Olcsó informatikai beszerzésnek adatvesztés lehet a vége

Olcsó informatikai beszerzésnek adatvesztés lehet a vége
Az egész magyar informatikai szakmának tanulságos volt a BKK megrendelésére készített online jegyrendszer, amit a T-Systems fejlesztett. A tapasztalatokat felhasználva az IVSZ egy új IT biztonsági fórumot hozott létre a Digitális Jólét Programmal közösen, és elkészítettek egy anyagot is, ami segíti a megrendelőket, hogy tisztábban lássák az informatikai projektek kockázatait, és hogy hogyan tudnak fellépni ezek ellen, tudtuk meg Major Gábortól, az IVSZ főtitkárától.

- Milyen hatása van a digitalizációnak a cégek működésére, mennyire vannak tisztában az új technikák biztonsági kockázataival?
- Egyre több ágazat egyre több tevékenységét digitalizálják, egyre több olyan cégbe vagy területre is beszivárognak a digitális megoldások, ahol korábban ez nem volt jellemző. Ma már nem informatikusok rendelnek informatikusoktól fejlesztéseket, hanem üzleti megrendelők. Mivel sokkal szélesebb réteg kerül megrendelői pozícióba, egyre fontosabb tisztázni, hogy mit is lehet elvárni a szolgáltatóktól, és mi az, ami továbbra is a megrendelő felelőssége, feladata. A megrendelő minél olcsóbban szeretné a megoldást megvenni, nem feltétlenól lát bele abba, hogy az új rendszerrel milyen kockázatokat húz magára és annak milyen következményei lehetnek. Erre mindenképpen fel kell hívnia a figyelmét az informatikai szolgáltatóknak.

- Mennyire tekinthetők egyenlőnek a felek az informatikai beszerzések kapcsán?

- A szállítói oldal általában szélesebb ismeretekkel rendelkezik, a technológiai lehetőségekről és az árakról is. A megrendelők elsősorban funkcionalitásban gondolkodnak, és emiatt a „gépházban” lévő fontos dolgokról is hajlandók lemondani, ilyen például az adatbiztonság. A jövőben szerintem sokkal egyértelműbbé kell tenni az áralkuk során, hogy ha a vállalkozó enged az árból, az a profitja rovására történik, vagy valamilyen funkciót vesz ki a rendszerből. A megrendelőknek nagyon fontos ilyenkor a minimum feltételekhez ragaszkodnia. Ezt ma már egyre többen értik meg, mert ha probléma van egy cég informatikai rendszerével, akkor pillanatok alatt óriási reputációs vesztség érheti, és a cégvezetőnek kell nyilatkoznia és magyarázkodnia.

- Milyen hatása lehet az informatikai projektekre a GDPR bevezetésének?

- Az új szabályok miatt nem csak az információbiztonság lesz kiemelten fontos és kockázatos terület a vállalatok életében, hanem az adatkezelés is. Olyan magas büntetési tételek jelennek meg a GDPR szabályozás miatt, hogy az adatkezelésnek már a fejlesztések első pillanatától az egyik kiemelt területnek kell lennie. Nagyon pontosan meg kell határozni, hogy kinek mi a feladata és felelőssége az adatok kezelése kapcsán. Fontos alapelv az angolul security by design, és a privacy by design, amikor már a fejlesztés során is az adat- és informatikai biztonság az egyik fő vezérelv, amit érdemes elvárniuk a megrendelőknek.

- Hogyan lehet a szigorodó adatvédelmi jogszabályok kapcsán a megrendelő és a fejlesztő felelősségét elválasztani, milyen hatása van erre a GDPR-nak?

- Eddig is foglalkoztak a cégek adatkezeléssel, így nem zöldmezős beruházásként kell elkezdeni a megfelelést az új szabályoknak. Több évtizede működő cégeknél nem csak arra kell figyelni, hogy az új rendszer szállítója figyelembe vegye az új előírásokat. Gondolni kell arra is, hogy az esetlegesen már mágnesszalagokon lévő adatbázisokból vagy éppen az irattárból hogyan lehet a szabályozásnak nem megfelelő adatokat eltávolítani. Az ilyen típusú problémák az ügyfelek oldalára kerülnek, nekik kell megoldani az ilyen problémákat, megfelelő szolgáltató partnert kell találni és az új rendszerek bevezetésekor is elvárni a szállítótól a megfelelést. A vállalatok nagy kihívása, hogy már vészesen közeledik május 25., de közel sem biztos, hogy az új előírásoknak mindenki meg tud majd felelni. Azt még csak találgathatjuk, hogy az új adatvédelmi szabályoknak milyen hatása lesz, mennyire fogják akár fegyverként használni a konkurens cégek, a sértett dolgozók, vagy éppen milyen lesz a hatóságok gyakorlata. Könnyű zsarolási potenciál lesz a GDPR megfelelés vizsgálata, ugyanis a magyar vállalatok többsége messze van attól, hogy a szabályok minden elvárásának meg tudjanak felelni. A NAIH-nak, a vállalatvezetőknek, az informatikai cégvezetőknek és a tanácsadóknak a közös felelőssége lesz, hogy a gyakorlatban is működő, ugyanakkor jogszerű eljárások alakuljanak ki.

- Mit tehetnek azok a cégek, amiknél nincsen megfelelő szaktudása az informatikai beszerzéseknél?

- Kiemelten fontos a tanácsadók szerepe, akik segíthetnek a megrendelőknek, hogy a megfelelő műszaki és jogi elvárásokat fogalmazzák meg. Ők tudnak abban is segíteni, hogy a jogszabályokat és a belső vállalati igényeket műszaki elvárásokká, számon kérhető tartalomra fordítsák le. A minősítési rendszerek segítenek meghatározni, hogy kik azok a szállítók, akik egy-egy területen biztonságosan ajánlhatóak. De semmi nem pótolja a józan észt: az IVSZ olyan esettanulmányokat állít össze, amiből mindenki tanulhat. A digitális gazdaság számos új kihívást is jelent, és itt nem csak az adatbiztonságra és -sérülésekre kell gondolni. Teljesen más értékesítési struktúrák jelennek meg, mások a jogi és szabályozási keretfeltételek, a digitálizáció a vállalat rengeteg területén hat. Néhány éve divatos volt a CDO, azaz a chief digital officer alkalmazása, de ez szerintem nem jó irány. Ehelyett a portástól az igazgatóig mindenkinek tudnia kell, hogy az új digitális kornak új és másfajta kihívásai vannak.

- A budapesti online jegyek kapcsán felmerül, hogy lehet-e egyáltalán teljesen biztonságos rendszereket készíteni, vagy együtt kell élnünk a hackelésekkel, rendszerhibákkal?
- Muszáj elfogadni, hogy a digitális rendszereknek ugyanúgy vannak és lesznek is hibái, mint azok manuális elődjének, de kijavításuk más típusú feltárást és megoldást igényel. Ki kell alakítani azokat a protokollokat, hogy amennyiben incidens van, akkor mi a teendő ügyfél és szállító oldalon. A konkrét BKK-s ügy esetén szerintem a sajtó, de az infokommunikációs szakma is rosszul reagált. A legkevésbé sem a bajtársiasság uralkodott el, hanem inkább a káröröm – egy nagy állami vásárló és egy piacvezető beszállító kapcsán ez nem is annyira meglepő. De ahogy egyre több részlet derült ki az esetről, egyre elcsendesedetek ezek a hangok, amikor már nem is volt egyértelmű hogy etikus-e a hacker, adatszivárgás vagy adatbetörés történt. A mai napig nem látjuk tisztán például a motivációt. Arra mindenképpen rávilágított az eset, hogy milyen fontos lenne egy szakmán belüli riasztási rendszer. Ez segíthet rámutatni, hogy rendszer hiba, vagy magasan képzett hackerek trükkjei kellett egy szoftver feltöréséhez, ez alapján pedig gyorsabban lehetne reagálni. A vállalatvezetők sem voltak egy ilyen probléma kezelésére felkészülve, pedig a pr-eseknek is kellene válságkommunikációs tervvel rendelkeznie ilyen esetekre. Az ilyen esetekben hatékony kommunikációs sémákat is szeretnénk ezért közzétenni.

- Mit tud tenni az IVSZ a szállítók minőségének mérésében, ellenőrzésében, vagy ki nyújthat a megrendelőknek ebben segítséget?

- Az IVSZ tudja a legkisebb közös többszöröst megtalálni a piaci szereplőkkel, aktív szerepet vállalhat a szabványosításban, az egységes terminológia megteremtésében. Jelenleg is különböző minősítő szervezetek vannak jelen a piacon, részben magáncégek, részben államiak, ahol indokolt, ott a biztonsági szolgálatok is aktív szereplők ebben. Számos informatikai cég minősíti, tanúsítja beszállítóit, viszonteladóit. De az ügyfelek is minősíttethetik a rendszereiket külső szakértőkkel, mielőtt átveszik. Az állam érzésem szerint túlterjeszkedett ezen a területen, régen jóval több szereplős volt a tanúsítási piac. Érdemes lenne felülvizsgálni, hogy mik azok a minősítések, amit az államnak érdemes csinálni, és miket lehet a piaci vagy non-profit szereplőkre lehetne bízni.

- Milyen újdonságokat sikerült a most elkészült ajánlásokban megfogalmazni?

- A DJP 2.0 már tartalmazott számos kibervédelmi ajánlást és javaslatot, amit az említett eset kapcsán a DJP szakértőkkel és a BM-mel közösen átdolgoztunk. Ez segít a technológiák megértésében, a normák kialakításában a piacon. Fontosnak tartjuk azon szereplők definiálását is, akikhez akár előzetesen, akár probléma esetén fordulni lehet adat- és rendszerbiztonsági kérdésekben. Emellett a kommunikációs sémák kialakításának fontosságát vetettük fel biztonsági incidensek esetére. Az államnak ki kell alakítania a saját válaszait ezekre a kérdésekre, a piaci szereplők felé pedig egy ajánlásként működik az általunk összeállított anyag.

- Mennyire lehet megfelelő számú kibervédelmi szakember találni a piacon?

- Jelen pillanatban nincsen elegendő szakértő, ezért nagyon magasak, a KKV piac szereplői számára szinte megfizethetetlenek az emelt szintű szolgáltatások. Egyrészt növelni kellene a szakemberek számát, például egyetemi szintű kiberbiztonság oktatás beindításával. A szolgáltatások standardizálásán is sokan dolgoznak, ez is növelheti a hozzáférhetőséget. A virtuális segítség azonban nem jöhet túl messziről: már csak a bizalom miatt nagyon fontos ezen a területen a helyi megoldás, informatikai biztonsági auditot vagy tanácsadást nem lehet Indiából végezni – legalábbis egyelőre –, ezért nekünk Magyarországon helyben kell megoldást találnunk erre a kihívásra. A magyar it-biztonsági szakembereknek jó a nemzetközi megítélése, olcsóbbak vagyunk, mint a nyugatiak, ezért jó esélyekkel indulhat ez a szakterület a térségben új üzletek megnyerésére. Az is minket segíthet, hogy mivel mi nem vagyunk a biztonsági terület nagyágyúihoz (USA, Oroszország, Kína, Izrael) köthetők, ezért függetlenként könnyebb lehet a bizalmat is elnyerni.


Major Gábor
Az IVSZ főtitkára 2013 óta. Matematikus diplomáját a Nyugat-Magyarországi Egyetemen szerezte, később a Budapesti Műszaki és Gazdaságtudományi Egyetemen MBA-zet. Karrierje során dolgozott a legnagyobb multinacionális informatikai cégeknél, mint a Microsoft vagy az Oracle, a T-Systemhez tartozó IQSys. 2009 és 2013 között a MAPI Zrt. ügyvezető-helyettese volt, így betekintést nyert a hazai kkv-k működésébe és fejlesztésébe is.

Kövesd az oldalunkat a Facebook-on és a Twitteren is!

Kövesd az oldalunkat a Facebook-on és a Twitteren is!


Bucsky Péter

Bucsky Péter