„A verseny a termékekből a legjobbat, az emberből a legrosszabbat hozza ki”

A laikus közvélemény úgy képzeli el a hackereket, hogy azok éjt nappallá téve a komputer előtt gubbasztanak és biztonsági réseket keresnek informatikai rendszereken, számítógépes hálózatokon. Viszonylag ritka alkalom, hogy a laikus közvélemény ilyen közel járjon a valósághoz: a hackerek tényleg éjt nappallá téve ott gubbasztanak a komputerük előtt és hibák, sérülések, rések után kutatnak a cybertérben. Így keresi a kenyerét két riportalanyom, Do­­lánszky György és dr. Erdődi László is, akiket a Kürt Zrt. arra alkalmaz, hogy etikus hackerként állami és magáncégek számítógépes rendszereinek biztonsági hibáit tárják fel és azok megszüntetésére javaslatokat tegyenek.

– A félreértések elkerülése végett jó, ha mindjárt az elején tisztázunk bizonyos alapfogalmakat – kezdi dr. Erdődi. – A hacker alatt a közvélemény manapság egyre inkább valamiféle rossz szándékú, simlis számítógépes zsenit ért. Pedig a kifejezés még húsz évvel ezelőtt is egyértelműen pozitív csengésű volt. A számítástechnikát magas szinten értő és művelő szakember volt a hacker. Telt-múlt az idő, az informatika szédületes fejlődésnek indult, megjelent az internet és azzal együtt megjelentek a színen olyanok is, akik számítástechnikai tudásukat nem etikus célok elérésére használják. Ők olyan tolvajok, akik illegálisan szereznek meg információkat, hogy aztán azokat eladják, a maguk javára felhasználják, vagy más módon okozzanak kárt cégeknek, embereknek, kormányoknak. A szűkebb szakmában ezeket az embereket crackereknek hívjuk, így különböztetjük meg őket a velük szemben álló etikus hackerekkel. A két oldal egyre elkeseredettebb háborút vív egymással, hol egyikük, hol másikuk kerekedik felül.

Beszélgetőpartnereim a motivációkat tekintve még további alcsoportokra bontják a hackertársadalmat. Akadnak például gyerekek, fiatal emberek, akik a neten kóborolva botlanak rendszerek feltörésére alkalmas programokba. Számítástechnikai műveltségük minimális ugyan, de ettől még lehet szerencséjük. Így sikerült például tizenéves srácoknak a közelmúltban kétszer is feltörniük a NASA szervereit. A rendszerekben rejlő rések többsége ugyanis egészen egyszerű, banális hiba, és ezért primitív eszközökkel is nagy károkat tudnak okozni olyanok, akik képtelenek felmérni cselekedeteik súlyát.

Aztán vannak, akik talán egy kicsit jobban konyítanak a számítástechnikához és azért hackerkednek, hogy saját maguknak meg a haverjaiknak bebizonyítsák, mennyire pengék az informatikában. Többnyire brahiból hackelték szét nemrégiben a Sony szervereit. Szinte hetente törték fel a cég honlapjait, egyiket a másik után, bohócot csinálva a rendszergazdákból. A So­­nynak 170 millió dollárjába került végül a támadások következményeinek elhárítása, de a cég reputációján esett csorbát már sose tudják semmissé tenni.

Mostanában tűntek fel és erősödtek meg a protest-hacker csoportok (például az Anonymous), amelyek valamilyen társadalmi cél képviseletében igyekeznek magukra felhívni a figyelmet, foglalnak el, bénítanak meg nekik nem tetsző internetes oldalakat. És létezik persze a számítástechnika szervezett alvilága, ahol szakmányban gyártják a vírusokat, a biztonsági réseket kiaknázó programokat pusztán alantas pénz- és információszerzési, sokszor zsarolási célokból.

– Mi, etikus hackerek hasonlóan kell, hogy gondolkodjunk, mint a bű­­nözők: megkeressük a számítógépes rendszerek gyenge pontjait, de úgy, hogy közben ne tegyünk kárt – mondja Dolánszky György. – Ellenőrzött kö­­rülmények között dolgozunk. Mun­­kánkra a rendszerek tulajdonosaitól és üzemeltetőitől kapunk megbízást. Vizs­­­gálatunk eredményeképp elmondjuk megbízóinknak, hogy milyen károkat tudna okozni egy cyberbűnöző. A biztonsági rések megszüntetésére, illetve azok mérséklésére megoldásokat is javaslunk.

„A számítógépek sose fogják tudni pótolni
az emberi hülyeséget.”

– A cyberbűnöző/cracker amikor támad, mindig a leggyengébb láncszemet veszi célba. Így teszünk mi is. A leggyengébb láncszem pedig általában az ember. Támadás előtt összegyűjtünk minden, nyilvánosan elérhető információt a célpontról. És minden egyes alkalommal újra és újra meglepődünk az emberi felelőtlenségen, azon, hogy nagyon sokan önként és tömegével osztanak meg magukról fontos, személyes információkat a közösségi oldalakon. Nem ritka az olyan felhasználó, aki teljes részletességgel felteszi családja összes személyes adatát a Facebookra. Ezek az információk kincsesbányák azok számára például, akik belépési jelszavakat próbálgatnak. De akadnak, akiknél még ennyi fifikára sincs szükség. Egy felmérés szerint ugyanis az interneten fellelhető jelszavak egy százaléka a következő: 123456. Nagyon sok esetben telepítéskor a gyártók által megadott jelszót sem változtatják meg. Ilyen védelmen egy gyerek is tényleg könnyen túljut – szögezi le Erdődi doktor.

Dolánszky György hajmeresztő történeteket mesél rendszergazdákról, akik miután mesterien kiépítették vállalati hálózatuk körül a tűzfalrendszert, egy webszerverre rakták ki táblázatba foglalva cégük összes jelszavát abból a célból, hogy a többi rendszergazda is könnyen hozzájuk tudjon férni. A számítástechnika világának egyik legegyszerűbb dolga megcsípni ezeket a titkos belső információkat. A Google szerverei például éjjel-nappal regisztrálják a felhasználók minden moccanását, beindexelnek mindent, amit az emberek felraknak a netre. Kis gyakorlattal be tudunk írni a Google-ba például olyan kereséseket, amelyekkel eljuthatunk ezekhez a titkosnak szánt információkhoz is.

– Szeretik magukat a megrendelők? – kérdezem.

Elnevetik magukat:

– Eleinte igen, aztán már nem annyira – válaszolják. – Amikor elkezdjük a munkát, a megrendelők nagyon biztosak abban, hogy kudarcot fogunk vallani. – Aztán, amikor néhány óra múlva azt tapasztalják, hogy könyékig turkálunk a rendszerükben, már neheztelnek kicsikét. Amikor pedig letesszük vizsgálódásaink eredményét – pedig igyekszünk illően becsomagolni, hogy lehetőleg legkevésbé fájjon –, akkor nem­egyszer dühös tekintetekkel találkozunk. A legvégére persze aztán megbékél mindenki, tudják, hogy jobb, ha mi találjuk meg a hibákat, mint egy rosszakaratú hacker.

„Ha golyóálló mellényt viselsz,
ne lepődj meg, ha fenékbe lőnek.”

Jár körbe egy nagyon drámai hangú lánclevél a neten, ebből idézek a hackereknek: mi lenne, ha valaki elhelyezne egy dobozt az otthonodban, amelyik láthatja, kinek küldesz, kitől kapsz leveleket és mi van bennük, információt gyűjt érdeklődési körödről, vásárlási szokásaidról, kideríti politikai és vallási meggyőződésedet, ezeket átadja különféle információs központoknak, hogy megrajzolhassák a családod összes tagjának személyes profilját? A szomorú igazság az, hogy ez a doboz létezik, és éppen előtte ülsz – mondja a lánclevél.

– Akkor most magánemberként mindnyájan, akik számítógépet használunk, meg vagyunk hackelve? – kérdezem az informatikusokat.

– Többé-kevésbé – mondja Do­­lánsz­ky György. – Ha a feleségem és én ugyan­azt a keresőszót írjuk be a Google-ba, akkor neki ruhák és cipők, nekem pedig versenyautók jönnek ki eredményül. A program ugyanis minden egyes lépésünket regisztrálja, és az így összegyűjtött információk alapján elkészíti a személyes érdeklődési körünknek megfelelő profilunkat, és a további kereséseink eredményeit ennek megfelelően állítja be és ennek megfelelően szabadítja ránk az internetes reklámcégeket is. Az ingyenes e-mail címekkel történt levélváltásokat is regisztrálja a rendszer, és ha én mondjuk gyakran írok párizsi barátomnak, akkor nem kell csodálkoznom, ha elöntenek a francia szállást és repülőjegyet hirdető reklámok.

– A Google eladja profilunkat a hirdetőknek, de személyes adatainkat titokban tartja. A Facebook viszont mindent elad, a profilunkat, az érdeklődési körünket a személyes adatainkkal együtt. A Yahoonak van az egyik legnagyobb adatbázisa az emberek internetezési szokásairól. Ezért bár manapság már kevesen használják, mégis dollármilliárdokért árulják a kimerítő adatbázisa miatt. Ami pedig a Skype-ot illeti, ez kezdetben titkosította internetes beszélgetéseinket. Ma már azonban a Nagy Testvér ebbe is belehallgathat, ne gondoljuk, hogy csak magunkban vagyunk, amikor távoli barátainkkal beszélgetünk – figyelmeztet Erdődi dr.

– Legyünk óvatosak– ajánlja. – Ne tegyük a pénztárcánkat az autó tetejére, mert előbb-utóbb valaki el fogja vinni!

Karcagi László

Előadásának rövid összefoglalója:
Szeretjük a mobilt. Szabadságot ad. Megtehetünk általa bármit, bárhol, bármikor. Az élmény mindent felülmúl és feledteti az árat, amit a korlátlan információéhségünkért és szabadságunkért fizethetünk. Miközben a globális adattengerben lubickolunk, a magán és munkahelyi adataink közötti határ lassan (értsd. gyorsan) elmosódik. Ez egyet jelent a magán és munkahelyi életünk egybeolvadásával. A mobiltelefon egy kapu, amin keresztül belépve a teljes életünk és minden hozzánk köthető adatunk elérhetővé válik. Mondhatjuk úgy is, hogy ez a kulcs a tudásunkhoz, a szellemi termékeinkhez, a családjainkhoz, a vagyontárgyainkhoz. És sokszor a vállalatunk féltett, amúgy vasszigorral védett adataihoz. Persze az nem lehet megoldás, hogy a mellékhatások elkerülése érdekében nem használunk okos mobilt. Egyszerűen csak el kell kezdenünk okosan mobilozni. Ez az előadás erről fog szólni. Na meg arról, hogy milyen visszaéléseknek ad teret, ha illetéktelenek kezébe kerül a kulcs, ami az életedet nyitja. Ezt gyakorlati példán mutatjuk be.

Miről is lesz szó?
A kockázatkezelés lassan hasonló témává cseperedik, mint a foci. Mindenkinek van véleménye róla, és sokan gondolják, hogy értenek hozzá. Vannak, akik csak a pálya széléről nézik, és vannak, akik beszállnak a játékba. Vannak a témában igazi bajnokok, de bizony vannak vesztesek is.
A téma akkor kezdi megmutatni az igazán egzotikus aspektusait, ha elrugaszkodunk a klasszikus rétegektől, és speciális vizekre evezünk. A Business & Technology alkalmával éppen ezért az üzleti területeket, azon belül is a termelő folyamatokat fenyegető tényezőkről és a termelési folyamatok biztonságáról beszélünk majd.
Mi kell ahhoz, hogy megvédhessük egy a finommechanikai eszközöket gyártó üzem vezérlő számítógépeit a rosszindulatú külső támadásoktól, vagy éppen kiküszöböljünk egy élelmiszeripari gyárban egy mikrobiológiai fenyegetést? És mi köze mindennek a technológiához?
Előadásunkban néhány gyakorlati példa segítségével bemutatjuk, hogy miért kapkodnak ma a termelő vállalatok az igazán nyerő PCP megoldások után, és melyek azok a szempontok, amelyek figyelembe vételével a PCP valóban nélkülözhetetlen eszközzé válik e vállalatok kezében.
A termelés-folytonossági tervezés (PCP) módszertana alapjaiban megegyezik egy általános BCM projektnél alkalmazottal, vagyis szisztematikus lépésekből felépülő elemzések és az ezeken alapuló kockázatkezelő intézkedések adják a magvát. A termelési rendszerek sajátosságai miatt azonban a megszokott BCP módszertan számos területen kiegészítésre, továbbfejlesztésre szorul.
Egyre több termelő tevékenységet végző vállalat ismeri fel, hogy az üzletmenet-folytonosság kívánt szintje nem teremthető meg az értékteremtő folyamatok, az ellátási lánc működési folytonosságának biztosítása nélkül, beleértve az informatikával támogatott és a nem informatikai hátterű, reál folyamatokat is.

A cloud-computing előkelő helyen szerepel az információ-technológiai napirenden az utóbbi években, és a piaci előjelekből úgy tűnik, ez még egy darabig így lesz. A cloud-computing, más néven számítási felhő technológia egy sor olyan szolgáltatás alapja, amelyre az internetes üzleti modellek épülnek. Mára gyakorlatilag minden internet felhasználó igénybe vesz felhő alapú megoldást, például webáruház, webmail, és online adattárolási szolgáltatások (fényképek és videók) formájában. A mobil és a social IT gyorsabban fejlődik, mint a technológia történetében eddig bármi, éppen ezért a vállalatoknak dinamikusan kell reagálniuk, ha a gyorsan változó fogyasztói- és ügyféligényeket ki szeretnék szolgálni. A fordulat megkezdődött, bár a vállalatoknak csak jóval kisebb aránya, egyes felmérések szerint 37%-a használ  felhő infrastruktúrát.

A KÜRT kutató-fejlesztő munkatársai szerint a vállalatok számára a „közüzemszerű” működést megalapozó cloud előnyei ismertek. Az infrastruktúra gyorsan változtatható, kényelmes és rugalmas hozzáférést biztosít, könnyen használható és bármilyen eszközről bárhonnan elérhető. Fontos szempont, hogy egy-egy feladat ellátásához szükséges számítási kapacitást egyszerűen bérbe tudják venni a vállalatok, nem kell sok tízmilliós eszközöket és szoftvereket vásárolniuk azok elvégzéshez.

Az előnyök azonban kockázatokat is rejtenek magukban, hiszen a felhasználó nem tudhatja, hogy ki felügyeli féltett magánjellegű, vagy vállalati adatait. Azt sem lehet tudni, hogy az adott másodpercben épp hol találhatóak az adatok, hiszen a nagy szolgáltatók a szerver-kapacitás kiegyenlítése érdekében folyamatosan mozgatják az adattömeget tárhelyről-tárhelyre. Mindezekből egyenesen következik, hogy az adatok biztonsága könnyen sérülhet, de legalábbis új kihívásokat jelent a bizalmasság, a sértetlenség és a rendelkezésre állás biztosítása a felhő alapú környezetben.

A KÜRT kutató-fejlesztő laborja évek óta foglalkozik a cloud technológiával járó kockázatok és sérülékenységek vizsgálatával. Az iparági trendeket, valamint saját ügyfelei révén szerzett tapasztalatait alapul véve a KÜRT olyan projektet indított, amely a hazai vállalatok cloud felhasználási lehetőségeit és a ma még nem ismert biztonsági kockázatait és megoldási alternatíváit vizsgálja.

A közel egy éve indult projektben a KÜRT fejlesztői a következő, cloud infrastruktúrára alapozott megoldások fejlesztésén dolgoznak:

• Fejlesztői labor biztonságos felhőn: A vállalatok saját belső fejlesztéseikhez erőforrást, helyet bérelhetnek a KÜRT által üzemeltetett biztonságos felhő infrastruktúrán. Ezzel jelentős beruházási kényszertől kímélhetik meg magukat.
• Üzemeltetési tesztlabor biztonságos felhőn: Az ügyfél saját fejlesztésű alkalmazásait telepítheti a KÜRT cloud környezetébe, ahol lehetősége nyílik elvégezni a termék vagy megoldás teljes tesztelését, beleértve a sérülékenységi teszteket is. A tesztek elvégzése nagy számítási kapacitást igényel, amelyhez ily módon gyors és igény szerinti mennyiségű erőforrás vehető igénybe, akárcsak a projekt néhány napjára. A tesztkörnyezet segítségével elkerülhetők egy éles rendszeren végzett tesztelés kockázatai is.
• Alkalmazás-sérülékenység vizsgáló labor: A KÜRT szakemberei a sérülékenység vizsgálatot az ügyfél által a felhőbe telepített, emulált rendszeren végzik. Ezzel biztosítható, hogy az éles rendszer érintetlen maradjon a vizsgálat során, így elkerülhetők az esetleges problémák.

A projekt az Európai Unió támogatásával, a GOP-1.3.1-09/B-2010-0007 Gazdaságfejlesztési Operatív Program keretében valósul meg.

„A KÜRT mindig is élen járt a vezető technológiák alkalmazásában és ezekre építette üzleti szolgáltatásait. A biztonságos cloud alapú rendszerek fejlesztése és kutatása jól illeszkedik ebbe a sorba, illetve kiválóan kapcsolódik olyan meglévő üzleti szolgáltatásainkhoz, mint például a virtuális rendszerek kialakítása, auditja ügyfeleinknél.” – nyilatkozta dr. Kürti Sándor, a KÜRT Zrt. elnöke.

A KÜRT 2001 óta működik együtt szorosan a Pannon Egyetem Műszaki Informatikai Karával K+F projektekben. Az együttműködés egyik területe a gráf-elmélet segítségével megvalósítható üzleti folyamatmodellezés és –optimalizálás. Az egyetemen kifejlesztett P-gráf keretrendszer nemzetközi díjat nyert, és 2005 óta tankönyvi anyag az Egyesült Államokban. A módszertan alkalmazásával a bonyolult, sokváltozós kapcsolati mátrixokból is gyorsan lehet gyakorlatilag tetszőleges számú alternatív megoldást kinyerni, a döntéshozók számára használható, számszerűsített eredményekre alapozva.
A KÜRT Zrt. a 90-es évek vége óta kutatja a vállalatok üzleti folyamatait fenyegető kockázatok csökkentésének, kezelésének módszereit. Az évek során a KÜRT-nél kikristályosodott kockázatkezelési módszertan alkalmazása során egyre nagyobb igény mutatkozott a pontos és a döntéshozók számára releváns eredményeket szolgáltató módszerek és eljárások iránt. Már az egyszerűbb felépítésű szervezet esetén is olyan bonyolult kapcsolati mátrixot kell kezelni, ami kézi módszerekkel nem kivitelezhető, így egyértelműen megmutatkozott az igény a kockázatmenedzsment szoftveres támogatására.
Mivel a piacon található, hasonló célú szoftver megoldások között nem volt olyan, amely a KÜRT módszertani és szakmai elvárásainak megfelelt volna, így a társaság saját szoftvert fejlesztett erre a célra. A SeCube Information Security Management System fejlesztésében integrálták a gráf-elméleten alapuló folyamatmodellezést és –optimalizálást, valamint a projektekben tapasztalt ügyféligényeket. A kockázatelemzési, üzletmenet-folytonossági (BCP) és katasztrófahelyzet utáni helyreállítási (DRP) folyamatokat támogató keretrendszer nagy komplexitású szervezetek esetén is gyors és hatékony támogatást nyújt a kockázatmenedzsment feladatok ellátásában.

„A Pannon Egyetem nagy hangsúlyt fektet arra, hogy K+F tevékenysége releváns, piaci körülmények között is hatékonyan alkalmazható eredményeket hozzon. Ennek eléréséhez elengedhetetlenek az ipari szereplőkkel közös projektek, mint amilyenekben a KÜRT-tel működünk együtt immár 10 éve” – mondta dr. Süle Zoltán, a Pannon Egyetem adjunktusa.
„A SeCube több olyan ponton segíti az ügyfeleinket az üzleti folyamataikat fenyegető kockázatok kezelésében, ahol eddig hiányt szenvedtek. Vállalatra szabható, támogatja a legjobb döntési alternatívák gyors megtalálását, ezzel tényleges döntéstámogató eszközként funkcionál” – nyilatkozta Márton Miklós, a KÜRT üzleti vezérigazgató-helyettese.

Elismert és a maguk területén kiemelkedően sikeres oktatók és üzletemberek fogtak össze, hogy létrehozzanak egy friss és izgalmas tananyaggal felálló oktatási intézményt, a KÜRT Akadémiát – áll a lapunknak eljuttatott közleményben.

A KÜRT Csoport részeként működő akadémia célja olyan képzések megvalósítása, amelyek hiánypótlóak üzleti és informatikai területen egyaránt. Az alapítók szándékát találóan jellemzi a szlogen: “az intellektuális kalandtúra”. Az alapítók között a KÜRT Zrt. tulajdonosai és szakemberei mellett olyan neveket találhatunk, mint például dr. Mérő László pszichológus, publicista. Az akadémia első képzései, amelyek az üzleti coaching, az etikus hackelés és az információbiztonság “műhelytitkaiba” engednek betekintést, 2009. szeptemberében indulnak.

A KÜRT Zrt., két évtizedes sikertörténete alatt felhalmozott tudására alapozva, a hazai üzleti és oktatói elit néhány képviselőjével összefogásban hozta létre a KÜRT Akadémiát. A kezdeményezés olyan elismert gondolkodók, gyakorló szakemberek együttműködésével valósult meg, akik személyükkel, az általuk képviselt témákkal és tananyaggal is garanciát jelentenek az új oktatási intézmény nívójára, az ott megszerezhető tudás felhasználhatóságára.

A KÜRT Akadémia olyan szellemi műhely, ahol izgalmas és érdekes üzleti és informatikai témákkal ismerkedhetnek meg a résztvevők, komoly szakmai hírnévvel rendelkező oktatók vezetésével, gyönyörű környezetben. A KÜRT Akadémiára az adott területen elméleti és gyakorlati alaptudással egyaránt felvértezett jelentkezőket várnak, akik mester szintű képzés keretei között újszerű ismereteket és gyakorlatias, a piacon azonnal forintra váltható tudást szeretnének szerezni. A hallgatók speciális, az üzleti életben és az informatika területén egyaránt hiánypótlónak számító képzések közül válogathatnak. A KÜRT Akadémia hallgatói részeseivé válnak egy kivételes oktatói-hallgatói közösségnek, ahol a neves oktatók mellett hallgatótársaik tapasztalataiból és tudásából is profitálhatnak. A jelentkezőkkel szemben támasztott elvárások miatt a képzéseken való részvétel felvételihez kötött.

Az érdeklődők számára a KÜRT Akadémia nyílt napot tart 2009. május 22-én. A nyílt napon az alapító dr. Kürti Sándor és dr. Mérő László mellett valamennyi oktató és szervező jelen lesz, az érdeklődők kötetlen, kedvcsináló beszélgetés formájában ismerkedhetnek meg az oktatókkal, a tananyaggal és az oktatásnak helyet biztosító, minden igényt kielégítő KÜRT székházzal. A nyílt napon a részvétel ingyenes, de előzetes regisztrációhoz kötött, amelyet az info@kurtakademia.hu email címen lehet megtenni.

További információkat talál a www.kurt-akademia.hu címen.

Divatszó lett informatikai körökben a “compliance”, az IT-rendszerek megfelelősége. Ennek ellenére sokan még nem tudják, mit takar a kifejezés; azok sem mind törődnek vele, akik tudják; és akik törődnek, azok sem feltétlenül képesek maradéktalanul megvalósítani elképzeléseiket.

…

Az átlátható működésért
A gondok rendszerint már ott kezdődnek, hogy pontosan mit is értünk “compliance” alatt; különböző szervezetekben ugyanis más-más értelmet nyer a kifejezés — kezdi a magyarázatot Bartal László, a Kürt compliance-részlegének vezetője. Gyakran egyszerűen magyarra fordítják, és “megfelelést” emlegetnek, de akkor rögtön felmerül a kérdés: megfelelni, de minek? Bartal László véleménye szerint a hatékony és biztonságos működéshez szükséges követelményeknek való megfelelés a legfontosabb. Ez minden egyes iparágban, minden egyes cég működésében más-más tevékenységet jelent. Abban viszont mindenütt azonos, hogy nem szigetszerű akciót feltételez, hanem egy hosszú távú, stratégiai gondolkodásba illesztett keretrendszer megfogalmazását teszi szükségessé.
Hasonló feladatokat írnak elő az informatikát (is) érintő jogszabályok (felsorolásukat l. a keretes írásban). Elsődleges céljuk, hogy átláthatóbbá és a külső szervek számára ellenőrizhetőbbé tegyék a szervezet működését. Mivel univerzálisan alkalmazhatónak kell lenniük, nem is lehet céljuk, hogy eljárásrendeket írjanak le vagy konkrét informatikai rendszerek alkalmazását követeljék meg. Minthogy csak követendő irányelveket fogalmaznak meg, önmagukban nem nyújtanak elegendő támpontot ahhoz, hogy a vállalat belőlük vezesse le informatikai stratégiáját. Felhívják viszont a figyelmet a tudatos működés fontosságára, ami után a cég külső segítséggel meg tud tölteni valós tartalommal, mondja Bartal László.
…

Hangsúly a kontrollon
Az általános szabályokon túl vannak iparágspecifikus törvények is. A különböző szektorok közül mindenképpen a pénz- és hitelintézetekre vonatkozik a legrészletesebb jogi szabályozás. A hitelintézetekről és pénzügyi vállalkozásokról szóló, szakmai berkekben csak Hpt.-nek nevezett törvényt még 1996-ban fogadta el a magyar országgyűlés (1996. évi CXII. törvény), amelynek 2005. január elsején lépett érvénybe a 13/B paragrafusa. Ez a paragrafus vonatkozik az informatikai rendszerek védelmére és tartalmaz részletes előírásokat a megvalósítandó kontrollfunkciókra. A Hpt.-t a Bázel II jogharmonizációja érdekében tavaly év végén kiegészítették egy új, 13/C jelű szakasszal is, amely az irányítási rendszerrel és a kockázatkezelési követelményekkel kapcsolatos előírásokat még hangsúlyosabbá teszi — mondja Kirner Attila, a Pénzügyi Szervezetek Állami Felügyeletének (PSZÁF) informatika felügyeleti főosztályának vezetője.
Hasonlóan a többi, az informatikát is érintő törvényhez, a Hpt. sem konkrét megoldásokat ír elő. A szabályozások elsősorban a pénzügyi intézmények működési rendjére, a belső szervezeti felépítésére vonatkozó szabályok meglétét írják elő illetve a kockázatok rendszeres felmérését, értékelését, elemzését kérik számon, majd kimondják: az így felmért kockázatokhoz kell igazítani a társaság tevékenységét.
Szükségszerű, hogy a szabályozás ne legyen ennél részletesebb: nem a törvényeknek (és nem is a betartásukat ellenőrző PSZÁF-nak) kell megtanítania az informatikai vezetőket a saját szakmájukra — hangsúlyozza Kirner Attila. A jogszabályok csak azt a célt tűzhetik ki maguk elé, hogy hangsúlyozzák mindazokat az informatikai „ökölszabályokat”, legjobb gyakorlatokat és általános kontroll követelményeket, amelyeket egy felelősen működő vállalatnak a saját jól felfogott érdekében amúgy is be kellene tartania. A törvény ezért inkább a kontrollra helyezi a hangsúlyt; ezekből amúgy is következik az igény bizonyos informatikai rendszerek meglétére és működésére.
Érdemes ezekkel az előírásokkal kicsit részletesebben is megismerkedni, mert nem csak a pénzügyi szolgáltatók számára kínálnak útmutatót, hanem hasznos kiindulópontot jelenthetnek bármely, a szabályozott működést fontosnak tartó vállalkozás számára.

Csak írásban!
A jogszabályokban megfogalmazott elvárások szinte hierarchikusan épülnek egymásra, egyikből elég jól következik a másik, és a végén mindig kiderül, hogy  milyen informatikai rendszerre van szükség. Mindenütt jelenlévő követelmény a dokumentáltság, aminek az alapja, hogy legyenek meg az informatika szervezeti és működési rendjére vonatkozó szabályozások. Ez feltételezi, hogy a pénzügyi intézmény végiggondolta tevékenységét, miként hajtja azt végre és milyen kockázatokkal kell számolnia közben. A kockázatokkal akkor tud számolni, ha van elfogadott kockázatkezelési módszertana, amely alapján rendszeresen (a törvény legalább kétéves periódust ír elő) elvégzi az elemzést.
Szabályozni kell az informatikai rendszer biztonságos működését is. Azonosítani kell az informatikai rendszer kritikus elemeit (eszközök, folyamatok, emberek), majd meg kell határozni a jogosultságok rendszerét: itt az a lényeg, hogy csak a felelős személy által jóváhagyott, szabályozott módon lehet bárkinek hozzáférése bármilyen informatikai rendszerhez. A jogosultságokat pontos, és folyamatosan karbantartott nyilvántartásban vezetni kell, ami tartalmazza az operációs rendszerekhez vagy az adatbázisokhoz hozzáférő személyek neveit, vagy azt, hogy ki férhet hozzá a biztonsági eszközökhöz — sorolja tovább a követelményeket a főosztályvezető. Értelemszerűen egy nagy szervezetnél egy ilyen ellenőrizhető, naprakész nyilvántartás csakis informatikai eszközök (jogosultságkezelő rendszer) támogatásával valósítható meg.
Előírás a kritikus események naplózása is, ami szintén számos következménnyel jár. A pénzügyi szervezetnek el kell döntenie, hogy melyek a kritikus rendszerei és azokon mi számít kritikus eseménynek, különben azt sem fogja tudni, mit kell naplóznia. Vagyis szükség van a naplózási koncepcióra, amit be kell tartatni az adott konkrét személyekre, eszközökre, szervezetre vonatkozóan.
Az informatikai rendszer csak akkor képes betölteni feladatát, ha megbízhatóan működik: kell tehát egy üzletmenet-folytonossági terv is. Ezt az informatikának az üzleti területekkel közösen kell megalkotnia: végső soron a felhasználóknak kell megmondania, hogy számukra az egyes alkalmazások vagy rendszerek esetében milyen hosszú kiesés viselhető el, illetve mekkora költséget hajlandó vállalni azért, hogy ezt az időt az elviselhető szintre szorítsa le.
A felhasználói elvárásoknak megfelelő folyamatos napi működést csak akkor tudja biztosítani az informatikai részleg, ha rendelkezik jól szabályozott incidenskezelési folyamattal, ha egy hiba bekövetkezte esetében mindenki (felhasználót és informatikust beleértve) tudja, hogy mit kell csinálnia — folytatja Kirner Attila.
De természetesen mindez nem működik, ha az informatikai szervezet nincs tisztában azzal, hogy milyen eszközök és személyek tartoznak a felügyelete alá, kik milyen szoftvereket és hardvereket használnak. Vagyis szükség van egy pontos, naprakész nyilvántartásra a hardverekről, a szoftverekről és a felhasználókról, valamint egymáshoz való viszonyukról, ami megint csak a jogosultságkezelés kérdését veti fel.
Az életből merítve?
A Hpt. nagyjából ezeket a területeket öleli fel, és így a PSZÁF ellenőrzései is ezekre a területekre koncentrálnak, folytatja a főosztályvezető. “Jól látható, hogy ezek egyike sem az élettől elrugaszkodott, légből kapott előírás, hanem sokkal inkább olyan ajánlások gyűjteménye, amelyet minden, a szervezete és annak folyamatos működése iránt felelősséget érző vezetőnek magától, minden külső kényszer nélkül is be kellene tartania”, állítja Kirner Attila.
…

Elmélet és gyakorlat
Akár ez az oka, akár nem, mindenki elismeri, hogy a jogszabályi megfelelések terén bőven van mit tennie a magyar cégeknek. Természetesen itt is óriásiak a különbségek az egyes vállalkozások és iparágak között. Az erős kontroll miatt értelemszerűen a pénzügyi szolgáltatók járnak az élen, de azt még Kirner Attila is elismeri, hogy sokszor még ezek a cégek sem látják értelmét az előírásoknak, a dokumentálásnak és a dokumentáció rendszeres felülvizsgálatának, az ellenőrzési rendszerek kialakításának és naprakészen tartásának. Így aztán még gyakori eset, hogy nem fordítanak kellő figyelmet arra, hogy az általuk elfogadott, írásban lefektetett szabályozók a gyakorlatban is működjenek. Nem a rendelkezésre álló források mennyisége, hanem a hozzáállás a döntő tényező, az, hogy mennyire tudatosul a vezetőkben a jogszabályokban és a nemzetközi ajánlásokban megfogalmazott szemlélet.
…
Különösen a kisebb vállalkozások között találni olyanokat, amelyek számára a megfelelő működés fogalma igazából semmit sem jelent. “Ők még sokkal inkább a napi funkcionalitás ellátására koncentrálnak, próbálnak működőképesek maradni, és rövid távú célként ennél többet nem is igen fogalmaznak meg”, teszi hozzá mindehhez Bartal László.

Szolgáltatók kényszerhelyzetben
Mindenesetre azért már vannak biztató jelek is. A pénzintézetek mellett a nemzetközi piacon is jelen lévő szolgáltató központok, outsourcing-cégek azok, amelyek a legmesszebbre jutottak a jogszabályi megfelelés megvalósításában. Utóbbiak számára kimondott gazdasági kényszer a jól kontrollált környezetben való működés: a hatékonyságuk, az üzleti előnyük múlik azon, hogy mennyire tudják meggyőzni ügyfeleiket arról, hogy adataikat jól dokumentált és szakszerűen működtetett környezetben kezelik.

Piaci kényszer
Mi gyorsíthatja fel a törvényi megfelelőség hazai terjedésének folyamatát? Bartal László szerint elkerülhetetlen, hogy a nagyobb cégeknél alkalmazott gondolkodásmód “leszivárogjon” a kisebb vállalkozásokhoz is. A prudens működést folytató bankok alaposan megvizsgálják a vállalati hitelkérelmek kockázatait, és ha a cég nem fektetett elég energiát a környezeti és működési kockázatok felmérésébe, elemzésébe, nem tette meg a szükséges lépéseket ezek elkerülésére — például a hatékonyan működő informatika felállításával — akkor a bank nem fog bízni az üzleti tervben, és pénzt sem fog adni a megvalósítására.
Hasonló kényszerítő erő a fokozódó versenyhelyzet. Ha magyar cégek multinacionális gyártók beszállítói akarnak lenni, akkor nem elég olcsó munkaerőt kínálni: olyasmit kell felmutatni, ami a külföldi vállalatok értékmérő rendszerében is konvertálható értéket képvisel. Ilyen lehet például a több éve, szabványok szerint folytatott működés vagy egy ISO27001 tanúsítvánnyal ellátott informatikai biztonsági rendszer.
…
Kirner Attila szerint a bankok esetében is a puszta kényszerítésnél célravezetőbb módszernek látszik a gazdasági ösztönzők alkalmazása, ahogy ezt egyébként a Bázel II előírásai is teszik. Az a pénzintézet, amelyek alacsonyabb szinten valósítja meg a kockázatkezelést, kénytelen nagyobb tartalékot képezni, vagyis kevesebb szabad pénzeszköze marad a nyereség növelésére. “A józan ész is könnyebben szóhoz jut, ha gazdasági érdekek is megtámogatják”, véli a PSZÁF főosztályvezetője.
Ugyanez áll a jogszabályi megfelelőség kényszere miatt bevezetett szoftverekre is. Sokszor csak azért vágnak bele egy informatikai kontrollokat erősítő beruházásba a pénzügyi intézmények, mert tartanak az ellenőrzéstől; ám legtöbbször hamar felismerik, hogy a megfelelés puszta biztosításán túl olyan funkciókon is kínál számukra a rendszer, amelyeket már üzleti előnnyé tudnak fordítani. Ilyenkor azonnal lépnek, és teljesen birtokba veszik a rendszert, idézi fel kedvező tapasztalatait a PSZÁF főosztályvezetője.