3.4. A veszélyeztetettséget befolyásoló tényezők

A korábbi fejezetekben áttekintést adtunk az adatokra leselkedő veszélyekről. A bőséges, de korántsem teljes felsorolás ijesztő. Már első átolvasásra is világos azonban, hogy a veszélyeztető tényezők nem egyforma súllyal jelentkeznek a különböző egyéneknél és szervezeteknél. Most azokat a fő szempontokat foglaljuk össze, amelyeket elsősorban kell figyelembe venni a veszélyeztetés mértékénél. Az elemzés azért fontos, mert csak ez után lehet a szükséges védelmi intézkedésekről dönteni.

A veszélyeztetettség mértéke szempontjából a legfontosabb szempont a felhasználó vagy a szervezet tevékenysége és – ami ezzel szorosan összefügg – az adataik értéke. A támadók különösen kedvelt célpontjai a pénzintézetek és az állam- vagy szolgálati titkokat kezelő szervezetek. Olyan adatokkal foglalkoznak ezek, amelyek a támadók birtokába jutva könnyen felhasználhatóak saját céljaikra vagy értékesíthetőek harmadik félnek. Nevezett szervezettípusok fenyegetettsége nem az információs társadalom terméke, mindig is a rablók és kémek fő célpontjai voltak. Az erősen veszélyeztetett kategóriába tartoznak a digitális információ előállításával és terjesztésével foglalkozó szervezetek is. Évtizedek óta folyik a harc például a könnyűzenei és a filmipar valamint az alkotásaikat illetéktelenül másolók és sokszorosítók között.

A különleges adatokat kezelő szervezetek, például kórházak, pártok, egyházi közösségek stb., nem az anyagi nyerészkedés miatt védendőek, hanem mert az adataik a pácienseikről vagy tagjaikról senki másra nem tartozó, személyes információkat hordoznak.

Kevésbé veszélyeztetett kategóriába tartoznak a publikus adatokat tároló szervezetek, például a könyvtárak és archívumok, valamint az oktatási intézmények. Azok a felsőoktatási intézmények is különleges figyelmet érdemelnek, ahol informatikusokat is oktatnak. Ezek a hallgatók ugyanis nagyon jól ismerik az informatikai rendszereket és tanulmányaik vagy önképzésük során megismerik azok gyengeségeit is. Kíváncsiságból vagy virtusból ki is próbálják, hogy a megszerzett ismeretek működnek-e a gyakorlatban. Ha ezek a kísérletek szabályozott körülmények között folynak, akkor nagyon hasznosak és a rendszerek hibáinak kijavításához vezetnek. Gyengébb erkölcsű fiatalok a hackerek táborát szaporíthatják.

A támadás várható mértéke függ a szervezet méretétől és ismertségétől. Egy nagyobb, országos hatáskörű szervezet, például egy nagy pénzintézet központja vagy egy minisztérium, sokkal több és értékesebb információt kezel, mint a pénzintézet fiókja vagy egy kis település önkormányzata. A médiában rendszeresen szereplő szervezetek és személyek nemcsak nagyobb forgalmat várhatnak ismertségüktől, hanem veszélyeztetettségük is nő. A potenciális támadók ugyanis tőlük nagyobb és értékesebb zsákmányra számítanak.

Az otthoni számítógépek sem tartalmaznak általában olyan információkat, amelyek miatt a támadóknak érdemes lenne komoly erőfeszítéseket tenni azok feltörésére. Ellenük a sok kicsi sokra megy elvet érvényesítve nem is egyedi, hanem automatizált, tömeges támadást intéznek. Egyszerű, de könnyen terjeszthető eszközökkel, tipikusan trójaiakkal és kéretlen levelekkel, árasztják el őket arra számítva, hogy néhány hiszékeny vagy figyelmetlen felhasználó áldozatul esik a támadásnak. Siker esetén kiürítik az áldozat bankszámláját vagy bekényszerítik a számítógépüket egy zombihálózatba.

A szervezet elhelyezése is fontos veszélyeztetettségi faktor. Nem mindegy, hogy milyen településen és azon belül más, hasonló szervezet közelében vagy távol van a telephely. Régi tapasztalat, hogy a hasonló tevékenységet folytató vállalkozások és intézmények jobban járnak, ha egymás közelébe, sokszor egy utcába települnek. Így alakultak ki a nagyvárosok adminisztratív, kereskedelmi és pénzügyi központjai. Ez egyszerűbbé és olcsóbbá teszi a szükséges infrastruktúra kialakítását és a telephelyek védelmét is.

A telephelyen belül nagyon fontos a koncentrált információ feldolgozó és tároló kapacitás, tehát a szerverek és az adattárolók megfelelő elhelyezése. A fizikai behatolás megnehezítése miatt ezeket célszerű egy központi épület magjában elhelyezni. Olyan helyre tehát, ahol például falbontással nem lehet hozzájuk közvetlenül hozzáférni. Ügyelni kell arra is, hogy más fizikai behatástól is a lehető legjobban védve legyenek.

A hálózatra nem kapcsolt számítógépeken tárolt adatokhoz távolról nem lehet hozzáférni, így lényegesen védettebbek, mint az internetre csatlakozóak. Ezzel azonban elveszítjük az internet használatának előnyeit is, ami napjainkban általában megengedhetetlen. A minősített digitális aláírás létrehozásához szükséges hitelesítés szolgáltatók tárolóinak egy része nincs hálózatra kötve, hanem más adathordozókon keresztül történik adataik frissítése és aktualizálása.

Az emberi veszélyforrásokra az előzőekben különös figyelmet szenteltünk. Arra is felhívtuk a figyelmet, hogy a dolgozók képzettsége és folyamatos tréningje csökkenti tévedéseik számát. Nagyon fontos, hogy a dolgozók tudatában legyenek az általuk kezelt adatok értékével és a munkahelyük adatvédelmi követelményeivel. Tudatos felhasználók legyenek, akiknek a módosítási javaslatait meghallgatják és figyelembe is veszik. Legyenek felkészítve a váratlan helyzetekre.

A jelszavas azonosítás ma már általánosan elterjedt, azonban még mindig gyakori a gyenge, könnyen kitalálható jelszavak használata, illetve a könnyelmű jelszókezelés. Utóbbi alatt azt értjük, hogy a felhasználó a jelszavát mások számára is hozzáférhető helyre, például a monitorára írja.

A dolgozók, beosztásuknak megfelelő szinten, legyenek tudatában a social engineering típusú támadások jellegével és az ilyenek elleni védekezés módszereivel. Ne adjanak ki még ártalmatlannak tűnő információt sem a szervezet működéséről. A központi erőforrásokat kezelő személyzetnek feddhetetlennek kell lenni.

A vállalkozás illetve intézmény szervezeti felépítése is lényegesen befolyásolja a kockázati tényezők súlyát, támadás esetén pedig a reakció gyorsaságát és hatékonyságát. Ez a faktor természetes csak nagyobb szervezetek esetén játszik lényeges szerepet. Sok telephellyel rendelkező, széttagolt szervezetek biztonságát sokkal nehezebb garantálni, mint a kompakt szervezetekét. Az előbbi esetben például az egységek közötti információforgalom lebonyolítására elsősorban a nyilvános hálózat jöhet szóba, mert saját hálózat kiépítése és üzemeltetése igen költséges. Ez technikailag lehetséges, de a nagy adattömeg kódolása időigényes feladat és a szükséges mennyiségű kód menedzselése komoly veszélyforrás. Nagy adattömeg mozgatása időigényes feladat is. Az információfeldolgozást és az adatvédelmi tevékenységet tehát célszerű decentralizálni.

Végezetül, de nem utolsó sorban a kockázati tényezők súlya függ a vállalat illetve intézmény szervezettségétől is. Természetesen ez a faktor is csak nagy szervezetek esetén játszik értékelendő szerepet. Hasonló méretű szervezetek veszélyeztetettsége is különböző lehet attól függően, hogy a szervezet mennyire áttekinthető; a jogosultságok és felelősségek mennyire pontosan és körültekintően vannak meghatározva. Még jól szervezett vállalatoknál is bonyolult a felhasználók szerepköreinek és a rendszerhez való hozzáférési jogosultságainak kiosztása. Kusza szervezetek esetén ez súlyos következménnyel járó, hibás döntésekhez vezethet.

Az informatikai rendszerek bevezetése nagyobb szervezeteknél általában szigetszerűen történt. Az egyes rendszerek egymással párhuzamosan működtek és papíron cseréltek információt. A fejlesztések az egységek vezetőinek hatáskörébe és érdekeltségébe tartozott. Ott történt komoly fejlesztés, ahol a vezető azt fontosnak találta. Egy szervezeten belül is sokféle, egymással nem kompatibilis rendszer jött létre. A technikai fejlődés lehetővé, a racionális gazdálkodás pedig szükségessé tette egyre több autonóm rendszer működésének összehangolását. Mindez a vállalati szervezetre is hatást gyakorolt, az informatikával és azzal összefüggésben az informatikai biztonsággal, kapcsolatos döntések egyre nagyobb léptékűek lettek, egyre magasabb szinten hozták meg azokat. Modern nagyvállalatoknál az informatikai biztonságért felelős vezető a hierarchia magas szintjén van, sokszor az elsőszámú vezető közvetlen beosztottja. Ez megfelelő súlyt ad döntéseihez, amire szükség is van, hiszen azok a szervezet egészének működésére vannak kihatással.

Természetesen napjainkban is bőségesen találkozhatunk informatikai szempontból kevésbé fejlett szervezetekkel. Vannak olyanok, amelyek fejlődésük során eljutottak egy bizonyos szintre, de ott meg is álltak. Mások még nem jutottak el az informatika alkalmazásában addig a nagyságrendig, amikor már központi kezelésbe kerül ez a terület. A felsőoktatásra általában még a szigetszerű fejlesztések jellemzőek. A gazdálkodási, az igazgatási, a tanulmányi és a könyvtári rendszerek fejlesztése egymástól függetlenül történik, alig van információcsere a rendszerek között. Hasonló a helyzet az államigazgatásban és az önkormányzatoknál. Utóbbi esetben tovább bonyolítja a helyzetet, hogy a kis településeken működő önkormányzatoknál nem is gazdaságos önálló informatikai rendszert és adatbázisokat kiépíteni és üzemeltetni. Több település által közösen működtetett informatikai rendszert alig találhatunk.