Kis pénz – kis foci. Nagy pénz – nagy foci?
Régi jó mondás, van is benne igazság, de az informatikai biztonság területén félrevezető. Rengeteg pénzt elköltő, mindenféle minősítésekkel büszkélkedő óriási cégeket és szervezeteket érnek nagyon komoly hatással járó támadások. Mi lehet a baj? Keressünk válaszokat!
Az IDC informatikai biztonsági konferenciáján (2019. március 28., Budapest, New York Palota) Bakk József (az IDC magyarországi vezetője) tartotta a nyitó előadást.
Jól felépített, informatív előadás volt, találtam benne fontos tényeket, állításokat. Lássunk néhányat!
Az első fontos szám: 2018-ban 1,5 billió (amerikaiul: trillion) dollár bevétel származott informatikai támadásokból. Ez nem a kár, hanem a bevétel összege! A kár ennek sokszorosa lehetett, hiszen a károsult üzleti vesztesége, a helyreállítás költsége nem jelenik meg a támadó bevételeként.
Fontos szempont, hogy új fókuszra van szükség. Ne a prevenció, a támadás megelőzése legyen az elsődleges cél, hanem az üzleti működés biztosítása. Úgy gondolom, hogy ez egy nagyon fontos megállapítás! Az informatikai biztonság – mint minden háttérterület – valódi feladata a cég üzleti céljainak támogatása, azok elérésének elősegítése. A megelőzés természetesen nagyon fontos, de tudjuk, hogy a 100%-os szintje elérhetetlen. Vagyis, számíthatunk arra, hogy lesz sikeres támadás. Ennek a hatását kell olyan szinten tartani, hogy az üzletmenet folytonos legyen. Az ezzel kapcsolatos követelmények iparáganként és üzleti területenként mások és mások, meghatározásuk az üzleti, a kockázatkezelési és az informatikai terület közös felelőssége. Nem akarom azt mondani, hogy a gyors észlelés, majd a gyors elhárítás nem nagyon fontos. DE: sajnos tény, hogy a támadások jelentős része esetében az észlelésig hónapok telnek el.
Ebből az is következik, hogy másképp kell értékelni a célokat és az eredményeket, vagyis új üzleti mérőszámok, új KPI-ok kellenek! Üzleti szempontból nem annak van elsődleges fontossága, hogy mennyi idő alatt észlelünk és hárítunk el egy támadást, hanem a támadás és a védekezés együttes üzleti hatása számít. Természetesen, az észlelés és az elhárítás időigénye ebben szerepet játszik.
Az IDC sok kutatást végez. Ezek közül az egyikben azt is vizsgálták, hogy az informatikai biztonsági költések és az eredmények között milyen a kapcsolat. Ha többet költünk, csökken az incidensek száma? Nincs egyértelmű korreláció. Az igaz, hogy a ráfordítások növelése általában valamilyen mértékben javítja a biztonságot, de nagy a szórás (ahogy az ábrán is látható).
Most általában az előírásoknak való megfelelés az első szempont. A jogi megfelelőség (compliance) követelménye revolverezi a cég vezetőit és az informatikai biztonsági szakterületet.
Úgy gondolom, hogy ez nem tud megváltozni, amíg a büntetés az elsődleges megközelítés a hatóság részéről. A meg nem felelés majdnem biztosan üzleti kárt okoz, így el kell kerülni “minden áron”. Ez a minden ár most a GDPR (EU-s általános adatvédelmi rendelet) miatt sokkal-sokkal nagyobb lett, mert a büntetés mértéke és valószínűsége is megnőtt. A következő évek mutatják majd meg, hogy összességében javul-e a helyzet ennek hatására, vagy esetleg éppen romlik.
Az informatikai biztonságba való befektetésre mi készteti a cégeket? A kiváltó ok többnyire:
- Külső kényszer (például hatósági előírás vagy vizsgálat)
- Incidens történt
Mi lehet ennek az oka? Itt eszembe jutott a néhány évvel ezelőtt a bankszférából hallott megállapítás, panasz, hogy majdnem minden fejlesztési erőforrásukat elviszi az újabb és újabb előírásoknak való megfelelés (Braun Péter, CIO Hungary konferencia, 2014., és akkor még nem is volt GDPR és PSD2). Úgy vélem, hogy a helyzet mostanában is hasonló, és nem csak a pénzintézetekben. Jelentős mértékben jogszabályoknak való megfelelés a célja a fejlesztéseknek. Ezzel nem akarom azt mondani, hogy a GDPR vagy a PSD2 hibás vagy felesleges lenne, de az tény, hogy sok időt, pénzt és szakembert kötnek le. Így másra nem sok erő marad.
Amikor bekövetkezik egy súlyos probléma, hirtelen szükséges és indokolt lesz erőforrást biztosítani a helyzet kezelésére és az ismételt bekövetkezése megakadályozására. Ez jó és kötelező is. Mi vele a gond? Így mindig az események után kullogunk, valójában sose nyerhetünk.
Ideális esetben – ahogy fent írtam – a támadás előtt kell felkészülnünk arra, hogy az ne tudjon üzletileg súlyos problémát okozni. Ehhez “nyugodt” tervezési időszakok is kellenek.
Ahogy ezt tanítjuk is, az informatikai szolgáltatás biztonsága a tervezés során dől el. Utána már csak foltozgatunk, loholunk az események után. A gyakorlatban sajnos ez utóbbi történik, egyre-másra jönnek a foltozgató javítások, majd a foltokra teszünk foltokat. Ez az eredményt tekintve gyenge, a költsége viszont magas.
A való életben általában azzal a helyzettel találkozunk, hogy a cégnek meglévő, egymással bonyolult kapcsolatrendszerben lévő informatikai rendszerei vannak. Az alábbi táblázatban foglalja össze az IDC az informatikai szervezetnek szóló útmutatásait. Látszik, hogy vannak elkerülhetetlen fázisok, nem lehet a nulláról az optimális megoldásra ugrani egy lépésben. A mérőszámoknak üzleti alapon kell állniuk, és tükrözniük kell a cég kockázatvállalási hajlandóságát is. A tevékenységünk minőségének és eredményeinek megítélésénél figyelembe kell venni az iparág, az üzleti területek, igényeit, lehetőségeit és általános helyzetét is.
Megjegyzés: A cikket Bakk József előadása ösztönözte. A tőle átvett gondolatokat dőlt betűvel szedtem. Ahol az illusztráció forrását nem jelöltem meg, az is ebből az előadásból származik. Köszönöm a felhasználás lehetőségét!
Kerékfy Pál 