A San Franciscóban rendezett 2013-as RSA konferencia egyik témája a megfelelőségi követelmények és a valós veszélyek kapcsolata volt. A kérdés úgy is feltehető, hogy lehet-e úgy költeni megfelelőségi követelmények betartására, hogy annak hatása ne maradjon meg az auditon belül. Mivel a CIO Hungary 2013 konferencián is felmerül majd a téma, úgy gondoltuk, érdemes felidézni, hogyan látják ezt a kérdést a szakértők.



De milyen hatást is gyakorol egymásra a napjainkban egyre többet emlegetett megfelelőség és a különféle fenyegetettségek elleni védekezés? A konferencián a Biztonságportál összefoglalója szerint többen is megfogalmazták azt, hogy manapság a compliance és az auditok nagyobb szerepet kapnak, mint a valós veszélyek ellen hozott, valóban hatékony biztonsági intézkedések. De ez közel sem jelenti azt, hogy ne lenne nagyon is szükség a biztonsági követelményekre vonatkozó jogszabályokra, biztonsági előírásokra, szabványokra. Azaz a megfelelőséget sem lehet félvállról venni. Csak ne essünk át a ló másik oldalára!

Szabályok útvesztőjében ■ A vállalatok és a kormányzati intézmények mind több biztonsági előírással szembesülnek. Itt van például a többek között az Enron-botrány hatására elfogadott SOX (Sarbanes-Oxley), annak is különösen a 404-es pontja, amely a belső ellenőrzésre vonatkozó szabályokat írja elő. Ez minden olyan cégre vonatkozik, amely a New York-i tőzsdén meg akar jelenni. Az Egyesült Államokban hozták létre az egészségügyi adatokra vonatkozó HIPAA-t (Health Insurance Portability and Accountability Act). Aztán ott van a bankkártyákkal történő visszaélések csökkentésére kidolgozott PCI DSS (Payment Card Industry Data Security Standard), az Egyesült Államokban kiadott, és az információs rendszerekre biztonsági menedzsmentjére vonatkozó FISMA (Federal Information Security Management Act), vagy a nemzetközi érvényű ISO 27001.

A sor még hosszan folytatható lenne. Ezek az előírások számtalan költséges projektet és nagy informatikai kötéseket generáltak, aminek a szállító cégek és az auditorok egyfelől örülhettek, másfelől azonban biztonságra a szervezetek nem akartak sokkal többet költeni, azaz források terén máshol hiány mutatkozott.

És mi következik ebből? Az, hogy „az audit iparág egy szörnyeteggé vált” – véli például Anup Ghosh, az Invincea alapítója, aki éppen ennek tudja be azt, hogy a szervezetek elsősorban az auditon való megfelelésre koncentrálnak és nem a valós fenyegetettségekre. A szakember szerint a legtöbb követelménynek való megfelelőség abból áll, hogy egy-egy előírást ki tudunk-e pipálni, és követjük-e a különböző folyamatokat. Ezzel viszont arra ösztönzi a cégeket, hogy csak a legszükségesebb biztonsági kontrollokat állítsák fel – de még azok is felemésztik sokszor a biztonságra fordítható kiadások nagy részét.

Többen felemlegették az amerikai kormányzati szerverek erőfeszítéseit a FISMA kapcsán. Azt senki sem vonta kétségbe, hogy a FISMA céljai igenis támogathatók. Csak éppen azt tartották problémának, hogy a compliance folyamatok megvalósítása és a nem kevés papírmunka, adminisztráció rengeteg erőforrást elvett a valós védekezéstől.





A biztonság nem állapot ■ Komoly gondot okoz az is, hogy a biztonsági előírások, szabványok – jellegüknél fogva – voltaképpen statikusak, ritkán és lassan változnak. Segítségükkel mérhetők a biztonsági erőfeszítések eredményei, csakhogy azok az eredmények hibás következtetések levonásához vezethetnek. Már csak azért is, mert az audit minden esetben egy időpillanatra koncentrál, miközben a biztonság lényegében folyamat.

Stephen Trilling, a Symantec műszaki igazgatója erre utalt előadásában, amikor arról beszélt, hogy az információbiztonságban egyre nagyobb szerep jut a jó helyzetfelismerésnek. Minden potenciális fenyegetettséget meg kell érteni, mjert csak úgy adható rá megfelelő válasz. Trilling azzal egyébként egyetért, hogy a szervezetek minimális –  pontosabban azaz az audit szempontjából optimális – erőfeszítéseket tesznek azért, hogy egy-egy előírásnak megfeleljenek. Ez azonban már édeskevés napjaink kibertámadásaival szemben. Azaz ha valóban meg akarjuk védeni a rendszereinket, túl kell látniuk a megfelelőség-vezérelt védelmi modelleken – vonta le a konklúziót a műszaki igazgató.