IT biztonság
Az IT biztonság már annyira divatos, a mindenkit körülvevő IT biztonsági fenyegetések növekvő áradata már annyira sokszor lett emlegetve, hogy egyre többen már csak unottan legyintenek rá. Az egyik szakmabeli, azaz IT biztonság területen dolgozó ismerősöm mesélte, amikor sérülékenységekről, kockázatról, kitettségről beszélt egy vállalat pénzügyi vezetőjének, az csak megvonta a vállát:
„Persze! Hány sérülékenységet is találnak havonta az X szoftverben? Azt használjuk minden gépünkön már Y éve, mégsem loptak még adatot tőlünk… Az ügyfélszolgálatról az egyik ügyintézőnk mobilját, na, azt elvitték múlt hónapban, ha belegondolok, az adatlopás volt, mert a lánya anyakönyvi kivonatát is lefényképezte vele korábban.”
Az ismerősöm meglepődött, amikor a pénzügyi igazgatónak adtam igazat, aki a saját szempontjából racionális döntést hozott, mikor visszautasította a kétezer számítógépre kiterjedő sérülékenység vizsgálatot valamint nem akart ugyanennyi számítógépre hároméves licencet venni az egyébként színvonalas XYZ szoftverhez, mert egyrészt nem látta szükségesnek, másrészt megtudta, mennyibe kerülne.
Merjük kimondani, a nagy igyekezetben valahogyan „elfelejtődött”, mi az IT biztonság lényege illetve mi a fontos az ügyfélnek.
Egy mondatban két alapvető igazság megosztásával kecsegtetni bátor tett, remélem, Ön értékeli, hogy mind a kettőnél fellebbentem a fátylat. 🙂
Ha kellően leegyszerűsítjük a témát, az IT biztonság lényege nem más, mint az informatikai infrastruktúra és a benne tárolt információ védelme, az ügyfél érdeke pedig az üzleti céljainak az elérése.
Persze ha egy mondatban foglaljuk össze bárminek a lényegét, néhány sallang kimarad. A sebészet lényege egy mondatban például vágás és varrás – kellően leegyszerűsítve. Az egy mondaton túli mindenfélét persze évtizednél hosszabb ideig tanítják, tanulják minden szakmában.
A sok szakmai érdekesség, újdonság mellett azért látni kell: az ügyfél számára az IT biztonság csak azért fontos, mint az adótanácsadója: az üzleti környezet jellemzőinek, eseményeinek számára negatív hatásait szeretné minimalizálni. Ha adott negatív lehetőségből még semmit sem tapasztalt – pláne, ha nem is érti a szakzsargont, nem fog pénzt áldozni a témára. Racionális.
A fenti esetre visszatérve megkérdeztem az ismerősömet, érdeklődött-e, mi történt a telefonnal (emlékeznek, azzal, amin az ügyintéző lányának anyakönyvi kivonat-fényképe volt). Értetlenül nézett rám: „Miért kérdeztem volna? XYZ szoftverről beszélgettünk meg a vállalat informatikai biztonságáról.”
Miért lett volna érdekes érdeklődni?
Érdekes lett volna megtudni, kiderült-e, ki vitte el a telefont. Ha kiderült, tovább lehetett volna kérdezni: hogyan azonosították az elkövetőt, hogyan szerezték vissza telefont és így tovább. Ha nem derült volna ki, lehetett volna tovább érdeklődni: van-e kamerarendszer az ügyfélszolgálaton, ha van, hogyan rögzítik a felvételeket és mennyi ideig őrzik meg azokat; hasonlóan: honnan és hogyan vitték el a telefont az ügyfélszolgálaton: az ügyfelek által látogatott térből vagy az ügyfélforgalomtól elzárt területről; van-e lehetőségük a munkavállalóknak elzárni a „dolgaikat” (telefont, pénztárcát, kabátot stb.).; ahogyan a telefont el tudták vinni, ugyanígy elvihettek-e volna mondjuk vállalati bélyegzőt, iratot stb.
Másik érdekes terület az adatkezelés tisztázása lehetett volna: megtudni, hogy az ügyintéző az ellopott telefonjával hozzáfért-e korábban vállalati adatokhoz (például a vállalati levelezőrendszer elérésével), tárolta-e a kollégák elérhetőségeit a telefonban, készített-e a telefonnal fényképfelvételeket a vállalat ügyfélforgalomtól elzárt részein – azaz azt behatárolni, valóban csak privát adatokat érint-e az eset, vagy az elkövető birtokába kerülhetett-e vállalat számára is lényeges információ?
A felsoroltak az addig nem ismert elméleti problémából rögtön a napi élet szintjére fordították volna át az IT biztonság témáját.
Lett volna üzlet belőle?
Korai kérdés – az ügyfél mindenesetre azt érezte volna, hogy őt érintő témáról folyik a diskurzus, az ismerősöm pedig kissé belelátott volna a vállalat életébe, megismert volna valamit a vezetők és munkavállalók gondolkodásmódjából.
Kedves ismerősöm, Dániel írta a honlapunkat olvasva:
„A blogbejegyzések érdekesek, szerintem abszolút pozitív, hogy a hasonló oldalaknál megszokott merev szakmaiság mellett itt megjelenik egy egyszerűbb, közérthető vonal is, de ez a „könnyedebb” tartalom azért nem megy a szakmaiság rovására.”
Köszönöm Dani, ezek szerint „átment az üzenet”, hogy lehet és kell érthetően beszélni IT biztonságról. Dani másoddiplomáját egyébként IT biztonság területen szerezte, néhány éve szerencsém volt konzulensének lenni. Biztonsági vonalon dolgozik jelenleg is, azaz szakmabeli.
A szakmai zsargon illetve a szakmai tartalom szükségesnél „szakmaibb” jellegű bemutatásának az üzleti döntéshozó számára érthető szövegre fordítása „nyugaton” már megkezdődött. A Forbes egy cikke éppen a gazdasági élet szereplői számára teszi érthetővé az IT biztonság területén használt leggyakoribb buzzword-öket, felkapott, de gyakran rövid életű szakmai kifejezéseket.
Az üzletembereket érdeklő, de általuk nem teljesen ismert kilenc idióma IT biztonság témában:
- cloud security (felhőalapú biztonság – egy következő blog bejegyzésben tekintjük át – akkora téma, hogy önálló cikket érdemel, kíván)
- compliance (elvárásnak, előírásnak megfelelés – lehet szabványnak megfelelés, jogszabálynak megfelelés, de ide tartozik a bankkártya társaságok által támasztott követelményeknek megfelelés is)
- cyber espionage (kiberkémkedés, Interneten keresztül végzett szervezett információszerzés)
- Data Loss Prevention (adatszivárgás megelőzés, a vállalati információ nem kívánt megosztásának, eltulajdonításának megelőzése)
- Endpoint Protection Platforms (végpontvédelmi platform, amely egy termékként tartalmaz több, korábban egyedileg kínált terméket, amelyek a „normál” felhasználók által használt eszközöket – számítógépet, mobiltelefont stb. – védik)
- privacy (a magánszemély által mással megosztani nem kívánt információ védelme)
- ransomware (zsarolásra használt kártevő, amely titkosítja és elérhetetlenné teszi a felhasználó gépén levő fájlokat és a titkosítás feloldásához szükséges kódot csak akkor árulja el, ha a felhasználó fizet az ismeretlen elkövetőnek)
- risk management (kockázatkezelés, a védeni kívánt információ és infrastruktúra azonosításától kezdve az üzleti érték és hatás meghatározásán keresztül a megfelelőségi követelményekig és a megfelelő védelem felépítéséig – önálló blogbejegyzést kíván a téma komplexitása)
- phishing (adatgyűjtés jellemzően e-maileken keresztül)
Az IT biztonság üzletembereket érdeklő felkapott kifejezései mellett a Forbes oldaláról elérhető egy másik lista is, amely az IT biztonsági szakértők 2015-re vonatkozó szakmai jóslatait tartalmazza.
A szakértők 2015-re vonatkozó, IT biztonság területet érintő szakmai előrejelzései:
- attacks against virtual payment systems (virtuális fizetési rendszerek elleni támadások)
- more old security holes surface in open source software (nyílt forráskódú rendszerek régóta fennálló biztonsági rései)
- data Loss Prevention (DLP) will become a hot issue for business leaders (az adatszivárgást megelőző megoldások kiemelt témák lesznek a piacvezető vállalatoknál)
- malware will be harder to detect and shutdown (a rosszindulatú kódokat az eddigieknél is nehezebb lesz felismerni, kiirtani)
- raw security incidents will continue to rise (egyre pusztítóbb biztonsági események lesznek)
- thinking beyond individual threats (az egyedi támadási faktorokra összpontosító védelmi megoldások helyett összetettebb, szofisztikáltabb védelmi intézkedésekben kell gondolkodni)
Szögezzük le, a Forbes nem IT biztonsági, hanem színvonalas gazdasági lap, viszont a cikkek megírásában tapasztalt IT biztonsági szakértők segítették őket. Mindkét cikk ugyanazon országban íródott, nyolc nap eltéréssel (2015. januárjában – ez a magyarázata az előrejelzésnek).
A két listáról hosszasan lehetne beszélgetni, most azonban csak a blogbejegyzésünk szempontjából lényeges szempontra összpontosítsunk és vegyük észre, hogy a listák között alig van átfedés, azaz a gazdasági élet szereplőinek teljesen más van a fejében IT biztonság kapcsán, mint ami az IT biztonsági szakemberek szerint lényeges 2015-ben! Mondjuk ki még egyszer:
Az üzletemberek számára teljesen más fontos IT biztonság szempontjából, mint az IT biztonsági szakembereknek!
Lehetne vitatkozni a következtetésemmel, például mondhatnánk, hogy az első lista azokat a kifejezéseket tartalmazta, amelyek fontosak ugyan számukra, csak nem ismerik őket vagy annyira fontosak, hogy bár ismerik a kifejezéseket, mégis megkérdezték, hogy jól értették-e őket; viszont a második lista minden eleme fontos ÉS teljesen ismert, azért nem volt szükséges megmagyarázni őket.
A válaszom erre, hogy ha az üzletembereknek, akiknek már 13 éve kötelezően meg kell felelniük a Sarbanes-Oxley előírásoknak („being compliance with Sarbanes-Oxley Act”) a „compliance” szó magyarázatra szorul, hadd feltételezzem okkal, hogy a „malware”, az „open source software” és a többi, szakértők által kiemeltnek tekintett terület vagy azért nem került említésre, mert nem ismert, vagy azért, mert nem tartják fontosnak.
A két cikk (és Dani levele 🙂 ) megerősített benne, hogy
- az IT biztonság az üzleti életben is fontos (lám, a Forbes is foglalkozik vele – a hazai lapszámban is kitérnek néha-néha rá),
- az IT biztonság területén továbbra is szükség van szakzsargontól mentes, érthető cikkekre, beszélgetésekre,
- kommunikálni, kommunikálni és még egyszer kommunikálni kell, hogy megértsük, mi foglalkoztatja az üzletembereket, ügyfeleinket és fordítva: megértsék, mi a háttere, indoka javaslatainknak.
Az IT biztonsági projekteket, feladatokat az üzleti döntéshozók hagyják jóvá, akik messzemenően racionálisak. Az IT biztonságnak akkor van létjogosultsága az üzleti életben, ha az ügyfelet segíti üzleti céljai elérésében.
Kérem gondolkodjunk közösen:
- ha Ön üzletember, állami, önkormányzati vagy non-profit területen dolgozik: Ön szerint mi a fontos IT biztonság szempontjából az Önök számára?
- ha Ön IT biztonsági szakember: Ön szerint mi a fő kihívás IT biztonság témakörben napjainkban?