Zsarolóvírus, adathalászat, jelszószivárgás: egymást érik az adatvédelmi incidensekről szóló beszámolók a hírekben. Nem csak nagy cégek érintettek, a védtelen, vagy sufnimegoldásokkal üzemelő hazai KKV-k is célkeresztben vannak. A megoldás pedig közel, ugyanis most díjmentes tanácsadói segítséggel készíthető fel a vállalkozás a kihívásokra. Interjújában Erdei Csaba, a Modern Vállalkozások Programjának IT biztonsági szakértője ismerteti a hazai tapasztalatokat.

Megszaporodtak az esetek, vagy csak arról van szó, hogy a jelentős hazai és nemzetközi vállalatok ügyei miatt hirtelen szem elé került a kibervédelem az utóbbi időben?

Állami intézményeket, cégeket, magánszemélyeket egyaránt a korábbinál jóval többször támadnak a kibertérben, az elmúlt másfél-két évben drámaian romlott a helyzet. Azt is mondhatjuk, vadnyugati állapotok uralkodnak, ami részben még a terület „kiforratlanságából” fakad. Az informatika ugyanis aránylag fiatal tudás- és iparág néhány évtizede létezik igazából, az ősidők óta művelt építészethez képest például. Ehhez mérten a szabályozás és a gyakorlat is fejlődik, és bár ütemesen halad, de a reguláció betartatása és a jó gyakorlatok elterjesztése nem egyszerű feladat.

További jogszabályi változásokkal vennék tehát elejét a helyzet további romlásának. Várható, hogy a szigorítás miatt fejlesztési kényszerbe kerülnek a vállalkozások?

Vissza kell lépni egyet: szükség van a szemléletváltásra is. Az informatika nem egy szükséges rossz, hanem a cégvezetés permanens és fontos része, amivel foglalkozni kell. Aki vállalkozásba kezd, annak automatikusan a fejében kell lennie, hogy ezzel feladata, felelőssége van. Nem lehet megúszni ezt a területet, még ha érteni nem is kell személyesen hozzá. Sajnos az informatikai infrastruktúra biztonsága még nem olyan magától értetődő elvárás, mint hogy például legyen tűzjelző is a konyhában, ha éttermet nyit az embert. Sokan akkor ébrednek rá a szükségére, amikor már baj van. A megelőzés és a fejlődés tehát részben edukáció, részben szabályozás, részben a megfelelő informatikai implementáció.

A támadások rendre nagy cégeket érintenek. Mitől tartson egy hazai KKV, akinek a forgalma össze sem vethető ezekével?

Az ipari kémkedés, az idegen állami hírszerzés elsősorban a nagyvállalatokra és az állami intézményekre jelent veszélyt, azonban a szervezett kiber-bűnözés – ami napjainkra az egyik legnagyobb bűnözési „iparággá” vált – egyaránt veszélyt jelentenek, nemcsak a vállalatokra, de akár a magánszemélyekre is. Nem gondolnánk, de sokszor maguk a felelőtlen fejlesztők és az üzemeltetők is veszélyt jelenthetnek. Elhanyagolt, nem karbantartott rendszerek, rossz minőségű alkalmazások, amelyek hemzsegnek a hibáktól jelentősen megkönnyítik a támadók dolgát, sőt ezekhez néha hackeri tudás sem kell és kész a baj.

A legtöbb cég nem informatikai vállalkozás, nem is úgy tekint magára. IT oktatás, illetve IT biztonság tudatossági / adatvédelmi oktatás sincs a legtöbb cégnél. De mégis leállhat a teljes működés egy pillanat alatt, ha nincs rendben az informatikai háttér.  Idén az USA egyik legnagyobb olajipari, üzemanyag-ellátó cég működése állt le zsarolóvírus támadás miatt, de hasonló támadás érte a legnagyobb húsipari vállalatot is.  Sőt egy komoly IT biztonságtechnikai céget is eredményesen támadtak hackerek, majd rajtuk keresztül ártatlan ügyfelek tízezrei váltak áldozattá.

Hogyan védje meg magát egy vállalkozó ilyen, ahogy fogalmazott, olykor vadnyugati állapotok között?

Az előző példát folytatva szabályozással, jó kóddal, hibajavítással, karbantartással és teszteléssel fejleszthető a védelem. De az informatikára költeni kell. Nem feltétlen szükséges informatikus alkalmazása, sok szolgáltatótól lehet olcsó szolgáltatást igénybe venni. Mindennek a kezdete azonban egy felmérés, „audit”, ami révén a vállalkozó képbe kerül a hibákkal és a fejlesztendő területekkel. Ehhez érdemes független tanácsadót igénybe venni. A Modern Vállalkozások Programja országszerte működő hálózata révén a vállalkozások ingyenesen juthatnak ehhez a szolgáltatáshoz. Az audit révén megszülető, személyre szabott fejlesztési koncepció alapján már dönthet a cégvezető, mi legyen az első pár lépés. Mert minden vállalkozás számára mást jelent a digitalizáció: bizonyos üzemméret felett például vállalatirányítást, máshol webshopot, chatbotot, időpontfoglalót.

Hozzávetőlegesen mekkora forrás- és időigénye van egy ilyen fejlesztésnek? 

Nincs hüvelykujj szabály arra nézve, hogy mekkora méretű cégnek mennyit szükséges költenie. Kisméretű cég is kezelhet például érzékeny, személyes adatokat, a vonatkozó jogszabály, az ismert GDPR pedig rendkívül szigorú szabályokat fogalmaz meg erre nézve. Összességében mindig a vállalkozás feladata, szakterülete, állapota szabja meg a fejlesztési lehetőségeket és szükséget. El kell gondolkodni a célokon, cégméreten, tevékenységen, és a várható profithoz képest kalkulálni. Ezért is fontos az audit, az MVP tanácsadója személyre szabott javaslatot fog adni, ráadásul a forrásfeltérképezésben is segítséget nyújt. Itt elsősorban uniós támogatások jöhetnek szóba, az érdeklődés rendre magas ezek iránt. Ami a megvalósítás időigényét illeti, a legtöbb esetben fél-egy éven belül megtörténik az első szintre lépés, aminek köszönhetően a cégvezető nagyon sok új adattal rendelkezik a cége működéséről, ez pedig a döntéshozást is nagyban megkönnyíti.

Milyen típusú IT biztonsági fejlesztéseket igényelnek a vállalkozások?

Legtöbbször adatkezeléssel kapcsolatos, szabályozási feladatokat, továbbá sérülékenység-vizsgálatokat igényelnek. Utóbbiról szólva, a cégvezetők általában optimisták, aztán kiderül, hogy rosszabbul állnak a vártnál. Sokan élnek sufnimegoldásokkal, de tudomásul kell venni, hogy például egy egyetemista mellékállásban nem fog tudni jó vállalatirányítási rendszert írni.

Mindeközben egy sima adatvesztés tönkre tehet egy üzletet. Egy nyugat-európai felmérés szerint egy komoly adatvesztési incidens olyan nyomot hagy a reputáción az ügyfélkörben, hogy az érintett vállalkozások héttizede csődbe megy. Sajnos sok informatikai beszállító is hajlamos csak a minimumot szállítani. Ezért érdemes minősített partnerekkel dolgozni, a Modern Vállalkozások Programjának tanácsadói ebben is tudnak segíteni. Szigorú kritérium alapján válogatták ki azt a már ezret meghaladó informatikai beszállítók, akik megoldásaikkal segítik a hazai vállalkozásokat.

Szerepet játszik az ügyfelek döntésében, értékelik a fogyasztók, ha egy vállalkozás digitálisan felkészült?

Mára elvárás az ügyfelek részéről – legyen az vállalat, vagy magánszemély - , hogy egy vállalkozás legyen digitálisan és IT biztonságilag felkészült. Az adatainkkal bánnak, ami a legnagyobb értékké vált. Aki ezt komolyan veszi, az versenyelőnyt élvez az ügyfelekért való versenyfutásban. Ha adatvédelmi incidens ér valakit, azt ma már nem hallgathatja el, a cégét teszi kockára. Érdemes megismerni a legjobb gyakorlatokat és megtenni az első, vagy a következő lépést ezen a téren. Kollégáimmal és a Modern Vállalkozások Programjának tanácsadóival egész ősszel rendezvényeken várjuk az érdeklődőket. Megmutatjuk a legjobb gyakorlatokat, esettanulmányokat, beszélünk a részletekről. A vállalkozzdigitálisan.hu oldalon erről is tájékozódhatnak az érdeklődők, és a tanácsadókkal is felvehetik a személyes kapcsolatot.

Így segít a Modern Vállalkozások Programja

A Modern Vállalkozások Programjának fő célkitűzése a vállalkozások korszerű, elsősorban infokommunikációs technológiák iránti érzékenyítése, szemléletformálása. A kiterjedt tanácsadói hálózat, a rendezvények és a ’vállalkozz digitálisan’ weboldal (www.vallalkozzdigitalisan.hu) a vállalkozások tájékozódását, fejlődését segíti, amely által a versenyképességük is javulhat. A Program tehát alapvetően díjmentes szolgáltatásokkal, digitális eszközök bevezetésére ösztönzi a hazai cégeket. Amellett, hogy célja a hazai digitális szemléletformálás, a digitalizáció népszerűsítése a vállalkozások körében, és tevékenységével kaput nyit a vállalkozások számára efelé, egyfajta világítótorony szerepet is betölt a szervezet: segít eligazodni a vállalkozásoknak a digitalizációt érintő fejlesztési lehetőségek és támogatások terén.

Erdei Csaba 

A nemzetközi tapasztalattal bíró Erdei Csaba több, mint két évtizede foglalkozik IT biztonsággal. A kibervédelemnek az elméleti, vagyis a tanácsadói és szabályozási kérdések terén ugyanúgy aktív, mint a gyakorlati – etikus hacking, sérülékenység vizsgálatok – oldalon. Évek óta IT biztonsági szakértője a Modern Vállalkozások Programjának, alapítása óta biztonsági szakértője az Infotér Egyesületnek. 2013-14-ben szakértője volt Magyarország Kiberbiztonsági Koordinációs Tanácsának. „A kiberbűnözés nem ismeri az országhatárokat, így a mi munkánk, a kiberbiztonság megteremtése is a határokon átnyúló feladat” - véli a szakember.