A főnöki kiváltságok veszélyei

Kiváló IT biztonsági rendszert üzemeltetsz. Nagyon jó szakember a rendszergazdád, igazi guru. Büszke is vagy rá! Nem kicsit, nagyon! Olyan biztonsági rendszabályokat vezetett be, amikkel minden betörés, adatlopás, vagy egyéb informatikai veszély tulajdonképpen teljesen ki van zárva! És mégis megtörtént...

Majd amikor másfél hónap múlva ismét találkozunk, szomorúan panaszolod el, hogy ellopták a notebookodat, és vele odaveszett a teljes üzleti levelezésed is, sőt még az új tender előkészítő kalkulációs számításai is. Ekkor zavartan kérdezem, hogy hogyan veszhetett ez mind el a „szuperbiztos informatikai védelmi rendszer mellett”? Hiszen akkor legalábbis naponta kellett volna a notebookodról mentésnek készülnie a szerverre, ahonnan mindent vissza tudnál hozni! Ekkor kiderül, hogy a Te notebookod kivétel a mentési rendszer alól, mert vezetőként nem akarod, hogy a Te gépeden lévő információk a közös tárhelyeken is fenn legyenek. 

Elgondolkoztam az eseten, mert több tanulsága is van!

A biztonsági rendszernek az a célja, hogy bizonyos események bekövetkezésekor védelmet nyújtsanak. Ha ezek alól kivételt teszünk, akkor a kivételek idejére vagy esetére megszűnik a védelem. Ez több szempontból is kimondottan veszélyes: 

• Sokszor éppen a vezetői beosztású kollegák, alkalmazottak azok, akik a legtöbb bizalmas információval dolgoznak. Éppen ezért a védelemre legjobban náluk van szükség! Értelmetlen dolog pont náluk feloldani a védelmet.
• Ha maga a vezető sem veszi komolyan a biztonsági rendszabályokat, akkor ezt a példát mutatja beosztottai számára. Így még ha a beosztottaknak elő is vannak írva a biztonsági szabályok betartása, nem fogják komolyan venni, hiszen ha a főnöknek magának sem fontos …
• Sokszor a vezetői kivételekre úgy tekintenek, mint kiváltságokra. Ha ezt az igazgatónak szabad, akkor a helyettesének is. Sőt, akkor már kijár a „következő nagyon fontos embernek”, és így tovább. És ez egy láncot indít be, tulajdonképpen az értelmetlenség láncát, ami végül teljesen a biztonsági rendszabályok fellazulásához és működésképtelenségéhez vezet.

De nézzük tisztán biztonsági szempontból a dolgot! Ha valamilyen oknál fogva szükség van egyes (pontosan definiált esetekben) kivételek beiktatására, akkor is legalább ügyeljünk arra, hogy a biztonság ne sérüljön! Mit jelent ez a gyakorlatban? Azt, hogy a kivétel létrehozásával bizonyos esetekben feloldottunk néhány védelmet, akkor azokban az esetekben (legalább) ugyanazt a védelmi szintet vissza kell állítani, legfeljebb másik védelmi intézkedéssel.

A fenti példánál maradva az említett vezető ismerősöm, ha már nem akarta a notebookján lévő adatokat a vállalati közös szerverre rendszeresen kimenteni, akkor legalább otthon, naponta esténként készíthetett volna a munkaállományokról mentést valamilyen külső adathordozóra, pl. egy külső merevlemezre. Ezzel elérhette volna, hogyha bármilyen okból adatvesztése van, legrosszabb esetben a megelőző napi esti állapotot mindig vissza tudta volna állítani.

(Másik kérdés az ellopott notebook esetében az adatok illetéktelen kezekbe kerülése, de ezekkel a témákkal majd egy másik írás keretein belül foglalkozunk.)

Dr. Horváth Zsolt