Meglehetősen alacsony a a hazai kis- és középvállalatok (kkv) biztonsági tudatossága az üzleti adatkezelésénél. Nagyjából kimerül annyiban, hogy használnak egy egyszerűbb tűzfal és egy vírusírtó rendszer – mondja Keleti Arthur, a T-Systems Magyarország Zrt. IT-biztonsági stratégája. – A jogosultságok, vagyis hogy ki milyen adatokhoz férhet hozzá, azonban már nem tisztázottak, ahogy az adatok köre sem, tehát hogy ki milyen adatokkal dolgozik.

Erősebb az üzembiztonsági szintű félelem

A magyarországi kkv-k nagyon nehezen tudnak reagálni a biztonsági eseményekre, mert többnyire hiányzik náluk az ahhoz szükséges szakértelem. Az már nagy dolog, ha eljutnak odáig, hogy legalább bérelnek egy ehhez értő szakembert. Keleti szerint ezt a vállalati kört egyelőre inkább üzembiztonsági szintű félelem jellemzi, vagyis leginkább attól tartanak, hogy a számítógépes rendszerben tárolt információk megsemmisülnek, elvesznek. Ezért az a fontos a számukra, hogy az adatokról legyen másolat, bár – teszi hozzá a szakember – itt is már csak egy adatvesztés után jön elő a félsz.

És hogy hogyan lehetne átszoktatni a felhőalapú megoldásokra a szóban forgó piaci szereplőket? "Meg kellene próbálni lassan leszokni arról, hogy a tökéletes adatvédelmet a saját irodában szemmel tartható saját szerver és adatbázis jelentheti. Ennél bármilyen egyszerű felhős megoldás is biztonságosabb" – mondja ezzel kapcsolatban Keleti Arthur. Ugyanakkor Magyarországon a szolgáltatási kultúra ma még igen alacsony szintű, az informatikában pedig különösen alacsony. A fejlettebb nyugat-európai üzleti világban mindennapos gyakorlat, hogy a cégek az informatikai hátteret kezdettől szolgáltatásként veszik igénybe – teszi hozzá.

Biztonsági hármas a felhőből

Az már itthon is megfigyelhető trend, hogy egyre több cég hajlandó az adatait a felhőbe tenni, az viszont még kérdéses, hogy mennyire rendel az általános felhős szolgáltatások mellé extra biztonsági szolgáltatásokat. Ennek megítéléséhez most még nem állnak rendelkezésre megfelelő adatok. A jellemző mai gyakorlat az, hogy egy cég igénybe veszi az alap felhőszolgáltatást és arra teszi rá a biztonsági elemeket. Ugyanakkor olyan is előfordul, hogy adott vállalat nem kér általános cloudszolgáltatást, de a biztonságot mégis felhő alapon igényli. "Van is olyan szolgáltatásunk, amiben felhőből vállaljuk a különféle védelmi feladatok ellátását. És ehhez nem kell, hogy ott tárolódjanak az adatok, elegendő, ha átfutnak a rendszerünkön" – magyarázza Keleti.

Adatvédelmhez, IT-biztonsághoz három speciális szolgáltatást is kínál a T-Systems Magyarország. Az egyik az úgynevezett Menedzselt Határvédelem, ami egy kombinált biztonsági szolgáltatás. Ennél egyetlen szolgáltatásban valósul meg a tűzfal, a vírus- és spam-védelem, valamint a behatolásvédelem és a tartalomszűrés funkció.

AzInstantSecurity csomaggal a DDoS (Distributed Denial of Service), azaz az elosztott szolgáltatásmegtagadásos szerververtámadások védhetőek ki. (Az akár több százezer kliensről egy időben indított támadás célja, hogy a megtámadott szerver a túlterhelés következtében ne tudja ellátni feladatát.)

"Van megoldás a csomagon belül arra is, hogy az incidensek feltárása érdekében a különböző informatikai rendszerekben gyűjtött naplóadatokat elemezzük, akár úgy, hogy az ügyfél rendszerén lévő elemző eszközzel lépünk kapcsolatba" – mondja a szakértő. A naplóelemzés és a DDoS megoldás inkább a nagyobb vállalkozások vagy az internetes szolgáltatásban érdekelt cégek számára jó választás. Manapság azonban a legtöbb cég a biztonsági eseményeket nem folyamatosan figyeli, és az elemzésekre is sok esetben tűzoltás jelleggel kerül sor. A Menedzselt Határvédelem pedig inkább a kkv szektorra jellemző, testre szabható megoldás.

Megfelelőségi elvárások

A felhős megoldások iránti bizalmat az is erősítheti, hogy ha a szolgáltató kellően nagy és kellően komplex módon tud megfelelni az ügyfél elvárásoknak. Az előbbi a T-Systems esetében azt a tulajdonosi hátteret is jelenti, amit a Magyar Telekom, illetve a Deutsche Telekom képvisel. Az utóbbit tekintve pedig a cég megfelelő compliance-szel, komoly dokumentációs rendszerrel és eljárásokkal rendelkezik, van kellő rutinja a szabályzat írásban is. "Ezenkívül mindenféle fontos szabványoknak, tanúsítványoknak is megfelelünk, tehát elszámoltathatóak is vagyunk" – hangsúlyozza Keleti Arthur.

Keleti Arthur
IT-biztonsági stratéga, T-Systems

Az adatközpontokban dolgozó, az ügyféladatokhoz legközelebb kerülő alkalmazottakkal kapcsolatban is felmerülhetnek megfelelőségi elvárások. Ellentétben a saját informatikust foglalkoztató cégekkel, ahol ha az adott szakértő nem végzi jól a dolgát, legfeljebb a kirúgás vagy a fizetéscsökkentés sorsára juthat, a felhőszolgáltató elszámoltathatóbb, tőle adott esetben kártérítést is lehet követelni, vagy a szerződést fel lehet mondani.

"A biztonság bizalmi kérdés, amit sokféleképpen el lehet érni, lehet szabványokra hivatkozni, lehet megfelelően elkészíteni és dokumentálni a folyamatokat. A lényeg a nap végén azonban mindig az, hogy kivel dolgozol, és mennyire bízol meg benne. Tavaly volt 20 éve, hogy elkezdtünk a biztonsági területtel foglalkozni, a munkatársak között pedig jó néhányan vannak, akik azóta is itt dolgoznak. Egy ilyen kis piacon, mint amilyen Magyarország, ha egy IT-biztonsági szakértő valami olyat követ el, aminek súlyos következményei lehetnek, annak pillanatok alatt híre megy" – mutat rá a szakember.

A biztonság mellett a felügyelet is fontos szempont az üzletmenet-folytonosságához. A cloud azért jövőbe mutató megoldás, mert itt eleve megoldott az üzletfolytonossági és biztonsági szempontú, folyamatos monitoring, az incidensekre pedig jól definiált eljárások mentén lehet megoldást találni – összegez Keleti Arthur.