Prim Hírek

Az informatikai biztonsági megoldások ma alapvetően három feladat megoldására koncentrálnak:

az információ elvesztésének (megsemmisülésének) megakadályozása;

az információ illetéktelen kézbe kerülésének elkerülése;

a folyamatos rendelkezésre állás biztosítása.

Az erőfeszítések egyfelől a megelőzésre, másfelől, a káresemény bekövetkezése után, a kár csökkentésére irányulnak.

Az információ elvesztésének (megsemmisülésének) megakadályozására irányuló intézkedéseket a továbbiakban adatvédelemnek, az információ illetéktelen kézbe kerülésének elkerülésére irányulókat pedig adatbiztonságnak nevezzük.

Tisztában vagyunk vele, hogy ezek a megnevezések mind köznapi, mind műszaki értelemben más fogalmakat (is) takarnak, de sajnos nyelvünk ezen a területen elég szűkmarkúnak bizonyul.

Gondolatok az informatikai biztonságról

1.

Az információ megszerzésére való törekvés és ezzel együtt az adatok védelme az emberi társadalmak kialakulásával egyidős tevékenység.

A társadalmi-tudományos fejlődés során az információk megvédésének - és ezzel együtt megszerzésének - technológiája mind tökéletesebbé vált. Kialakultak a titkosítás és vele párhuzamosan a megfejtés módszerei, megszületett a kriptográfia, amely a huszadik századra a matematikai tudományok önálló ágává nőtte ki magát. Biztonsági szolgálatok szerveződtek, amelyek őrizték az információt, az azt ismerő személyeket, felderítették és elhárították az adatokat fenyegető támadásokat - és fejlődtek az információszerzés módszerei is.

2.

A számítógépek megjelenésével nemcsak az adatok védelme fejlődött, hanem a védendő információ is óriási változásokon ment keresztül. A számítógépes hálózati rendszerek kialakulása és robbanásszerű fejlődése forradalmasította az információ gyűjtését, feldolgozását, kezelését és tárolását. Az információ az innováció egyik legfontosabb forrásává vált, értéke jelentősen megnőtt. Ezzel együtt a számítógépes környezetben tárolt, továbbított adatok védelme is új értelmezést nyert.

3.

Hazánkban a 90-es évek előtt az átlagpolgár ritkán találkozott az információvédelem problémájával, amit az emberek az akkori politika egyik hatalomvédő eszközének tartottak. Napjainkra a helyzet megváltozott. Az informatika szinte minden iparágba, államigazgatási rendszerbe beolvadt, és az informatikai biztonság kérdése jelentősen előtérbe került. A piaci viszonyok fokozatos kialakulásával együtt újra tudatosodik a gazdasági társaságokban, az állami szervezeteknél és az egyes személyekben is, hogy olyan, hozzájuk kapcsolódó információkkal, adatokkal rendelkeznek, amelyek kizárólagos birtoklása és folyamatos rendelkezésre állása nagyon fontos társasági, illetve személyes érdek.

4.

A számítástechnikai és informatikai rendszerek mindamellett, hogy mára teljesen átszőtték életünket, többnyire megbízhatóan működnek. A "többnyire megbízható működés" csak akkor kerül górcső alá, ha az alkalmazási terület jelentős, esetleg pótolhatatlan értéket képvisel, illetve ha már bekövetkezett az adatvesztés, vagy az adatok illetéktelen felhasználására fény derült.

Fokozódó igény jelentkezik a hatékonyan és megbízhatóan működő informatikai rendszerek alkalmazására. Ezt az igényt az információtechnológiai (IT) alkalmazások javításával és megfelelő információs infrastruktúra kialakításával lehet kielégíteni.

5.

Az asztali számítógépek (PC-k) tömeges megjelenésével kezdődő informatikai forradalom felrúgta a klasszikus iparágakra jellemző szabályozást. Nem fektetett be elvárható mértékben a tudományos kutatásba, sem a minőségbiztosításba. A súlypont az eladás irányába tolódott el. Az értékesítés lett a meghatározó: teljesen maga alá gyűrte nemcsak a tudományos kutatást, hanem a jogi szabályozást is. Elsősorban ennek a következménye, hogy a tömegesen használt informatikai eszközök minőségi szempontból nem felelnek meg az egyéb ipari termékek iránt támasztott természetes elvárásainknak.

6.

De hát hogyan is felelhetnének meg? Éppen az jelentette a forradalmat ezen a területen, hogy minden olcsó, minden mindennel "összedugható", stb. A mai informatikának ez az alapvető jellemzője. Ilyen körülmények között a klasszikus minőségbiztosításnak nem is lehet helye, illetve értelme, hiszen a minőséget vizsgálni sem lehet.

7.

Ha nem lennének költségkorlátok, a teljes rendszer egységes, minden szintre kiterjedő, azonos minőségű védelme jelentené a legnagyobb biztonságot. A gyakorlat azonban azt mutatja, hogy az optimális biztonság szelektív. Ami értékesebb, az fokozottabb védelmet igényel. Szinte biztos, hogy minden környezetben, így a számítástechnikában is, kialakulnak a biztonságra való törekvés ösztönös, logikus formái. A nagy és bonyolult rendszereknél azonban az ösztönösség önmagában már nem elegendő.

8.

Egy szervezet informatikai rendszerében valószínűleg az adatok biztonsága a meghatározó jelentőségű, a számítástechnikai eszközök biztonsága lényegében csak azok piaci értéke szempontjából érdekes.

9.

A klasszikus iparágakban azok a technológiák, amelyek már kikristályosodtak, szabványosítási folyamaton mennek keresztül. Ez a folyamat az informatikai biztonság területén még nem ment végbe, bár valami azért már elindult. A mai úttörők - pl. a British Standard - a legjelentősebb kidolgozói az ISO típusú nemzetközi szabványoknak is. Ugyanakkor az Egyesült Államokban szintén nagyon erősen megindult az informatikai biztonsági folyamatok szabványosítása (COBIT, Common Criteria).

10.

Ha az egyes informatikai biztonsági folyamatok nemzetközi szabványosítása megtörténik, az jelentős előnnyel jár majd. Az informatikai folyamatok ellenőrizhetők, dokumentáltak és egységes szemlélet szerint auditálhatók lesznek. A közgondolkodásra egyelőre ma még az a jellemző, hogy az informatikai eszköz aszerint jó vagy rossz, hogy azt ki gyártotta.

11.

Az informatikai rendszerek biztonságának növelése komoly tőke- és erőforrás-befektetést igényel, amit célszerűen kockázatelemzés előz meg. Ma azonban még ott tartunk, hogy nagyon sok szervezetnek biztonsági szabályzata, stratégiája, kézikönyve sincs. Ha a vezetés tudja, hogy mit tart biztonságosnak, és mit nem, hogy milyen üzleti/technológiai folyamatokhoz milyen biztonságot szeretne (illetve mit kötelező) hozzárendelni, akkor az informatika biztonságával foglalkozó cégek már fel tudják építeni azt a technikai védelmet, amellyel a rendszerek nyitottságát ellenőrizni lehet, és a hívatlan betolakodók előtt bezárulhatnak az ajtók.

12.

Nem nehéz megjósolni, hogy az elkövetkező évek legfontosabb gazdasági kérdései között szerepelni fog az informatikai biztonság. Mindez az informatikai biztonság, pontosabban bizonytalanság mai helyzetéből következik. Nincs olyan iparág, ágazat, terület, amelynek fejlődését a jelenlegi kaotikus helyzet ne akadályozná.

13.

A mindennapi életben, a bennünket körülvevő világban (így az informatikában is) kétféle kockázat különböztethető meg:

amely megfelelő kockázatkezelési eszközök alkalmazásával megszüntethető vagy mérsékelhető, illetve

amelynek megszüntetése, mérséklése az adott környezetben nem lehetséges.

14.

A világ informatikai összegubancolódása, az internetben rejlő lehetőségek realitása és víziói jelentik a fő hajtóerőt az informatikai eszközök, rendszerek minőségjavításához. Az informatikai minőség mint fogalom egy új terméket is elő fog állítani, az informatikai biztosítást. A klasszikus iparágakban is ilyen volt a fejlődés menete.

15.

Az informatikai rendszerek összetettségének, bonyolultságának növekedése, a rendszerek és az eszközök egyre áttekinthetetlenebbé válása, illetve az informatikától való függőség és fenyegetettség növekedése miatt napjainkra érkezett el az idő, hogy mind megrendelői, mind biztosítói oldalról egyre jelentősebb igény jelentkezzen az informatikai rendszerek, illetve az elektronikus formában megjelenő adatok biztosítására.

Az informatikai biztonság területén reálisan elérhető célok

A következőkben száraz felsorolása következik mindazoknak a tevékenységeknek, amelyeknek célja az információt (mint védendő értéket) érő káros környezeti hatások kiszűrése:

az információtechnológia (IT) alkalmazásának stratégiai és taktikai tervezése (hogy összhang legyen a finanszírozási lehetőségek és a várt eredmények között);

az információs rendszerek fejlesztése (hogy a szervezet tényleges igényeinek megfelelő rendszerek jöjjenek létre a tervezett költségkereteken belül);

a kockázatkezelés megvalósítási lehetőségeinek vizsgálata a szervezetek informatikai infrastruktúrájában;

az információs rendszerek üzemeltetése és karbantartása (hogy a rendszerek élettartamuk során folyamatosan rendelkezésre álljanak, és követni tudják az esetlegesen változó elvárásokat);

az IT-tevékenységekre vonatkozó minőségbiztosítás és biztonságtechnika (hogy a minőségi és biztonsági követelmények egyenletesen és kiegyensúlyozottan épüljenek be a rendszerekbe);

az informatikai biztonsági rendszer elemeinek, valamint a köztük lévő kapcsolatoknak a rögzítése;

az informatikai biztonsági rendszer működésének dokumentált szabályozása;

megfelelő, szabályozott és dokumentált ellenőrzés biztosítása a szervezet informatikai rendszere fölött;

az informatikai biztonsági rendszer működésének nyomon követhetősége;

a védendő rendszerek, állományok, adatok körének és prioritásának meghatározása;

a szervezet anyagi veszteségeinek minimalizálása esetleges adatvesztéskor;

a felelősségi körök kijelölése;

az informatikai rendszer nem megfelelő működésének folyamatos korrigálása.

A szervezeteknek saját biztonságuk érdekében tisztában kell lenniük rendszereik gyenge pontjaival, kockázataikkal, valamint azzal, hogy miként, milyen biztonsági intézkedésekkel tudják mérsékelni ezeket. Szükséges a felső vezetés akaratát kifejező, társasági szintű biztonságpolitikát kidolgozni, amelyben rögzíteni kell azt is, hogy ki milyen módon férhet hozzá az adatokhoz, információkhoz, ki milyen mértékben használhatja azokat, és mindezt meg kell határozni mind a belső munkatársakra, mind a partnerekre vonatkozóan.

Záró gondolatok

A Kürt statisztikai adatai is megerősítik azt a nemzetközi felméréseken alapuló tényt, miszerint az informatikai biztonság egyik legnagyobb kockázatát az emberi tényező jelenti, s ezen belül is a szervezet saját dolgozói. A megállapítás igaz mind az adatvédelem, mind az adatbiztonság területén.

E kockázati tényezők hatását a megfelelő szabályzatrendszerek használatával lehet hatékonyan csökkenteni. A szabályzatrendszerek kialakítása nem igényel nagy IT-beruházásokat, viszonylag kis költséggel megoldható. Természetesen a megfelelő kockázatelemzés és felmérés elvégzése után határozható meg, hogy egy adott szervezet esetében a minimálisan szükséges biztonsági szint eléréséhez pontosan mire van szükség. Tapasztalataink azonban azt mutatják, hogy sok esetben nagyon komoly előrelépést jelent a meglévő vagy csak kismértékben fejlesztett IT-infrastruktúra használatának, karbantartásának, ellenőrzésének szabályozása, szigorú keretek közé szorítása.

Az itt leírtak mind-mind a minőségbiztosítás alapgondolatát ismétlik az informatikai biztonsági technológia köntösében. Nincs új a nap alatt.

Dr. Kürti Sándor (54) informatikus, a Kürt Rt. vezérigazgatója.

Kutatási területe az informatikai biztonsági technológiák kidolgozása, alkalmazása. 1997-ben és 1998-ban "Az év informatikai menedzserévé" választották. A Gábor Dénes- és a Kalmár László-díj kitüntetettje, az Informatikai Vállalkozások Szövetségének alelnöke.