is, hogy a cég üzleti stratégiájába az informatikának és az informatikai biztonságnak szervesen bele kell illeszkednie. Azonban ezek a stratégiai kérdések ma még nem kapták meg a jelentőségükhöz méltó helyet. Másrészt még mindig komoly hiányosságokkal küzd az a két terület, amelyik pedig a legnagyobb eredményt hozhatná. Ezek az emberi tevékenységek szabályozása és az oktatás. A statisztikák és az eddigi tapasztalataink is azt mutatják, hogy a biztonsági problémák túlnyomó része (legalább 70-80 százaléka) a nem megfelelően szabályozott emberi tevékenységekre és a szükséges ismeretek hiányára vezethető vissza. Látni kell, hogy a biztonság nem teremthető meg pusztán áru és szoláltatás megvásárlásával, hanem minden esetben a szervezet életébe beépülő folyamatnak kell lennie.

2-es grafikon alá
A részterületek közötti verseny nyerteseiként egy kicsit a hagyományos, földhözragadt gondolkodást is szemlélteti a három negyvenszázalékos tétel, a katasztrófaelhárítási terv készítése, valamint a mentési és a vírusvédelmi rendszerek kialakítása. Ezek a fontolva haladás taktikáját is példázzák, de mindenképpen érdemes szembeállítani velük az IT biztonsági stratégiakészítés húsz százalékát. A másik véglet az audit előkészítés öt százaléka. Az alacsony érték elsősorban azzal magyarázható, hogy ma még csak egy viszonylag szűk területen – a pénzügyi szervezeteknél – van kötelező időszakos felülvizsgálat, amelyet a PSZÁF végez. Kedvezőnek értékeljük a „Szabályzatrendszer kialakítása” című csomag harmincöt százalékos értéket.

3-as grafikon alá
A grafikon a KÜRT-höz 2001-ben beérkezett adatmentési esetek alapján készült, és jól látszik belőle, hogy a legnagyobb szeletet, hetven százalékot, a hardverhibák jelentik. Összehasonlítva a két évvel korábbi adattal – ahol ez az érték csak hatvan százalék volt –, látható, hogy a merevlemezek minősége romlott. Ez megegyezik a napi tapasztalatunkkal. Vírusok miatt az esetek hét százalékában történt adatvesztés, érdekes viszont, hogy az összes beérkezett adattároló 45 százalékán találtunk vírust. A menthetetlen esetek aránya egy kicsit csökkent, a korábbi 23 százalékról húszra.

Tábla:
Adatmentési problémák
Nincs megfelelően kidolgozva, hogy mely adatokat, milyen sűrűn, milyen prioritásokkal, kinek kell menteni.
Nem fordítanak figyelmet a mentések rendszeres ellenőrzésére.
A mentések nincsenek megfelelően dokumentálva (mit, mikor, ki).
Többnyire nincsenek rendszermentések (image-mentés).
A hordozható számítógépeken található adatok mentésére nem fordítanak kellő figyelmet.

Economx
Economx

Ez is érdekelhet