Ha adatbiztonságról van szó, a legtöbb ember hozzáállását az a régi graffiti írja le legpontosabban, ami így hangzik: “Halhatatlan vagyok. Egyelőre.”. Vagyis elvileg tisztában vagyok a problémával, tudom, hogy létezik, de az a megoldásom rá, hogy úgy teszek, mintha ez csak másokkal történhetne meg, velem nem. Ez működőképes is, egészen addig a reggelig, amikor is a laptop az égvilágon semmit nem reagál a bekapcsoló gombra. Vagy elkezd olyan hangokat hallatni, mintha egy géplakatos szabadult volna el a belsejében. Ez az a pillanat, amikor eltűnik a mosolyunkból a természetesség és átadja a helyét az adatbiztonsággal kapcsolatos 2. számú maximának: okos ember legalább a saját kárából tanul. Mert onnantól kezdve elhisszük, hogy ez velünk is megtörténhet.
Az adatbiztonság témája hatalmas téma, sok-sok könyvet meg lehet vele tölteni és sok napon át lehet beszélni róla. Egy ilyen cikk ehhez képest semmire nem elég. Illetve csak arra, hogy felhívjuk a figyelmet néhány, egészen pontosan két alapelvre. Ha ezeket a magunkévá tesszük, azzal hatalmasat lépünk előre az adatbiztonság terén és viszonylag könnyen kerülünk be a felső 10%-ba. Fontos, hogy a cikk nem szakembereknek szól, hanem azoknak a cégvezetőknek, akik nem értenek ugyan a témához, de muszáj, hogy értsék a problémát és tegyenek valamit a megoldás érdekében.
Mekkora a veszély?
Másokat ijesztgetni nem szép dolog. A biztonság jelentőségét viszont csak úgy lehet igazán megmutatni, ha láttatjuk, mit okozhat a hiánya. A kérdésre tehát a válasz az, hogy egyre nagyobb. Egyrészt, a munkánk és az életünk egyre nagyobb hányada digitalizálódik, amiből statisztikailag következik, hogy gyakrabban lehet baj, illetve nagyobb lehet a baj. Ez éppolyan egyszerű, mint az a tény, hogy minél több autó fut az utakon, annál több lesz a baleset, még akkor is, ha a közlekedési morál nem romlik. Hát még ha romlik is.
A következő probléma, hogy bár laikusként könnnyű azt gondolni, hogy a technológia egyre kiforrottabbá válik, sajnos nem ez a helyzet. A növekvő verseny, a piaci érdekek és egy sor más tényezőnek “köszönhetően” inkább az ellenkezője figyelhető meg. Példa: a mai napig a birtokomban és használatban van egy Hitachi merevlemez, ami egykoron egy, a 90-es évek végén gyártott IBM laptopban teljesített szolgálatot. Vagyis közel 20 éve működik meghibásodás nélkül. Manapság ilyen teljesítményt illúzió lenne elvárni. Nem azt mondjuk, hogy ne bízzunk az eszközeinkben, csak azt, hogy ne nagyon.
A harmadik, a veszélyt fokozó tényező az úgynnevezett kiberbűnözés. Ez a többség számára még Hollywood – nekik üzennénk, hogy a kábítószer is az volt, nem is olyan rég. Az, hogy információs korban és információs társadalomban élünk, azt is jelenti, hogy az információ felértékelődik. Amikor pedig valami értékessé válik, óhatatlanul megjelennek azok, akik megpróbálnak majd tisztességtelen úton hozzájutni. Ráadásul meghekkelni valakinek a gépét összehasonlíthatatlanul kevesebb kurázsit igényel, mint kirabolni egy bankot. Érdemes tehát arra készülni, hogy a kiberbűnözés durván erősödni fog. És azzal se áltassuk magunkat, hogy mi nem vagyunk elég fontosak. Egy zsaroló vírus, ami zárol minden adatot a gépünkön és csak akkor adja vissza őket (talán), ha váltságdíjat fizetünk, nem válogat.
Mi a megoldás?
Mint már említettük, a téma rendkívül kiterjedt, így teljeskörű megoldást nem lehet néhány mondatban összefoglalni. De mivel szeretnénk konkrét segítséget nyújtani, ezért most két dologra összpontosítunk. Ezekkel még nem oldunk meg mindent, de elég sok mindent megoldunk ahhoz, hogy jelentősen csökkentsük a katasztrófa esélyét. Mert ahogy egy bölcs ember olyan találóan megfogalmazta: katasztrófa az, amire nem vagyunk felkészülve.
1. Az adat, ami csak egy példányban létezik, igazából nem létezik.
Ez talán kicsit sarkosan hangzik, de ha a magunkévá tesszük, előbb vagy utóbb el fog jönni a pillanat, amikor gratulállni fogunk magunknak érte. Magyarán, biztonsági mentésnek lennie kell. Hogy valaki mennyire engedi elszabadulni a paranoiáját a témában, az ízlés kérdése, de az ideális biztonsági mentést két dolog biztosan jellemezné: nincs állandó összeköttetésben a géppel, amiről készült és földrajzilag valahol máshol van. Mert ha folyamatos az összeköttetés, akkor egy zsaroló vírus például a biztonsági mentést éppúgy képes zárolni, mint a gépet, amiről a mentés készült. Ha pedig ne adj Isten tűz üt ki az irodában, akkor megint nem mentünk sokra a biztonsági mentésünkkel.
Az ideális megoldást az jellemezné, ha több megoldást kombinálnánk. Ennek része lehet, hogy biztonsági mentést készítünk egy úgynevezett felhő alapú tárhelyre, illetve biztonsági mentést készítünk egy jó minőségű, lehetőleg titkosítható külső merevlemezre, amit aztán nem az irodában tárolunk. Legalábbis
nem abban az irodában. Hogy milyen gyakran készítünk biztonsági mentést, az attól függ, milyen gyakran változnak az adatok, illetve hogy ezek a változások mennyire fontosak. A felhőbe például menthetünk valós időben (szinkronizálás), a külső merevlemezre pedig naponta, esetleg hetente egyszer. A lényeg nem is feltétlenül a gyakoriság, hanem a rendszeresség.
2. A leggyengébb láncszem mindig az ember
Ha biztonságról van szó, a legtöbb ember hanyagsággal reagál. Munkavállalók esetében, amikor nem a sajátjukat kockáztatják, ez a hanyagság tovább fokozódik (tisztelet a kivételnek). A hanyagság ellen pedig csak egy orvosság létezik: a világos, egyértelmű és legfőképp írásba foglalt biztonsági szabályzat. Amíg ez nem készült el legalább valamilyen kezdetleges formában, addig lényegében csak a szerencsénkben bízhatunk. A szerencse pedig fura jószág, hajlamos azokhoz húzni, akiknek nincs rá szüksége.
De mit tartalmazzon egy biztonsági szabályzat? A teljesség igénye nélkül a következőket:
– jogosultságok kezelése (ki mihez férhet hozzá, milyen rutin szerint szüntetjük meg pl. egy távozó munkatárs jogosultságait)
– kötelességek (pl. rendszeres adatmentés)
– tiltások (nem ragasztjuk ki a jelszót a monitorra, nem hagyjuk ott a gépet úgy, hogy be vagyunk lépve, stb.)
Egy ilyen szabályzat elkészítéséhez rengeteg segítséget találhatunk az interneten. Ráadásul ez nem olyasmi, amit nekünk saját magunknak kellene összeállítanunk. Megbízhatjuk vele a rendszergazdát, de megbízhatunk vele egy külsős informatikust is. És tartsuk szem előtt: bármilyen szabályzat jobb, mint ha nincs szabályzat.
De felmerülhet bennünk a kérdés: oké, van szabályzatunk – vajon a munkatársak be fogják tartani? Ha emiatt aggódunk, nyugodtan hagyjuk abba: nem fogják. Óvintézkedéseket akkor hajlandó az ember önként követni, ha elég magas szinten van. A többség esetében sajnos arra kell építeni, hogy akkor fogja követni őket, ha a betartásuk elmulasztását veszélyesebbnek ítéli meg, mint amennyire macerásnak a betartásukat.
Zárszó
Az informatika – különösen azóta, amióta mindennapossá vált, hogy csatlakozunk a világhálóra – kicsit olyan, mint az oroszlánszelidítés. Lehetünk nagyon magabiztosak és szerethetjük az oroszlánokat – de ha nem akarunk csúfos véget érni, akkor vannak olyan szabályok, amiket betartunk. Lényegében ez a professzionális hozzáállás. Nincs szükség feltétlenül veszélyre ahhoz, hogy az ember professzionális hozzáállást tanúsítson, de a veszélyes foglalkozásoknál a professzionális hozzáállás sokkal magától értetődőbb. Az informatika kicsit kakukktojás, mert nem tűnik veszélyesnek, ezzel pedig hanyagságra csábít. De valaminek a veszélyességét ténylegesen az határozza meg, hogy mennyit veszíthetünk vele. És ha az adatbiztonság kérdését nem kezeljük megfelelően, akkor ezzel egyre többet.