Gasparetz András ügyvezető igazgató, MagiCom

Az adatszivárgás ellen az információvédelem teljes eszköztárát – fizikai, műszaki és adminisztratív kontrollok – felhasználják a szervezetek. Ezek fő célja az emberi figyelmetlenség, a tudatlanság és a szándékos károkozás kockázatának csökkentése. Az adatszivárgási incidensek forrása, okozója szinte mindig az ember, és így nem meglepő, hogy különböző statisztikák igen magas arányban, 70-80 százalékban emberi okokra vezetik vissza az adatszivárgásokat.

A hr szerepe, hogy már az alkalmazottak kiválasztásakor vegye figyelembe a szükséges és elsajátítandó ismeretanyagot és a személyi készségeket. Az emberek okozta kockázatok kezeléséhez elengedhetetlen a megfelelő szabályozórendszer. Ezen a kötelező és jogi hátteret adó elemen kívül kifejezetten fontosak a belépéskori és a rendszeres, ismétlő oktatások.

Lényeges, hogy ­valóban alakítsuk ki a helyes magatartásformák betartása iránti igényt. Ehhez erősen ajánlhatók az e-learninges megoldásokkal kom­bi­nált konzultációk. Ilyen módon jól mérhetővé válik a tényleges egyéni teljesítmény és a követendő szabályrendszer ért­he­tő­sé­ge is, azaz meghatározhatók azok a területek, amelyeknek az értelmezése gondot okoz a felhasználóknak.

Jó gyakorlatnak tekinthető a tudatosító programok végrehajtása, melyeknek részei lehetnek például a rendszeres hírlevelek, illetve a tanulsággal szolgáló nyilvános esettanulmányok.

Jakab Péter ügyvezető igazgató, MKB Bank, Bankbiztonság

Az adatszivárgás csak másodsorban technológiai kérdés. Egy szervezetnél, ahol minősítik az adatokat és igazolható módon megteszik az ilyenkor elvárt biztonsági intézkedéseket, és ennek ellenére megtörténik az adat­szi­vár­gás, vagy igazolható a szándékosság, ez esetben a cselekmény büntethető is lehet. Ha valaki nagyon el akar vinni védett adatokat és professzionalista, akkor nagyon nehéz megakadályozni ebben. Sok esetben már csak a nyomait lehet regisztrálni. Ez pedig kimerítheti a titoksértés fogalmát.

Csupán néhány professzionális adatszivárgás ­elleni védelmi szoftver van a pia­con. Általában a következő főbb funkciót látják el: egyrészt adatklasszi­fikációt támogatnak, megmondják, hogy melyek a védendő adatok, másrészt ezek a nagyon in­tel­li­gens eseményvezérelt meg­ol­dá­sok tartalom alap­ján támogatják azt az eljárásren­det, mely korlátozza a védendő ­adatokkal történő adatfeldolgozási és adatáramlási folyamatokat. Ri­por­tol­ják a felhasználói aktivitást, illetve monitorozzák a hálózati forgalmat. Ma szinte minden adatszivárgást kezelő megoldás rendelkezik végpontvédelmi modullal.

E megoldások kapcsán sok tízmilliós beruházásról beszélünk. Természetesen egy bank, egy mikro-, kis- vagy közepes vállalkozás esetében is mások a fenyegetettségek és a kockázatok, így a védelemre szánt költségkeretek sincsenek egy súlycsoportban.