A gyakorlati tapasztalatok mellett a cégek számára javasolt lépésekről is szól a BDO Magyarország (–> a nemzetközi szinten ötödik legnagyobb, a világ 115 országában jelen lévő könyvvizsgáló és professzionális tanácsadó hálózat, a BDO International magyarországi tagja, a legnagyobb. hazai tulajdonú pénzügyi tanácsadással foglalkozó cég) IT-megoldások üzletágának az összeállítása.

„A valóság vélhetően az amúgy igen szűk körű statisztikáknál is szomorúbb, hiszen egy vállalat rendszerint inkább eltitkolja, ha informatikai rendszerét támadás éri – árnyalja tovább a képet Török Szilárd, A BDO Magyarország IT-megoldások üzletágának partner ügyvezetője. – Gyakorlati tapasztalataink alapján nyugodtan kijelenthetem, hogy két jó szakember átlagosan két nap alatt a legnagyobb hazai vállalati és pénzügyi rendszerekbe is képes ma behatolni. Ennek fényében – mivel a hackerbűnözők célpontjai közül a hazai rendszerek sem hiányoznak – erősen valószínűsíthető, hogy sokféle felderítetlen vagy elhallgatott informatikai vonatkozású pénzügyi károkozás történik az országban, amiről az áldozatok természetesen szívesebben nem nyilatkoznak.”

Tökéletes védelem persze legfeljebb elméletben létezik, ám az adatvédelemért felelős vállalati informatikusoknak célszerű rangsort felállítaniuk. Bár hasznos lehet akár százmillió forintot is elkölteni jogosultsági mátrixok elkészítésére, sokszor égetőbb szükség lenne megfelelő betörési tesztek elvégzésére – amelyek egyébként az említett százmillió töredékéből is megvalósíthatók. Az sem elég, ha a vállalat a legkorszerűbb rendszerekkel szereli fel magát, azt testre is kell szabni. Ahogy egy hacker megfogalmazta: „Ha látom, hogy egy behatolásvédőn alapértelmezett beállítások vannak, két dolgot is megtudok egyszerre: pénz van, szaktudás nincsen.” Mindez pedig szinte vonzza a feltöréssel próbálkozókat, akiket jó esetben csak a kihívás motivál, rosszabb esetben azonban komoly gazdasági kárt is okoznak áldozatuknak.

A gyakorlat egyértelműen azt mutatja, hogy a megelőzés az adatvédelem területén is jóval kevesebbe kerül, mint a kár utáni helyreállítás. Az adatlopások száz százalékosan sosem zárhatók ki, hiszen például a monitor adott pillanatban történő lefényképezése egy mobiltelefonnal is komoly veszteséget okozhat az adatgazdának. Az viszont tény, hogy a megfelelő védelem nagyobb eséllyel riasztja el a behatolással próbálkozót. 
Egy adatszivárgás elleni szoftver már önmagában is erősíti a munkavállalókban a biztonság tudatát. A testre szabás közben arra is ügyelni kell, hogy miközben a valódi támadások ellen hatékony védelmet nyújt, a téves riasztások gyakorisága mindenképpen minimális legyen.

„Az adatszivárgás megelőzésében azonban a legnagyobb haszna a szakmáját biztonsággal ismerő adatvédelmi szakember kiválasztásának van – hangsúlyozza a BDO Magyarország munkatársa. – A legfejlettebb védelmi szoftverek is csak annyit érnek, amennyit a tapasztalt használó az adott rendszerbe illesztve alkalmazni tud belőlük. A kulcs a gyakorlati tapasztalat, csak olyan tanácsadókat érdemes megbízni, akik valódi esetek hosszú sorával találkozva, nyomozati folyamatokba is bevonva tettek szert a megfelelő ismeretekre.”

Az adatlopás elleni védekezés alapvető lépései


• Mérjük fel az IT-rendszereket – szükség esetén ne habozzunk tapasztalt külső tanácsadót is bevonni• Azonosítsuk a kockázatainkat, szakemberrel végeztessünk mindezen kockázatokra kiterjedő elemzést, majd kockázatarányosan tervezzük meg a védelmi rendszereket• Nagyvállalatok esetében feltétlen nevezzünk ki IT-biztonsági vezetőt, aki mind szervezetileg, mind költségvetési szempontból független az informatikai részlegtől (kisebb cégek esetében ez akár outsourcinggal is megvalósítható)• Gondoskodjunk a munkavállalók megfelelő oktatásáról és lojalitásuk fenntartásáról• A folyamatok átláthatósága végett alkalmazzunk már bevált szabványon alapuló kockázatkezelést

Milyen a megfelelő adatbiztonsági tanácsadó?


• Sokéves gyakorlati tapasztalattal is rendelkezik – információbiztonsági visszaélések kivizsgálása, részvétel nyomozati, bírósági eljárásokban• Független termékektől és megoldásoktól – az ilyen jellegű elkötelezettség gátolja az optimális megoldások kiválasztását• Kellő mértékű felelősség-biztosítással rendelkezik (legalább egymillió euró/év)• Képes testre szabott protokollokat, szabályzatokat összeállítani – a polcra gyártott sémadokumentációk megtartatása szinte lehetetlen• Az általa kidolgozott alkalmazás illeszkedjék a cég meglévő rendszerébe – általános tapasztalat, hogy a belső munkatársak a tanácsadó távozását követően még akár hónapokig dolgoznak az alkalmazás beillesztésén• Előny a nemzetközi háttér is – adott speciális problémára könnyebb egy kiterjedt cégcsoporton belül megtalálni a megfelelő szakembert