Az intelligens technológiák terjedésével egyre több szektorban lépnek elő a core üzleti tevékenység részévé az informatikai szolgáltatások, ami jelentős terhet ró a vállalatokra a rendszerek biztonságának szavatolása tekintetében. Jelenleg még csak a hazai vállalatok alig 20 százaléka bízza külső partnerre informatikai rendszereinek biztonsági felkészítését, a piac robbanás előtt áll – vallja az IT-rendszerek biztonsági felkészítésével foglalkozó PR-Audit Kft. képviselője.
A kiszervezéssel a vállalatok akár 30-50 százalékot is spórolhatnak ahhoz képest, mintha mindezt házon belül kellene megoldaniuk. A közműszolgáltatók informatikai rendszereinek biztonsági auditja jó vonatkozási pontot jelent a vállalati informatikai rendszerek általános állapotára, és habár az auditálás folyamat során ezeknek a biztonsági szintje jelentősen emelkedett, feltétlenül szükséges az évenkénti felülvizsgálatuk.
Az elmúlt években számos üzleti területen lépett elő a core tevékenység részévé az informatika, a szolgáltatások és termékek értékesítése sok helyen ma már olyan online felületeken zajlik, amelyek közvetlen kapcsolatban állnak a vállalati adatokat tároló szerverekkel, számlázó és ügyviteli rendszerekkel. Egyre több ügyféladatot kezelnek elektronikusan a pénzintézetek, biztosítók, különféle szolgáltató vállalkozások, webshopok és ingatlanközvetítők. Ezek amellett, hogy sok esetben az ügyfelek személyes adatai, a vállalatok számára pénzben kifejezhető értéket is jelentenek.
„A vállalati informatikai rendszerek általános biztonsági állapotára vonatkozóan jó vonatkozási pontot jelentett a közműszolgáltatók IT-rendszereinek biztonsági auditja” – mondja az auditfolyamatban a vállalatok felkészülését segítő, a problémák javításában közreműködő PR-Audit Kft. ügyvezetője, Vízi Linda. A közműszolgáltatói auditok kapcsán kiemelte: kevés valóban felkészült szervezettel találkoztak, számos olyannal dolgoztak viszont, amelyek sok tennivalója akadt a felkészülés során. „Jellemzően 3-5 körös javítási folyamatra volt szükség ahhoz, hogy kritikusnak tekinthető maradvány biztonsági kockázatok ne maradjanak fenn. Iskolai hasonlattal élve ezek a rendszerek bukdácsoltak a megmérettetésen. Amíg ezen a folyamaton nem estek át, addig nem kaphattak tanúsítást” – teszi hozzá.
„Az az informatikai rendszer, amely évente nem teljesít sikeresen egy auditálási folyamat során, nem tekinthető felkészültnek biztonsági szempontból” – szögezi le Vízi Linda annak kapcsán, hogy a vállalati rendszerek kiberbiztonsági felkészítése nem csupán egyszeri feladat. Nem véletlenül írja elő jogszabály például a közműszolgáltatók számára is az évenkénti rendszeres biztonsági felülvizsgálatot. „Az a vállalat, amely ezen nem vesz részt, vagy elbukik a felülvizsgálaton, elveszti számlázási rendszerének tanúsítását” – hangsúlyozza az ügyvezető, aki hozzáteszi: a kockázatok folyamatosan változnak, aminek oka, hogy a technikai háttér, a támadásra fejlesztett szoftverek és eljárások is rohamléptékkel fejlődnek. Éppen úgy, mint ahogy a vállalat is fejlődik és alakul, ami szintén kockázatot jelenthet a rendszerek biztonságára.
Az ügyfelek személyes adatai védelmének kötelezettsége, illetve ezen adatok értékes mivolta is egyre több vállalatvezetőt ösztönöz arra, hogy kiemelten kezelje az IT-biztonság kérdéskörét. „Jelenleg azonban még mindig csak a cégvezetők 20 százaléka érzi ezt a területet stratégia jelentőségűnek” – mondja Vízi Linda, aki szerint éppen emiatt a következő években jelentős robbanás előtt a piac.
Az ügyvezető tapasztalatai szerint elsősorban a vélelmezett költségek riasztják el a vállalatokat attól, hogy komolyabban foglalkozzanak kérdéssel. „Sok vezető gondolja úgy, hogy van a vállalatnál egy-két informatikus vagy rendszergazda, és az ő feladatuk a rendszerek biztonságának garantálása. Az IT-biztonság viszont egy különleges terület. A szakemberek számtalan nemzeti és nemzetközi képzés elvégzésével és minősítés megszerzésével képzik magukat és komoly szakmai gyakorlat után válnak jó IT-biztonsági szakértővé. Ahogy a háziorvos sem végez szívátültetést, úgy a vállalati informatikusok jelentős része sem szakértője az információbiztonságnak” – hangsúlyozza Vízi Linda.
Viszont annak sincs gazdasági és erőforrás oldali racionalitása, hogy minden vállalati informatikust kiképezzenek a feladatok ellátására. Egy valóban hozzáértő IT-biztonsági szakértő képzése éveket vesz igénybe, ráadásul a környezet és a kockázatok folyamatos változása életfogytig tartó tanulást jelent. A minősítések megszerzése is költség. Ezekhez a kiadásokhoz járul, hogy kifejezetten IT-biztonsági feladatok havonta 2-4 munkanapnyi tennivalót jelentenek, így viszont már sokkal költséghatékonyabb megoldás külső partnert megbízni a feladattal.
„Ráadásul összetett feladatokról van szó: a rendszer szoftveres és hardveres biztonsági felkészítése mellett ugyanilyen fontos a jogi háttér megteremtése és a belső eljárásrendek kialakítása és működtetése is. Ez már nem is egy, hanem több szakember munkáját igényli, amelyet egy felkészült partner sokkal jobb erőforrás-kihasználás mentén tud biztosítani” – mutat rá az ügyvezető.