Az intelligens technológiák terjedésével egyre több szektorban lépnek elő a core üzleti tevékenység részévé az informatikai szolgáltatások, ami jelentős terhet ró a vállalatokra a rendszerek biztonságának szavatolása tekintetében. Jelenleg még csak a hazai vállalatok alig húsz százaléka bízza külső partnerre informatikai rendszereinek biztonsági felkészítését, a piac robbanás előtt áll – vallja az IT-rendszerek biztonsági felkészítésével foglalkozó PR-Audit Kft. képviselője.
A kiszervezéssel a vállalatok akár 30-50 százalékot is spórolhatnak ahhoz képest, mintha mindezt házon belül kellene megoldaniuk. A közműszolgáltatók informatikai rendszereinek biztonsági auditja jó vonatkozási pontot jelent a vállalati informatikai rendszerek általános állapotára, és habár az auditálás folyamat során ezeknek a biztonsági szintje jelentősen emelkedett, feltétlenül szükséges az évenkénti felülvizsgálatuk.
Az elmúlt években számos üzleti területen lépett elő a core tevékenység részévé az informatika, a szolgáltatások és termékek értékesítése sok helyen ma már olyan online felületeken zajlik, amelyek közvetlen kapcsolatban állnak a vállalati adatokat tároló szerverekkel, számlázó és ügyviteli rendszerekkel. Egyre több ügyféladatot kezelnek elektronikusan a pénzintézetek, biztosítók, különféle szolgáltató vállalkozások, webshopok és ingatlanközvetítők. Ezek amellett, hogy sok esetben az ügyfelek személyes adatai, a vállalatok számára pénzben kifejezhető értéket is jelentenek.
A vállalati informatikai rendszerek általános biztonsági állapotáról jó adott a közműszolgáltatók IT-rendszereinek biztonsági auditja – mondta a PR-Audit Kft. ügyvezetője. Vízi Linda szerint a közműszolgáltatói auditok kapcsán kiemelte: kevés valóban felkészült szervezettel találkoztak, számos olyannal dolgoztak viszont, amelyek sok tennivalója akadt a felkészülés során. Jellemzően 3-5 körös javítási folyamatra volt szükség ahhoz, hogy kritikusnak tekinthető maradvány biztonsági kockázatok ne maradjanak fenn.
Az az informatikai rendszer, amely évente nem teljesít sikeresen egy auditálási folyamat során, nem tekinthető felkészültnek biztonsági szempontból – állítja Vízi Linda annak kapcsán, hogy a vállalati rendszerek kiberbiztonsági felkészítése nem csupán egyszeri feladat. Nem véletlenül írja elő jogszabály például a közműszolgáltatók számára is az évenkénti rendszeres biztonsági felülvizsgálatot.
Az a vállalat, amely ezen nem vesz részt, vagy elbukik a felülvizsgálaton, elveszti számlázási rendszerének tanúsítását. A kockázatok folyamatosan változnak, aminek oka, hogy a technikai háttér, a támadásra fejlesztett szoftverek és eljárások is rohamléptékkel fejlődnek – mondta a PR-Audit vezetője. Éppen úgy, mint ahogy a vállalat is fejlődik és alakul, ami szintén kockázatot jelenthet a rendszerek biztonságára.
Az ügyfelek személyes adatai védelmének kötelezettsége, illetve ezen adatok értékes mivolta is egyre több vállalatvezetőt ösztönöz arra, hogy kiemelten kezelje az IT-biztonság kérdéskörét. Jelenleg még mindig csak a cégvezetők húsz százaléka gondolja úgy, hogy ez a terület stratégia jelentőséggel bír – tette hozzá Vízi, aki szerint éppen emiatt a következő években jelentős robbanás előtt a piac.
Sok céget főleg a vélelmezett költségek riasztanak el attól, hogy komolyabban foglalkozzanak az IT-biztonsággal.
„Sok vezető gondolja úgy, hogy van a vállalatnál egy-két informatikus vagy rendszergazda, és az ő feladatuk a rendszerek biztonságának garantálása. Az IT-biztonság viszont egy különleges terület. A szakemberek számtalan nemzeti és nemzetközi képzés elvégzésével és minősítés megszerzésével képzik magukat és komoly szakmai gyakorlat után válnak jó IT-biztonsági szakértővé. Ahogy a háziorvos sem végez szívátültetést, úgy a vállalati informatikusok jelentős része sem szakértője az információbiztonságnak” – hangsúlyozza Vízi Linda.
Ugyanakkor annak sincs gazdasági és erőforrás oldali racionalitása, hogy minden vállalati informatikust kiképezzenek a feladatok ellátására. Egy valóban hozzáértő IT-biztonsági szakértő képzése éveket vesz igénybe, ráadásul a környezet és a kockázatok folyamatos változása életfogytig tartó tanulást jelent. A minősítések megszerzése is költség. Ezekhez a kiadásokhoz járul, hogy kifejezetten IT-biztonsági feladatok havonta 2-4 munkanapnyi tennivalót jelentenek, így viszont már sokkal költséghatékonyabb megoldás külső partnert megbízni a feladattal.