Miskolci Egyetem Gazdaságtudományi Kar Gazdálkodástani Intézet
A vállalati adatvédelem és adatbiztonság a magyarországi vállalkozásoknál napjainkban
Bujdosó Roland 2014 1
Tartalomjegyzék Bevezetés .................................................................................................. 4 1. Adat, adatbiztonság, adatvédelem .................................................... 6 1.1. Adatbiztonsággal kapcsolatos alapfogalmak ......................................... 6 1.2. Az ismeretszerzés folyamata .................................................................. 8 1.3. Adatvédelem........................................................................................... 9 1.3.1. Adatbiztonság az adatvédelem szemszögéből ............................... 12 1.4. A valós és a virtuális világ ................................................................... 13
2. Információbiztonság ......................................................................... 16 2.1. Az információbiztonság pontos meghatározása................................... 16 2.2. Az információbiztonság menedzselése ................................................ 19
3. Veszélyek és az ezekkel szembeni védekezés .................................. 22 3.1. Az információbiztonság alapfenyegetettségei ..................................... 23 3.2. Egyéb fenyegetettségek ........................................................................ 25 3.3. A védelem forrásai ............................................................................... 28
4. Empirikus kutatásom részletezése .................................................. 29 4.1. Fontos megállapítások a kérdőívvel kapcsolatban ............................... 30 4.2. A minta bemutatása és értékelése ........................................................ 31 4.3. Globális, egyéni, szervezeti és infrastrukturális információbiztonság 33 2
4.4. A kérdőív plusz kérdéseiről ................................................................. 42
5. Az emberi tényező szerepe az információvédelemben .................. 45 5.1. Emberi hanyagság, figyelmetlenség .................................................... 45 5.2. Kihasználható emberi tulajdonságok ................................................... 46 5.3. Jelszóhasználat ..................................................................................... 47
6. Összefoglalás...................................................................................... 48 Irodalomjegyzék.................................................................................... 51 Táblázatjegyzék .................................................................................... 56 Summary ................................................................................................ 57 Mellékletek ............................................................................................ 58
3
„Információink akkor kerülnek veszélybe, mikor megszületnek. A veszély végtelen nagyra nő, mikor a hálózatra csatlakozunk” – Dr. Kürti Sándor
Bevezetés Napjainkban az emberek akár informatikai cégnél dolgoznak, akár nem, mindenképpen kapcsolatba kerülnek a számítógépekkel és a számítástechnikával, mely életünk nélkülözhetetlen elemévé vált. Számos esetben elengedhetetlen eszköz a munkához illetve megkönnyíti a hétköznapjainkat is (pl. kommunikáció, információszerzés). Véleményem szerint az informatika és az IT szektor egyre gyorsabb és gyorsabb fejlődésével napról napra fontosabb az online tárolt adataink védelme, különösen a sok millió, milliárd profitot termelő illetve több ezer dolgozót foglalkoztató vállalatoknál, de ugyanígy például az egyetemeknél és a hallgatók szempontjából is. Gondoljunk csak bele hallgatóként mi történne ha a tárgyfelvétel idején nem működne a Neptun vagy ha valaki más megváltoztatná a jelszavunkat. Szakdolgozatomban azért választottam ezen témát, témakört, mivel véleményem szerint az informatika napról napra életünk egyre fontosabb és meghatározóbb részévé vált, válik, viszont az informatikai eszközök használata során gyakran megfeledkezünk személyes illetve vállalati adataink védelméről. Ezen védelem fontosságára szeretném felhívni a figyelmet illetve betekintést nyújtani napjaink informatikai biztonságának helyzetére. Szakdolgozatom, mint ahogy az a címből is kiderül a vállalati adatbiztonság témakörét taglalja Magyarország viszonylatában és a biztonság egyik kulcs tényezőjének az emberi tényezőt veszi. Ebbe beletartoznak a vállalat munkatársai, beszállítói, ügyfelei, partnerek alkalmazottai illetve egyéb látogatói is. Ez az a tényező, mely minden más védendő értékre hatással van, hiszen a vállalat dolgozói alakítják ki a védelmi rendszereket illetve működtetik és használják a számítógépeket és egyéb elektronikai eszközöket. Mindezek számos veszélyforrást hordoznak magukban, hiszen a programok nem megfelelő használatával, szakszerűtlen kezelésükből adódó károsodásukkal vagy a hardverek őrizetlenül hagyásával veszélyeztetik a vállalat számára fontos adatok biztonságát. A dolgozat elkészültéhez nagyban hozzájárult a Sasvári Péter egyetemi docenssel elkészített kérdőív, mely főként a vállalati alkalmazottak információ-biztonsági tudatossági 4
szintjét méri és mindezek mellett rengeteg információt ad arra vonatkozóan is, hogy az egyes vállalatoknál dolgozók mennyire figyelnek oda saját illetve céges adataik védelmére. A kérdőív elkészítése az EvaSys „felméréskészítő és kiértékelő”1 rendszerrel történt, melynek használatában a Vezetéstudományi tanszék és a konzulensem segédkezett. A kérdőív lezárása 2014. május 10-én történt meg, ezen időszakig pedig 316 fő töltötte ki és a mellékletek között illetve az alábbi linken meg is tekinthető még: http://evasys.uni-miskolc.hu/evasys/indexstud.php?pswd=ITRoland A szakdolgozatom első fejezetében néhány alapvető fogalom jelentését mutatom be. Ilyenek az adat, adatbiztonság, adatvédelem, illetve az ehhez kapcsolódó fontos megállapítások,
jogi
előírások,
melyek
ismerete
elengedhetetlen
a
további
meghatározásokhoz. A második rész az Információbiztonságról szól. Egy rövid bemutatással kezdve majd részletesen meghatározva illetve kifejtve ennek jelentését, megvalósítását illetve összevetve az adatvédelemmel, adatbiztonsággal. A harmadik fejezet bemutatja azon tényezőket amelyek veszélyeztetik az információkat illetve azok biztonságát, részletes leírást ad arra vonatkozóan hogy mit védünk, milyen veszélyektől védünk és hogy ez a védelem hogyan is valósul meg. A negyedik fejezet a szakdolgozatom fő gyakorlati része. Itt elemzem ki a bevezetőben már bemutatott kérdőívet ábrákkal, diagramokkal, elemzésekkel és következtetésekkel különös tekintettel a nem szerinti bontásra illetve 4 általam meghatározott csoport (érettségivel rendelkező férfi, érettségivel rendelkező nő, diplomával
rendelkező
férfi,
diplomával
rendelkező
nő)
információbiztonsággal
kapcsolatos tudatosságára. Az ötödik fejezet az információvédelem legfontosabb láncszeméről, az emberről szól. Milyen emberi tulajdonságok vezethetnek információlopáshoz illetve milyen jelszóhasználati szokásaink vannak napjainkban.
1
http://evasys.uni-miskolc.hu/evasys/indexeva.php
5
1. Adat, adatbiztonság, adatvédelem A kérdőív lezárása illetve elemzése után szakdolgozatom legfontosabb témájának azt tartottam, hogy valamilyen kapcsolatot fedezzek fel a vállalati dolgozók bizonyos személyes jellemzői (pl. nem, legmagasabb iskolai végzettség) és az információbiztonsági szokásaik között illetve hogy egy képet nyújtsak napjaink információbiztonsági helyzetéről. Az
információbiztonság
helyzetéről,
állapotáról
Magyarországon
minden
szakmabelinek, biztonsági szakértőnek, auditornak meg van a maga saját elképzelése, mégis úgy gondolom, hogy ezen tanulmány fontos információkkal szolgálhat számukra is. Csakúgy, mint a vállalatvezetők számára, akiknek egy kihívásokkal teli gazdasági helyzetben kell a szűkös erőforrásokat a gazdasági tevékenységet végző vállalat működését fenyegető kockázati tényező kezelésére allokálni. Napjaink bizonytalan környezetében a vállalatok jóval sérülékenyebbek és jobban megéreznek egy-egy szolgáltatás kiesést, belső csalást vagy egy adatszivárgást.2 Ezen szakdolgozat ezek elkerülésére, illetve az adatok, információk biztonságos tárolására szeretné felhívni a figyelmet.
1.1. Adatbiztonsággal kapcsolatos alapfogalmak A
dolgozatom
témájának
pontos
megértéséhez
úgy
gondolom,
hogy
elengedhetetlen és fontos definiálni néhány alapfogalmat. A fogalmak meghatározását mindenekelőtt az adat definíciójával kezdeném. Az adat fogalmát többféleképpen is megközelíthetjük, az egyik ilyen definíció szerint „adat alatt bármilyen anyagon, alakban, bármilyen hatással előállított egyszerű vagy összetett jelet értünk. A gazdasági szervezeteknél található összetett adatok lehetnek: dokumentum, bizonylat, irat, okirat, üzenet.” (Benkőné et all, 2008, 73. o.) Az adat egy másik meghatározása szerint az adat fogalmát kétféleképpen közelíthetjük meg. Technikai értelemben az adat egy elemi ismeret, tények, fogalmak
2
http://www.kpmg.com/HU/hu/IssuesAndInsights/ArticlesPublications/Documents/Informaciobiztonsagi-
helyzetkep-2011.pdf
6
olyan megjelenési formája, amely alkalmas emberi eszközökkel történő értelmezésre, feldolgozásra, továbbításra. Az adatokból gondolkodás vagy gépi feldolgozás útján információkat, azaz új ismereteket nyerünk. Az adat független az adathordozótól, azonban feltételez valamilyen médiumot, amely közvetíti az értesülést, hordozza az adatot. Médium lehet például a levegő (hang esetében), rádióhullám, fénykábelben terjedő optikai jel, újságlap, a CD-ROM, de akár a biológiai szövetmintában (vérben) a gén is. Egy vállalat szemszögéből az adat egy vagyontárgy, amelyet védeni kell. Az adat egy újabb megfogalmazása szerint, mely a leginkább informatikus meghatározásnak minősül „adatnak (angol nyelven data) nevezzük a számokkal leírható dolgokat, melyek számítástechnikai eszközökkel rögzíthetők, feldolgozhatóak, és megjeleníthetők - azaz értelmezhető formában valami ami nem értelmezett. Az adat nagyon tág fogalom: gyakorlatilag bármilyen jel potenciálisan adatnak tekinthető.”3 Az adat fogalma jól elkülöníthető két másik rokon értelmű fogalomtól, az ismerettől és az információtól. Utóbbival a második fejezetben külön is foglalkozom. Az ismeret egy adott dologgal kapcsolatos tapasztalataink, tudásunk összessége.
Míg az
információ olyan adat vagy ismeret, amely viselkedésünket befolyásolni képes, és valamilyen jelentéstartalommal bír. Jelsorozatok által hordozott hír, mely egy rendszer számára valamilyen új ismeretet jelent.4 Az adatok esetében mindig van egy természetes személy, akivel az adott adat kapcsolatba hozható. Ezt a személyt nevezzük adatalanynak. Jogi személyek nem lehetnek adatalanyok. Személyes adatnak pedig minden olyan adat minősül, amely egy személlyel kapcsolatba hozható. (A kapcsolatba hozhatóság mértékét a gyakorlat határozza meg.) Így tehát nem csak egy tényadat (pl. évszám) minősül személyes adatnak, hanem pl. egy következtetés, vagy egy téves adat is, ha az egy személlyel kapcsolatba hozható.
3
http://kozgame.szikszi.hu/index.php?menu=olvasas&id=31
4
http://rendszerinformatika.com/Adat-Informacio/fogalmak.html
7
1. ábra: Adatok csoportosítása (saját szerkesztés)
1.2. Az ismeretszerzés folyamata Az adatok illetve az információk meglétén túl fontos megemlítenünk azon 4 lépést, mely az információszerzési folyamat része. Az adatok önmagukban még nem érnek sokat, ezeket valamilyen úton-módon észlelnünk kell. Az észlelés definíciója szerint ez az ismerethordozó közeggel való időszerű szembesülést jelent. Az ismeretet mindig valamilyen közeg hordozza, amennyiben ezzel nem találkozunk vagy nem érünk oda időben akkor ismeretszerzés sem történhet. Az érzékelés lehet a köznapi értelemben vett érzékszervi érzékelés vagy valamilyen eszköz, berendezés által történő fizikai, műszaki értelemben vett érzékelés. A harmadik lépcsőfok a felfogás. Nem elegendő az, hogy látunk egy ábrát vagy egy rajzot, hanem ismerni kell azon jelkészletet is amelynek ezen ábra vagy rajz az egyik eleme. A negyedik lépcsőfok a megértés. Nem elegendő a jelek ismerete, ismerni kell azon nyelvet is amelyen az üzenetet közlik. Amennyiben mind a 4 lépés sikeres volt akkor elmondható hogy a fogadó számára rendelkezésre áll az az adat amelyet a küldő tudatni szándékozott vele. Az hogy ezen adatból lesz-e információ az már a befogadón múlik, hogy tudja illetve akarja-e ezen adatot értelmezni. Mindez azért nagyon fontos, mert az ismeretet időben, megfelelő, a fogadónak testre szabott formában és számára érthető jelekkel és érthető nyelven kell közölni. 8
Természetesen az ismeretet hordozó közeg sajátosságait, saját szabályait sem lehet és szabad figyelmen kívül hagyni. Mivel a legtöbb esetben az ismerethordozó közeg a nyelv, ezért különösen illik odafigyelni annak szabályaira és azok maradéktalan betartására is.5
1.3. Adatvédelem Az adatvédelem kifejezés puszta jelentése alapján úgy vélhetnénk, hogy ennek fogalmába beletartozik minden olyan dolog és tevékenység, amely adatainkat védi az őket érő illetve érhető káros hatásoktól, azonban véleményem szerint az adatvédelem meghatározásánál legegyszerűbb az Adatvédelmi törvényhez és a jogi meghatározásokhoz folyamodnunk hiszen az „adatvédelem” kifejezést elsősorban a jog használja és azt mondja, hogy adatvédelemnek, adatvédelmi tevékenységnek tekinthető minden amiről az Adatvédelmi törvény6 szól, illetve minden olyan tevékenység amivel az adatvédelmi biztos foglalkozik.7 Az Adatvédelmi törvény fogalmi meghatározása szerint adatvédelem alatt az összegyűjtött adatok biztonságos megőrzését, tárolásét és az illetéktelenek hozzáférésének a kizárásét érjük, szűkebb értelemben a személyes adatok védelme attól, hogy illetéktelenek hozzáférjenek ehhez.8 Ahogy az ábrából (1. ábra) is látszik az adatvédelem illetve az Adatvédelmi törvény főként a személyes adatok védelmével foglalkozik és szabályozza az adatvédelem valamilyen részterületét. Az adatvédelmi törvény általi megfogalmazásból, az „adatvédelmi biztos gyakorlatából, a nemzetközi normák szövegéből, a kiterjedt szakirodalomból és az adatkezelői gyakorlatból egyértelműen következik, hogy az adatvédelem (data protection, Datenschutz, protection des données) nemcsak jogszabályi vonatkozású, hanem belső szabályozási (pl. belső adatvédelmi szabályzat készítése és végrehajtása), szervezeti (pl.
5
http://kgk.uni-obuda.hu/sites/default/files/11_Keszthelyi_Andras.pdf
6
1992. évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról.
7
A három országgyűlési biztos egyike, az adatvédelem független ellenőre (lásd www.obh.hu).
8
1992. évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról.
9
belső adatvédelmi felelős kinevezése és feladatai), informatikai (a számítógépes személyesadat-kezelési rendszer tervezése és működtetése) és gyakorlati adatkezelési aspektusokat is tartalmaz.” (Székely-Vasvári, 2004, 3. oldal) „Egy komplex adatvédelmi (nem adatbiztonsági!) átvilágítás nem csupán a jogi és belső
szabályozási
dokumentumok
vizsgálatára,
az
adatalanyok
jogainak
érvényesíthetőségére terjed ki, hanem az informatikai rendszer adatvédelmi szempontú elemzésére, a rendszer felépítésére és működésére vonatkozó javaslatok megfogalmazására is.” (Székely-Vasvári, 2004, 3. oldal) Az adatvédelem tehát a személyes adatok gyűjtésének, feldolgozásának és felhasználásának korlátozását, az érintett személyek védelmét biztosíó alapelvek, szabályok, eljárások, adatkezelési eszközök és módszerek összessége. (Az adatvédelem fogalmilag csak személyes adatok esetében értelmezhető. Másfelől, jogi személyeknek nincsenek személyes adataik, így sem az adatvédelem fogalomköre, sem az adatvédelmi törvény személyes adatok kezelésére vonatkozó rendelkezései – adatalanyként – nem vonatkoztatható rájuk.) A műszaki értelmiség egy része – éppen a törvényi szabályozás miatt – a fentieket „jogi adatvédelem”-nek nevezi, azt éreztetve, hogy létezhet egy nem jogi, azaz „technikai” adatvédelem is. Talán a szakmai presztízs szempontjai is hozzájárulnak ahhoz a törekvéshez, hogy a törvény által kifejtett adatvédelmet valamely műszaki terület részterületének, speciális esetének próbálják tekinteni. E törekvés része az is, hogy egyes szakemberek azt állítják: az adatvédelem azt mondja meg, hogy mit, az adatbiztonság pedig azt, hogy hogyan. Ez azonban a legjobb esetben is csak féligazság. Ha ugyanis figyelembe vesszük, hogy az adatvédelmi ajánlások, törvények és belső szabályzatok megmondják azt is, hogy hogyan kell kezelni a személyes adatokat, az adatbiztonsági előírások pedig azt is, hogy mit kell a kritériumoknak megfelelően besorolni és kezelni; továbbá ha figyelembe vesszük azt is, hogy az adatvédelem csak személyes adatokra, az adatbiztonság pedig bármilyen adatra értelmezhető, tehát a tárgyuk sem azonos lefedésű – akkor a két fogalom ily módon történő párba állítása nem szerencsés. Be
kell
látnunk
mindazonáltal,
hogy
a
számítástechnikusok,
műszaki
informatikusok jogosan panaszkodnak, mert az adatvédelmi előírások részletes lebontása az informatikai rendszer szintjéig nem történik meg, s a személyesadat-kezelési rendszerek 10
tervezésénél és működtetésénél gyakran az adatvédelmi előírásokkal ellentétesen ható üzleti vagy igazgatási érdek dominál. Ugyanakkor
az
adatbiztonságnak
(az
adatok
jogosulatlan
megismerése,
megszerzése, továbbítása, módosulása és tönkremenetele elleni, illetve hitelességük, integritásuk, bizalmasságuk
és
rendelkezésre állásuk
biztosítása érdekében tett
intézkedéseknek) is van jogi és szabályozási vetülete, nemcsak műszaki és szervezési aspektusa; előírásai azonban részletesek, szabványosíthatók, a műszaki informatikusok számára jól értelmezhetők. (Székely-Vasvári, 2004,) Az
adatvédelemnek
különböző
alapelvei
vannak,
melyek
az
OECD
csoportosításában a következőek: 1
Az adatgyűjtés korlátozásának elve. Személyes adatok gyűjtése csak törvényes és tisztességes eszközökkel, az adatalany tudtával és beleegyezésével történhet.
2
Az adatminőség elve. Az adatoknak az adatkezelés céljával összhangban pontosnak, teljesnek és aktuálisnak kell lenniük.
3
A célhoz kötöttség elve. Személyes adatokat csak előre meghatározott célból, csak a cél megvalósulásához szükséges mértékben és ideig lehet kezelni.
4
A korlátozott felhasználás elve. Az adatokat csak az adatalany hozzájárulásával vagy törvényi felhatalmazással lehet felhasználni.
5
A biztonság elve. Az adatokat a technika mindenkori állásának megfelelő ésszerű intézkedésekkel
védeni
kell
a
jogosulatlan
hozzáférés,
megváltoztatás,
nyilvánosságra hozás, sérülés és megsemmisülés ellen. 6
A nyíltság elve. Az adatkezelés tényének, helyének és céljának, az adatkezelő személyének, valamint az adatkezelési politikának nyilvánosnak kell lennie.
7
A személyes részvétel elve. Az adatalany megismerheti a rá vonatkozó adatokat, azokat (ha helyénvaló) helyesbítheti, kiegészítheti, vagy töröltetheti.
8
A felelősség elve. Az adatkezelő a felelős a fenti elvek betartásáért, s bizonyítani kell tudnia az adatkezelés jogszerűségét. 9
9
http://94.199.180.149/html/dpi/efeladat/sz_etankonyv/tankonyv.php?p_id=80528
11
1.3.1. Adatbiztonság az adatvédelem szemszögéből Az 1992. évi LXIII. Tv. Az Adatbiztonság című fejezetében a következőket mondja ki: 10. §. (1) „Az adatkezelő köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek e törvény, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. (2) Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, nyilvánosságra hozás vagy törlés, illetőleg a sérülés vagy megsemmisülés ellen.”10 Az adatbiztonság és az adatvédelem nagyon hasonlatos tevékenységek, azonban van egy lényeges különbség e kettő között. Hiszen amíg adatvédelem (DP – data protection) alatt a személyes adatok védelmét értjük, és maga a fogalom az adatalanyokra értelmezhető, addig az adatbiztonság (DS –data security) bármilyen adat esetén értelmezhető, és magának az adattárolásnak a technológiai részleteit takarja. Érdekes megvizsgálni azon kérdést, hogy létezhet-e adatvédelem adatbiztonság nélkül illetve fordítva. „A válasz nem triviális, mert adatvédelem bizonyos fokú adatbiztonság nélkül valóban nem létezhet, ugyanis ha nincsenek olyan technikai eszközeink, amellyel kontrollálni tudjuk a személyes adatok hozzáférhetőségét, integritását, akkor nem is tudjuk megvédeni az adatok alanyait. Fordítva viszont lehetséges: lehet tökéletes adatbiztonság, adatvédelem nélkül – erre számos példát adnak a diktatórikus országok vagy a stratégiai munkahelyek makro- és mikroszintű adatkezelési rendszerei.” (Székely-Vasvári, 2004, 8. oldal)
10
1992. évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról.
12
Adatbiztonság Adatvédelem
(személyes és nem személyes adatok védelme egyaránt)
(személyes adatok védelme)
2. ábra: Az adatvédelem és az adatbiztonság által védett adatok halmaza (saját szerkesztés) Forrás: http://www.tankonyvtar.hu/hu/tartalom/tamop425/0049_21_adatvedelem_es_informatikai_biztonsag_a_valla latoknal/6382/index.scorml
1.4. A valós és a virtuális világ A számítógépek és a számítógépes hálózatok világát sokan virtuális világnak vagy virtuális valóságnak nevezik megkülönböztetendően a hagyományos világtól és valóságtól. Ennek meg van az alapja és a két világ között komoly különbségek vannak. Nézzünk is egy példát erre: Amennyiben ellopják a kocsimat, azt elég hamar és egyértelműen fölfedezem, egyszerűen azon körülményből, hogy nincs ott, ahol hagytam. A tétel megfordítása szintén igaz, ha a kocsim ott van, ahol hagytam akkor nyilván nem lopták el. Ugyanez az adatokra már nem igaz. Attól, hogy adataim eredeti helyükön megvannak, nem következik az, hogy 13
senki más nem fért hozzájuk, nem nézett bele, nem másolta le őket A másik különbség, hogy kocsi lopás esetén a tettes a tett időpontjában ott van a tett helyszínén. Adatlopáskor (vagy egyéb „virtuális rablás esetén”) a tettesnek nem feltétlenül kell ott lennie az adatok tárolási helyénél, sőt egyáltalán nincs olyan kitüntetett hely, ahol muszáj lenne tartózkodnia. Mi több, sem a tett időpontjában (sem máskor) nem muszáj adott helyen tartózkodnia. Belátható, hogy ilyen világban nemcsak az esetleges tettes utólagos elkapása és felelősségre vonása nehéz, de a nem kívánatos tettek megelőzése sem könnyű. Vegyük ehhez hozzá azt, hogy az adatok, mint a „virtuális világ elemei” fizikai hordozókon – és nagyrészt csak azokon – léteznek. A fizikai hordozóknak pedig csekély mértékű, részleges meghibásodása is a teljes adatmennyiség azonnali elvesztését jelentheti. Mindezek merőben új és szokatlan jelenségek, összehasonlítva a korunkat megelőző, több évezredes megszokásokkal, hagyományokkal. Ilyen körülmények között kellene az adatok biztonságáról beszélni, azt meghatározni és azt biztosítani. Van öt, úgynevezett alapkövetelmény, amelyek teljesülése az üzemszerű használhatóság egyfajta előfeltétele, ezek: •
rendelkezésre állás, elérhetőség a jogosultaknak
•
sértetlenség (sérthetetlenség, valódiság)
•
jellegtől függő bizalmas kezelés
•
hitelesség
•
a teljes információs rendszer működőképessége Az ezen öt alapkövetelményt fenyegető tényezők eredőjét alapfenyegetettségnek
nevezzük. Ez alapján az informatikai biztonság fogalmát úgy lehet meghatározni, hogy az akkor áll fenn, ha az információs rendszer védelme az alapkövetelmények szempontjából zárt, teljes körű, folyamatos és kockázatarányos. Zárt, vagyis minden fontos fenyegetést figyelembe vesz. Teljes körű, mivel a rendszer összes elemére kiterjed. Folyamatos, vagyis a változások ellenére is megszakítás nélküli. Illetve kockázatarányos, ami azt takarja, hogy a feltehető kárérték és a kár valószínűségének szorzata nem haladhat meg egy előre rögzített küszöbértéket. Ezen küszöbérték meghatározása egy üzleti döntés eredménye.
14
Az ezen értelemben vett informatikai biztonság elérése és fenntartása a fizikai, ügyviteli és algoritmusos védelem megfelelő, együttes alkalmazásával lehetséges. Nagyon fontos tudatosítanunk, hogy nincs, nem létezik 100%-os biztonság, nem csak az informatikában, számítástechnikában, de az élet egyetlen területén sem. Lehet közelíteni hozzá (egyre nagyobb ráfordítással), de elérni sosem lehet, mindig van egy „maradványkockázat”. Ellenben eleinte a szerény mértékű ráfordítás is jelentős mértékű biztonságnövekedést eredményez. Az elérhető, illetve elért szintjét a biztonságnak sok tényező eredője határozza meg. Mint az élet egyéb területein általában, itt is a leggyengébb láncszem maga az ember, akinek tevékenysége nagyban befolyásolja az információk biztonságban tartását és erre a későbbiekben részletesen kitérek. 11
11
http://kgk.uni-obuda.hu/sites/default/files/11_Keszthelyi_Andras.pdf
15
2. Információbiztonság Napjainkban a vállalkozások, szervezetek az információbiztonság területén számos kihívással
szembesülnek.
Az
információtechnológia
folyamatos
fejlődésével
párhuzamosan az információkat, adatvagyont fenyegető veszélyforrások köre is egyre bővül. Ha egy szervezet sikerrel akar megfelelni ezen kihívásoknak akkor tudatos tervezésre és átgondolt működésre van szüksége. Annak érdekében pedig, hogy az információk védelme biztosítható legyen számos tényező vizsgálata és kezelése szükséges, amelyek azonosítása nem egyszerű feladat.
2.1. Az információbiztonság pontos meghatározása Az informatikai biztonság a tágabb értelemben vett adatbiztonság (amely alapvetően független az adat hordozójától) megvalósítását jelenti az informatikai hálózatok és
rendszerek
tekintetében.
Nem
lehet
viszont
elvonatkoztatni
a
komplex
biztonságfogalomtól, így az informatikai biztonság nem jelentheti kizárólagosan például a kriptográfiai biztonságot, vagy a tűzfalak konfigurációját. Az informatikai biztonság megvalósítása tehát nem korlátozódhat a kibertérre, feltétlenül figyelembe kell vennünk az anyagi világban felmerülő biztonsági igényeket is: az épület nyílászáróinak védelmétől a humánerőforrás biztonságáig. (Szádeczky, 2011, 7. oldal) Az információvédelem „alapvetően a bizalmasság, a sértetlenség és a hitelesség elvesztése elleni védelmet, a megbízható működést a rendelkezésre állást foglalja magában”
12
kapcsolódó
Tágabb értelemben tehát a szintén tág értelmében vett adatbiztonsághoz (is) védelmi
intézkedések
összessége.
Szűkebb
értelemben
nemzetbiztonsági használatban a titokvédelem, a minősített adatok védelme.
12
ITB 12. sz. ajánlás, 1996
16
katonai,
Az alábbi ábra az előzőekben ismertetett fogalmak tárgyát, formáját és megjelenését tartalmazza: 1. táblázat A legfontosabb fogalmak, tárgyuk, formájuk és megjelenésük összefoglalása
Fogalom
Tárgya
Formája
Megjelenése
Adatvédelem
személyes adat
jogi
bármely megjelenés
Adatbiztonság (szűk)
személyes adat
műszaki
bármely megjelenés
bármely adat
komplex
bármely megjelenés
minősített adat
komplex
bármely megjelenés
bármely adat
komplex
bármely megjelenés
Adatbiztonság (tág) Információbiztonság Információvédelem (szűk) Minősített adatok védelme Információvédelem (tág)
informatikai
Informatikai biztonság, bármely adat
komplex
IT biztonság
rendszer, hálózat, adathordozó
Forrás: Szádeczky, 2011, 9. oldal A vállalkozások biztonsági rendszere általában 3 alrendszerre bontható: vagyonbiztonsági, üzembiztonsági és informatikai biztonsági alrendszerekre. Ezek között bizonyos átfedések fedezhetőek fel, pl. az informatikai erőforrásokat is szükséges valamilyen módon fizikailag is védeni. A továbbiakban főként az informatikai biztonságot szeretném bemutatni, hiszen szakdolgozatom témájának szempontjából ez a leginkább releváns alrendszer. „Az információbiztonságnak nem csupán magára az adatra kell kiterjednie, hanem többek között annak helyére, formátumára, az adatokat kezelő egyénekre és információhordozó eszközökre is, valamint védeni kell az elektronikus és papíralapú 17
adatokat, az eszközöket, objektumokat és informatikai rendszereket egyaránt. Emellett olyan, hétköznapinak tűnő folyamatokat is szigorúan ellenőrizni kell, mint az eszközök selejtezése, valamint
a természeti
csapásokra is
fel
kell
készülni. A teljes
információbiztonsági rendszer kiépítésénél nagyon fontos az adott szervezettől, belülről jövő kezdeményezés: amennyiben a szervezet vezetői és alkalmazottai nem partnerek a megfelelő biztonsági szint alkalmazásában, a rendszer nem nyújthat kellő védelmet a bizalmas vállalati információknak.”13 Az informatikai biztonságot a biztonsági rendszerekhez hasonlóan szintén tovább bonthatjuk, méghozzá két részre, az információbiztonságra és a megfelelő működés biztosítására. Az információbiztonságot és az informatikai biztonságot sajnálatos módon - néha még a szakemberek is - gyakran összekeverik egymással, sőt időnként az adatvédelemmel is. Az információbiztonság és az informatikai biztonság azonban különbözik egymástól. „Az információbiztonság a szóban, rajzban, írásban, a kommunikációs, informatikai és más elektronikus rendszerekben, vagy bármilyen más módon kezelt adatok védelmére vonatkozik. Ezzel szemben például az informatikai biztonság „csak” az informatikai rendszerekben kezelt adatok, és az azt kezelő rendszer védelmét jelenti. Mivel angolul általában az információvédelemre, illetve az informatikai védelemre, sőt néha a kommunikációs, információs és más elektronikus rendszerek védelmére is az information security kifejezést használják, az egyes fordítások még inkább zavarossá teszik a képet.”14 A szövegkörnyezet általában egyértelművé teszi, hogy információvédelemről vagy informatikai védelemről van szó. Az információbiztonság (Information Security, IS) mint szakterület, alapvetően informatikai
gyökerekkel
rendelkezik,
ám
„hatóköre”
az
ezredforduló
tájékán
folyamatosan bővülni kezdett, azzal hogy a technika egyre komplexebbé vált és válik napjainkban folyamatosan. Mára az informatikától való függés gyakorlatilag totális, a „teljes rendszer” egyéb összetevőinek menedzselése egyre fontosabbá vált. Ezen szakterületek például az
13
http://www.navigatorrt.hu/informacio_hatalom_avagy_az_informaciobiztonsag_ot_alappillere.html
14
http://portal.zmne.hu/download/bjkmk/bsz/bszemle2008/4/10_Muha_Lajos.pdf
18
információk osztályozása és átfogó védelme, a humán biztonság, az üzletmenet átfogó értelmezése
és
folytonosságának
biztosítása,
a
biztonsági
incidensek
és
katasztrófahelyzetek kezelése, illetve biztonsági rendszerünk folyamatos fejlesztése. „Napjainkban a vállalatoknak mindennapi üzletmenetük biztosítása mellett kiemelten kell foglalkozniuk az információbiztonság megteremtésével, mivel a bizalmas információk megőrzése, sértetlenségének és rendelkezésre állásának biztosítása alapvető fontosságú. Az információbiztonságra ma már nem csupán prevencióként kell tekintetni, hanem sokkal inkább átfogó stratégiai kérdésként. A vállalatok az információbiztonsági feladatokat sokszor az informatikai biztonság megteremtésével próbálják lefedni (hiszen az információbiztonság az informatikai biztonság egyik alrendszere), ám ez nem egytényezős feladat, hanem egy komplex, sokszereplős folyamat eredménye.”15
2.2. Az információbiztonság menedzselése Az Információbiztonsági irányítási rendszer (Information Security Management System, ISMS) „az átfogó irányítási rendszernek az a része, amely – egy, a működési kockázatokat figyelembe vevő megközelítésen alapulva – kialakítja, bevezeti, működteti, figyeli, átvizsgálja, fenntartja és fejleszti az információvédelmet. […] Az irányítási rendszer magában foglalja a szervezeti felépítést, a szabályzatot, a tervezési tevékenységeket, a felelősségi köröket, a gyakorlatot, az eljárásokat, a folyamatokat és az erőforrásokat.”16 Az információbiztonság menedzselésének módja tehát egy adott szervezet stratégiai döntései közé tartozik, figyelembe véve a szervezet méretét, tevékenységét, szervezeti és technikai adottságait és nem utolsó sorban: céljait. Az IS, társterületekkel együttműködve, ám önmagában autonóm menedzsmenttel kell, hogy rendelkezzen, saját magára vonatkozó küldetéssel (mission), a jövőről alkotott elképzelésekkel (vision), stratégiai tervekkel, illetve a stratégia végrehajtását lehetővé tevő operatív tervekkel, illetve a stratégiához való folyamatos visszamérést lehetővé tevő mutatószám-rendszerrel. Az ISO 27001 szabvány
15
http://www.navigatorrt.hu/informacio_hatalom_avagy_az_informaciobiztonsag_ot_alappillere.html
16
http://poligont.hu/tudasbazis/IBIR%20szakkifejez%C3%A9sek?code=a3301f2aa1d198cf589d59c5b76d2df4
19
által előírtak megvalósításához az ISO 27002 nyújt segítséget, amelyet a Közigazgatási Informatikai Bizottság is feldolgozott 25. sz. ajánlása keretein belül.17 Az alábbi felsorolás az MSZ ISO/IEC 27001:2006 szabvány alapján bemutatja az információbiztonság, mint szakterület felépítését. (A felsorolásban a szabvány angol verziójának saját fordítását használom fel.) A jogszabályoknak, illetve belső utasításoknak való megfelelés biztosítása és Alkalmazás-fejlesztés és rendszer-beszerzés biztonsági követelményei auditálás Az információbiztonsági terület belső szabályozási, folyamat- és Az informatikai üzemeltetés és a telekommunikáció biztonsága (technikai Biztonsági incidensek kezelése (feltárás, jelentés, eseményekből való tanulás) biztonsági intézkedések) felelősségrendszerének kialakítása, a kockázatokkal arányos védelem biztosítása Fizikai biztonság Humán biztonság (intézkedések felvételkor és a munkaviszony megszűntetésekor, illetve folyamatos biztonsági tudatosítás) Információs vagyon osztályozása és kezelése (adat, szoftver, hardver, hálózat, stb.) Jogosultságok kezelése (rendszerekhez, helyiségekhez, eszközökhöz, hálózathoz, kidolgozása, katasztrófa-elhárítás) Külső felekkel kapcsolatos kockázatok kezelése stb. való hozzáférés) Üzletmenet-folytonosság menedzselése (kiesések kezelése, helyettesítő eljárások Mindezen témakörök átfogó kezelése nem egyszerű feladat, ám az ISO 27001 szabvány egy olyan rendszert vázol fel, amelyben a terület komplex menedzselése kezelhetővé válik. Az információbiztonság, de maga az informatika is viszonylag fiatal iparágnak számítanak. Ennek egyik hátrányos folyománya, hogy a szakmai terminológia nem teljesen letisztult.
17
http://www.mszt.hu/web/guest/msz-iso-iec-27001
20
Sőt, ahogy a terület „érik”, úgy lesznek komplexebbek mind saját magán belüli, mind az egyéb szakmákkal való kapcsolatrendszerei – fogalmi keretei tágulnak. Az e fejlődést lehetővé tevő terminológia is egyre bővül. Bár a témakörben az elmúlt tizenöt évben kiadott ISO szabványok és egyéb nemzetközi publikációk, ajánlások sokat javítottak ezen a hiányosságon, a (főleg) angolról magyarra történő fordítások során, az angol nyelven egészen egyértelmű jelentéssel bíró fogalmak és kifejezések ködössé váltak, sőt, egyes esetekben jelentésük is torzult. Emiatt a magyar szóhasználat esetenként nem egyértelmű, amely szakmai körökben tapasztalatom szerint rendszeres, kisebb-nagyobb vitákat eredményez, melyek a lényegi problémáktól eltávolodva, félreértésektől nehezített elméleti, értelmezésbeli fejtegetésekbe torkollanak.18
18
http://www.mszt.hu/web/guest/msz-iso-iec-27001
21
3. Veszélyek és az ezekkel szembeni védekezés „A biztonságot fenyegető legnagyobb veszély az emberi természet”19 Az információ ma a gazdaságban az egyik legalapvetőbb érték, hiszen az információ a vállalatok számára egyet jelent a tudásbázissal, a versenyelőnnyel, a versenyképességgel, sok esetben ez jelenti a a szervezet „vagyonát”, különös tekintettel pénzügyi tevékenységű vállalatokra. Mint ahogy a vállalat minden értékének védelmére nagy erőt fordítanak a szervezetek, így az információ védelme is a vállalat elsődleges feladatai között szerepel. „Míg a hazai vállalkozások többsége néhány éve még kizárólag az IT-részleg feladatának tekintette a cég érzékeny, üzleti szempontból értékes adatainak védelmét, a válsággal összefüggésben rohamosan növekvő kockázatok felnyitották az üzleti oldal, vagyis a vállalatok pénzügyi vezetőinek, döntéshozóinak a szemét. Ennek ellenére még mindig kevés a saját adatait hatékonyan védeni képes vállalat Magyarországon – sok vezető nem tudja, milyen intézkedésekre célszerű költenie, és bizonytalan abban, hogy a végül megrendelt szolgáltatás valójában mennyit ér.”20 Az adatlopás kockázatait növeli a technológia fejlődése is, így például a nagyobb mobilitás, az online üzleti alkalmazások népszerűsége, vagy a kiszervezett tevékenységek terjedése. Az adatok szivárgását sok esetben mégsem külső támadók (pl. kiberbűnözők, hackerek) okozzák, hanem a vállalat saját munkatársainak véletlen hibái, vagy szándékos visszaélései. Utóbbira példa a munkaviszony megszűnése előtti napokban a munkavállaló által végzett adat „kimentés”. Egy - még a válság előtt készült - 1385 üzletembert megcélzó nemzetközi felmérés megállapította, hogy a megkérdezett cégvezetők 29%-a tulajdonított el vállalati információt akkor, amikor távozott korábbi munkahelyéről. Mindezek alapján megállapíthatjuk, hogy az eltulajdonított adatokért legnagyobb részben maga az ember a felelős.
19
Kevin D. Mitnick, Hacker
20
http://bitport.hu/itthon-is-egyre-inkabb-uezleti-kerdes-az-informaciobiztonsag
22
3.1. Az információbiztonság alapfenyegetettségei Védendő értékek:
Információk
Alkalmazások
Emberi erőforrás
Informatikai infrastruktúra Alapvetően a vállalatok kapcsán azt kell meghatároznunk, hogy mi az amit
védenünk kell. Az itt felsorolt értékeket számtalan tényező fenyegeti. Az értékek védelmének középpontjában az adat, mint tárolt információ áll, melyet egyfajta védőburokként vesz körül egy az adatokat tároló eszköz, berendezés. Az ember és az emberi tényező pedig ezen eszközök védelme miatt fontos, magyarul az ő kezében összpontosul az egész védelem lényege és esszenciája. Ezt a 3. számú, a védendő értékek és az azokat fenyegető emberi kockázatokat ábrázoló ábra jól szemlélteti.
23
3. ábra: A védendő értékek és az azokat fenyegető emberi kockázatok (saját szerkesztés) A különböző fenyegetettségek származhatnak kívülről és a szervezeten belülről is, lehetnek véletlenszerűek vagy szándékosak. A védelmi rendszer hiányosságai révén az információ sérülhet, nyilvánosságra kerülhet, illetéktelenek férhetnek hozzá illetve akár meg is semmisülhet. Mindezek alapján az adatok sértetlenségének, bizalmasságának és rendelkezésre állásának biztosítása, a sérülések és az adatvesztés elkerülése kritikus fontosságú feladat. Az információk biztonságával kapcsolatban több kulcsfontosságú szempontot is figyelembe kell venni illetve értékelni azokat, legyen az információ elektronikus vagy papír alapú.
Alapkövetelményként jelenik meg az információkkal kapcsolatban a
rendelkezésre állás, integritás, és a bizalmasság, ahogy ezt a fenti kép is mutatja. A 24
vállalatok egy részénél tevékenységi körükből adódóan elsődleges követelmény az üzleti folyamataihoz szükséges információk folyamatos elérhetősége. Bizonyos tevékenységek esetén akár egy pár órás kiesés is a cég csődjét jelentheti. Általánosságban megfogalmazható, hogy az információkkal kapcsolatban három biztonsági követelmény jelenik meg, ezek: Bizalmasság Sértetlenség Rendelkezésre állás illetve egy plusz követelményként még a hitelesség. A bizalmasság elve szerint az információkhoz csupán az arra jogosultak férhetnek hozzá. A jogosultsági szintek meghatározása specifikusan történik. A sértetlenség elve azt jelenti, hogy az információnak naprakésznek, és konzisztensnek kell lennie. A fizikai sértetlenség mellett a logikai helyesség is követelmény. A rendelkezésre állás elve alapján az információnak minden időpillanatban rendelkezésre kell állnia, amikor arra szükség van.
3.2. Egyéb fenyegetettségek •
illetéktelen hozzáférés,
•
a számítógép, vagy az adathordozó meghibásodása, sérülése
•
vírusok
•
túlfeszültség, áramszünet.
Illetéktelen hozzáférés: A számítógépen tárolt adatokhoz sajnos olyanok is hozzáférhetnek akikre ez nem tartozik. Ilyenkor a „betörők” nem csak beleolvashatnak hanem akár bele is törölhetnek dokumentumainkba. A legegyszerűbb szabály ennek elkerüléséhez, hogy ne engedjünk illetéktelent a számítógép közelébe, vagyis tartsuk zárható helyen. Amennyiben hálózaton dolgozunk ügyeljünk a hozzáférési jogok kiadására. Az illetéktelen hozzáférés megakadályozására elterjedt módszer a jelszavak alkalmazása. Ez egy egyszerű és elegáns módszer, azonban ha adataink nagyon fontosak akkor komolyabb védelemre is szükség
25
lehet. Ilyen pl.: a hardvervédelem (castridge kártya) alkalmazása vagy az adatállományok rejtjelezése. A számítógép vagy az adathordozó sérülése: Murphy óta tudjuk, hogy ami elromolhat, az el is romlik, mégpedig úgy, hogy a lehető legnagyobb kár származzék belőle. Nincs ez másként a számítógépes rendszerek esetében sem. Tönkremehet a gép, sőt maga az adathordozó is. Az igazsághoz azért hozzátartozik, hogy amióta a winchester a munkaadatok tárolásában gyakorlatilag egyeduralkodóvá vált, az adathordozó sérüléséből származó adatveszteségek száma jelentősen csökkent, hiszen a hajlékonylemez (floppy) sokkal könnyebben tönkrement, mint a védett helyen beépített, pormentesen zárt winchester. Igaz viszont, hogy ha a winchester egyszer mégis megsérül, akkor egyszerre hatalmas adattömegek válhatnak hozzáférhetetlenné. Megemlítendő, hogy az adathordozó sérülésekor érdemes megkülönböztetni a fizikai sérülést (amikor az a hordozóról bár fizikailag rajta maradt a hordozón, „normális” módon megközelíthetetlen, pl. mert a fájlelhelyezési tábla (FAT) sérült vagy tönkrement). Fizikai sérülések megelőzése, megbízható adattárolás Adathordozóink élettartamát helytelen kezelésük is megrövidítheti. A winchesterre az a legkárosabb, ha az éppen működő gépet emelgetjük, tologatjuk vagy lökdössük. Ezért a számítógép toronyházát sohase tegyük úgy az asztal alá, hogy a lábunk beleütközhessen. A hajlékony lemezeket, CD-ket portól, hőtől, mechanikai hatásoktól egyaránt óvni kell. Valamennyi mágneses elven működő adattároló érzékeny a mágneses terekre. A napjainkban főként használatos pendrive viszont ilyen szempontból sokkal „életképesebb” és kevésbé kell odafigyelnünk a védelmére. Vírusok A vírusok olyan programok, amelyek önmagukat másolják, szaporítják , vagyis „fertőznek”, a fertőzött környezet viselkedését pedig átalakítják. A vírusokat általában rosszindulatú emberek írják azzal a céllal, hogy adatállományokat tegyenek tönkre, és megbénítsák a számítógépeket. A vírusoknak öt fő támadási területük van: az operációs rendszer, a betöltőszektor, a merevlemezek partíciós táblája, a futtatható állományok, Word- és Excel-állományok. A vírusok működése kétirányú: fertőzés és rombolás. A 26
fertőzés fázisában minden elindított programot megfertőznek, majd valamilyen feltétel teljesülésekor rombolnak. A rombolás lehet nagy szelíd, de lehet igen goromba is. Fertőzési módjukat tekintve a futtatható állományokat támadó vírusok fertőzhetnek felülíró módon, hozzátoldással, lopakodva és többlaki módon. Vírusfertőzésre
gyanakodhatunk
gépünk
bármely
rendellenes
viselkedését
tapasztalva, eddig stabilan működő programok lefagyása, a számítógép gyakori újraindulása, indokolatlanul felszaporodó winchesterhez fordulás, szokatlan szövegek megjelenése, állományok és regisztrációs bejegyzések gyakori eltűnése vagy sérülése, meglepő, például nagyon lelassult hardverműködés stb.21 Védekezés a vírusok ellen A vírusok pusztítását legegyszerűbben úgy tudjuk elkerülni, ha nem engedjük meg, hogy a gépre kerüljenek. Ennek érdekében: •
csak jogtiszta szoftvereket használjunk
•
használjunk jogtiszta víruspajzsot, vírusfelismerőket és vírusirtókat
•
állítsuk be a BIOS-ban a vírusvédelmet
•
ne engedjük a boot szektort felülírni, kivéve, ha az az operációs rendszer felvitele
•
lemezt soha ne felejtsünk a meghajtóban
•
alkalmazzunk többféle vírusölő programot, és azok a legfrissebbek legyenek.22
Túlfeszültség, áramkimaradás Az elektromos hálózatban időnként fellépő túlfeszültségek tönkretehetik a számítógépet. Áramszünet esetén értékes adatok veszhetnek el. Az adatvesztések közel 50%-át tápellátás zavaraira lehet visszavezetni. Túlfeszültség és áramszünet kivédése A
viharok
idején
túlfeszültségvédelmet,
illetve
fellépő
túlfeszültségek
szünetmentes
21
http://users.atw.hu/szalina/adatbiztonsag.html
22
http://users.atw.hu/szalina/adatbiztonsag.html
27
ellen
áramforrást
is
védekezhetünk,
alkalmazunk.
Az
ha
utóbbi
lényegében villám- és túlfeszültség-védelemmel ellátott megbízható tápfeszültséget nyújtó akkumulátoros eszköz. A szünetmentes áramforrás lehetővé teszi, hogy váratlan áramszünet esetén is bőven legyen időnk menteni a munkánkat.
3.3. A védelem forrásai Az utóbbi években, évtizedekben több előírás is született az informatikai eszközök védelmével kapcsolatban. Korábban az információbiztonság területén az előírások tekintetében
nem
volt
egységes
szabályozás.
Születtek
előírások,
szabályozó
dokumentumok különböző nemzetek esetében, amelyek különböző részletességűek, felépítések voltak. Azonban mindenki számára világossá vált, hogy szükséges egy egységes, nemzetközi szabályozásra. Ennek érdekében készítették el az „ISO/IEC 27001:2005
MSZ
ISO/IEC
27001:2006
Informatika.
Biztonságtechnika.
Az
információbiztonság irányítási rendszerei. Követelmények” című szabványt, amely egységes nemzetközi szintű követelményeket tartalmaz információbiztonsági irányítási rendszerre vonatkozóan. Néhány, az információ és IT biztonság területén alkalmazandó általános szabványok, előírások a teljesség igénye nélkül: •
ISO
27000-es
szabványcsalád
(ISO
27001,
ISO
27002)
információbiztonság menedzselése című alpontban részletesen írok)
23
•
ITIL (BS 15000:2000)
•
COBIT 4.0
•
Common Criteria 2.1 (ISO/IEC 15408:1999)23
http://www.cert.hu/content/fontosabb-nemzetk%C3%B6zi-informatikai-biztons%C3%A1gi-
szabv%C3%A1nyok
28
(erről
az
4. Empirikus kutatásom részletezése A szakdolgozatomhoz készített kérdőívem, ahogy a bevezetőben is említettem az EvaSys nevű kérdőívkészítő és kiértékelő programmal készült és a http://evasys.unimiskolc.hu/evasys/indexstud.php?pswd=ITRoland címen volt kitölthető 2014. május 10éig. A kérdőív szétküldése elsősorban a Neptun tanulmányi rendszer segítségével történt, ahol az évfolyamomon tanuló gazdász hallgatók nagy része megkapta és remélhetőleg ki is töltötte, töltette azt rokonaival, ismerőseivel. Ezen kívül egyéb ismerőseim is szívesen segítettek nekem és töltötték ki a kérdőívet. 2014. május 10-éig 316 kitöltők regisztráltunk, de az online kérdőívek egyik sajátossága eredményeként, minden kérdésre értékelhető módon ennél kevesebben, 260-ean válaszoltak. A kérdőív kidolgozásánál az úgynevezett Security Awareness Survey (SANS) kérdőívet használtam mintának és a tényfeltáró vizsgálat miatt igyekeztem a lehető legegyszerűbb és legrövidebb kérdéssort összeállítani. A
SANS
kérdőívet24
az
Amerikai
Egyesült
Államokban
dolgozó
információbiztonsági szakértők dolgozták ki és a hétköznapi szokásokat méri fel és azokhoz rendel 1-5-ig terjedő skálán egy értéket, majd az összesített értékek alapján öt kockázati kategóriába sorolja a válaszadókat. A SANS kérdőív 25 kérdésből áll, én azonban ezek közül csupán 22-őt használtam, ezért mivel minden kérdésre jár egy pontszám, szükség volt az 1-5-ig terjedő skála értékeinek arányos csökkentésére. A legalacsonyabb kockázati kategóriába tartozó munkavállalók jellemzője, hogy tisztában vannak a biztonsági alapelvekkel és veszélyekkel, jól képzettek, mindennapi viselkedésük megfelel a munkahelyi biztonsági szabályoknak és irányelveknek. A második legkisebb kockázatot jelentő csoportba tartozó munkavállalók már vettek részt valamilyen IB-képzésen, tisztában vannak a veszélyekkel, de mégsem követik teljes mértékben a vonatkozó biztonsági alapelveket és szabványokat. Az átlagos veszélyt jelentő kockázati csoportba azok a munkavállalók tartoznak, akik tisztában vannak a veszélyekkel és tudják, hogy bizonyos biztonsági alapelveket be kellene tartaniuk, de továbbképzésre szorulnak a témában. Esetükben különösen az jelent
24
http://www.sans.edu/student-files/awareness/employee-security-awareness-survey.pdf
29
veszélyforrást, hogy nem ismerik fel biztosan az incidenseket és nem tudják, mi a teendő ilyen esetben. A jelentős kockázati tényezőt jelentő csoportba tartozók nincsenek tisztában a biztonsági alapelvekkel és veszélyekkel, sem pedig munkaszervezetük biztonsági szabályzatával. A kimondottan magas kockázati tényezőt jelentő csoportba tartozó munkavállalók nincsenek tisztában a veszélyekkel és nincsenek tekintettel a biztonsági szabályzatokra sem. Tevékenységük folytán a munkahelyi informatikai rendszer könnyen támadhatóvá válik a behatolók által. A kérdőív 54 kérdésből állt, amelyek a következő nagyobb témákat érintették: demográfiai kérdések (6 kérdés), a kitöltők munkahelyének jellemzői (5 kérdés), információ-biztonsági tudatossággal kapcsolatos kérdések (30 kérdés), a kitöltő személyes adatai (3 kérdés) illetve 10 plusz kérdés a kérdőív végén. A számomra leginkább fontos kérdéseket az információ-biztonsági tudatossággal kapcsolatos 30 valamint a kérdőív végén található plusz 10 kérdés tartalmazta. Ezek a következő főbb témaköröket érintették: munkaszervezet és szabályozás (7 kérdés), információbiztonsággal kapcsolatos tudások és ismeretek a mindennapi felhasználói környezetben (7 kérdés), informatikai eszközök használata és adatkezelés (3 kérdés), általános számítógép használati szokások (10 kérdés), jelszavak használatával kapcsolatos szokások (5 kérdés), IT- részleggel kapcsolatos kérdések (4 kérdés) valamint az adatmentéssel kapcsolatos kérdések (4 kérdés). A beérkezett válaszokat az SPSS25 statisztikai programcsomag segítségével dolgoztam fel illetve az ábrák az Excel használatával készültek.
4.1. Fontos megállapítások a kérdőívvel kapcsolatban Minden kérdőíves felmérésnek meg van az a veszélye, hogy az azt kitöltők szeretnének megfelelni a kérdőív elvárásainak illetve egy online (számítógépen kitöltött, kitöltetett) kérdőív kitöltése nagyrészt csak azoktól várható el, akik rendszeresen, napi
25
http://www.spss.hu/
30
szinten vagy legalább heti, havi pár alkalommal használják a számítógépet,valamint nincs az informatikai eszközökkel kapcsolatban negatív attitűdjük, és valamennyire érdekli is őket ezen téma. Ezeket mérlegelve láthatóvá válik, hogy a kérdőívet kitöltők között viszonylag magas a kihagyott kérdések száma, és ez főként a több gondolkodást igénylő valamint a felhasználók kevésbé érintő témákkal kapcsolatos kérdéseknél figyelhető meg. A kérdőívre adott válaszok értékelése előtt le kell szögezni, hogy az informatikai biztonság olyan terület amely „nem mérhető jól” kérdőívvel. Ennek két oka van. Az egyiket fentebb már említettük: sokan a kérdésfeltevés analógiájára próbálnak logikusan szándékuk szerint helyesen válaszolni. Pontos mérés tehát akkor keletkezne, ha éles helyzetben kiderülne, hogy a munkavállaló valóban úgy is cselekszik, mint ahogy elméletben tudja vagy sejti a jó választ. A másik fontos oka annak, hogy nehéz mérni egy szervezet informatikai biztonsági szintjét azzal, hogy a kérdőíves kutatások logikájának megfelelően nem a teljes alapsokaságot nézzük, hanem azokból valamilyen módszer szerint mintát veszünk, ellentmondva annak, hogy az informatikai biztonság egyik legfontosabb célkitűzése mindig az „egyenszilárdság” megteremtése. Egy példával illusztrálva ez azt jelenti, hogy ha százból csak egyetlen felhasználó hagyja nyitva a munkahelyén a bejárati ajtót, akkor azon ugyanúgy be tudnak menni a (adat)tolvajok, mintha 99 hagyta volna nyitva. Tehát, ha egyetlen számítógépet sikeresen megfertőznek célzott, vagy véletlen támadás során, akkor onnan már könnyedén, de legalábbis könnyebben tudják a szervezet többi számítógépét, szervereit célba venni. További fontos információ a kiértékelés előtt, hogy tökéletes biztonság nem létezik, de a szervezet erőforrásaihoz képest erre kell törekedni. A ráfordítások és a biztonsági szint arányban tartása és ezen arány eldöntése mindig az adott szervezet vagy intézmény feladata és felelőssége.
4.2. A minta bemutatása és értékelése A minta statisztikai értelemben nem reprezentatív a rendelkezésre álló szűk időkeret és a kitöltők nem elég „széles bázisa” miatt. A válaszokból kitűnik, hogy a kérdőívet kitöltők több mint kétharmada nő (69%) és 31%-a férfi. Túlnyomó többségük nőtlen vagy hajadon illetve 25%-uk vagyis minden negyedik kitöltő nős/házas. Ezek mellett elhanyagolható csoportot képez az özvegyek, elváltak és külön élők száma. Iskolai végzettség tekintetében magas a jelenleg egyetemi tanulmányokat folytatók aránya (39%) 31
köszönhetően annak, hogy nagyrészt egyetemistákkal volt kitöltetve a kérdőív, bár azért remélhetőleg a családjukban élő vállalkozókkal is kitöltették. Elhanyagolható azok aránya akik nem rendelkeznek érettségivel (nagyjából 1%) és azoké is akik posztgraduális szinttel vagy doktori fokozattal rendelkeznek jelenleg vagy netán még ilyen tanulmányokat folytatnak. A válaszolók majdnem felének (42%) a család éves bruttó jövedelme 2 és 4 millió forint között van míg 23%-uk kevesebb mint bruttó évi 2 millió forintból él meg. A demográfiai kérdések után a kérdőív második része a kitöltők munkahelyére fókuszál. Ezen résznél mindenekelőtt le kell szögezni, hogy a kitöltők tulajdonképpen egy vállalkozást képviselnek, egytől egyig minden fő, vagyis az ő munkahelyükre vonatkozó válaszaik az adott vállalatra vonatkozó információkat szolgáltatnak számunkra. Ezen részből jól látható, hogy a 316 kitöltőből 118 fő az aki ténylegesen dolgozik, hiszen itt kértem, hogy csak azok jelöljenek be valamit akik dolgoznak is, a többiek pedig a 3.1-es kérdéssel folytassák a kérdőív kitöltését. A munkahellyel rendelkezők legnagyobb része (45%) nagyvállalatnál26 dolgozik, ami számomra meglepő, mivel én ennél jóval kisebb arányra számítottam ezen vállalkozási méret kapcsán. Szektorok tekintetében túlsúlyban vannak a Profitorientált helyi szervezetek (24%), a helyi önkormányzati szervezetek (15%) illetve a Non-profit állami szervezetek (13%). Itt sajnos nem voltak elég lehatároltak a megadott szektorok hiszen az „egyéb” jelzőre 27% kattintott. A vállalkozás telephelyénél túlsúlyban vannak az Észak-Magyarországi telephellyel rendelkező vállalkozások (82%) emellett kisebb arányban töltötték ki Közép-Magyarországi (12%), Észak-Alföldi (5%) illetve Dél-Dunántúli (1%) telephelyű vállalkozások dolgozói. A vállalkozások fő tevékenységi körénél túlsúlyban vannak a „Kereskedelemmel, gépjárműjavítással” foglalkozó vállalatok (15%), a „Közigazgatás, védelem, kötelező társadalombiztosítási” csoportba tartozók (14%), illetve a „Pénzügyi, biztosítási tevékenységet” végzők (9%) valamint a „Szakmai, tudományos tevékenységet” (8%) folytató vállalkozások. A kérdőív első két részéből megállapítható, hogy a mintában valós súlyuknál nagyobb arányban képviseltetik magukat az Észak-Magyarországi vállalkozások illetve a náluk dolgozók valamint a női dolgozók.
26
Azon vállalatok tartoznak ide, amelynél a foglalkoztatottak száma több, mint 250 fő
32
4.3. Globális, egyéni, szervezeti és infrastrukturális információbiztonság A minta egészét tekintve megállapíthatjuk, hogy a kérdőív alapján napjaink információ-biztonsági tudatossága megfelelő szinten van és a várnál sokkal jobb eredményt mutat. A globális képet tekintve a válaszadók 23%-a került a legkisebb kockázati besorolású csoportba illetve 65% a második legkisebb kockázati csoportba, a harmadik csoportba pedig a kitöltők 11%-a. A két leginkább kockázatos csoportba egyetlen kitöltő sem került. Ez számomra hatalmas meglepetés, hiszen ennyire jó eredményre egyáltalán nem számítottam. A kérdőív elkészültének alapvető célja a globális vizsgálat mellett az volt, hogy egyfajta kapcsolatot tárjon fel a férfi és a női nem illetve az általam választott 4 csoport (érettségivel rendelkező férfi, érettségivel rendelkező nő, diplomával rendelkező férfi, diplomával rendelkező nő) információ-biztonsági tudatossági helyzetéről napjainkban. Ahogy az előzőekben említettem a kérdőívet jóval több nő töltötte ki mint férfi, nagyjából a kitöltők kétharmada tartozik a gyengébbik nemhez. Ezt az alábbi ábra szemlélteti:
4. ábra: A kérdőívet kitöltők nemek szerinti megoszlása (forrás: saját szerkesztés a kérdőív adatai alapján) Ezen belül pedig a következő ábra mutatja a nemek végzettség szerinti megoszlását.
33
5. ábra: A nemek végzettség szerinti megoszlása (saját szerkesztés a kérdőív adatai alapján) A női nem nagyobb százaléka rendelkezik érettségivel, viszont férfiaknál jóval több a diplomások aránya. Vagyis a kitöltők között azt láthatjuk hogy a férfiak átlagban magasabb végzettségűek női társaiknál. Ehhez tartozik egy másik ábra, mely az általam korábban említett 22 kérdés alapján kategorizált egyének nemek szerinti bontását tartalmazza.
6. ábra: A férfi és női nem kategóriák szerinti megoszlása (Forrás: saját szerkesztés a kérdőív adatai alapján) 34
Ezen ábra alapján is jól látható, hogy a két legrosszabb kockázati csoportba se női, se férfi egyén nem került. Dicséretes hogy mindkét nem esetében nagyjából minden 5. kitöltő a legjobb kategóriába került illetve hogy 5% illetve 13% csupán a 3. kategóriába kerülők aránya. Ez a kategória sem mondható annyira rossznak lévén, hogy a SANS kérdőívet elkészítők szerint az ebbe a kategóriába tartozók tisztában vannak a rájuk leselkedő veszélyekkel és tudják hogy bizonyos biztonsági alapelveket be kellene tartaniuk, de továbbképzésre szorulnak a témában. Vagyis néhány erre irányuló tanfolyam segítségével bizonyos hogy ők is egy magasabb és jobb kategóriába kerülnének. Ahogy az előzőekben említettem a két nemre való bontás mellett még létrehoztam 4 csoportot aminek az információbiztonsági tudatosságát vizsgáltam. A fenti ábrát (6. ábrát) célszerű megnézni ebben a bontásban is, hiszen így a nem mellett a végzettség tekintetében is választ kaphatunk arra, hogy ez mennyire befolyásolja a felhasználók tevékenységét.
7. ábra: A 4 csoport kategória szerinti megoszlása (forrás: saját szerkesztés a kérdőív adatai alapján) Ezen ábra kapcsán az 1. kategóriánál a várt eredményt kaptam, hiszen a diplomás férfiak illetve nők aránya magasabb a hasonló nemű, de csak érettségivel rendelkező felhasználókkal szemben. A 2. kategóriánál egyfajta kiegyenlítése figyelhető meg ennek. A 3. kategória pedig azt mutatja, hogy a női nem tagjaiból maradtak főként olyanok akik csak ebbe a kategóriába kerültek be vagyis elmaradtak a férfiaktól.
35
Annak érdekében, hogy a globális értékelésen túl egy részletesebb képet is kapjak azon területekről ahol a válaszadók jól illetve rosszabbul teljesítettek a kérdéseket három nagy dimenzió mentén különítettem el. Ez a 3 dimenzió a szervezeti, egyéni illetve infrastrukturális dimenzió. A szervezeti dimenzióba olyan kérdések kerültek, amelyek a céges szokásokat és eljárásokat mérik: Ilyenek például, hogy Van-e IB-részleg a munkahelyén?, Tudja-e kihez kell fordulnia, ha számítógépét feltörték?, Szokott-e céges adatokat lemásolni és hazavinni?, Részesült-e munkahelyén IB-képzésben? stb. Az egyéni dimenzióba kerültek azon kérdések, amelyek általános ismereteket és szokásokat tükröznek a felhasználó szintjén: pl. Észrevenné-e, ha gépét feltörnék?, Megadta-e már céges jelszavát másnak is?, Milyenek a levelek csatolmányainak megnyitásával kapcsolatos szokások? stb. Végül infrastrukturális dimenzióba soroltam az olyan kérdésekre adott válaszokat, amelyek a munkahelyi informatikai infrastruktúra állapotáról alkotott válaszadói percepciókat mérték, vagyis azt, hogy a válaszadók szerint mennyire biztonságosak a munkahelyi rendszereik: pl. Telepítve van-e vírusirtó a gépén?, Számítógépe automatikusan végzi-e el a frissítéseket?, Talált-e már vírust vagy trójai programot a céges gépén? stb.
A szervezet információbiztonsága A 3 kategória elemzését a szervezeti dimenzióval kezdtem. Az alábbi táblázat azt mutatja meg, hogy a 4 általam választott csoporton belül hogyan oszlik meg az egyes kategóriákba kerültek aránya százalékosan. A szervezeti dimenzióhoz tartozó kérdések azon témaköröket taglalják, hogy a szervezet vezetése hogyan irányítja illetve szabályozza az informatikai biztonsággal foglalkozó részleget/személyt, milyen területekre terjed ki a szabályozás valamint hogy milyen az informatikai biztonsággal foglalkozók hatékonysága. A szervezeti dimenzióhoz kapcsolódó kérdések: Van-e informatikai-biztonsággal foglalkozó részleg az ön munkahelyén? Tudja-e, kihez kell fordulnia abban az esetben, ha számítógépét feltörték vagy megfertőződött, vírusos?
36
Milyen gyakran fordul elő, hogy céges adatokat kell lemásolnia és hazavinnie annak érdekében, hogy otthon tudjon vele dolgozni? 2. táblázat Az információbiztonság-tudatosság szervezeti dimenziója Megnevezés
1. kategória
2. kategória
3. kategória
4. kategória
Érettségizett férfi
51%
30%
14%
5%
Érettségizett nő
49%
31%
16%
4%
Diplomás férfi
65%
27%
4%
4%
Diplomás nő
40%
37%
21%
2%
Forrás: saját szerkesztés a kérdőív adatai alapján A táblázat alapján megállapíthatjuk, hogy az érettségivel rendelkező férfiak és nők fele az első kategóriába került illetve csupán elenyésző százalékuk került a negyedik kategóriába. Ez az elenyésző százalék a diplomás nők illetve férfiak esetében még kisebb. Ezek az arányok azt mutatják, hogy az egyes vállalatok megfelelő IT-képzéseket biztosítanak dolgozóik számára akiknek információbiztonsági képzettsége és tudatossága így elég magas szinten van. A táblázat legjobb és legnagyobb értékét a diplomás férfiak esetében találjuk, ahol az első kategóriába a válaszadók 65%-a került. A diplomás nők esetében meglepő adatokkal kell szembesülnünk, hiszen ez az azt megelőző három sorhoz képest teljesen más eredményt mutat. Ez nem tudom minek tudható be. A legkisebb százalékos értékeket a 4. kategóriánál találjuk. Ezek 2 és 5% közötti értékek. Ez szintén egy pozitív visszajelzése az egyes szervezetek információbiztonsággal kapcsolatos „munkájának”. A válaszadók 65%-a nyilatkozta azt, hogy van informatikai biztonsággal foglalkozó részleg a munkahelyén, vagyis a maradék 35%-nál nincs vagy nem tudja hogy van-e ilyen. Vélhetően ezen vállalatoknál komoly informatikai biztonsági gondok lehetnek, hiszen ebből következik, hogy ott a munkavállalók sem kapnak valós képet az információs és informatikai biztonságról. Nem részesülnek semmilyen képzésben vagy felvilágosításban. Az üzemeltetés által végzett feladatokról ebben a vonatkozásban nincs visszacsatolás sem az üzemeltetés, sem a dolgozók felé. 37
A további két kérdéssel kapcsolatban fontos megjegyezni hogy a kitöltők 83%-a tudja hogy kihez kell fordulnia abban az esetben ha a számítógépét feltörték. A maradék 17% viszont komoly bajban lehet és nagy veszély leselkedik rá. A következő ábra azt mutatja, hogy a munkavállalóknak milyen gyakran kell céges adatokat hazavinniük. Ebből megállapítható hogy a kitöltők majdnem fele napi szinten „viszi haza a munkát” és ez rendkívül kockázatos, hiszen minél gyakrabban visz haza valaki valamilyen céges adatot annál nagyobb veszélynek van kitéve, lévén, hogy az otthoni számítógépek szinte minden esetben kevésbé védettek a céges számítógépeknél. 44% heti vagy havi egyszeri alkalommal visz haza céges adatokat, 7% viszont egyáltalán nem szokott ilyenekkel foglalkozni.
8. ábra: A céges adatok hazavitelének gyakorisága (Forrás: saját szerkesztés a kérdőív adatai alapján)
Infrastrukturális információbiztonság A következő vizsgálati szempont az infrastrukturális dimenzió volt, amely azt taglalja, hogy a vállalatok infrastruktúráját működtető alkalmazottak hogyan ismerik fel az információáramlást biztosító kommunikációs rendszerek felől érkező veszélyeket, hogyan küzdenek meg velük illetve hogy milyen védelmi intézkedéseket foglal ez magába.
38
Ide az alábbi kérdések tartoztak: Talált-e már valaha trójai programot vagy vírust a gépén munka közben? A munkahelyem adatainak és infrastruktúrájának a védelme kizárólag az ITbiztonsági részleg feladata Az ön számítógépe automatikusan elvégzi a frissítéseket? Van jelenleg az Ön számítógépén feltelepítve,frissítve és engedélyezve víruskereső program? A számítógépem vagy a rajta lévő információ nem értékes a hackerek számára. Nem vagyok a célpontjuk! Az ön munkahelyén van arra vonatkozóan előírás, hogy milyen weboldalakat nem látogathat? Az ön munkahelyén van arra vonatkozóan előírás, hogy hogyan használhatja a levelezőrendszerét? Engedélyezett az ön munkahelyén bizonyos felhőszolgáltatások alkalmazása (pl. iCloud, Dropbox, Google Drive) céges adatok tárolására? Töltött le és telepített ön már szoftvereket, akár a munkájához kapcsolódóan (pl. PDF-konvertálás vagy képek átméretezése), akár személyes használatra (pl. zenehallgatás) a munkahelyi számítógépén? A céges informatikai rendszerbe történő bejelentkezéskor ugyanazt a jelszót használja-e, mint a személyes célokra fenntartott fiókjai (pl. twitter,privát e-mail, facebook, iTunes stb.) esetében? Jelentkezett-e már be a céges informatikai rendszerbe valamilyen nyilvános számítógépről (pl. könyvtárban, hotelben, kávézóban)? Ezen dimenzió nagyjából az előzőhöz hasonló képet mutat, annyi különbséggel hogy itt pár válaszadó került az 5. kategóriába is, azonban számuk elenyésző. Bár az lehet hogy figyelemre méltó hogy csupán a női nem tagjai közül kerültek ezen kategóriába a kitöltők közül. A válaszadók nagy része itt is az első illetve második legkisebb kockázatú besorolású csoportba került annyi különbséggel hogy az első kategóriába jóval kisebb százalékkal kerültek be a diplomás nők csoportját kivéve, ahol 1%-nyi eltérés mutatkozik a legjobb kategóriába kerülők között a két dimenzió alapján.
39
3. táblázat Az információbiztonság-tudatosság infrastrukturális dimenziója Megnevezés
1. kategória
2. kategória
3. kategória
4. kategória
5. kategória
Érettségizett férfi
21%
63%
14%
2%
0%
Érettségizett nő
23%
52%
16%
8%
1%
Diplomás férfi
31%
46%
19%
4%
0,%
Diplomás nő
42%
42%
12%
2%
2%
Forrás: saját szerkesztés a kérdőív adatai alapján Az infrastrukturális dimenzióhoz kapcsolódó kérdéseket egyenként vizsgálva kiemelnék pár fontos dolgot:
A válaszadók csupán 40%-a találkozott trójai programmal vagy vírussal munkája
közben vagyis 60% csak hírből hallott róla és nem biztos hogy tudja hogy mi a teendő ilyen támadások esetében.
70% azok aránya akiknek a gépe automatikusan elvégzi a frissítéseket, ami igen
szembetűnő. Én magam is találkoztam több olyan informatikussal is aki alapból úgy állítja be a gépét, hogy az ne frissítsen automatikusan.
93%-nak van telepítve a számítógépén víruskereső program, a maradék 7% lehet,
hogy nincs is tudatában annak, hogy mekkora bajban van.
48% gondolja úgy, hogy a számítógépén szereplő információk nem értékesek a
hackerek számára. Maradjunk annyiban hogy a maradék 52% jóval tájékozottabb információbiztonsági témákban.
54% nyilatkozott úgy, hogy munkahelyén nincs arra vonatkozó előírás hogy
hogyan használhatja levelezőrendszerét. Ezen cégeknél be lehetne vezetni néhány reformot ezen a téren.
Csupán 27% mondta azt hogy jelentkezett már be a céges informatikai rendszerbe
valamilyen nyilvános számítógépről. Ennél én többre számítottam, de ezt megfelelő továbbképzési programokkal még tovább is lehetne csökkenteni. 40
Egyéni információbiztonság A harmadik általam választott dimenzió az egyéni döntéseket illetve az egyes munkavállalók információbiztonsággal kapcsolatos hozzáállását takarja, ez az egyéni dimenzió. Ide olyan dolgok tartoznak, hogy az alkalmazottak milyen mértékben értik a meghatározások jelentését, felismerik-e hogy mi veszélyezteti az információs rendszer működését valamint hogy tudják-e hogy mi a teendő egy informatikai incidens bekövetkezése esetén. Ezen dimenzióhoz a következő kérdések tartoznak: Ön szerint észrevenné-e, ha számítógépét feltörnék vagy megfertőződne? Megadta-e már céges jelszavát másnak, akár cégen belül, akár cégen kívül? Ha törlök egy dokumentumot a számítógépemről vagy formázom a merevlemezt, minden információ örökre elvész, amit a dokumentum vagy a merevlemez tartalmazott. Mennyire érzi biztonságosnak a számítógépét a támadásokkal vagy adatlopásokkal szemben? Ön mennyire óvatos, amikor egy levél csatolmányát megnyitja? Tudja, hogy mi az a spam levél és miről ismerheti fel? Kérte-e már el az ön jelszavát a főnöke vagy valamelyik munkatársa? 4. táblázat Az információbiztonság-tudatosság egyéni dimenziója Megnevezés
1. kategória
2. kategória
3. kategória
4. kategória
Érettségizett férfi
56%
31%
11%
2%
Érettségizett nő
53%
30%
13%
4%
Diplomás férfi
73%
23%
4%
0%
Diplomás nő
49%
44%
2%
5%
Forrás: saját szerkesztés a kérdőív adatai alapján 41
Az egyéni dimenzióhoz tartozó táblázatnál az infrastrukturális dimenzióval ellentétben és a szervezetihez hasonlóan már szintén csak 4 kategóriát találunk vagyis a legrosszabba nem került senki sem. Itt is az első két kategória az ami uralja a sokaság nagy részét. Feltűnően magas értéket találunk a diplomás férfiak tekintetében az első kategóriába eső 73%-al, illetve ezen kívül megemlítendő még hogy a 4. kategóriába egyik kérdőívet kitöltő diplomás férfi sem került hasonlóan a szervezeti dimenzióhoz ahol szintén csak nők kerültek ezen kategóriába. Az előzőekhez hasonlóan a kategóriák szerinti elemezésen túl itt is érdemes néhány kérdést a rá adott válaszok tükrében külön kielemezni. Ezek alapján megállapítható, hogy:
A válaszadók 73%-a úgy gondolja, hogy észrevenné ha számítógépét feltörnék
vagy megfertőződne. A külső támadásokkal, adatlopásokkal szemben pedig 85% érzi biztonságosnak számítógépét illetve ezek közül 10% azok aránya akik nagyon biztonságosnak érzik azt. Ezen százalékos arányok túlzott magabiztosságot feltételeznek a felhasználók részéről. Ennél azért jóval árnyaltabb és fenyegetőbb a helyzet napjainkban.
20% adta már meg céges jelszavát másnak akár cégen belül akár cégen kívül illetve
15% válaszolta azt hogy főnöke vagy valamelyik munkatársa kérte már el a céges jelszavát. Ez a két százalékos mutató nagyjából átfedésben van, nyilván a megkérdezettek közül akiktől elkérte főnöke vagy munkatársa a jelszavát nagy részük sajnálatos módon meg is adta azt.
70% válaszolt helyesen arra a megállapításra, hogy ha törlök egy dokumentumot
vagy formázom a merevlemezt akkor minden információ örökre elvész amit az tartalmazott. A maradék 30% remélem gyarapítja majd ismereteit a közeljövőben.
96% azok aránya akik tudják, hogy mi az a spam levél. A maradék 4%
elhanyagolható és csupán pár kitöltőt takar.
4.4. A kérdőív plusz kérdéseiről Az elkészített kérdőívhez az első néhány kitöltés után plusz kérdéseket raktam hozzá, hogy ezek is jobban segítsék a téma jelenlegi helyzetének megértését. Ezekkel a kérdésekkel így azok akik a kérdőívet még a feltöltését követően rögtön kitöltötték nem találkoztak viszont érdemes néhány megállapítást tenni az ezekre adott válaszok kapcsán.
42
9. ábra: A munkahelyi jelszóváltoztatások gyakorisága (forrás: saját szerkesztés a kérdőív adatai alapján) Ez egy nagyon fontos kérdések a vállalatoknál található információk védelmében. A válaszadók 38%-a egyáltalán nem változtatja munkahelyén használt jelszavát, vagyis ha egyszer az kitudódott vagy meg ellopták akkor onnantól kezdve bárki hozzá férhet a gépen tárolt adatokhoz. Az ilyen dolgozók hanyagságát, figyelmetlenségét mindenképpen orvosolni kellene. A maradék 62% bizonyos időközönként változtat jelszót, ez lehet havonta, negyedévente illetve évente. Ezen dolgozók „cselekedete” már megsüvegelendő és nagyjából negyedéves időközönként érdemes is jelszót változtatni az adatlopások elkerülése érdekében. Szintén a munkahelyi jelszóváltoztatáshoz tartozott a következő kérdés, mely azt taglalja, hogy a munkahelyi számítógépen előírás-e a számítógépek jelszavának bizonyos időközönként történő megváltoztatása. Ezen kérdés teljesen passzol az előzőhez és jól látható, hogy az a 38% aki nem változtat jelszót nagy részt azok közül kerül ki akik itt a 41%-os réteget adják vagyis akiknek fogalmuk nincs arról hogy van-e valamilyen előírás a jelszavak megváltoztatása kapcsán az adott vállalatnál. 26% azok aránya akiknél nem előírás a jelszavak megváltoztatása, viszont mégis megváltoztatják azokat, ők az a réteg akik a leginkább információbiztonság-tudatosak. 32% viszont csupán azért változtatja, mert ez számára kötelező.
43
10. ábra: A jelszavak változtatásának oka (forrás: saját szerkesztés a kérdőív adatai alapján) További megállapítások a plusz kérdésekkel kapcsolatban:
A válaszadók 53%-a nem tudja, hogy szervezeténél létezik-e külön IT-biztonsági
vagy az IT-re kiterjedő biztonsági szabályzat és csupán 28% nyilatkozta azt hogy van ilyen viszont ezeknek csupán fele az amely külön IT-biztonsági szabályzatot takar.
Csupán 30% nyilatkozta azt hogy szervezeténél leszámoláskor megtörténik a
személyesen használt IT eszközök biztonsági átvizsgálása. A maradék 70% munkahelyéről leszámoláskor bármilyen adatot ellophat és nincs senki aki átvizsgálná.
44
5. Az emberi tényező szerepe az információvédelemben Az adatok, információk védelmével kapcsolatban a legnagyobb problémát az ember jelenti, hiszen a felhasználók tudatlanságára, nem megfelelő képzettsége illetve egyéb általam
ebben
a
fejezetben
kifejtett
tulajdonságokra
vezethetőek
vissza
azon
információvesztések, információlopások, melyek a vállalatok számára komoly károkat okoznak. Az emberi mulasztásokból kifolyólag kerülhet sor hardverek őrizetlenül hagyására, kártékony programok telepítésére, jogosulatlan hozzáférésekre, adattárolók elvesztésére vagy bizalmas információk kiszivárogtatására. A szakdolgozathoz készült kérdőívem is sok információval szolgált azzal kapcsolatban, hogy a felhasználók mennyire vannak tisztában az információbiztonság fontosságával, milyen informatikai ismeretekkel rendelkeznek és milyen jelszóhasználati, valamint elektronikus, levelezési és egyéb szokásaik vannak. A kitöltők válaszaiból látható, hogy a pozitív eredmények dacára azért sokan nincsenek tisztában a követendő információbiztonsági irányelvekkel és a nem megfelelő ismeretek komoly kockázatot rejtenek magukban. A probléma gyökere az, hogy a vállalatok alkalmazottai sokszor nem tudják, hogy az általuk használt adatok mennyire értékesek, és ha nem is közvetlenül, de ezek elvesztése, mások számára történő kiadása végső
soron
komoly
károkat
okozhat
vállalatuk
számára.
Nem
csupán
az
információbiztonsági ismeretek hiánya okoz gondot, hanem az is hogy a felhasználók megtanulják ugyan magabiztosan kezelni a munkavégzésükhöz szükséges programokat, azonban ha valamilyen ismeretlen hiba lép fel akkor azzal nem tudnak mit kezdeni. Az alkalmazottak sokszor el sem olvasva nyugtáznak egy hibaüzenetet vagy gondolkodás nélkül írják be jelszavukat és ezek komoly problémákhoz vezethetnek.
5.1. Emberi hanyagság, figyelmetlenség Gyakori veszélyforrások lehetnek az emberi hanyagság vagy a munkatársak figyelmetlenségei is. Tapasztalataim szerint a felhasználók még ha tisztában is vannak bizonyos biztonsági szabályokkal sokszor akkor is, csupán lustaságból elhanyagolják a követendő biztonsági előírásokat (pl. rendszeres jelszóhasználat). Általános probléma, hogy a felhasználók nagy része nincs tisztában azzal, hogy az őrizetlenül hagyott vagy nem megfelelően őrzött eszközök mekkora veszélyt jelentenek információbiztonsági szempontból. 45
Asztali számítógépek és laptopok esetében a számítógép zárolás nélkül hagyása jelenti talán a legnagyobb problémát. Sok felhasználónak eszébe sem jut hogy távollétük alatt valaki leül a gépükhöz és jogosulatlan adatokhoz férhet hozzá, vagy netán módosíthatja és törölheti is azokat. A károkozó lehet belső munkatárs vagy akár külső is. Ha a felhasználók hanyagságból védelem nélkül hagyják gépüket akkor jelentősen megkönnyítik a támadók dolgát. Laptopok, netbookok, notebookok, táblagépek esetében a szervízbe adás során is könnyen adatlopás áldozataivá válhatunk, hiszen ilyenkor a támadó könnyen megnézheti a tárolt adatainkat, törölhet vagy módosíthat adatokat, kártékony programokat telepíthet, elolvashatja a tulajdonos e-mail-jeit, és mindezt anélkül teheti meg, hogy a felhasználó ebből bármit észrevenne. Ilyen eszközök esetében amennyiben a merevlemezen tárolunk adatokat nagyon fontos a megfelelő titkosítás, a gépbe való bejelentkezés biztonságossá tétele, megfelelő jelszavak vagy ujjlenyomat olvasó használata. Hordozó eszközök (pl. pendrive-ok) esetében ajánlott megoldás ha semmilyen céges adatot nem tárolunk ilyen eszközön, hanem csak az adott vállalkozás belső hálózatán. Sok cégnél alapból tiltva is van a pendrive-ok használata.
5.2. Kihasználható emberi tulajdonságok Ahogy az előzőekben kifejtettem számos olyan „nem törődöm” magatartás létezik az alkalmazottak részéről, amelyek adatlopáshoz vezethetnek. Ezeken kívül azonban van még néhány olyan alapvető emberi tulajdonság is, amelyet az adathalászok kihasználhatnak. Ezek közé tartozik a túlzott segítőkészség, a hiszékenység, naivság, befolyásolhatóság, megvesztegethetőség valamint a megfélemlíthetőség. Segítőkészség: ez az egyik legalapvetőbb emberi tulajdonság, hiszen az emberek nagy része szívesen segít az arra rászorulókon, különösen, ha az illető még munkatárs is. Hiszékenység, naivság: ez szorosan kapcsolódik a segítőkészséghez, hiszen ez is egyfajta segítségnyújtás jelent melynek során az áldozatot, aki azt hiszi, hogy segítséget nyújtott másoknak valójában becsapják. Befolyásolhatóság: az emberi többségére jellemző, hogy könnyen befolyásolhatóak, melynek eszköze lehet a meggyőzés, a megvesztegetés vagy a megfélemlítés is. Ezek közül a meggyőzés az amelyik még általában az erőszakot nélkülözi illetve nem törvénybe ütköző, a megvesztegetés és a megfélemlítés viszont már ennél sokkal komolyabb formát is ölthet és akár a rendőrséghez is fordulhat vele az áldozat. 46
5.3. Jelszóhasználat A
jelszó
az
illetéktelen
hozzáférések
megakadályozására
használt
titkos
információdarabka. Manapság a technológia folyamatos fejlődésével és az internet egyre gyakoribb használatával rengeteg jelszót kell fejben tartani, hiszen ezekkel óvjuk különböző internetes felhasználói fiókjainkat, okostelefonunkat és asztali számítógépünket is jelszavak védik a kíváncsi szemek elől. A statisztikák szerint nagyon sokan használnak egyszerű, könnyen kitalálható jelszavakat, illetve az is előfordul, hogy ezt az egyszerű jelszót vetik be minden felhasználói fiók és eszköz védelmére, ami biztonságtechnikai szempontból nézve több mint aggályos. A jelszó alapú védelem erőssége ugyanis függ a jelszó komplexitásától, és attól is, hány helyen vetjük be ugyanazt a kódsort. Persze tény, hogy a sok-sok különböző jelszó megjegyzése komoly feladat, főleg, ha még bizonyos időközönként meg is változtatjuk őket, ahogy a szakemberek tanácsolják. A kérdőíves felmérésem pár kérdése is foglalkozott a jelszavakkal illetve azok megadásának hajlandóságával. Ezek alapján megállapítható, hogy a kitöltők 20%-a megadta már céges jelszavát másnak akár cégen belül akár cégen kívül. Ezen belül nagyjából hasonló a két nem közötti megoszlás, a férfiaknál 17%-nál, nőknél pedig 23% adta meg a jelszavát. Egy másik kérdés azzal foglalkozott, hogy a válaszolók főnöke vagy valamelyik munkatársa kérte-e már el a kitöltő jelszavát. Itt 15% nyilatkozott igennel, ami azért az előbbinél már örömtelibb eredmény. 11% azok aránya akik ugyanazt a jelszót használják céges belépés esetén, mint amit a személyes célokra otthon történő bejelentkezéskor. Ennek komoly veszélyei vannak, hiszen az otthoni, jóval kisebb védettségű számítógépeken sokkal könnyebben megszerezhetik a felhasználók illetve ez által a cégek adatait az adathalászok.
47
6. Összefoglalás A dolgozat megírásával és az értékelések elkészítésével napjaink vállalatainak információbiztonsági-tudatosságát kívántam bemutatni. Az Internet megjelenésével majd egyre szélesebb elterjedésével, valamint a felhő alapú szolgáltatások egyre nagyobb térnyerésével a korábbinál jóval fontosabbá és égetőbb kérdéssé vált egy cég illetve az egyes magánszemélyek információinak titokban tartása és ezen információk megfelelő védelme. Ezen védelem egyik kulcs tényezője maga az ember, aki létrehozza, megalapítja magukat a gazdasági szervezeteket, kiépíti azok informatikai valamint biztonsági rendszerét, és aki a leginkább felel a vállalat számára oly fontos tényezőkért, az információkért. A dolgozat első fele bemutatja az alapfogalmakat, az adatot, adatbiztonságot, adatvédelmet. Ezt követően bemutatja az adat és az információ közötti különbséget, majd az információkat fenyegető veszélyeket. Empirikus kutatásom vizsgálta az egyes szervezetek, cégek információbiztonsági állapotát, az ezeket meghatározó tényezőket, vállalati szokásokat illetve egyéni szintre lebontva az egyes dolgozók szokásait, felelősségét valamint hozzáállását ezen védelemhez. A kérdőívből, illetve annak elemzéséből megállapítható, hogy napjaink vállalatainak információbiztonsága megfelelő szinten van, ám bizonyos területeken bőven lenne még mit javítani. Ilyen területek főként azok, ahol a leginkább ki lehet használni egyes emberi tulajdonságokat, például a segítőkészséget vagy a naivságot, ahogy ezt az 5. fejezetben is említettem. Sajnálatos módon olykor nagyon könnyen és a veszélyekről mit sem sejtve adjuk meg adatainkat, jelszavainkat másoknak, akik ezt sokszor ki is használják. Ezen veszélyekre a kutatásom nagyon jól felhívja a figyelmet és remélem, hogy egyfajta segítséget, nagyobb tudatosságot és jobb odafigyelést is von majd maga után az elolvasása. A csoportokra történő bontás során nem lehetett nagy különbséget felfedezni a különböző csoportok információbiztonsági tudatosságában. A nem és végzettség tekintetében bontottam külön a válaszadókat, illetve hoztam létre négy csoportot (érettségizett férfi, érettségizett nő, diplomás férfi, diplomás nő) mely alapján elkészítettem bizonyos elemzéseket ábrákkal és táblázatokkal is ellátva és jobban szemléltetve az eredményeket. Ezek alapján megállapítható, hogy a nem, kevésbé határozza meg azt, hogy mennyire figyelünk oda adataink védelmére, hiszen az informatikában kevésbé jelen lévő 48
nők is rendkívül jól teljesítettek és csupán kicsivel maradtak el a férfiaktól, sőt az érettségizetteket figyelembe véve volt, amikor jobb értékelést is kaptak férfi társaiknál. Nők esetében nagyjából csupán annyi jelent gondot, hogy a kérdőív adatai alapján az állapítható meg, hogy a diplomával együtt nem feltétlenül nőtt az információbiztonsági tudatosságuk, sőt sok esetben ez még csökkent is a magasabb végzettséggel. Férfiak esetében ez szinte teljesen arányos volt, hiszen az ábrákból, táblázatokból jól megállapítható, hogy ahogy nőtt az erősebbik nemhez tartozók végzettsége azzal szinte teljesen egyenes arányban nőtt tudatosságuk is és kerültek egyre többen a jobb kategóriákba. A kérdőív eredményeit globálisan nézve, ahogy korábban is említettem meglepő és örömteli az eredmény amelyet ez mutat, viszont továbbképzésekre, fejlesztésekre, valamint belső vállalati tréningekre továbbra is szükség van hogyha fent akarjuk tartani ezen szintet és megfelelő védelmet szeretnénk biztosítani információinknak. Az ilyen tréningekkel kapcsolatban nagyon fontos, hogy a cégek maguk is tartsanak bizonyos időközönként oktatásokat, továbbképzéseket információbiztonsági témában valamint véleményem szerint egy cégektől független, országos, alapvető fontosságú dolgokat megemlítő és azokról tájékoztató továbbképzésekre is szükség lenne. Mindenezek megvalósítása egyrészt a vállalatok feladata, akiknek a leginkább érdekük az információvédelem illetve az egyes munkavállalók maguk is növelhetik ismereteiket az ilyen témában olvasott könyvek, weblapok, cikkek, folyóiratok rendszeres vagy bizonyos időközönként történő olvasásával. A szakdolgozat elkészülte során a fontos és érdekes elemezések mellett rendkívül sok érdekes információval gazdagodtam én magam is. A kezdeti véleményem, mely szerint Magyarországon az információbiztonsági tudatosság alacsony szinten van teljesen megváltozott, ugyanúgy ahogy a női nemmel kapcsolatos meglátásom is. A dolgozat befejezése előtt ugyanis a női nemet jóval kevésbé tudatosnak véltem, hiszen általános teória, hogy a nőket kevésbé érdekli maga az informatika, és az ezekkel összefüggő dolgok viszont talán elhanyagoltam azon tényt, hogy a nők sokkal figyelmesebbek és jobban figyelnek a részletekre is, talán ezzel magyarázható a két nem között kis különbség. Az érettségizettek és diplomások összehasonlításakor pedig kiderült, hogy hiába a magasabb végzettség, a nők nagyjából hasonlóan viselkednek, férfiak esetében viszont rendkívül nagy jelentősége van a végzettségnek.
49
Összességében megállapítható, hogy a tanulmány megírása pozitív eredményt hozott az információbiztonság kapcsán és remélhetőleg az eddigi hibákra is felhívja a figyelmet és növelni fogja információbiztonsági tudatosságunkat.
50
Irodalomjegyzék Szakirodalom Albrechtsen, E. (2007): A qualitative study of users’ view on information security. Computers & Security. Andress, J. (2011): The Basics of Information Security: Understanding the Fundamentals of InfoSec in Theory and Practice Benkőné, Deák I. – Bodnár, P. – Gyurkó, Gy. (2008): A gazdasági informatika alapjai, Perfekt, Deloitte (2010): Magyarországon is egyre inkább üzleti kérdés az információbiztonság (sajtóközlemény) Jacobs, J. – Rudis, B. (2014): Data-Driven Security: Analysis, Visualization and Dashboards Jóri, A. - Hegedűs, B. – Kerekes, Zs. (2010): Adatvédelem és információszabadság a gyakorlatban, Complex kiadó, Ködmön, I. (2014): Hétpecsétes történetek II., Hétpecsét Információbiztonsági Egyesület, Majtényi, L. (2006): Az információs szabadságok (adatvédelem és a közérdekű adatok nyilvánossága), Complex kiadó, Panko, R. R. – Panko L. J. (2014): Business Data Networks and Security (10th Edition), Wiley Salga, P. – Makó, Zs. (2004): Adatvédelem, adatbiztonság, Shaw, R. S. – Chen, C. C. – Harris, A. L. (2009): The impact of information richness on information security awareness training effectiveness. Computers & Education Szádeczky, T. (2011): Szabályozott biztonság, az informatikai biztonság szabályozásának elmélete, gyakorlata és az alkalmazás megkönnyítésére felállított módszertan (PhD értekezés) Székely, I. – Vasvári, Gy. (2004): Adatvédelem és/vagy adatbiztonság?
51
Jogszabályok 1992. évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról. 2011.
évi
CXII.
törvény
az
információs
önrendelkezési
jogról
és
az
információszabadságról
Internetes hivatkozások 5 Data Security Risks Every Small Business Should Know About http://www.trendmicro.com/cloudcontent/au/pdfs/business/articles/sp_data_security_risk_every_small_business_sho uld_know_about.pdf (letöltve: 2014. október 8.) A számítógépes adatbiztonság és adatvédelem http://users.atw.hu/szalina/adatbiztonsag.html (letöltve 2014. június 20.) Adatvédelem és adatbiztonság http://www.tankonyvtar.hu/hu/tartalom/tamop425/0049_21_adatvedelem_es_infor matikai_biztonsag_a_vallalatoknal/6382/index.scorml (letöltve: 2014. június 20.) Alapvető gazdasági- és vállalkozási ismeretek, Adatvédelmi irányelvek http://94.199.180.149/html/dpi/efeladat/sz_etankonyv/tankonyv.php?p_id=80528 (letöltve: 2014. július 25.) Az információbiztonság irányítási rendszerének (ISMS) MSZ ISO/IEC 27001:2006 szerinti tanúsítása http://www.mszt.hu/web/guest/msz-iso-iec-27001 (letöltve: 2014. augusztus 25.) Az SPSS hivatalos magyar oldala http://www.spss.hu/ (letöltve: 2014. szeptember 10.)
52
Data and Information Security in Modern Day Businesses (thesis, Atlantic International University) http://www.aiu.edu/publications/student/english/Data%20and%20Information%20 Security%20in%20Modern%20Day%20Businesses%20thesis.html (letöltve: 2014. október 4.) Egészségtudományi fogalomtár http://fogalomtar.eski.hu/index.php/Adatbiztons%C3%A1g_(security) (letöltve: 2014. szeptember 5.) Employee Security Awareness Survey http://www.sans.edu/student-files/awareness/employee-security-awarenesssurvey.pdf (letöltve: 2014. szeptember 10.) Fontosabb nemzetközi informatikai biztonsági szabványok http://www.cert.hu/content/fontosabb-nemzetk%C3%B6zi-informatikaibiztons%C3%A1gi-szabv%C3%A1nyok (letöltve: 2014. augusztus 3.) Haig, Zs.: Az információbiztonság szabályzói és szervezeti keretei http://hadmernok.hu/kulonszamok/robothadviseles7/haig_rw7.pdf (letöltve: 2014. október 8.) Információbiztonság irányítási rendszerrel (IBIR) kapcsolatos szakkifejezések http://poligont.hu/tudasbazis/IBIR%20szakkifejez%C3%A9sek?code=a3301f2aa1d 198cf589d59c5b76d2df4 (letöltve: 2014. október 10.) Információbiztonsági helyzetkép (2011) http://www.kpmg.com/HU/hu/IssuesAndInsights/ArticlesPublications/Documents/I nformaciobiztonsagi-helyzetkep-2011.pdf (letöltve: 2014. június 5.) Információs társadalom (Társadalomtudományi folyóirat) http://www.infonia.hu/digitalis_folyoirat/2014/informacios_tarsadalom_2014_1.pd f (letöltve: 2014. szeptember 15.)
53
Informatika érettségi tételek http://kozgame.szikszi.hu/index.php?menu=olvasas&id=31 (letöltve 2014. szeptember 5.) Informatika, ingyenes elektronikus tananyag http://informatika.gtportal.eu/index.php?f0=alapfogalmak_01 (letöltve 2014. szeptember 5.) ITB 12. sz. ajánlás, 1996 IT-biztonsági helyzetkép (2014 második negyedév) http://www.t-systems.hu/megoldasok/infrastruktura/it-biztonsagi-infrastruktura/itbiztonsagi-helyzetkep-2014-q2 (letöltve: 2014. szeptember 20.) Itthon is egyre inkább üzleti kérdés az információbiztonság http://bitport.hu/itthon-is-egyre-inkabb-uezleti-kerdes-az-informaciobiztonsag (letöltve 2014. október 12.) Keszthelyi, A. – Információbiztonság, technikai alapismeretek http://kgk.uni-obuda.hu/sites/default/files/11_Keszthelyi_Andras.pdf (letöltve: 2014. augusztus 8.) Muha, L. – Az informatikai biztonság egy lehetséges rendszertana http://portal.zmne.hu/download/bjkmk/bsz/bszemle2008/4/10_Muha_Lajos.pdf (letöltve: 2014. augusztus 2.) Nádor rendszerház, előadás https://www.google.hu/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja& uact=8&ved=0CC8QFjAA&url=http%3A%2F%2Fwww.ektf.hu%2F~botal%2Ftan egys%2Fsafety%2Fkisel%25C5%2591ad%25C3%25A1s1%2Fadatbiztons%25C3 %25A1g%2Cadatv%25C3%25A9delem.doc&ei=Aht3U4W0MbKV7AatzoAI&us g=AFQjCNG5O2PymPrlNn1tjQDXhC1x6hqzaw&sig2=IT25BCscx1sRN44BD_z9Q&bvm=bv.66917471,d.ZGU (letöltve 2014. szeptember 20.)
54
Navigator IT Outsourcing http://www.navigatorrt.hu/informacio_hatalom_avagy_az_informaciobiztonsag_ot _alappillere.html (letöltve: 2014. október 2.) Rendszerinformatika http://rendszerinformatika.com/Adat-Informacio/fogalmak.html (letöltve 2014. szeptember 5.) Small Business: What you need to Know about Cyber Security https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/197 177/bis-13-780-small-business-cyber-security-guidance.pdf (letöltve: 2014. október 10.)
55
Táblázatjegyzék 1. táblázat: A legfontosabb fogalmak, tárgyuk, formájuk és megjelenésük …………..17 2. táblázat: Az információbiztonság-tudatosság szervezeti dimenziója……………….37 3. táblázat: Az információbiztonság-tudatosság infrastrukturális dimenziója…………40 4. táblázat: Az információbiztonság-tudatosság egyéni dimenziója…………………...41
Ábrajegyzék 1. ábra: Adatok csoportosítása…………………………………………………….…8 2. ábra: Az adatvédelem és az adatbiztonság által védett adatok halmaza………..13 3. ábra: A védendő értékek és az azokat fenyegető emberi kockázatok…………...24 4. ábra: A kérdőívet kitöltők nemek szerinti megoszlása………………………….33 5. ábra: A nemek végzettség szerinti megoszlása………………………………….34 6. ábra: A férfi és női nem kategóriák szerinti megoszlása………………………..34 7. ábra: A 4 csoport kategória szerinti megoszlása………………………………...35 8. ábra: A céges adatok hazavitelének gyakorisága………………………………..38 9. ábra: A munkahelyi jelszóváltoztatások gyakorisága…………………………...43 10. ábra: A jelszavak változtatásának oka………………………………………….44
56
Summary My thesis is about data protection and data security at hungarian small and medium-sized companies. Before writing my thesis I thought that the information security level is low in Hungary but after my investigation my opinion has changed. In the first half of my thesis I showed the main concepts of data, data protection, data security and information and I compared the meanings of data and the information. After that I demonstrated the threats that endanger the information of the companies. My empirical research contradicted the fact what I thought about the information security level of hungarian companies. I used a questionnaire to my analysis which is based on an american questionnaire. This consists of 25 questions and to every possible answers there is a score and after the filling of the whole questionnaire every person get a score on the base of their answers. Based on this there is 5 category which shows the information security level of every person who filled the questionnaire. I used this questionnaire to my analysis and created four main groups (graduated women from High School, graduated men from High School, graduated women from University, graduated men from University) and compared the information security level of these groups. The analysis shows that there isn’t a big difference between the information security level of men and women. Men are a bit safer but that is just a really small difference. If we examine the education, then we can diagnose that men who are graduated from University are much more safer and pay their attention more to their important information than the men who are graduated from High School. However this does not apply to the case of women because there are on the same (security) level regardless of their education. This is the main statement of my thesis and I hope that reading of this paper will inspire the companies to increase the workers’s information security with advanced studies and other trainings because when we are talking about information security the human factor is the most important thing.
57
Mellékletek Információ-biztonsági tudatosság kérdőív Az általam készített kérdőív célja a vállalati alkalmazottak átlagos információ-biztonsági tudatosságának
felmérése, megismerése. A
összehasonlító
elemzés
alapját
képezi,
kérdőíves
amely a
felmérés
különböző
eredménye
országok
egy
vállalati
alkalmazottjainak információ-biztonsági tudatossága közötti különbségek elemzését képezi. 1. Demográfiai kérdések 1.1 Neme: Férfi Nő 1.2 Kérjük, adja meg születési évszámát! 1.3 Melyik régióban él? Észak-Magyarország Észak-Alföld Dél-Alföld Közép-Magyarország Közép-Dunántúl Nyugat-Dunántúl Dél-Dunántúl 1.4 Mi az Ön családi állapota? Nős/házas Özvegy Elvált Házas - külön él 58
Nőtlen/hajadon 1.5 Mi az Ön legmagasabb iskolai végzettsége? Nem fejezte be az általános iskolát 8 osztályt végzett 9., 10.,11. osztályt végzett 12 osztály végzett, de nem rendelkezik érettségivel Érettségivel rendelkezik OKJ-s vagy technikusi végzettség Megkezdett felsőoktatás (1 évnél kevesebb) Jelenleg egyetemi tanulmányokat folytat és diploma előtt áll Bachelor/főiskolai szint Mester/egyetemi szint Posztgraduális szint Doktori fokozat 1.6 Ön jelenleg...? Alkalmazott Vállalkozó Nincs munkája és munkát keres Nincs munkája és nem keres munkát Háztartásbeli Tanuló/hallgató Nyugdíjas Munkaképtelen 1.7 Mennyi a családjának az éves bruttó összjövedelme? Kevesebb mint 2 millió Ft 59
2 millió és 4 millió Ft között 4 millió és 6 millió Ft között 6 millió és 8 millió Ft között 8 millió és 10 millió Ft között 10 millió és 12 millió Ft között 12 millió és 14 millió Ft között 14 millió és 16 millió Ft között millió és 18 millió Ft között millió és 20 millió Ft között 20 millió és 30 millió Ft között 30 millió Ft felett 2. A munkahely jellemzői 2.1 A vállalkozás mérete: Mikrovállalkozás (az alkalmazottak száma nem haladja meg a 10 főt) Kisvállalkozás (az alkalmazottak száma legfeljebb 50 fő) Középvállalkozás (az alkalmazottak száma legfeljebb 250 fő) Nagyvállalat (az alkalmazottak száma meghaladja a 250 főt) 2.2 A vállalkozás telephelye:
Észak-Magyarország
Észak-Alföld
Dél-Alföld
Közép-Magyarország
Közép-Dunántúl
Nyugat-Dunántúl 60
Dél-Dunántúl
2.3 A vállalkozás fő tevékenysége: (A) Mezőgazdaság, erdőgazdálkodás, halászat (B) Bányászat, kőfejtés (C) Feldolgozóipar (D) Villamosenergia-, gáz-,gőzellátás, légkondicionálás (E)Vízellátás; szennyvíz gyűjtése, kezelése, hulladékgazdálkodás, szennyeződésmentesítés (F) Építőipar (G) Kereskedelem, gépjárműjavítás (H) Szállítás, raktározás (I) Szálláshely-szolgáltatás, vendéglátás (J) Információ, kommunikáció (K) Pénzügyi, biztosítási tevékenység (L) Ingatlanügyletek (M) Szakmai, tudományos, műszaki tevékenység (N) Adminisztratív és szolgáltatást támogató tevékenység (O) Közigazgatás, védelem; kötelező társadalombiztosítás (P) Oktatás (Q) Humán-egészségügyi, szociális ellátás (R) Művészet, szórakoztatás (S) Nemzetgazdasági ág - egyéb szolgáltatás (T) Háztartás munkaadói tevékenysége; termék előállítása, szolgáltatás végzése saját fogyasztásra 3. Információ-biztonsági tudatosság 3.1 Milyen munkaidő beosztásban dolgozik a vállalkozásnál?
teljes munkaidőben
rész munkaidőben
egyéb
61
3.2 Van-e informatikai-biztonsággal foglalkozó részleg az ön munkahelyén?
Igen
Nem
Nem tudom
3.3 Tudja-e, kihez kell fordulnia abban az esetben, ha számítógépét feltörték vagy megfertőződött, vírusos?
Igen
Nem
3.4 Talált-e már valaha trójai programot vagy vírust a gépén munka közben?
Igen
Nem
Nem tudom
3.5 Ön szerint észrevenné-e, ha számítógépét feltörnék vagy megfertőződne?
Igen
Nem
3.6 Megadta-e már céges jelszavát másnak, akár cégen belül, akár cégen kívül?
Igen
Nem
3.7 Ha törlök egy dokumentumot a számítógépemről vagy formázom a merevlemezt, minden információ örökre elvész, amit a dokumentum vagy a merevlemez tartalmazott.
Igaz az állítás.
Nem igaz
3.8 Mennyire érzi biztonságosnak a számítógépét a támadásokkal vagy adatlopásokkal szemben?
Nagyon biztonságos
Biztonságos 62
Nem biztonságos
3.9 A munkahelyem adatainak és infrastruktúrájának a védelme kizárólag az IT-biztonsági részleg feladata
Teljesen egyetértek
Egyetértek
Nem tudom
Nem értek egyet
Nagyon nem értek egyet
3.10 Az ön számítógépe automatikusan elvégzi a frissítéseket?
Igen
Nem
Nem tudom
3.11 Ön mennyire óvatos, amikor egy levél csatolmányát megnyitja?
Mindig megbizonyosodom afelől, hogy ismerem azt a személyt, akitől a levél jött és hogy vártam már a levelet
Ha ismerem a személyt vagy a céget, akitől a levél jött, mindig megnyitom a mellékletet
Az e-mailekben található mellékletek megnyitása semmilyen veszéllyel nem jár
3.12 Megfelelő képzést kapunk arról, hogyan kell megvédeni a számítógépemet és a vállalati információkat.
Teljesen egyetértek
Egyetértek
Nem tudom
Nem értek egyet
Nagyon nem értek egyet
63
3.13 Tudja, hogy mi az a spam levél és miről ismerheti fel? Igen tudom Nem, nem tudom 3.14 Van jelenleg az Ön számítógépén feltelepítve,frissítve és engedélyezve víruskereső program?
Igen, van.
Nincs.
Nem tudom megmondani.
Nem tudom, hogy mi a viruskereső program.
3.15 A számítógépem vagy a rajta lévő információ nem értékes a hackerek számára. Nem vagyok a célpontjuk!
Igen
Nem
3.16 Az ön munkahelyén van arra vonatkozóan előírás, hogy milyen weboldalakat nem látogathat?
Nem, nincs erre vonatkozóan előírás, azokat a weboldalakat látogathatom munka közben, amelyeket kedvem tartja
Vannak bizonyos előírások, amelyek korlátozzák a munkavégzés közben látogatható weboldalakat, de nem tudom pontosan, melyek ezek
Igen, vannak erre vonatkozóan előírások, amelyeket ismerek és be is tartok
3.17 Az ön munkahelyén van arra vonatkozóan előírás, hogy hogyan használhatja a levelezőrendszerét?
Nem, nincs erre vonatkozóan előírás, annak küldök olyan e-maileket munka közben, akinek csak akarok
Vannak bizonyos előírások, amelyek szabályozzák, hogy kinek és milyen emaileket küldhetek munka közben, de nem ismerem ezeket
Igen, vannak erre vonatkozóan előírások, amelyeket ismerek és be is tartok 64
3.18 Engedélyezett az ön munkahelyén bizonyos felhőszolgáltatások alkalmazása (pl. iCloud, Dropbox, Google Drive) céges adatok tárolására?
Igen, a felhőszolgáltatások használata engedélyezett
Nem, a felhőszolgáltatások használata nem engedélyezett
Nem tudom
3.19 Használhatja ön saját mobil infokommunikációs eszközeit (pl. okostelefon) céges információk tárolására és átvitelére?
Igen, használhatom
Nem, nem használhatom
Nem tudom
Igen, de csak a cég által nyújtott szolgáltatás igénybe vételével
3.20 Töltött le és telepített ön már szoftvereket, akár a munkájához kapcsolódóan (pl. PDF konvertálás vagy képek átméretezése), akár személyes használatra (pl. zenehallgatás) a munkahelyi számítógépén?
Igen
Nem
3.21 Kérte-e már el az ön jelszavát a főnöke vagy valamelyik munkatársa?
Igen
Nem
3.22 A céges informatikai rendszerbe történő bejelentkezéskor ugyanazt a jelszót használja-e, mint a személyes célokra fenntartott fiókjai (pl. twitter,privát email, facebook, iTunes stb.) esetében?
Igen
Nem
3.23 Milyen gyakran fordul elő, hogy céges adatokat kell lemásolnia és hazavinnie annak érdekében, hogy otthon tudjon vele dolgozni?
Majdnem minden nap 65
Legalább hetente egyszer
Legalább havonta egyszer
Soha
3.24 Jelentkezett-e már be a céges informatikai rendszerbe valamilyen nyilvános számítógépről (pl. könyvtárban, hotelben, kávézóban)?
Igen
Nem
3.25 Ha az Ön gépén van víruskereső program, akkor a számítógépe nem lehet fertőzött, mivel a program megállítja az összes vírust és egyéb nem kívánt programot!
Igaz
Nem
4. A kérdőív lekérdezést végző adatai: 4.1 Név: 4.2 Neptunkód: 5.Plusz kérdések: 5.1 Ha van jelszava a munkahelyi számítógépén, milyen gyakran változtatja?
Soha
Havonta
Negyedévente
Évente
5.2 A munkahelyi számítógépén előírás-e a számítógépek jelszavának rendszeres, vagy véletlenszerűen, belső utasításra történő változtatása?
Nem előírás, ezért nem változtatom
Nem előírás, de változtatom
Előírás és ezért változtatom 66
Előírás, de nem változtatom
5.3 A munkahelyi belső és a nyilvános külső hálózatok előírások szerint csak külön számítógépeken mehetnek?
Igen
Nem
Nem tudom
5.4 Az esetleges IT biztonsági kár Ön szerint mikor lenne a legnagyobb, milyen jellegű lenne a kár az IT biztonság kimaradása esetén?
Üzletviteli (pénzügyi) jellegű
Termelési (műszaki) jellegű
Piaci jellegű
Goodwill, PR, Image jellegű
Egyéb
Nem tudom
5.5 A szervezettől leszámoló alkalmazottaknál a leszámoláskor a személyesen használt IT eszközök biztonsági átvizsgálása megtörténik-e?
Igen
Nem
Nem tudom
5.6 Létezik-e a szervezetüknél külön IT biztonsági, vagy az IT-re kiterjedő biztonsági szabályzat?
külön IT
általános, de kiterjed az IT-re is
nincs
nem tudom
5.7 A szervezetüknél az adatok mentése hogyan történik? 67
egyénileg, az adott alkalmazott döntése alapján
szervezetten, szabályzatok alapján
nem történik adatmentés
nem tudom
5.8 Az adatok tartós, archív, szervezett tárolási folyamatának elindítása hogyan történik?
központilag, rendszeresen
szervezeti egységként, rendszeresen
egyedileg, kérésre
nem tudom
5.9 A biztonságos műszaki (hardver) IT működtetés érdekében szervezetük milyen megoldást alkalmaz?
tartós akkumulátorral üzemelő laptopok
szünetmentes tápegységek munkaállomásonként
szünetmentes tápegységek szervezeti egységenként
központi, az áramellátó hálózattól független áramforrás (pl saját erőmű)
nincs ilyen megoldás
nem tudom
5.10 Milyen tárolóeszközt tart a legbiztonságosabbnak az adatok (személyes vagy céges adatok) tartós tárolására?
memóriakártyák
passzív lemezek (CD, DVD, Blue-Ray, stb.)
merevlemezek (winchesterek, SSD-k, stb.)
egyéb eszközök
nem tudom
68
