Most, hogy nemrég az egész világot megrázta a WannaCry zsarolóvírus támadása, talán még jobban odafigyelünk személyes és nyilvános adataink tárolásának módjára. A vírus ugyanis legfőképp a WindowsXP és Windows7 felhasználóit érintette, ez pedig a Windows10 operációs rendszer megjelenése mellett is, hatalmas felhasználótábort jelent, ám nemcsak emiatt kapott ekkora figyelmet a médiában, hanem a hatalmas pusztítás okán is, hiszen a vírus több százezer gépet fertőzött meg. Magyarországon viszonylag kevés számítógép volt érintett, ám ettől még nagyon fontos, hogy tisztában legyünk pár alapvetéssel, hogyan tároljuk okosan és elzártan adatainkat.

ÜZLETI HATÁS – ÉS KOCKÁZATELEMZÉS

A WannaCry pusztítása, a súlyos és figyelmeztető jelek után felkerestük Albrecht Pált, a KÜRT Infrastruktúramenedzsment Kompetencia Központ vezetőjét, aki elárulta, miért fontos és nélkülözhetetlen az adatvédelem, és mit szoktak javasolni első lépésben a cégeknek adatvédelmük érdekében. „Egy vállalat legyen tisztában a kezelt és tárolt adataival, azok besorolásával és értékével, a törvényi és szabványi elvárásokkal, a saját informatikai rendszerével és működési folyamataival. Amint ez az alap megvan, akkor lehet feltérképezni a rossz vagy nem feltétlen jó gyakorlatokat. Csak így van lehetősége egy vállalatnak arra, hogy tervezetten lépjen fel az adatvédelmi kockázatok ellen. Ennek a stratégiának fontos eleme az üzleti hatáselemzés – BIA (adatvagyonfelmérés, adatklasszifikáció, érintett üzleti folyamatok, informatikai infrastruktúrafelmérés és kárhatáselemzés), valamint a kockázatelemzés.”
De hogy milyen szinten van ma Magyarországon az adatvédelmi kultúra, és mi magyarok hogyan viszonyulunk adataink biztonságos tárolásához, erre is rámutatott a támadás. Albrecht Pál szerint

 

 

 

 

 

sem az oktatási rendszerben, sem a gazdasági szerepvállalásban nincs megfelelő és elegendő prevenciós program.

„A vállalatok esetében sem lehet mindenkit egy kalap alá venni. A multik és a nagyvállalatok, főként, akik külföldi anyavállalattal rendelkeznek, fontos és kiemelt területnek tekintik az adatvédelmet, itt a törvényi és szabványi követelmények erősen hatnak erre a területre. A kkv-szektorban már kevésbé erős a figyelem. A kis-, mikro- és egyéni vállalkozásoknál szinte nem is létezik ez a fogalom. Külön kiemelném magát az egyént: mindennapjainkban a vállalati és a magánszféra adatkezelése eléggé összemosódik, a technológia fejlődésének köszönhetően. A magánszférában a kártékony kódszűrésen (vírusirtó alkalmazása) kívül más védelmi mechanizmus nem nagyon lelhető fel, így bár ez az egyénre hat – közvetetten az eszközök segítségével –, mégis veszélyezteti a vállalatokat is. Mivel a vállalkozások döntő többségénél ezen technológiák (okoseszközök) adatvédelmi biztonsága nem megoldott (például mobileszköz-védelem, adatszivárgás elleni védelem stb.), a legtöbb ember nem is érti, hogy az »adat« mekkora jelentőséggel bír. Hosszú távon ezt a háborút nem a technológiával fogjuk megnyerni, hanem biztonságtudatos képzéssel és oktatással.” – emeli ki a szakember.
Valószínűsíthető, hogy egy átlagember nincs tisztában azzal, hogy mi mindenre használhatóak a magánjellegű adatai. Azonban a nagyobb cégek valószínűleg már jobban felkészültek, és jobban érzik annak is a veszélyét, hogy mi minden történhet az adataikkal, ha illetéktelen kezekbe kerülnek.

MULTIK ÉS KISEBB CÉGEK ADATVÉDELME

Kíváncsiak voltunk arra is, hogy hogyan hasznosítják adatvédelmi ismereteiket a magyar cégek? Mi az elvárható minimum egy vállalat esetében, hogyan védekeznek az esetleges támadások ellen? Albrecht Pál szerint „számos technológia, technikai megoldás létezik erre a problémára. Ezek többsége költséges, és a vállalatok döntő többsége nem feltétlen tudja ezen védelmi rendszereket bevezetni.

Számos vállalat informatikai infrastruktúrája, informatikai kultúrája nem is érett az ilyen rendszerek és folyamatok implementálására, többek között azért, mert sok vállalat minimálisan vagy egyáltalán nem szabályozott informatikai folyamatok mentén működik.

Ez alól nyilván kivételt képeznek a nagyok, nekik minden lehetőségük megvan arra, hogy megfelelő óvintézkedéseket foganatosítsanak. Kérdés, hogy élnek-e ezekkel a lehetőségekkel. Erre a kérdésre a válasz nem olyan egyszerű. Az elmúlt években azt tapasztaltuk, hogy Magyarországon csökkent az információbiztonsági beruházások száma. Ez az első olyan költséges terület, amire nem szívesen adnak ki pénzt a vállalatok. Ez is azt mutatja, hogy bár a nagyvállalatoknak lenne lehetőségük bizonyos védelmi intézkedéseket megtenni, mégis sok esetben leegyszerűsítik üzleti és pénzügyi kérdéssé. Innen egyenes az út afelé, hogy ha valami baj történik, feltételezik, hogy azt majd az informatika megoldja, így a védelmi szintet megtartják a szükséges és még elégséges szinten, ez a hozzáállás pedig az ismert és várható kockázatok szempontjából közelít. Ez viszont kockázatos játék, hiszen a nem várt eseményekre nincs semmilyen csillapító hatással. Az elvárható minimum a biztonságtudatos és felelősségteljes adatkezelés lenne, mely nemcsak technológiai kérdés, hanem üzemeltetői és cégvezetést is érintő döntés.”

A teljes cikket olvassa el a Business Class Magazin KÓDHATALOM című lapszámában!
Fizessen elő nyomtatott vagy digitális formában!