Az IT fejlődés ára a növekvő fenyegetettség

SAIF AL NUAIMI, az Egyesült Arab Emirátusok National Electronic Security Authority vezetője nyitóbeszédében összefoglalta, hogyan vált az Emirátusokból az elmúlt ötven év alatt a „bazárok országából” a világ vezető kereskedelmi és gazdasági központjává. A szakember ez után kitért arra is, hogy az elmúlt években rá kellett ébredniük, a fejlődéssel együtt a fenyegetettség is megnövekedett, és ahhoz, hogy az értékeiket megvédjék, rengeteg tennivalójuk van még.
 
Az RSA vezetője, Amit Yoran rámutatott, hogy nem hatékonyak az informatikai eszközök, a szervezetek nem látják át a folyamataikat, a szervezet adataihoz hozzáférő vagy azokat kezelő beszállítók és az IT infrastruktúra eszközei jelentős fenyegetettséget hordoznak.
 
Ashok Sankar a Websense Cyber stratégiai igazgatója szerint 2015 az ébredés éve. A világnak sürgősen fel kell ismernie, hogy a technológia nem minden, hiába vásárolják meg a kis-és nagyvállalatok – és itt most ne magyar szereplőkre, hanem globális, az egész világon jelen lévő nagyvállalatokra gondoljunk – a legmodernebb technológiákat, ez sokszor nem elég, sőt hatástalan.
 
Az meglévő jogszabályok sem feltétlenül garantálják a biztonságot, hiszen az internetes bűnözés már évek óta egyértelműen haszonszerzésre irányul, ahogy a világ egyre inkább informatikával támogatja az alapinfrastruktúrákat, úgy válnak ezek a szektorok (gáz-, elektromos áram-, vízszolgáltatás, közlekedés, szállítmányozás, egészségügy) a támadások célpontjaivá. Ez pedig egy-egy régióra, kontinensre, de akár az egész emberiségre is komoly hatással lehet. „Ha az internet biztonságát nem tudjuk megteremteni, akkor az emberek biztonsága is veszélyben van”.
 
A kritikus infrastruktúrák védelme kapcsán több előadáson is elhangzott példaként az iráni atomlétesítményeket támadó Stuxnet kártevő, illetve az a tény, hogy készítői ezzel a támadással és a program részleteinek publikussá tételével egy igazi kiberfegyvert szabadítottak a világra.
 
Üdvözlendő újdonság volt az RSA Cybersafety: Kids szekció, amit neves szervezetek (RSA, Microsoft, ISC2) karoltak fel gyerekeknek, szülőknek és pedagógusoknak szóló szakmai anyagok publikálásával. Öröm volt látni, hogy Magyarország mellett világszinten is egyre többen foglakoznak ezzel a témával, felismerve a felnövekvő generáció fenyegetettségét és azt, hogy ha a már a gyerekkorban tudatosságra neveljük gyermekeinket (Cyber Hygiene), akkor munkavállalóként ez a tudás már a sajátjuk lesz, és nem új tananyag.
 
A konferencia záróbeszéde is külön említést érdemel: Richard Clarke - az Egyesült Államok korábbi Nemzetbiztonsági, Infrastruktúra-védelmi és Terrorizmus Elleni koordinátora – erőteljes és elgondolkodtató beszédében hívta fel a figyelmet a kiberhadviselés és kiberbűnözés egyre nagyobb hatására a közel-keleti országokra és a világ gazdaságára. A globális biztonság megteremtésében szerinte nagyon fontos szerepük lesz a nemzetállamoknak saját vonatkozó jogszabályaik megalkotásával, valamint azzal, hogy e törvényeknek érvényt szerezzenek. Ennél a pontnál, utalva a magyar információbiztonsági szabályozásra, hangzott el, hogy önmagában a jogszabály „fogatlan kutya” – ez jelzés kell, hogy legyen Magyarország számára is, nagyobb hangsúlyt kell fordítani az információvédelemmel kapcsolatos törvények és jogszabályok betartására, ellenkező esetben az amúgy nagyon jó kezdeményezés nem fogja elérni a célját.
 
Richard Clarke azzal az üzenettel zárta le az 2015-ös RSA Konferenciát, hogy mindenki gondolkodjon el és tegye fel a kérdést magának és a szervezete vezetőjének: vajon mindent megtesznek-e a saját cégük és nemzetük biztonságáért, illetve azért, hogy a világ a jövőben nagyobb biztonságban legyen?
 
A QUADRON RENDSZER Kft. segít az alábbi 12+1 kérdéssel, hogy ellenőrizni tudja helyes úton jár-e szervezete a biztonság megteremtése és az adatok védelme terén:
 
1. Megvan-e a vezetői elkötelezettség az információvédelem és biztonság megteremtésére és fenntartására?

2. Azonosították-e azokat a jogszabályi előírásokat és szabványokat, amelyek a szervezet által kezelt adatok és információk védelmével kapcsolatosak?

3. Volt-e teljes körű, a szervezet egészére kiterjedő kockázatelemzés, kockázatértékelés, döntött-e a szervezet felső vezetése a kockázatok kezelésére vonatkozó intézkedésekről?

4. Megvan-e a megfelelő pénzügyi, technológiai és humánerőforrás a kockázatkezelési intézkedések végrehajtására?

5. Ki lett-e alakítva valamilyen szabvány vagy ajánlás alapján az a szabályozási keretrendszer, amely lefedi az információbiztonsággal kapcsolatos területeket?

6. Van-e rendszeres biztonsági oktatás és vizsga a szervezet különböző területein és szintjein dolgozó kollégák számára, amely a szervezet életében jelen lévő biztonsági szabályokról szól?

7. Van-e rendszeres biztonságtudatossági képzés és/vagy kampány, amely a teljes szervezetre kiterjedően a biztonsággal kapcsolatos attitűd, hozzáállás, gondolkodás kialakítására vonatkozik?

8. Ki vannak-e alakítva azon eljárások, amelyek a szervezethez kapcsolódó külsős felekkel és beszállítókkal kapcsolatos kockázatok felmérésére és kezelésére vonatkoznak?

9 Ki vannak-e alakítva a szabályzatokban megfogalmazott szabályok kikényszerítését célzó technológiai védelmi intézkedések? Itt kiemelt szerepet kapnak a határvédelem, a távoli hozzáférés, az azonosítás és hitelesítés, és az informatikai eszközkezelés, adatszivárgás területei. 

10. Megtörtént-e a szervezet kritikus folyamatának és adatainak azonosítása és megtörtént-e ezen folyamatok és adatok kiesése vagy sérülése esetén a szervezet működésének folytonosságát biztosító intézkedések meghatározása és tesztelése (BCP, DRP)?

11. Van-e szervezetben megfelelő szintű eseménynaplózás, naplóelemzés és incidenskezelés, valamint tesztelik-e a legvalószínűbb incidensek kezelésére vonatkozó terveket?

12. Van-e elegendő, folyamatosan rendelkezésre álló és szakképzett erőforrás a technológiai védelmi eszközök üzemeltetésére, felügyeletére?
 
+1 Megtörténik-e rendszeresen a szervezet biztonsági állapotának ellenőrzése, akár külső, akár belső, de mindenképpen az üzleti területek és kiszolgáló területektől (pl.: IT szervezet) független szervezeti egység, vagy szervezet által?