Alig több mint két hete, hogy végigültem egy kétnapos, igen magas szakmai színvonalú kibervédelmi és információbiztonsági konferenciát, amelynek lényegét igen röviden összefoglalhatom. Nem tudni, kik, mikor, a rendszerünk mely pontján, milyen módon és milyen szándékkal támadnak ránk a kibertér alvilágából. Neves, nagytekintélyű hazai és nemzetközi előadók hangsúlyozták, hogy ma nem úgy van, mint a régi szép időkben, amikor az ellenfelek tudtak egymásról, észlelték egymást, és amikor nagyjából lehet sejteni, akár előre is jelezni, hogy mikor és hol jő el a heveny lövöldözés ideje.
Nincs ma olyan szeglete a digitális térnek – legyen szó egy országról vagy egy vállalatról –, ahol nyugodtan hajthatja álomra a fejét az, aki a biztonságért felel. A veszély a digitális tér immanens eleme.
„A baj nem ott kezdődik, hogy az egyik ügyféltől ellopnak 100 ezer forintot. Gond nélkül kártalanítható az ügyfél, a tettes akár nyakon is csíphető, még a kibertérben is. Bajról akkor beszélünk, amikor a lopásnak híre megy, nyilvánosságra kerül, és így folt esik a szolgáltató vállalat becsületén” – fejtegette nemrég egyik nagy tapasztalatú CIO barátom.
Ha az ügyfél – vagy ügyfelek – kárára elkövetett cselekményről tudomást szerez a nagy nyilvánosság, akkor a tényleges kárérték sokszorosára becsülhető az, amekkora kárt szenved el az ügyfélt szolgáló üzleti vállalkozás.
Máris azonosítottunk egy okot, amiért a CIO lelke sohasem nyugodhat meg. Nem csupán arról van szó ugyanis, hogy ha az informatika nem védi meg a vállalatot a támadástól, akkor a felmerült kárt meg kell téríteni az ügyfélnek (gondoljunk például a pénzintézetekre), hanem arról is, hogy a bizalom, amely a vállalat iránt hosszú évek alatt épült fel, veszélybe kerülhet. Ne kerteljünk: a vállalat léte kerülhet veszélybe.
„Érthető tehát, hogy az ember ilyenkor mindenféle módon, hardveres és szoftveres megoldással igyekszik megvédeni a vállalatot, annak adatait, adatvagyonát, információvagyonát. Csakhogy egyelőre még nem láttam olyan módszert, amellyel egzakt módon levezethető volna, hogy mennyit kell költeni az IT- vagy információbiztonságra ahhoz, hogy egy előre meghatározott szintű biztonságot lehessen garantálni” – folytatta nagy tapasztalatú CIO barátom. (Kérem a nyájas olvasót, olvassa el az előző mondatot, és kísérelje meg megfogalmazni az abban szereplő szakszavak, szakkifejezések pontos definícióját, majd gondolkozzon el, milyen nehéz is a dolga a CIO-nak.)
Íme, egy újabb ok arra, hogy ne irigyeljük a CIO-kat.
A helyzetet még az is bonyolítja, hogy a szállítók kínálata még a gyakorlott szem számára is zavaróan bő és átláthatatlan. Néha az olcsóbb a jobb, máskor pedig a drágának tűnő megoldás tényleg megéri az árát. „Ebben a kiismerhetetlennek tűnő helyzetben az induláskor az egyszerű, nem költséges és várhatóan hatékonyan védelmet nyújtó megoldásokat kell előnyben részesíteni” – mondja barátom. Aztán majd megmutatja a sors, merre van az előre.
Hiába vagyunk teljes tudatában annak, hogy állandó és fokozatosan növekvő veszélynek van vállalatunk kitéve, és hiába különítünk el keretet a digitális biztonság fokozására – olykor nehéz kézitusát vívva a menedzsment biztonság iránt kevéssé affin tagjaival –, nem vagyunk még kint az összes vizekből, mert a megfelelő szállító (megoldás) kiválasztása is CIO-próbáló feladat.
Jöhet tehát az altatópirula a gyengébb idegzetű informatikai vezetőknek, amikor nem jön álom, az enyhet adó.
Amint már említettem – a veszély a digitális tér immanens eleme. Amint a való élet is megadja nekünk a mindennapi frászt.