Slide background

GDPR

ADATVÉDELEM

ADATBIZTONSÁG
Slide background
Slide background
FIBARO OKOSOTTHON
Professzionális Okos otthon rendszerek szakértői kezekből!
Slide background
Slide background
Slide backgroundSlide thumbnail
Slide background

 

Alapelvünk az Integritás.

Érintetlenség. Sértetlenség. Feddhetetlenség. Tisztesség. Becsület.

 

Mi a Kibervédelem?

A Kibervédelem egy olyan összetett folyamatos felügyeletet jelent a vállalkozásokban, ami elősegíti a biztonságos és kiegyensúlyozott gazdasági működést. Használata elengedhetetlen, és mindenkit érint, aki internetet használ. A jogok mellett vannak kötelezettségek is, amik a munkaadókat, és a munkavállalókat egyaránt terhelik, és érdemes ezekkel tisztában lennünk és betartanunk. A kiberbiztonság mindenki érdeke, ezért közös felelősség terheli a munkaadót és a munkavállalót egyaránt. Ismernünk kell a biztonságtudatosság alapvető elveit, továbbá a felelősségi rendszert, és a szabályozó mechanizmusokat egyaránt.

Ahhoz, hogy megértsük miért fontos a Kibervédelem, és hogyan lehet szabályozni jogi, humán, és informatikai oldalról, először is meg kell értenünk a kibertámadások folyamatát. Meg kell értenünk továbbá az adatvédelem, és az adatbiztonság fogalmát is, és ismernünk kell annak különbözőségét.

A kibertámadás első sorban az internet felől érkezik, ám a károkozó folyamatot a humán oldal indítja el. Megértésükhöz, folyamatukhoz nézzük pár példát, fogalmat.

SPAM, azaz a kéretlen levél

A SPAM olyan elektronikusan, email en terjedő kéretlen levél, amit a munkavállaló postafiókjába érkezik be a csalótól. Ez általában egy olyan levél, ami tömegével küldött hirdetés, vagy felhívás, ami akár lánclevélként más postafiókokba is elküldésre kerülhet. A SPAM-ek, tudatosan megtévesztő levelek, teljesen a munkavállaló jóhiszeműségét kihasználva jut bizalmas információkhoz a támadó.  Ez lehet személyes adat vagy banki információ, jelszó stb. stb.

A SPAM azaz kéretlen levelek között lehet akár kártevő is, (vírus, féreg, trójai) ami további aggasztó problémákat okoz informatikai rendszereink működésében.

Adathalászat:

Az adathalászat egy egyfajta (social engineering) azaz egy megtévesztő manipuláción alapuló támadás, ami szintén az elektronikus postafiókba landol. A célja szintén az, hogy belső, érzékeny információkat adjon ki a munkavállaló, vagy rosszabb esetben zsaroló vírust telepítsen a számítógépre, ami megfertőzi és megbénítja az egész informatikai hálózatot akár hetekre. Sajnos az adathalász programok már a weboldalakat is támadják egyre kifinomultabb kódokkal. Célja, hogy mindent megfigyeljen miközben internetezünk, weboldalakat látogatunk, és úgy jegyezze meg személyes adatainkat, bankszámláinkat, hogy mi erről semmit sem tudunk.   

Zsaroló vírus:

A „randsomware” alatt olyan kártékony szoftvereket értünk aminek az a célja, hogy az informatikai rendszerünket teljes egészében olyan titkosított kóddal lássa el ami megbénítja hetekre a mindennapi munkát. Megfertőzi a tárolt adatoktól kezdve akár az adatmentéseket is, nem kis váltságdíjat követelve. A zsaroló vírus jelenti jelenleg a legnagyobb veszélyt, ami sajnos az elmúlt években állandóvá vált. A zsarolónak új filozófiája van, miszerint már a támadás előtt megszerzi adatainkat, és azt nyilvánosságra is hozza ha kell, vagy akár a konkurenciánknak áruba bocsátja. Gondoljunk csak az ipari kémkedésre, ma már nincsenek „ügynökök”, elég csak egy kódot kiküldeni a céghez és kész a katasztrófa.

A fenti pár példa megmutatja, milyen veszélyekre számíthatunk, de sajnos ennél sokka több tényező okozhat fejfájást a vállalkozásoknak.  

Nézzünk egy konkrétesettanulmányt a probléma megértéséhez:

Titkárnőnk, (és előre is elnézést a titkárnőktől) álmosan megérkezik hétfő reggel irodánkba, és egy forró kávé társaságában leül a számítógépéhez és megnézi a beérkezett leveleket. A postafiókban talál egy a „bank” által küldött levelet, miszerint arra kéri, hogy az 5 napon belül lejáró jelszavát legyen kedves módosítani a megadott linken, különben letiltásra kerül a fiók, és csak személyesen lehet a bankszámlát feloldani. Titkárnőnk rákattint a linkre, melyben a vírus lemásolta a bankfiók kezdőoldalának a képernyőjét álcázva, mintha az egy igazi banki honlap lenne.  Feladatának eleget téve titkárnőnk megadja azokat az adatokat, amiket a csaló kért.

Eltelik pár nap, és titkárnőnk szokásos reggeli kávéjával leül ismét a számítógépéhez, és bekapcsolás után azt tapasztalja, hogy egy zsaroló vírus által küldött kép jelenik meg a monitoron, megbénítva a számítógép használatát. A pár perccel később érkező kollégák ugyanezt tapasztalják, nem tudnak dolgozni, áll az egész vállalkozás, pedig hamarosan el kellene kezdeni szolgáltatni.

Ezután értesítik a rendszergazdát, (már amennyiben van) és a rendszergazda a probléma feltárása után elkezdené az adatmentésekből visszaállítani az adatokat, de a zsaroló vírus titkosítottá tette azokat is. Az egyik megoldás, kifizetik a váltságdíjat a zsarolónak, aki viszont a titkosítás feloldásához tartozó kulcsot vagy megküldi, vagy nem küldi meg károsult vállalkozásnak.

A másik megoldás, hogy az egész informatikai rendszert a nulláról újra kell telepíteni, ami az adatok elvesztésével járt. (számlák, levelek, bizonylatok stb.) A cég továbbá jelentési kötelezettségének eleget téve büntetésre is számíthat, nem kis jogi procedúrát a nyakába véve.

Sajnos ez az eset megtörtént, tehát óvakodjunk a hasonló helyzet kialakulásától! 

Felmerül a kérdés, lett volna megoldás?

Megakadályozható a katasztrófa?

A válaszom mindenképpen IGEN, legalább annyi, hogy a vállalkozás rendelkezik megfelelő adatmentéssel, és megfelelő felhasználói kultúrával.

A fenti példa megmutatja, hogy egy ilyen katasztrófa helyzet kivédése közös érdek, közös feladat és a vállalkozás összes munkavállalóját érinti, legyen az cégvezető, informatikus, raktáros, titkárnő vagy rakodómunkás.

Hogyan védekezhetünk a hasonló katasztrófák ellen?

- Vezetőségi oldalról nézve:

A cég vezetőségének kötelessége a megfelelő munkavédelmi szabályzatok, megfelelően összehangolt számítástechnikai és GDPR szabályzat, számítástechnikai védelmi szabályzat, katasztrófavédelmi terv, munkáltatói és munkavállalói nyilatkozatok, jogtiszta szoftverek megvásárlása, vásárlói tájékoztatók, fizikai védelmek, munkavállalói kultúrára vonatkozó szabályzatok és még számtalan, a cég profiljához igazodó szabályzások elkészítésére, betartása, betartattatása, és ellenőrzésére, együttműködve jogi, gazdasági, biztonságtechnikai – informatikai osztállyal. Természetesen nem elfeledkezve az szabályzatok oktatásáról sem, amit a munkavállalók aláírásukkal elfogadnak és tudomásul vesznek.

- Munkavállalói oldalról nézve:

Megfelelő körültekintés, a szabályzások betartása, az informatikai kultúra és a számítástechnikai védelmi szabályzat betartása. Ismerniük kell a biztonságtudatosság alapelvét, és ismerni kell a felelősségi rendszert, hiszen akár anyagi kártérítésre is jogosult a munkáltató, és ismerni kell azon tiltott tevékenységeket, amiket mellőzni kell a mindennapi munkavégzés során.   

- Informatikai oldalról nézve:

Megfelelő informatikai rendszerrel szinte minden támadás kivédhető annak ellenére, hogy 100 %-os biztonságú informatikai rendszer nem létezik. Megfelelő körültekintéssel viszont 98 %-on tartható a védelem, felkészülve a komoly károk kivédéséére, és a rendszer folyamatos szinten tartására.

Miért mutattam be ezt az esettanulmányt?

 Miben járulunk hozzá a hazai vállalkozások, állami intézmények, önkormányzatok kibervédelméhez?

Mi, komplex megoldást nyújtunk a probléma, hiszen rendelkezünk a kellő szakmai tapasztalattal, birtokában vagyunk annak a szakmai tudásnak, amivel egy vállalkozást biztonságtechnikailag megfelelően védetté tesszük. Mi, nem csak a GDPR jogi szabályzást, védelmi szabályzatokat, katasztrófavédelmi terveket készítjük el, hanem azok technológiai hátterét kivitelezzük, és folyamatosan üzemeltetjük, mivel a Kibertér felől álandóan érkeznek az újabb és újabb támadások, amit a gyanútlan felhasználók nem is vesznek észre.

Szeretnénk elérni azt, hogy azok a Magyarországi vállalkozások, akik nyitottak erre a másfajta infokommunikációs kultúrára, azon vállalkozásuk biztonságtechnikai oldala stabil, és biztos legyen.

A megoldáshoz több lépcsős út vezet!

 

1, A vállalkozás felmérése!

Ahhoz, hogy a legmegfelelőbb megoldást találjuk meg vállalkozásának, mindenképpen egy átfogó felmérés válik szükségesség az alábbi területeken:

  • Humán, gazdasági terület
  • Informatikai biztonságtechnikai
  • Jogi oldal, partneri és alkalmazotti szerződések

Amennyiben megtörtént az átfogó átvilágítás láthatóvá válnak az erősségek és gyengeségek. Ne feledjük, egy vállalkozás annyira erős, mint a leggyengébb láncszeme. Felméréskor megismerjük a vállalkozás jelenlegi helyzetét, a rövid és hosszútávú terveket egyaránt.  Átvizsgáljuk nem csak a helyi adottságokat, de megismerkedünk az alkalmazottakkal is, akik nagy segítségünkre lehetnek azon hibák feltárását illetően, a folyamatok ismertetésében, amiről a vezetőségnek nincs tudomása.

2, Tervezés

Amennyiben a felmérés megtörtént, a munka folytatódhat, jön a tervezés. A tervezés alatt kiemelt figyelmet fordítunk a mindennapi munkavégzéshez használt szoftverek, rendszerek átvizsgálásáról, hiszen azokat is biztonságossá kell tenni mind felhasználói oldalról, mind működését tekintve. A felmérés során megismert jövőkép alapján már olyan rendszert tervezünk, ami megfelel a vállalat hosszútávú jövőben alkalmazni kívánt stratégiájának egyaránt. Tervezéskor együttműködünk a kollégákkal, alkalmazottakkal, szoftverfejlesztőkkel, gazdasági – humán területtel, hogy a legmegfelelőbb rendszertervet készítsük el. Tervezés alatt kiemelt figyelmet fordítunk a rendszer folyamatok lemodellezésére is, tehát kialakítunk egy olyan zárt hálózaton működő teszt rendszert, amivel megbizonyosodhatunk mi is és a vállalkozás is az informatikai rendszer biztonságos működéséről.

3, Kivitelezés

A megtervezett és a vezetőség által jóváhagyott rendszerterv kivitelezésekor figyelmet fordítunk arra, hogy a régi rendszer és az új rendszer párhuzamosan működjön egymással. Ennek oka, hogy a vállalkozásnak működnie kell, tehát nem megengedhető az, hogy egy rendszer fejlesztésekor a szolgáltatás, kereskedelem megbénuljon. A termelés nem állhat meg! A nagyobb folyamatok kivitelezését mi munkaidő után, hétvégén, vagy éjszaka végezzük el, ezzel biztosítva a vállalkozás folyamatos gazdasági aktivitását. Előfordulhatnak esetek azonban, amikor nappal van pár perces leállás, de még mindig jobb, mint az egy hetes szolgáltatás kiesés. Ezt sajnos a vállalkozásnak el kell fogadnia. A legfontosabb dologról sem feledkezünk meg, mégpedig a kollégák oktatásáról, hiszen egy rendszer kivitelezésekor, sokszor találkoznak a kollégák a „máshová került a nyomtató ikon” problémájával. Kivitelezéskor a teljes rendszert szakaszokban adjuk át nem egyszerre, figyelve arra az esetre, ha mégis elkerülte a figyelmünket valami.

 

4, Üzemeltetés

Amennyiben elkészültünk az új informatikai rendszerrel, nem dőlhetünk hátra. A Kibervédelem további feladatai közé tartozik az is, hogy a védelmi rendszert a megfelelő szinten tartsuk. Ez már egy másfajta - tulajdonképpen láthatatlan a vállalkozási vezetői, munkavállalói számára - feladatot jelent számunkra, hiszen itt a log elemzés, azaz a folyamatok figyelésre elengedhetetlen. Az általunk kivitelezett informatikai biztonságtechnikai rendszerek folyamatosan küldenek nekünk riasztásokat, amiket le kell reagálnunk, meg kell oldanunk. Ezek lehetnek hacker támadások, hibás frissítések, vírusos adathordozó, áramszünetből eredő technikai probléma, vagy akár egyszerűen eszköz amortizáció.  Humán oldalról továbbra sem feledkezünk meg az oktatásról, hiszen naponta jönnek ki olyan biztonsági problémák, amikről jó, ha tud a munkavállaló és a vezetőség egyaránt.  GDPR oldalról nézve folyamatos együttműködünk a vezetőséggel, mivel a jogalkotó változtathat a törvényeken.

 

Összefoglalás.

Összegezve a fent leírt folyamatokat láthatóvá vált, hogy a Kibervédelem egyfajta csapatjáték, melyhez szükségeltetik a megfelelő informatikai rendszer és munkavállalói morál is. Legyen az biztonságtechnikai probléma, jogi, vagy humán oldalról a laza hozzáállás. De egyet leszögezhetünk, a Kibervédelem minden vállalkozást érint, érdemes vele foglalkozni, mert egy jó informatikai biztonsági rendszerrel milliókat takaríthatunk meg hosszútávon.

 

 Példa csomagok:

Small pack: 1-10 géppark, 1-50 fő közötti munkavállaló

Medium pack: 11-50 géppark, 51-200 fő közötti munkavállaló

Big pack: 51 - 200 géppark, 201 - 500 fő közötti munkavállaló

Small

Medium

Big

Átvilágítás

200.000 Ft

400.000 Ft

600.000 Ft

Tervezés

300.000 Ft

550.000 Ft

800.000 Ft

Kivitelezés

500.000 Ft

750.000 Ft

1.000.000 Ft

Üzemeltetés

400.000 Ft /hó

700.000 Ft /hó

1.000.000 Ft / hó

Az árak tájékoztató jellegűek, és nem tartalmazzák az anyagdíjat!

Az árak az általános forgalmi adót nem tartalmazzák!

A tájékoztatásunk nem teljeskörű, a pontos részletekről, egyedi konstrukciókkal kapcsolatosan érdeklődjön elérhetőségeinken!

 

 

 

 

kép:pixabay

Minden jog fenntartva!