Elsősorban az egyébként informatikai rendszeraudittal is foglalkozó, vagyis a kockázatok világában jártas tanácsadó cégek karolják fel idehaza is az internetes biztonság kérdését, de persze akadnak rajtuk kívül ezen a téren profi módon helytálló vállalkozások is. Legutóbb az Ernst & Young invitálta üzletfeleit egy, a fenti témával foglalkozó beszélgetésre, ahol a jelenlegi helyzetből kiindulva igyekeztek elsősorban a bizalom erősítését szolgáló megoldásokat és a terület néhány jogi aspektusát bemutatni.
Nincs új a nap alatt
Az interneten keresztül nyakunkba zúduló atrocitások, a nagy értékű üzleti károkozásig terjedő kellemetlenségek többsége - mint például a lopás, csalás, hamisítás, visszaélés, személyiségi jogok megsértése, hitelkártya-visszaélés, hitelrontás, becsület- és titoksértés, vagy az ipari kémkedés - az internet megjelenése előtt is létezett, de az ellene való szokásos védekezés a világhálón már nem hatásos. Ezek jelentik ma az internetes üzletvitel biztonsági kockázatait (az üzletiekre most nem koncentrálunk). S míg a hagyományos bolti rendszerben ezek egy része ellen elfogadható védelemnek bizonyult korábban a pultok felállítása, majd a zárt tv- lánctól kezdve a mágneses biztonsági kapukon keresztül a legkülönbözőbb fizikai és technikai megoldások, addig az internetes bűnözők két csoportja ellen más védekezést kell alkalmazni.
Az internetes károkozók fajtái és a károkozás mibenléte
Hacker - tolvaj
Értékes információkra (hitelkártyaadatok, ügyféladatok, üzleti titkok) vadászik, általában közvetlen anyagi haszonszerzés céljából.
Cracker - terrorista
Fő célja a károkozás, a normális üzleti tevékenység megzavarása (Denial of Service-támadás), az információ-rendszerek feldúlása (vírustámadás).
Belső károkozók
A károk négyötöde belső támadótól, vagy cégen belülről támogatott elkövetőtől származik.
Jogra szomjazik
Mielőtt kitértek az előadók a védekezés formáira, az e-business azokkal szorosan összefonódó jogi kereteit igyekeztek tisztázni. "Az internet sem lóghat ki a jogi szabályozás alól, így a hagyományos jogi szabályok, törvények az internetre is vonatkoznak - mondta Kiss Domonkos ügyvéd -, de emellett az elektronikus kereskedelem által felvetett új, jogot ostromló kérdésekre is választ kell találni." Utóbbinak egyik megoldása az önszabályozás, a szolgáltatók által kialakított szabályrendszerek - idehaza például a domainnevek regisztrációjának szabályozása. Azonban garanciát jelentő állami háttérszabályozás is szükségeltetik, s elkerülhetetlennek látszik a jövőben az internet valamennyi jogi kérdésének egy helyen történő szabályozása is. "Különös jellemzője a szabályozásnak az internet ťhatártalanŤ voltából eredő nemzetköziség" - mondta Kiss. A nemzetközi szervezetek már hozzáfogtak egy olyan keretrendszer kidolgozásához, amely - hogy a létrejövő jogszabályok képesek legyenek az internetes kereskedelmet országhatároktól függetlenül támogatni és mederben tartani - irányt mutatna a nemzeti törvényhozások részére ahhoz, hogy a készülő jogszabályok támogatóak legyenek, és ne gátként szolgáljanak az internet és az elektronikus kereskedelem számára. Néhány, az internetre is alkalmazható jogterületi specialitásra is felhívták a hallgatóság figyelmét. Ezek egyike az interneten jelen lévő valamennyi vállalkozást érintő reklámjog, amely kapcsán a direkt marketinget, az egyénre szabott hirdetésekkel kapcsolatos szabályozásokat sem lehet megkerülni, amelyek esetenként túlmutatva a reklámjog területén, az adatvédelem kérdését is feszegetik.
Egy másik specialitás a hálón keresztül kötött szerződések kérdése, egészen odáig, hogy milyen jog alkalmazandó a szerződéskötésnél, és egy esetleges szerződésszegésnél milyen bírói fórum jár majd el. Az interneten is tekintettel kell lenni azonban az általános szerződési feltételek alkalmazására vonatkozó magyar szabályozásra, s hogy ezek mikor, milyen feltételekkel válhatnak a szerződés részévé, azt a Ptk. határozza meg.
A szerződés teljesítése során a legnagyobb korlát a fizetések hiánya, illetve a nem megfelelő fejlettsége, s ugyan itt a biztonság sokkal fontosabb kérdés, mint a jogi támogatottság, de annak is ez utóbbi teremti meg az alapját. Az elektronikus fizetési eszközökre Magyarországon jogszabályi háttérként egy tavaly májusban megjelent kormányrendelet szolgál. Fontos a jogvita esetén eljáró bíróság meghatározása, s az egyes elektronikus üzletek megkötése és létrejötte igazolásának kérdése is. Ezt - megfelelő, bíróságok, hatóságok által kötelezően elfogadott bizonyító erőt rendelve az elektronikus okiratokhoz - megint csak a jog fogja megtámogatni. Újabb kérdőjelet jelent a fogyasztóvédelem, amire mindenhol a világon komoly figyelmet fordítanak, hiszen ha a fogyasztó nem érzi biztonságban magát, az elektronikus kereskedelem nem fog az elvárt módon és sebességgel fejlődni. A törvények általában biztosítják a fogyasztó részére az
- elállás jogát,
- a távollévők között kötött szerződések biztonságát (nálunk is van már erre az EU-éval harmonizáló kormányrendelet),
- a csomagküldő kereskedelmi szolgáltatások működését, hiszen ma még - az árutovábbítási szokások miatt - minden e-kereskedő idesorolható. Nem vitatott az adatvédelem kiemelt szerepe. Magyarországon a személyekhez kötődő e-mail címek személyes adatnak minősülnek, így azokra a személyi adatok védelméről szóló törvény vonatkozik, de szigorúan szabályozott a személyes adatok tárolása, feldolgozása és kezelése is.
Az előkészítés alatt lévő törvények ezekre és a felmerülő többi kérdésre is várhatóan megoldást jelentenek majd. Ezek
- az egységes hírközlési törvény, amely egységesen szabályozza majd az internetes hozzáférés árképzését,
- az elektronikus aláírás, elektronikus irat bizonyító erejét, előállításának módját szabályozó törvény, amely valószínűleg a jövő év első felében jelenik meg.
Biztos, ami biztos
A megoldások, a preventív védekezési lehetőségek ajánlatakor - amelyekkel a külvilág és a belső adatátviteli rendszer (intranet, internet) összekapcsolódása, s így átjárhatósága, valamint a külső és belső támadások elleni védelme megvalósítható - különösen kihangsúlyozták, hogy a biztonságnak jelen szituációban is két oldala van, az IT- és az ügyviteloldali. Nem elegendő csupán az előbbit megteremteni, mert az önmagában, az ügyviteloldali rendbetétele nélkül az nem vezet eredményre, de az utóbbiról viszont könnyen megfeledkeznek a vállalatok. Az alábbi táblázatban a két területet érintő intézkedéseket és megoldásokat foglalták össze.
E-business biztonság (preventív védelem)
IT-BIZTONSÁG ÜGYVITEL BIZTONSÁGA
Hálózati határvédelem (tűzfal és környezete) Üzletviteli és IT-stratégia, biztonságpolitika
Protokol- és IP-cím szűrése Üzletviteli kockázatelemzés (pénzügyi, jogi, technikai)
Hálózati tevékenység monitorozása (eseti, ill. állandó) Üzletmenet-folytonossági terv
Adatforgalom titkosítása IT-biztonsági szabályzatok
Certificate Authority használata Rendszertervezés (biztonsági követelmények hagyományos és internetes együttműködés esetén)
Vírusvédelem Implementálás - megvalósítási projekt
Információtárolás és mentések Aktív rendszer- és működési (rendszeres) audit
Statikus és dinamikus auditeszközök
Végezetül az internetkapcsolat és a belső hálózat biztonságára vonatkozó vizsgálatukat ismertették, melynek végén a vezetőknek szóló riportban, illetve az informatikusoknak készülő technikai jelentésben megismertetik az ügyfelet - a megoldási javaslattal együtt - a céget jellemző biztonsági állapottal, majd a szükséges munkák elvégzését követően a biztonság rendszeres utóvizsgálatát javasolják.