Alapvetően rendben lévőnek találja az IT-osztályok, a programozók, rendszergazdák felkészültségét Fóti Marcell, a NetAcademia Oktatóközpont ügyvezetője, akinek vezető oktatóként igen közeli rálátása van a területre. Szerinte alapvetően a „kis cég, kis odafigyelés - nagy cég, nagy odafigyelés" elve érvényesül, vagyis minél nagyobb egy vállalat, annál több erőforrást fordítanak az IT-guruk továbbképzésére. - Ami azonban a nem informatikus felhasználókat illeti - teszi hozzá - közel sem ilyen pozitív az összkép: a vállalatok többségénél a felhasználók képzése még mindig megmarad a jó öreg Word-Excel-PowerPoint tengelyen. Illetve rosszabb esetben még e téren is hiányosságok mutatkoznak.

- A legnagyobb probléma az - mondja Fóti -, hogy a számítógépüket nap mint nap használó, sokszor akár kritikus üzleti információkkal dolgozó munkatársak biztonsági értelemben teljesen érintetlennek számítanak. Csak egyetlen példa a száz közül: egy átlagos dolgozónak fogalma sincs arról, mi a különbség a belső és a külső hálózat között, így bátran beállítják céges jelszavukat publikus weboldalakon is. Ugyanazt a jelszót küldik ki nyílt, olvasható formában az internetre, amit a belső, vállalati hálózaton a rendszergazdák gondosan titkosítva kezelnek. De ilyen felhasználás mellett minek egyáltalán titkosítani? - teszi fel a kérdést a szakember. Fóti szerint az előbbieket támasztja alá az is, hogy bár az IT-biztonsági képzéseikre jelentős kereslet mutatkozik, a felhasználók biztonsági képzése „egyelőre eladhatatlan". Az oktatóközpont vezetője szerint ez abból is fakad, hogy más büdzséből kerül ki és más döntéshozók hatáskörébe tartozik az informatikusok és a felhasználók képzése. Előbbiről elsősorban az informatikai vezető, a CIO dönt, míg utóbbiról például a HR-igazgató vagy az ügyvezető. Fóti ezzel kapcsolatban megjegyzi: „Ez utóbbi körben nem ártana valakinek komoly felvilágosító tevékenységet végeznie."

Egyébként Fóti Marcell tapasztalataival nagyon hasonló eredményeket hozott a Business Solutions Report, a BellResearch idén elkészült elemzése is, amelynek adatfelvételét 2009 őszén végezték el 760, tíz vagy annál több főt alkalmazó hazai vállalatnál. E szerint a legalább 10 főt foglalkoztató hazai vállalatok kétharmada, 22-23 ezer cég tart képzéseket munkavállalói számára, és a nagyvállalatok ebből a szempontból aktívabbak: körükben 88 százalékos a munkahelyi képzést szervezők aránya, míg ugyanez az arány körülbelül 10 százalékponttal alacsonyabb a középvállalatok körében, a kisvállalatok esetében pedig 63 százalék. A szervezett képzést folytató vállalatoknak összességében bő egyharmada (35 százalék) oktatja dolgozóit szoftverek használatával kapcsolatban, ami nagyjából megegyezik az általános iparági ismeretekre, illetve a cég termékeire-szolgáltatásaira vonatkozó oktatás elterjedtségével. Amíg azonban az utóbbi területeken az egyes vállalati szegmensek gyakorlata hasonló, az informatikai oktatás területén jelentősek a különbségek: a nagyvállalatoknál 61 százalékos az arány, a középvállalatok fele, a kisvállalatoknak pedig alig 30 százaléka képzi munkavállalóit az informatikai alkalmazások használatára.

Hozzá nem értésből adódó károk

Mekkora károkat okozhat egy-egy hozzá nem értő user által elvégzett számítógépes művelet? Fóti szerint a kár mértéke nem a tudáshiány mértékétől függ: „Ha valaki tudatlansága folytán beenged egy crackert, onnantól a károkozás mértéke csakis a támadó hozzáállásán múlik." Szerinte azért is lenne fontos odafigyelni a megfelelő képzettségre, mert „nincs kisember és nagyember", vagyis ugyanolyan „nehéz" a portás számítógépéről és felhasználói szintjéről domain adminisztrátorrá válni egy crackernek, mint amilyen „nehézséget" egy vezérigazgatói hozzáférés megszerzése jelentene. „Ha egy támadónak bármilyen szintű hozzáférése van, az emelt szintű jogosultság megszerzése rutinfeladat, ezért félmegoldásokra, féloktatásokra semmi értelme pénzt kidobni" - figyelmeztet Fóti Marcell, aki szerint ideje kimondani: logikátlan, hogy csak a kiemelt „nagyvadak" (vezetői szintek) részesüljenek biztonsági oktatásban, mert ettől még a gyenge láncszemek megmaradnak a hálózatban. „Igaz, megtakarítottuk pár száz dolgozó oktatását, de kidobtunk egy csomó pénzt feleslegesen egy szűk kör oktatására"- mondja. Az oktató szerint súlyos gond, hogy mégis ez a bevett gyakorlat.

Az oktatásra fordított erőforrás
Egyébként a minimális képzési elvárás a biztonsági ismeretek karbantartása lenne, méghozzá valamennyi dolgozó számára - vélekedik Fóti Marcell. Ez szerinte 2-3 munkanap alatt teljes körűen elvégezhető. Ezenfelül szükség lesz az új szoftvermegoldások használatának elsajátítására, ami további 2-3 napot vehet igénybe, de már csak azoknak a dolgozóknak, akiknek ez a munkájához tartozik. Az IT-részleg képzése pedig ennél is több időt vesz igénybe, hiszen számukra mérnöki szintű magas fokú tudást kell átadni, amelynek időigénye 5 nap. Ugyanakkor az időráfordítás és a költségek ellenére azt mondhatjuk, hogy a dolgozók képzése még mindig kevesebbe kerül, mint a tudatlanság miatt előidézett károk, adatkiszivárgások. Ideális esetben dolgozónként az éves képzés néhány tízezer forintba kerül, és csak az informatikusok oktatása „húzósabb" - ez dolgozónként néhány százezer forintos tételt jelent. A továbbképzéseket egyébként akár a szakképzési hozzájárulás terhére is igénybe lehet venni, és az informatikusok oktatásának finanszírozásába sokszor a nagy gyártók is beszállnak, ahogy például a Microsoft is teszi oktatási kuponok, úgynevezett SA voucherek formájában.

Rossz kifogás a létszámhiány
A cégek részéről - ahonnan ritkábban vagy akár soha nem küldik továbbképzésre a dolgozókat - gyakran hangoztatott érv a tanfolyamok ellen, hogy azok sok időt vesznek igénybe, és ezalatt nélkülözniük kell az érintettek munkáját. A válság persze ennek az indoknak a hangoztatásához még alapot is adott, hiszen a vállalatok nemcsak a tanfolyamokra költhető összegeken próbálnak takarékoskodni, de a dolgozói létszámon is. Vagyis ott, ahol a létszámleépítések miatt két ember látja el három munkáját, nemigen akad szabad munkanap oktatási célra. Ugyanakkor ma már az oktatóközpontok is rugalmasabbak: készek akár a cég székházában vagy akár interneten keresztül, távoktatással képezni a „hallgatókat". Ilyen esetben a dolgozóknak nem kell sehová eljárniuk, s ha időnként ki is esnek a képzés ritmusából, a teljes tanfolyam rendelkezésükre áll videón, vagyis mindent pótolni tudnak. Ezeket a tanfolyamokat akár munkaidő utánra is megszervezik. Fóti Marcell ezzel kapcsolatban azt mondja: az online tanfolyamok esetében általában ki is derül, hogy valójában megvannak az oktatásra szánható összegek, csak éppen hagyományos, nappali tantermi oktatásra egyre nehezebb elkérni ezeket.

(Szalay Dániel cikke a Computerworld-Számítástechnika hetilap eheti, 31-32. számában is megjelent.)