Az adat információt tartalmaz, az információ pedig érték. Nem csak a magánszemélyek, a vállalatok és az állami, önkormányzati szervek legértékesebb kincse az adat és az információ. A XXI. században minden felelős döntésünket jellemzően olyan adatokra alapozzuk, melyeket informatikai rendszerben tárolunk. Az évezredek óta mindenki számára természetes, hogy materiális javainkat, értékeinket illetéktelenek elől elzárva tartjuk, óvjuk minden nem várt külső behatástól, viszont az informatikai rendszerben tárolt értékeinket jellemzően nem védjük a megfelelő mértékben. Schulmann Péter, az L-Tender Zrt. információbiztonsági szakmai vezetője elemzi, miért vált alapvetően fontossá a mindennapokban is az adatvédelem és az adatbiztonság.
Gyorsabb a technológia mint a tudatosság
A hiányos információvédelem elsődleges oka az lehet, hogy a mai értelemben vett informatika „történelme” mindössze 50 éves, talán az az „Y” generáció (1980 és 2000 között születettek) az első, aki ezt a technológiát maradéktalanul alkalmazza. A világháló vagy internet történte még ennél is rövidebb, Magyarországon körülbelül 20-25 éves múltja van az első internetre nyitott belső hálózatoknak, ma pedig már mindenki zsebében és privát szférájában ott a „világ”. Egyszerűen gyorsabban nő a technológiai szint, mint a hozzá kapcsolható tudatosság.
Internetes banditák
Hogy ez mekkora kockázatot jelent, azt egy egyszerű példával támasztják alá a szakértők: Ha a világ összes rablója előtt ott állna a világ teljes népessége, -tér és időbeli kötöttségek nélkül-, mindenki számára egyértelmű lenne, hogy előbb-utóbb őt is kirabolják, mert a rablók az áldozataikat úgy választják ki, hogy a „gyengébbek” felől haladnak az „erősek” felé. A rablók minden akciójuk után erősebbek és tapasztaltabbak lesznek, míg az áldozatok jellemzően egészen addig nem érzik magukénak a fenyegetést, amíg „sorra nem kerülnek”. Az internetes bűnözés sajnos így működik. A kiberbűnözők saját tudásszintjük szerint válogatják áldozataikat a világ szinte összes pontján, természetesen a nagyobb zsákmánnyal kecsegetető hálózatok, adatbázisok több „eseményt” vonzanak, viszont ők jellemzően tudatosabban viselkednek.
Az információvédelem alapjai
Az információ és adatvédelmi szabályok felállítása, alkalmazása, és értékelése az első lépés.Ha figyelembe vesszük a ránk váró fenyegetéseket és ezekkel arányos intézkedéseket hozunk az már az a tudatos viselkedés, ami az információvédelem alapja. Fontos a kockázatelemzés is, ez viszont sajnos csak annyit ér, amennyit a megállapításaiból megvalósítunk. Ahhoz, hogy jó elemzést készíthessünk a saját helyzetünkből, nagyon pontosan meg kell határoznunk a gyengeségeinek és az erősségeinket. Ehhez mindenképpen be kell vonni egy szakembert! Semmiképpen ne akarjuk egyedül, segítség nélkül végezni, mert a „megszokásainktól” nehéz elrugaszkodni. Attól, hogy eddig nem szenvedtünk kárt, sajnos nem garantálja, hogy nem is fogunk.
Törvények és szabványok
A legfontosabb iránymutató a törvény. Az adataink tekintetében különböztessük meg a „sajátunkat” a másétól, azaz az üzleti adatokat a személyes adatoktól. A személyes adatok tekintetében alkalmazzuk az AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELET-ét azaz a GDPR-t, továbbá a 2011. évi CXII. törvényt az információs önrendelkezési jogról és az információszabadságról. Az üzleti adatok és a személyes adatok védelmi szintje lehet azonos is, de megfogalmazhatunk egyéni elvárásokat a törvényben nem szabályozott adataink, információink védelme érdekében.
A saját adataink tekintetében a szabványokat ajánlott alkalmazni. Számtalan Információbizonsági szabvány létezik, ki kell választani a legjobban alkalmazhatót és el kell indulni a végrehajtás irányába. Ilyen szabvány például a legelterjedtebb MSZ ISO/IEC 27001:2014, vagy A NIST, a COBIT, stb. Sajnos kevesen tudják, de az információbiztonság területén is van alkalmazandó törvény a 2013.évi L.-es (az állami és önkormányzati szervek elektronikus információbiztonságáról), természetesen ez csak a hatályában megjelöltek számára kötelező, viszont számos „megfontolandó” előírást tartalmaz bárkinek.
Mindegyik szabvány másban erős, viszont „napjaink” kihívásainak talán az ISO/IEC 27001 (információbiztonsági menedzsment rendszer) és az ISO/IEC 27701 (adatvédelmi irányítási rendszer) együttesen felel meg. Ezeket csak akkor kell tanúsítani, ha erre külön igény jelentkezik, de semmiképpen sem kötelező! Ezeket a rendszereket célszerű és ajánlott üzemeltetni /fejleszteni legalább egy évig és ha szükséges a „bizonyítvány” akkor tanúsítani.
Olcsóbb a megelőzés mint a kár elhárítása, helyrehozása!
Az információvédelem üzemeltetése persze költségekkel jár, de ezt nem érdemes számszerűsíteni. A jelszó a „kockázatarányosság”: Olcsóbb megelőzni a problémákat, mint utólag javítani, tehát az elvárt biztonsági szint költségeit a szabvány alkalmazás csak kimutatja, de nem növeli!
A törvények, szabványok alkalmazása és betartása az információk védelme mellett anyagi előnnyel is járhat. Persze nem közvetlenül kimutatható anyagi előnyről beszélünk, -kivéve az esetleges bírságok elmaradása – de nem a bírságfenyegetés kiiktatása a fő szempont. Az ügyfeleknek elsősorban azt kell megmutatni, hogy hogyan tudja az eljárások segítségével fenntartani az üzletmenete folytonosságát, magasra emelni adatai rendelkezésre állását, sértetlenségét és bizalmasságát. Ez a legnagyobb érték, mondhatni megfizethetetlen!
