A jelek szerint az informatikai szektor mélyrepülése idején a stabil nyereségtermelő képesség utolsó bástyájának tekintett biztonságiszoftver-gyártó cégek - néhány közelmúltban bejelentett profit warning ellenére - egyelőre nem osztoznak a IT iparág többi résztvevőjének sorsában. Az informatikai beruházások lefaragásakor a biztonság az utolsó, amihez a megrendelők hozzányúlnak. A biztonsági beruházások viszonylag olcsóak, általában az IT-büdzsé 5 százalékát teszik ki, ami a megelőzhető katasztrófák következményeihez képest aprópénz. Csak a vírusszerzők tavaly 17,1 milliárd dollárral kopasztották meg a cégeket világszerte. (Az 1999-es veszteség 12,1 milliárd volt.) Ha mégis sor kerül a költségcsökkentésre, gyakran elkövetik azt a hibát, hogy csak a „feltétlenül szükséges" vírusölő programokat és tűzfalakat veszik meg, a többi kiadást elhalasztják, pedig a tűzfal nem mindenható eszköz - állítják a tanácsadók. A vállalatok saját IT menedzserei általában nem biztonsági szakértők, nem feltétlenül tudnak eligazodni a biztonságtechnikai termékek tömegében, ezért a védelmi rendszer kiépítését és működtetését egyre többen teljes körű biztonsági megoldásokat nyújtó cégekre bízzák. Az IT biztonság menedzselésére 2000-ben 140 millió dollárt költöttek a vállalatok. A Yankee Group jóslata szerint 2005-re 17,2 milliárd dollár lesz a kihelyezett biztonsági szolgáltatások piaca.
A Y2K probléma megoldása után a vezetők számos igazgatótanácsban megkönnyebbülten hátradőltek, abban a hitben, hogy az IT biztonsággal most sokáig nem kell foglalkozniuk. A LoveLetter vírus azonban tavaly májusban brutálisan lesújtott, és 8 milliárd dollárt emésztett fel a „takarítás", valamint a szerverleállások miatti veszteség. További, nehezen számszerűsíthető károkat okoz a szolgáltatás leállása, rosszabb esetben a bizalmas adatok illetéktelen kezekbe kerülése. A támadó gyakran maga gondoskodik arról, hogy műve azonnal a címlapokra kerüljön. A „DDoS worm kiütötte a Yahoot és másokat", a „Los Alamosból szigorúan titkos file-ok tűntek el” vagy a „Hitelkártya-adatokat loptak a CDUniverse-től” szalagcímek nem erősítik az ügyfelek és az üzleti partnerek bizalmát a cég iránt. A növekvő védelmi költségvetés azonban nem tud lépést tartani a támadókkal. Ha valakinek sikerül egy szakmailag szép megoldást találni, akkor azt büszkén megosztja bárkivel. Így a támadások egyre gyakoribbá válhatnak, hiszen nem kell minden támadó hajlamú embernek programozózseninek lennie. Egy amerikai férfinak, Abraham Abdallahnak, aki nem nevezhető káprázatosan okosnak - kimaradt a középiskolából -, a közelmúltban sikerült ellopnia a Forbes magazin listáján szereplő több mint 200 csúcsvezető személyi adatait. A hackertámadás azonban nem a legrosszabb, ami történhet. Az érzékeny adatok megcsapolói egyre gyakrabban profi bűnözők vagy a kémkedő konkurencia.
A tanácsadók szerint legtöbb vezető még azzal sincs tisztában, hogy honnan várhatóak a támadások. Az IT biztonsági incidensek 80-85 százalékát belső emberek idézik elő, de ezeknek csak 17 százaléka szándékos támadás. 48 százalék „baleset”, a fennmaradó 35 százaléknál pedig nem állapítható meg az ok.
Kockázati tényező maga a rendszergazda is, aki a legtöbb szervezetnél olyan „guru", aki nagyon hasznos mindaddig, amíg kizárólag a cég szolgálatába állítja tudását. Probléma csak akkor keletkezik, amikor a gurunak más elképzelései kezdenek lenni, mint a cég vezetésének. Feszültségek keletkeznek, közben a guru kap máshonnan egy jó állásajánlatot, hiszen tudását már bizonyította. Megígéri, hogy átadja a szükséges információkat az utódjának, de az utód nem ért annyira a dologhoz, és különben is, a sok dokumentálatlan, csak fejben meglévő információt pedig nem lehet mind átadni.
Tóth Katalin