Az internetes bűnözés 2009-ben majdnem 600 százalékkal növekedett, s a jelek
arra mutatnak, tavaly sem mérséklődött. A veszélyeztetettséget növeli, hogy sok
vállalkozás a költséges és időigényes munka miatt ma még mindig csupán jogszabályi
kötelezettség hatására hajt végre bármilyen információbiztonsági intézkedést.
Törvényi kötelezettségek pedig egyelőre csak a hitel- és pénzintézetekre, illetve
a pénzügyi szervezetekre vonatkoznak.
Ugyanakkor a biztonsági fenyegetések, amelyekkel a pénzintézeteknek szembe kell
nézniük, egyre kifinomultabbak lesznek, ám ezzel nem nőnek egyenes arányban az
ellentámadáshoz szükséges kompetenciák. A biztonsági szakértők gondjait növeli,
hogy már nem kell bonyolult programozói felkészültség ütős behatolóprogram írásához,
ugyanis sok rosszindulatú eszköz már fent van a weben, s ezeket korlátozott számítógépes
tudással rendelkező bűnözők is felhasználhatják – hívja fel a figyelmet a Deloitte
egyik friss, globális felmérése.
Ezzel összhangban áll az elemzésnek az a megállapítása, amely szerint a megkérdezett
pénzintézeteket túlnyomórészt kívülről érték támadások a megelőző 12 hónapban,
s az információbiztonságért felelős munkatársak egyre kevésbé bíznak abban, hogy
hagyományos felügyelettel gátat lehet szabni ezeknek a támadásoknak.
Jogosultság, adatvédelem, megfelelés
A digitális hadviselés fenyegetései közepette nem meglepő, hogy a válaszadó pénzintézetek
a jogosultságkezelést (iam) tartották 2010-ben a legfontosabb biztonsági kezdeményezésnek.
Persze, a fontosság hangsúlyozása vállalatmérettől is függ: míg a 10 ezer főnél
többet foglalkoztató nagyvállalatok 63 százaléka helyezi az iam-ot az első helyre,
addig ez az arány az 1000 főnél kevesebbet foglalkoztató kis cégek esetében csupán
35 százalék.
Az információbiztonság „hőskorában” az iam még csak az ajtónálló szerepét töltötte
be, s feladata az volt, hogy kívül tartsa a nem kívánt vendégeket; ma már a hitelesítés
– ez is két szinten – csak az egyik dolog, ami lezajlik jogosultságkezelés címen.
Emellett a rendszer lépésről lépésre követi az eseményeket, szigorúan regisztrálva,
hogy ki, hol és mikor csinált bármit.
Miután a szervezetek egyre jobban veszítik el saját védekezési képességeikbe
vetett bizalmukat, megerősödött az adatvédelem iránti igény. Így az adatvesztés
megelőzésére (data loss prevention) irányuló különböző módszerek képezik az iam
mögött a második legfontosabb védelmi vonalat. Az adatvédelem meglehetősen komoly
vállalkozás, s már mindjárt az elején nagyon időigényes: minden egyes információt
osztályozni kell, s el kell dönteni, melyiket védjük ki ellen.
A pénzintézetekre a szabályozó hatóság részéről is egyre nagyobb nyomás nehezedik,
így tehát a törvényeknek való megfelelés informatikai kezelése is mind hangsúlyosabbá
válik. Annál is inkább, mert ezzel a szervezetek akár versenyelőnyre is szert
tehetnek, s ezt hajlandók belső auditorok felvételével is támogatni.
Biztonság és üzlet
Miközben a pénzintézetek fokozott mértékben ismerik fel a biztonsági stratégia
szükségességét, még mindig hiányosságok mutatkoznak a biztonság és az üzleti célok
összehangolásában. Nem az a gond tehát, hogy ne lenne stratégia – a válaszadók
87 százaléka rendelkezik ilyennel vagy tervez készíteni egy éven belül –, hanem
inkább az, hogy számos pénzintézet biztonsági funkcióinak kialakításában nem vesz
részt az üzleti oldal. S ami rosszabb, a biztonsági funkciókért felelős munkatársak
nem kapnak visszacsatolást az üzleti felhasználóktól.
Részben mindezek miatt a biztonsági felkészültség, illetve a funkciók hatékonyságának
mérésével is bajok vannak, ami viszont a szükséges biztonsági lépések anyagi támogatásának
bizonytalanságát vonja maga után.
Elkeseredésre mindazonáltal nincs ok, mert az információbiztonsági költségvetés
dacolni látszik a megszorítások jelenlegi, általános trendjével. A felmérés ugyanis
feketén-fehéren kimutatta, hogy 2010-ben, a megelőző két év globális recessziójának
ellenére, jelentősen csökkent azon válaszadók száma, akik a biztonsági intézkedések
elmaradását pénzhiánnyal próbálták volna indokolni. Ez feltételezhetően annak
köszönhető, hogy az információbiztonsági terület egyre ingoványosabb lesz, s igencsak
indokoltak az adatvédelmi beruházások.
Mindez azt igazolja, hogy már messze vannak azok az idők, amikor a pénzintézetek
vezetői haszontalannak tartották az új technológiákba irányuló beruházásokat,
s inkább megvárták, amíg ezek a technológiák, úgymond, beérnek, s már nem lesznek
kockázatosak. Manapság ez a magatartás már nemigen indokolható, mindenekelőtt
azért, mert már eleve érettebb, „felkészültebb” – és persze automatizált – eljárások
kerülnek piacra. Továbbá ma már sokkal kockázatosabb hátradőlve várni a technológiák
beérését, mint bármiféle akcióba kezdeni.
Élenjáró technológiákkal
Pistár Mária, a Pik-Sys Informatikai és Tanácsadó Kft. ügyvezetője – egy Gartner-tanulmány
alapján – arra hívja fel a figyelmet, hogy 2014-ig a katasztrofális rendszerösszeomlások
arra fogják kényszeríteni a bankok közel 75 százalékát, hogy változtassanak alapvető
alkalmazás-infrastruktúrájukon. Ennek keretében a pénzintézetek, alternatívaként,
hajlandók lesznek megfontolni nyílt alkalmazásplatformok bevezetését is.
De ez még nem minden: át kell gondolni az adatbiztonsági stratégiákat is, és
információvédelemre a leginnovatívabb fejlesztéseket, biztonsági megoldásokat
kell majd választani. Ehhez persze az kell, hogy a szállítók is felismerjék ennek
szükségességét, s újszerű, hatékony technológiákat építsenek be az alkalmazásokba.
Előre látva továbbá a terjedőben lévő virtuális, illetve felhő alapú környezetek
védelmi követelményeit, a biztonsági hardver- és szoftvergyártóknak törekedniük
kell termékeik erőforrás-felhasználásának méretezésére és optimalizálására.
Az utóbbi évek tendenciái nyomán a bankoknak nem szabad megfeledkezniük a mobilalkalmazások,
illetve a mobilkommunikációs csatornák biztonsági problémáinak kezeléséről sem.
