Csökkentsük az adatszivárgás veszélyét!

A rendezvényen Jakab Péter, az MKB Bank Zrt. Bankbiztonság ügyvezető igazgatója, a Magyar Bankszövetség Bankbiztonsági Bizottságának elnöke Az adat- és titokvédelem néhány aspektusa pénzintézeti környezetben címmel tartott előadást. Mindenekelőtt felhívta a figyelmet arra, hogy a banki/pénzintézeti környezetben előforduló adatok szinte mindegyike védendő adat. Éppen ezért fokozottan fel kell készülni az adatszivárgás megelőzésére. Jakab Péter hangsúlyozta: az adatszivárgás oka csak részben szándékos. Sokkal gyakoribbak azok az esetek, amikor épp a rosszul értelmezett szolgáltakészség, a gondatlanság, az ismerethiány vagy épp a biztonságtudatosság hiánya okoz adatszivárgást. Persze a tudatos adatszvárogtatásra is figyelni kell, hiszen az információk koncentráltsága és értékük rohamosan nő, ezért egyre komolyabb érdekek fűződnek a megszerzésükhöz. Ráadásul az újabb és újabb elektronikus szolgáltatások megjelenésével bővül az IT rendszerek támadási felülete. Ha mindez egy válsághelyzettel párosul, amikor a növekvő versenyhelyzet miatt nő az alkalmazottak terhelése, esetleg a létszámleépítések miatt fokozódik a fluktuáció, értelemszeűen csökken a cég iránti lojalitás, azaz nő a véletlen és a szándékos adatszivárgás esélye, és a bűnözői aktivitás is.

Frész Ferenc, a KÜRT Zrt. stratégiai üzletág-fejlesztési vezetője előadásában felhívta a figyelmet, hogy a pénzügyi vállalatok közelgő, jelentős IT-projektjei megnövelhetik a rendszerek sebezhetőségét. Az üzletágvezető nemcsak a minőségbiztosításban látja a problémát. Általánosságban igaz, hogy a fejlesztés során alkalmazott rendszerek kevésbé védettek, mint az üzleti folyamatokat élesben kiszolgálók, ugyanakkor sok esetben mégis éles adatokat is felhasználnak a teszteléshez. Az információbiztonság, azon belül is az adatszivárgás kezelése éppen ezért a rendszerek fejlesztésekor különösen súlyos probléma, és gyakran háttérbe szorul a költséghatékonyság és a szoros határidők miatt. Az üzletágvezető úgy véli, a 2012. július 1-jén életbe lépő MNB-rendelet, mely szerint a belföldi bankközi forintátutalások időtartamát egy napról 4 órára kell rövidíteni, épp egy ilyen projekt lesz, hiszen ha a banki-pénzügyi szektor jól fel akar készülni a váltásra, az ehhez kapcsolódó fejlesztéseket legkésőbb 2011 novemberétől már tesztelni kell.

Frész Ferenc szerint a következő lépéseket érdemes tenni a probléma kezelésére. Először is meg kell viszgálni , hogy milyen információt kell védenünk. Másodszor: meg kell határozni az adat- és információbiztonsági kockázati szinteket. Fel kell mérni, hogy hol találhatók a védendő információk és a lehetséges kiszivárogtató csatornák. Össze kell gyűjteni, hogy ki és milyen szinten férhet hozzá az adatokhoz - itt meg kell vizsgálni a felhasználó- és jogosultságkezelést, adattárolást és levelezési beállításokat is. Ezen információk birtokában meg kell tenni a védelmi intézkedéseket, melyeket az információbiztonsági szabályozásba is bele kell foglalni. Az üzletágvezető hangsúlyozta: ezt nem akciószerűen kell elvégezni, hanem folyamatában, az információbiztonság menedzsmentjét megvalósítva.

Ez a folyamat szoftverrel is támogatható, amely feltérképezi, hogy a szervezet hálózatán és rendszereiben hol találhatóak az előzetesen meghatározott érzékeny információk, valamint képes azok mozgását, beállított szabályok alapján monitorozni. Így megállapítható, hogy mely felhasználó, milyen információt, milyen irányban és milyen csatornán tervezett kiszivárogtatni. Az eredményekből egyedi és összevont riportok is létrehozhatók. A technológi azonban önmagában kevés. Számos egyéb védelmi intézkedés kell a fenyegetettségek kellő mértékű csillapításához. Mert a veszélyt csak csillapítani lehet, megszüntetni nem - hangsúlyozta az üzletágvezető. Ezeket az intézkedéseket menedzsment jellegű tevékenységként kell beilleszteni a szervezetek mindennapi életébe. Ilyen feladatok a sérülékenység-menedzsment, a felhasználók információbiztonsági tudatosságának menedzselése (oktatások, tréningek), a log-menedzsment és a jogosultsági, azonosítási rendszerek és az adatvagyon menedzsmentje.