A biztonság fogalmának meghatározása nehéz. Sok esetben nem is közvetlenül próbáljuk megfogalmazni, hanem éppen az ellentétes fogalmakkal, úgymint veszély, kár, kockázat, és az előre nem látható, nem kívánt eseményt írjuk körbe. Az informatikai- / információ- védelem megfelelő szintű kialakítása, vagyis a megfelelő biztonsági állapot elérésének meghatározása többek közt emiatt is nagyon nehéz.

Hogyan tudjuk megmondani...,

• hogy mekkora kockázatot vállalhatunk fel?
• hogy a felvállalt „biztonsági szintünket” melyik veszélyforrások lépik túl, és melyek nem?
• hogy a sokféle és különböző jellegű fenyegetettség közül melyik védelmére szükséges új védelmi eljárást bevezetni?

Ahhoz, hogy a különböző veszélyforrások által bekövetkező események (incidensek) ellen egyforma biztonsággal védekezhessünk, meg kell becsülnünk azok kockázatát, hogy azokat egymással összemérhetővé tegyük.

Ehhez kockázatbecslésre van szükség!

A kockázatbecslésnek számos módszere van. De szinte mindegyikben az a közös alapelv, hogy minél nagyobb egy esemény bekövetkezésének valószínűsége és minél nagyobb az okozott kár, annál nagyobb annak az eseménynek a kockázata is. (Matematikailag megfogalmazva ez azt jelenti, hogy az egyes veszélyforrások általi bekövetkező események bekövetkezési valószínűségét és az általa okozott kárt becsüljük, és azok szorzata adja az adott veszélyforrás kockázatát.)

Ez így egyszerűen hangzik, kiszámítása azonban sokszor rendkívül nehéz feladat. Tulajdonképpen a kockázatbecslés – akármelyik módszert is választjuk, – az a furcsa paradox helyzet, hogy

• a múltbéli tapasztalatok alapján,
  
• a jelenben akarjuk megmondani,
  
• hogy mi lesz a jövő!

Ki képes erre? Ki képes megmondani, hogy mi fog történni a jövőben, vagy hogy mikor várható egy bizonyos esemény bekövetkezése?

Ezt pontosan megmondani – tulajdonképpen – senki sem képes. Ráadásul különösen az információvédelem területén számtalan egymástól különböző jellegű fenyegetettséggel állunk szemben, és a nem kívánt események jellege és hatása is egymástól nagyon eltérő. Gondoljunk csak bele:

• Hogyan becsülhetjük meg, hogy mi a valószínűsége annak, hogy pl. a beadandó tenderanyagunk információi a konkurenciához kerülnek?
• Hogyan határozhatjuk meg, hogy a sértődötten távozó rendszergazda milyen veszélyeket jelenthet vállalatunk működésére? (Apropó: fel vagy készülve arra, hogy egyszer majd a rendszergazdával elválnak az útjaitok? Lehet, hogy Te szeretnéd majd „kitenni”, lehet, hogy ő keres majd máshol kihívást magának. Lehet, hogy békében kerül sor az elválásra, lehet hogy nem… Felkészültél? Te irányítod az eseményeket?)
• Ki tudja megmondani előre, hogy mekkora kárt okozhat az a presztízsveszteség, ami a napi sajtóban megjelenő ügyfél-adatbázisunk nyilvánosságra kerülését követi?
• Mi mehet veszendőbe az elveszett vagy ellopott igazgatói notebookkal, amelyen rajta volt a teljes üzleti levelezés és tervezés egyetlen példánya? És mi van akkor, ha ez a rajta lévő összes információval a konkurencia kezébe kerül?
• Vagy gondoljunk csak a meghibásodott merevlemezre, aminek két hónapja volt az utolsó mentése (ha volt egyáltalán)! (És hogy mennyire valós problémák ezek? Egy világsikert (!) alapoztak meg ezek a gondok! Nézd csak meg a már több kontinensen terjeszkedő Kürt-öt!)

Nehéz előre megjósolni, hogy mikor várható ezek bekövetkezése, hogy melyik következik be nagyobb valószínűséggel, és hogy melyik mekkora kárt fog okozni! Még rosszabb helyzetben van az, aki nem rendelkezik előre megírt, kész forgatókönyvekkel!

Különösen nehéz a különböző jellegű károk hatását azonos mércével értékelni! Ezzel talán szemléletessé tehető, hogy mekkora problémákkal kerülünk szembe a becslésekkor.

Mit tehetünk mégis, hogy a becsléseink a körülményekhez képest a legmegbízhatóbbak legyenek?

• Keressünk egy közös mércét a különböző jellegű károk nagyságának értékelésére!
• Mérjük fel a lehető legpontosabban, hogy az egyes fenyegetettségek hogyan hatnak, milyen hibák következtében léphetnek fel, és mik a lehetséges hatások, következmények!
• Támaszkodjunk minél szélesebb tapasztalatra!
• Legyünk következetesek!
• És még?

Dr Horváth Zsolt