Kürti Sándor: Foglalkoznak vele, csak még nincs kézzelfogható eredménye. Addig ugyanis, amíg olyan kérdésekre, mint például hogy a kockázatok milyen méretűek ma az informatikában, s azok mennyire mérhetők, illetve behatárolhatók, nincs megnyugtató válasz, nem születhet tömeges, mindenki számára elérhető biztosítási szolgáltatás sem. Valószínűleg itt is ugyanaz a folyamat fog lejátszódni, mint a klasszikus iparágakban a század elején. A közlekedési eszközök megjelenésekor sem lehetett biztosítást kötni, hiszen bármi történhetett. Amikor azonban az utak, az eszközök jobbak lettek, hatalmas méretű szolgáltatássá nőtte ki magát a balesetbiztosítás, amely teljesen mértékben rendezte a kockázatok kérdését. Ez az informatikában is be fog következni, a kérdés az, hogy mikor és hogyan, illetve kik lesznek a résztvevői.
B. O.: Kezdjük talán az utóbbival! Gondolom, Önt nem véletlenül foglalkoztatja ez a téma.
K. S.: A Kürt természetesen nem akar biztosítótársaság lenni, ugyanakkor olyan tudás van a birtokunkban, amelynek révén a kockázatok mérhetővé válnak, ez ugyanis alapfeltétele a biztosításnak. Tudni kell, hogy lényegében kétfajta tömegbiztosítás létezik, az élet- és a vagyonbiztosítás. Az előbbinél elég nyomon követni a mortalitási statisztikákat, s ennek alapján matematikailag meghatározható, hogy milyen biztosításokat lehet kötni. Ezt az analógiát véve alapul, az informatikai problémákról általában nincsenek statisztikák. A Kürtnek van egy körülbelül tízéves adatmentő múltja, azaz a bekövetkezett eseményekről a "halálesetekről" elég jó statisztikák állnak rendelkezésére. Ezek elég tekintélyes számok, hiszen tízezres nagyságrendről van szó, így már elég jó becslést adhatnak például arra nézve, hogy mikor következik be vírusos probléma, annak milyen kárhatása van, s hány százalék az, ami menthetetlen.
Ahhoz, hogy a biztosító egy ilyen terméket elő tudjon állítani, persze kell még egy-két dolog. Ugyancsak analógia ezúttal a vagyonbiztosításra , hogy amikor valaki egy autóra vagy egy házra biztosítást akar kötni, akkor a biztosító felméri az adott objektum állapotát. Például megnézi, hogy az autóban benne van-e a riasztó, a ház esetében pedig, hogy tényleg záródnak-e az ajtók. Az informatika esetében ez még nem kialakult, nincsenek nemzetközi szabványok.
B. O.: Ezek szerint nemzetközi viszonylatban sincs ilyen jellegű szolgáltatás?
K. S.: Nincs, bár a biztosítók némelyike hajlamos azt mondani, hogy neki mindenfajta informatikai biztosítása van. Az igazság az, hogy ezek értékre vonatkoznak, vagyis ha például ellopnak egy számítógépet, a számítógép értékét megtéríti a biztosító, de más ebből eredő kárt nem. Egy-egy egyedi biztosítás ugyanakkor felüti a fejét. Körülbelül fél éve a Lloyd bejelentette, hogy kiválasztott egy vállalatot, amellyel bármely harmadik fél szerződést köthet, azzal a feltétellel, hogy a cég teljesen ráteszi a kezét a biztosított informatikájára. A Lloyd ez esetben vállalja a szerződéskötést és az esetleges károk megtérítését.
B. O.: Ez talán alkalmas partnerrel a biztosítói oldalon a Kürt esetében is működne?
K. S.: Igen, e lehetőséget magunk is fontolóra vettük, de nem szabad elfelejteni, hogy ez még mindig nem tömegbiztosítás. Ahhoz ugyanis ki kellene dolgozni egy módszertant, amely útmutatóként szolgálna az informatikai rendszerek "ajtóinak és riasztóinak" ellenőrzésére. Ebben az irányban jelentős nemzetközi törekvések tapasztalhatók, amelyekbe a Kürt is szeretne bekapcsolódni. Az MTA-Sztaki matematikusaival együttműködve Magyarországon nagyon jó az esélyünk egy idevágó, a Széchenyi-terv keretében benyújtott pályázat révén.
B. O.: Gondolom, azért elkelne a biztosítói tapasztalat vagy legalábbis valamilyen szintű együttműködés...
K. S.: A magyarországi biztosítókkal az a baj, hogy inkább végrehajtók, vagyis kereskednek, eladnak. A k+f tevékenység tőlük nagyon messze, az anyaországban zajlik. Ebbe a tevékenységbe próbáltunk ugyan bekapcsolódni, sikerélményeink azonban nem igazán vannak.
B. O.: Azt hiszem, nem vitás, hogy egy ilyen jellegű szolgáltatásban meghatározó szerepet játszik majd az adat értékének meghatározása. Erre vonatkozóan létezik-e valamiféle sorvezető?
K. S.: A klasszikus biztosítási üzletágban ez nagyon könnyű, hiszen mennyi is annak az értéke, amit például ellopnak? Természetesen annyi, amennyiért egy új beszerezhető. Az adatnál még nincs így, de ez nem azt jelenti, hogy a jövőben sem lesz. A világ azért már tud tömegében adatértéket kezelni. Amikor mondjuk egy informatikai céget értékelünk, jószerivel az informatikát vesszük számításba. A Yahoo!-nál vagy az Amazon.comnál nem az íróasztalt, az irodát értékeli a világ csillagászati összegre, hanem azt a felhalmozott adatot, információt, amit a cég képvisel, amelynek révén működni tud, s ott tart, ahol tart. Arra a kérdésre, hogy ennek egy darabja mennyi, ma még nincs válasz, de a jövőben biztosan lesz, így meg is fogják határozni.
B. O.: A jövőt itt napok, hónapok vagy évek jelzik?
K. S.: Mindenképpen évek, hiszen párhuzamosan nagyon sok tényező együttléte szükséges. Egyfelől az informatikai eszközök biztonságának nőnie, ennek révén a kockázati tényezőnek csökkennie kell. Ehhez nagymértékben járulhat hozzá a minőségjavítás, hiszen a biztosító olyan rendszerre nagy valószínűséggel nem köt majd szerződést, amelynél hiányzik a megfelelő védelem, s így bármikor el lehet lopni az adatot. Ilyen esetekben olyan magas lesz a biztosítási összeg, hogy azt a vevő nem vállalja. Természetesen a biztosítónak szüksége lesz egy auditorra, aki mindezt képes felmérni ilyen szerepre vállalkozna szívesen a Kürt.
B. O.: Ha már szóba került az audit, akkor felvetődik a kérdés, hogy az "átvilágításnak" mennyiben kell kiterjednie az emberi tényezők vizsgálatára?
K. S.: Az informatikai biztonság alapvetően két dologra koncentrál. Az egyik ügylet a "jaj, csak el ne lopják", a másik pedig a "jaj, csak el ne vesszen". Az utóbbira kínálnak megoldás a back-up rendszerek, a vírusvédő szoftverek, míg az előbbi a kriptográfiai és biztonságtechnikai eszközök használata révén előzhető meg. Ugyanakkor ezek az alapkérdések nem egyszerűen csak a technológiai, hanem a szervezeti folyamatban oldódnak meg. Itt kerül előtérbe az ember, aki minden statisztika szerint a fő veszélyforrás, így erre kell a legnagyobb hangsúlyt fektetni.
B. O.: Már meg is jelent előttem a kép, amint az embereket pszichológiai teszteknek vetik alá
K. S.: Erre nem lesz szükség. Ma már műszakilag teljesen körbejárt a téma. A különböző menedzsment- és workflow-rendszerek könnyedén behatárolják, hogy ki mikor nyomott meg egy gombot. Ha, teszem azt, egy vállalat sok pénzért megvásárolt valamilyen vírusvédelmi rendszert, akkor feltehetően valakit megbíznak annak rendszeres frissítésével. Emberünknek tehát az lesz a feladata, hogy a vírusvédelmi szoftvert gyártó cég honlapjáról lehívja az új vírusadatbázist, s azt minden gépre feltegye. Ha ezt megteszi, akkor a rendszer jelez, a feladat ki van pipálva. Ha viszont nem, akkor mondjuk egy óra múlva megy az automatikus üzenet a főnöknek, ha ő nem cselekszik, akkor az ő főnökének... Ma már minden ellenőrizhető, senkinek nem állampolgári joga, hogy floppylemezt dugjon a gépbe.
A legfőbb veszélyforrás maga az ember
Ennek legékesebb bizonyítékául a Kürt gondozásában nemrégiben megjelent, Az Infostrázsa című könyv szolgál, amelynek megtörtént "egypercesei" közül ollóztunk ide egyet.
Egy nagy bank fiókjában esett meg, hogy az ügyintéző, egy csinos, formás hölgy panaszkodott: gépe rendszeresen zagyvaságokkal írja tele a képernyőt, a félig rögzített adatokat időként "magától", önhatalmúlag tárolja, és olykor mindenféle hibát jelez. A szakemberek mindent ellenőriztek. A gép rendben volt, a program is, kerestek vírust, szabotőrt, másik gépet állítottak be Mindhiába.
Végül megnézték, hogyan folyik a munka, amikor a hiba előáll. Kiderült, hogy a hölgy az előtte felhalmozott papírokból vette el a lapokat a kódoláshoz. Ehhez kissé kényelmetlen mozdulattal előre kellett nyúlnia. Miközben előrehajolt a papírjaiért, keblével a billentyűzetre nehezedett, ily módon gépelődtek a rejtélyes üzenetek
Ehhez csak egy hozzáfűznivalónk van: vajon ilyen esetekben is fizetni fog az "infobiztosító"?