ITexec

egymondat_kiber.jpg
Forrás: isc2.org
Kiberbiztonság

Egy mondat a józan ész fontosságáról

„A kiberbiztonsági szempontokat és szemléletet képviselő szakembereket az IT-fejlesztések legkorábbi fázisától fogva szükséges bevonni a munkába”, így foglalható össze az a mondat, amelyet dolgozatom címében bátorkodtam előre jelezni. Rövidnek nem tűnő szakújságírói tevékenységem során nem egyszer fogalmaztam meg, hogy ahhoz, hogy biztonságosabbá tegyük informatikai rendszereinket, a kezdet kezdetétől figyelemmel kell lennünk a kiberbiztonsági szempontokra. A józan mérnöki ész ugyanis ezt diktálja.

December 3-án, amikor az ITexec.cloud élő online konferenciánkon az IT-biztonsági kerekasztal-beszélgetés folyt, Biró Gabriella, a Magyar Nemzeti Bank (MNB) Informatikai Felügyeleti Főosztályának főosztályvezetője azt mondta, hogy az MNB kibocsátani készül egy ajánlást, amelyben várhatóan az áll majd, amit írásom első mondatában igyekeztem röviden összefoglalni.

Muzsika volt a fülemnek az, amit Gabriella mondott, nem fülsértő csinnadratta, hanem részlet egy klasszikus vonósnégyes visszafogott, lassú tételéből. Ha meggondolom, hogy 2020-at írunk, és a magyarországi pénzintézetek informatikáját felügyelő, tehát alaposan ismerő szervezet ezt az egyébként az informatika principiumai közé sorolható elvet ajánlásként megfogalmazni tart érdemesnek, akkor – kiszélesítve fókuszunkat a teljes magyarországi informatikai valóságra – van még hova fejlődnünk. Különösen akkor, ha figyelembe vesszük, hogy fejlettségét és megbízhatóságát tekintve a pénzintézetek informatikája, főként az üzleti igények és a szabályozások miatt, kiemelkedik a többi gazdasági ágazatéi közül.

És hogy az IT mely területein javasolható vagy – kissé erősebben megfogalmazva – elkerülhetetlen az IT-biztonsági szakértelem bevonása, álljon itt egy teljességre nem törekvő felsorolás, a ma még kevéssé kézenfekvőnek tűnőkből említve hármat.

Üzleti stratégiák (vállalati, értékesítési, marketing stb.), informatikai stratégia készítése, frissítése

Nincs annál kellemetlenebb, mint hogy egy új üzleti irány kifejlesztése során, a már jól előrehaladott állapotot elérve derül csak ki, hogy olyan kiberbiztonsági kockázatokkal járhat a bevezetés, amelyek kezelése az egész projekt gazdaságosságát vagy megvalósíthatóságát megkérdőjelezi.

Üzleti architektúra, informatikai architektúra tervezése, megvalósítása, frissítése

Mostanában, amikor a holnap történései sem jósolhatók meg nagy biztonsággal, az üzleti és szakmai vezetők leginkább az ismeretlenre készülnek, és egyre inkább az általuk irányított vállalkozástól az ütésállóságot és rugalmasságot (összefoglalóan: rezilienciát) várják el, megnőtt az üzleti struktúrák és az ezeket működtető informatikai struktúrák megfelelő felépítésének a jelentősége. Kiberbiztonsági architekt nélkül nem ajánlatos ilyesmibe belefogni.

Biztonságos szoftver fejlesztése

Van az úgy, hogy a sebezhetőség az IT-rendszerbe a szó szoros értelmében bele van kódolva. A rendszertámadások zömének esetében viszonylag kis számú szoftverhibát hasznának ki a rosszfiúk. A kiberbiztonsági szakemberek archiktektúrális tanácsokkal, kódelemzésekkel, teszteléssel stb. még az alkalmazások üzembe állítása előtt járulhatnak hozzá a hibák létrejöttének megelőzéséhez, illetve a hibák kiszűréséhez.