Észveszejtve rohannak előre az újítók, keveset törődve azzal, hogy kiberbiztonsági szempontból mennyire sebezhetőek megoldásaik, és hogy van-e esély (mód, eszköz, szakember) a megfizethető és fenntartható védelemre.
Úgy is mondhatnánk másfelől, hogy az is bolond a rosszfiúk egyre nagyobb táborában, aki ma nem olyan terveket forral, amelyeket megvalósítva majd nagy károkat okozhat hatalmas üzemekben - nagyon rossz emberek politikai vagy gazdasági érdekei szerint.
A számítógépes rendszerekkel felügyelt és vezérelt valóságos gépek (cyber-physical systemek), a dolgok internetének világába tartozó eszközök és megoldások (Internet of Things), valamint a számítástechnikai felhő együttesével jellemzett Ipar 4.0 az a trend, amely egyszerre mutatja meg a digitalizáció egyelőre határtalannak tűnő lehetőségeit, és azt is, hogy lényegében ugyanennyire határtalannak tűnik a napjainkban már működés közben is megcsodálható 4.0-ás üzemek kibersebezhetősége.
Nincs ebben semmi meglepő, ugyanis a hálózatos iparban, ahogyan még az Ipar 4.0-át nevezni szokás (connected industry), minden korábban meg nem oldott IT-biztonsági probléma megjelenik, csakhogy halmozottan, erősen összesűrítve és a korábbiakban már szinte megszokott kockázati szinteket messze túlhaladva. Más a hatása annak, ha egy banki ügyféltől hackerek eltulajdonítanak akár néhány millió dollárt is, és megint más, amikor például - Isten ne adja - egy veszélyes anyagokat kezelő vegyi üzemben okoznak kiberterroristák pusztító üzemzavart.
Architektek a megmondhatói annak, hogy mindig van legalább egy olyan pont, olyan döntés a tervezésben, amely egy bizonyos dimenzióban évekre vagy üzleti értelemben örökre (az elavulásig, a piacról való kivezetésig) meghatározza az adott rendszer, megoldás fejleszthetőségének irányát. Egyszerűbben fogalmazva és a témánknál maradva: a biztonságosságra törekvés, a tervezés időpontjában még akár nem is ismerhető fenyegetések elhárítására való felkészülés akkor kell, hogy a kezdetét vegye, amikor maga a projekt, a megoldás, az ipari létesítnény tervezése elindul.
Az előző bekezdésben az architektek alatt természetesen és általánosságban az IT-architektekre gondoltam, azzal a nem mellékes kiegészítéssel, hogy a fentebb exponált feladatok (az IT-biztonsági szempontok érvényesítése nagy projektek, nagy gyártókapacitások létrehozásának előkészítésében és tervezésében) elvégzésére az IT-biztonsági architektek az igazán valók. Azt ne kérdezzék tőlem, hol találnak hazánkban ilyen szakembereket, mert erre csak annyit válaszolnék, hogy még a szakterületükön generalistáknak tekinthető IT-architektekből is nagy hiány mutatkozik.
Hozzátenném, hogy az Amerikai Egyesült Államokban sem nagyon dúskálhatnak az ilyen szakemberekben, különben nem fizetnének nekik átlagosan évente több mint 114 ezer dollárt (a PayScale 2016. januári felmérésének adatai szerint), ami magyar forintban számolva havi több mint 2,6 milliós fizetés.
Ha nem biztonságtudatosan hajtják végre az előkészítést és a tervezést, a 4.0-ás csodaüzem működése közben derülhet fény a sebezhetőségre, a biztonsági résekre. Az efféle csodák mindig addig tartanak, ameddig az első incidens be nem következik. Akkor aztán felgyorsulnak az események, és jön a sajátos vezeklés a korábban elkövetett mulasztásokért, hibákért. Jön a "gyorsan hozzatok valami IT-biztonsági céget" jellegű és kidolgozottságú megfogalmazása a beszerzési igénynek, jön a "mindegy, mennyibe kerül" szavakkal körülírtan pontos előzetes becslés a költségvetésre, és jön a "csak ezt ússzuk meg" közismert menedzserfohász a dolgok folyását szenvtelenül szemlélő égiek irányába.
