Ma az intézményi feladatok jelentős részéhez legalább annyira elengedhetetlen a megfelelő informatikai háttér megléte, mint a vállalatok üzletmenetszerű működéséhez.

Az e-kormányzati funkciók kiteljesedésével, az így kínált szolgáltatások általánossá válásával a jövőben tovább fog növekedni az intézmények it-rendszerekkel szembeni kitettsége. Ráadásul e szervezetek egy részénél állampolgárok nagy mennyiségű érzékeny, bizalmas adatát kezelik, így a kockázat hatványozódik.

Elgondolások és megoldások

Különösen nagy jelentőségű tehát, hogy milyen elgondolások szerint és milyen megoldásokra támaszkodva építik ki a hazai intézmények it-biztonsági rendszereiket. A BellResearch a Magyar Infokommunikációs Jelentésében éves rendszerességgel vizsgálja meg ezt a területet. A kutatók az adatok alapján rámutattak, hogy valamilyen it-biztonsági megoldást már gyakorlatilag valamennyi hazai intézmény alkalmaz ugyan, de csak az alapvető eszközök (antivírus, tűzfal, levélszemét-szűrés, jelszó alapú azonosítás) elterjedtsége tekinthető közel teljes körűnek.

Az informatikai biztonság persze korántsem merül ki a rendszerek sebezhetőségét csökkentő szoftver- és hardverkomponensek használatában, túlmutat azokon. A kockázatok valódi mérsékléséhez stratégiai szemléletben előkészített terveken alapuló döntések sorozatára van szükség, írásba foglalt, rendszeresen felülvizsgált és következetesen betartatott szabályokra. A hardver- és szoftverkomponensek ezek megvalósulási formáiként értelmezendők.

Épp a szabályozás, az it-biztonsági stratégia és szabályok megalkotása az a terület, ahol bár az intézményi szféra mutatói – többek között jogszabályi kötelezettségeik miatt is – kedvezőbbek a vállalatok adatainál, a fejlődésnek finoman fogalmazva is igen tág tere van.

Az intézményi szféra it-biztonsági felkészültségét tekintve meg­le­he­tő­sen heterogén képet mutat. Míg az olyan szo­fisz­ti­kál­tabb megoldások, mint a fájltitkosítás vagy a be­ha­to­lás­ér­zé­ke­lés, a központi költségvetési intézmények körében elterjedtnek tekinthetők, addig az önkormányzati, az oktatási vagy az egészségügyi intézmények biztonsági arzenálját jellemzően csak az antivírus, a tűzfal, a levélszemét-szűrés és a jelszó alapú azonosítás kvartettje alkotja. Különösen aggasztó, hogy biztonsági stratégiával, szabályzattal vagy ka­taszt­ró­fa­el­há­rí­tá­si tervvel a központi költségvetés alá tartozó szegmenst leszámítva csak elvétve találkozunk. Biztonsági audit elvégzésére pedig összességében húszból alig egyetlen intézmény vállalkozik.

Nem pusztán üzleti a kockázat

Az összkép tehát, bár hosszabb távon kirajzolódnak az egyértelmű fejlődés jelei, korántsem megnyugtató – értékelik az adatokat a Bell­Research elemzői. Különösen annak fényében van okunk aggodalomra, ha figyelembe vesszük egyes intézményi szereplők gazdaságra, sőt a társadalom egészére vonatkozó jelentőségét. Egy rendszerleállás, adatvesztés vagy szenzitív adatok illetéktelen kezekbe kerülése esetükben nem pusztán üzleti kockázatokat hordoz, mint a cégeknél, hanem országos jelentőséggel bír.

Az it-biztonsági feladatok ellátásakor az intézményeknél – a vállalatokéhoz hasonló módon – elsősorban saját belső erőforrásaikra támaszkodnak: a közszféra szervezeteinek kevesebb mint fele von be bármilyen formában külső vállalkozót, míg a teljes kiszervezés egyáltalán nem mondható jellemzőnek.

Ennek hátterében jórészt a házon belül tartást szorgalmazó konzervatív szemlélet, valamint a forrás­hiány áll.