Tisztelt Nagy Tibor! Nagyon jó a megérzése, és osztozom az aggodalmában is. Öt éve még vezető hír volt, ha valakik megtévesztő külföldi weboldalakkal online banki adatokhoz igyekeztek hozzájutni (phishing), mára több hazai pénzintézet szenvedett el hasonló támadást (Raiffeisen, Budapest Bank, OTP, CIB, Erste ...). Ez egyértelműen bizonyítja, hogy a fenyegetettség növekszik. A növekedés úgymond természetes velejárója a technológia széleskörű használatának. A hangsúlyt a védekezése kellene fektetni, jelenleg itt érzékelhető jelentős lemaradás. A védekezés eszköztárában valóban számos program megtalálható, azonban ezek legtöbbje csak pontszerű védelmet nyújt, ráadásul idő amíg megtanuljuk használni őket. A hosszú távú megoldást a biztonságtudatosság kultúránkba való beépülése jelentené: vagy az alapoktatásba vagy kiegészítő képzésként (az autóvezetést is jogosítvány megszerzéséhez kötötték). A gyakorlatban rá kell szoktatnunk magunkat, hogy minden új technológia használata előtt időt kell szánni a biztonsági beállítások elvégzésére: a facebook esetén számos ilyen beállítási lehetőség létezik, csak éppen a 350 milliós felhasználói tábor töredéke használja ki. Mivel a speciális biztonsági alkalmazások beállítása és használata naponta órákat vesz el az embertől, az egyszerű felhasználók számára inkább a biztonsági alapelvek szigorú betartását javasolnám, (sajnos) már ezzel a kevéssel is jóval az átlagos szint fölé magasodnának.

Tisztelt Tóbiás Péter! A biztonság elsősorban bizalmi kérdés. Tekintettel arra, hogy a legtöbb alkalmazás esetében a forráskód nem áll rendelkezésre, így csak a múltbeli tapasztalatokra és a gyártóba vetett hitre hagyatkozhatunk. Ebből adódóan az informatika mindig is hangos volt a hitvitáktól (Linux-Windows, Oracle-DB2 ...) Ezek egyrészt hasznosak, mert az objektív szemlélő számos pro-kontra érvet össze tud gyűjteni, melyeket később a saját szempontjai, prioritásai szerint értékelhet ki. Másrészt haszontalanok, hiszen legyőzhetetlen ellenállást, bebetonozott álláspontokat eredményeznek. Amennyiben mégis dönteni kell, alkalmazható a korábban leírt módszer, vagy bevonható tanácsadó, így az ellenérzések célpontja cégen kívülre kerül.

Tisztelt Kracson Péter! Feltételezem, hogy kérdése az IT kockázatelemzés elkészítésére vonatkozott. Információbiztonsági kockázatelemzést lehet vállalati (azaz saját) erőforrásból készíteni. Egy – a cég informatikai felépítését jól ismerő alkalmazott – kellő utánajárással egy célorientált elemzést el tud végezni. A kellő utánajárás alatt a vonatkozó szakirodalmak áttekintését értem, ugyanis valami alapján célszerű egy módszertant kiválasztani. A kockázatok feltárása annál jobb, minél szélesebb körben vizsgálódunk, tehát az illető vagy beleássa magát minden egyes területbe (fizikai biztonság: tűzvédelem, riasztók, határoló falak, logikai biztonság: azonosítás, kriptográfia, hálózatok, stb…), vagy a területért felelős embernek teszi fel a „Milyen kockázatokat lát a saját területén?” kezdetű nyitott kérdést. Kellően közlékeny alkalmazottak esetén meglepően sok kockázatot tud az ezért felelős belső munkatárs összegyűjteni. (A válaszok között mindig találunk személyes sérelmeket, melyeket finoman le kell választani a valós kockázatokról). Ezen kockázatokat összeszedve még üzleti hatásokat kell párosítani hozzá, majd pedig ellenintézkedéseket, s végül illik megadni az ellenintézkedések erőforrásigényét is. Most csak néhány témát érintettünk, de a lényeg talán kivehető: minél jobb, minél valósabb kockázatelemzést szeretnénk, annál több utánajárással, interjúzással, megoldáskereséssel, egyeztetéssel jár a folyamat. Amennyiben van erre belső erőforrás, úgy megbízható a feladattal. Ne feledjük azonban, hogy minél kevesebbet áldozunk egy jó kockázatelemzésre, annál bizonytalanabb, hogy a kockázatelemzés eredményeként megfelelő intézkedésre költjük-e el a pénzt. Azt is érdemes szem előtt tartani, hogy a belső erőforrásnak könnyen lehet "belső vaksága", vagyis bizonyos problémákat a napi céges rutin miatt nehezebben, vagy egyáltalán nem vesz észre, míg ugyanezeket a problémákat kockázatokat egy külső, független "szem" jóval hatékonyabban tárja fel. A külső tanácsadócégek jó esetben az egyes területekre specializált szakértőkkel dolgoznak, akik rögtön az interjúzással kezdik, ott viszont nyitott kérdések helyett konkrét lehetséges sérülékenységekre kérdeznek rá. Tapasztalataink szerint: - 100 fős cég alatt nagyon kevés a szakértelem, és olyan sokrétűek a feladatok, hogy külső céget bíznak meg; - 100-300 fős cég esetén van, hogy saját kockázatelemzést készítenek, de előtte vagy oktatásra küldik az alkalmazottat, vagy termék-minőségbiztosítást + sablont kérnek a tanácsadócégtől; - 300 fő felett annyi egyeztetni való van és annyi interjú, hogy egy ember nem végez fél év alatt sem, így szintén külső tanácsadóra bízzák a feladatot.