– Mit emelne ki Ön az I. Független Magyar IT Biztonsági Felmérés eredményei közül?
- A cégvezetők többsége úgy érzékeli, hogy a hazai kis- és középvállalatok továbbra is alulértékelik az IT-biztonság szerepét, de azt mindenképpen fejlődő területnek tartják. Az alapvető IT biztonsági megoldások a szervezetek elsöprő többségében azonban már megtalálhatóak. Jó ezt így visszaigazolva látni, hiszen – nem mellékesen –, az immár negyedik éve megrendezett ITBN szakkonferenciának és kiállításnak is döntő szerepe van a változásokban, amit most egy független piackutatás objektív ténymegállapításai is alátámasztanak.
– Na igen, de ezek leginkább tűzfalak és vírusirtók, ami a védelem alapszintje. Az adatszivárgás ellen csak kis védelmet nyújtanak…
– A TOP200 vállalat jellemzően jóval fejlettebb IT biztonsági infrastruktúrával rendelkezik, a pénzügyi szektor is vezető helyet foglal el. Ezt a piacon érezzük is, noha sok pénzintézet még mindig nem megfelelően kezeli az adatvédelmi kérdéseket. Az IT biztonsági kérdéseket a vizsgált vállalati kör döntő többsége nagyobbrészt vagy teljesen házon belül kezeli. Ennek ellenére csupán minden hatodik vállalat foglalkoztat dedikált IT biztonsági munkatársat, többségében ez a terület az informatikai csapat feladatai közé sorolódik. Ez a legnagyobb problémák egyike. A biztonság nem üzemeltetési feladat, hanem ellenőrző. Látható, hogy a biztonság súlytalan, amíg költséget és erőforrást nem rendelnek mellé dedikáltan. A legtöbb vállalat maximum 2 millió forintot költ egy évben IT biztonságra. Egyáltalán nem jellemző, hogy dedikált IT biztonsági kerettel rendelkeznének a vállalatok vagy az intézmények.
– A 2 millió forint egy közepes tűzfal megoldásra vagy egy elfogadható vírusvédelmi megoldásra elég. A kettőre együtt, jó minőségben már nem.
– Ezért szoktam gyakran azt mondani, hogy mérföldekre vagyunk azon védelmi technikák alkalmazásától, amelyektől valós adatvédelmi hasznot remélhetünk. A biztonsági kihívások erősödését nem érzékelik egyértelműen a válaszadók, inkább a kihívások jellege változott meg. Korábban a vírusok jelentették a legnagyobb problémát, most a spam-et nevezték meg növekvő kockázatként.
– A spam valóban bosszantó, de egyre hangsúlyosabb az adatvesztés problematikája, amit a most elkészült tanulmány szerzői külön is kiemelnek. Mi erről az Ön véleménye?
– A manapság jelen levő IT biztonsági kihívások közül egyértelműen a biztonság humán oldalát nevezték legkritikusabbnak az interjút adó IT vezetők. – Itt ismét visszaköszön az adatok védelmének kérdése valamint az emberi szándékos és véletlen hibázások hatása. Ez olyan probléma, amely villámgyorsan kezelendő, mert nagy arányban nőnek az informatikai kapacitások és ez még több teret enged az emberi hibák faktorának. Az IT biztonsági megoldások körében egyre nagyobb szerepet kapnak az üzletmenet folytonosságot biztosító megoldások, mint a védelmi megoldások. Ez azért is jó hír, mert ez azt jelenti, hogy a vállalatok rájöttek, hogy a védelem nem öncélú, vagyis azért kell védekezni, hogy a vállalat folyamatos üzletmenete biztosított legyen. Ha végre a cégek többsége arra is rájönnének, hogy az elvesztett renomé vagy a kiszivárgott adat alapvető hatással van a működésükre, akkor válna teljessé a kép.
– A szakmabeliek azonban jól tudják, hogy itt még nem tartunk…
– A döntéshozatal jogkörét a külföldi leányvállalatokkal rendelkező cégek esetében az anyavállalat szinte minden esetben fenntartja magának, de előfordul az is, hogy csak a főbb irányokat határozza meg. A globalizációnak vannak előnyös és hátrányos hatásai. Ha az anyavállalat megmondja: mit kell tenni, és eszközöket is ad az előnyős lehet a vállalatnak, de hátrányos a magyar IT-biztonsági piacnak mert lehetséges, hogy nem a magyar piacon köt ki a feladat megoldására szánt pénz. Ha nem mondja meg az anyavállalat, hogy mi a teendő, akkor viszont sokat kell dolgozni Magyarországon, de nem biztos, hogy minden zöld utat kap külföldön. A téma egyébként külön feldolgozásra is érdemes.
– Milyennek ítéli azt a gyakorlatot, hogy a hazai tulajdonban lévő vállalatok esetében az IT-vezetőnek legtöbbször csak döntés-előkészítő, javaslat-tevő szerepe van, de az IT biztonsági döntéseket a menedzsment hozza meg?
– Ez helyes, de operatív szempontból hátrányos is lehet. Gyakoriak a hosszan elhúzódó döntések, és a kevésbé hatékony üzemeltetés. Nekem mindig gyanús, hogy talán éppen azért és ott vonják be a menedzsmentet, ahol nincs felelősségteljes, dedikált döntéshozó.
