Auditszűz

Láttam már, és még fogok is olyan IT vezetőt, cégtulajt, aki összehúzott szemöldökkel meredt egy szabvány, vagy rendelet soraira és azon elmélkedett, hogy mennyibe – pénz, paripa, fegyver – fog ez nekem kerülni. Szerintem ti is láttatok már. Sőt lehet, hogy ti vagytok az éppen aktuális homlokráncoló.

A jogszabályok, elvárások megfogalmazói nem könnyítik meg a dolgunkat az olyan szavakkal egy ilyen dokumentumban, mint ’kockázatarányos védelem’, meg ’elektronikus információs rendszer’ (EIR), meg ’üzleti hatás’ és ez csak egy kis szelete az ismeretlen kifejezéseknek. Mindjárt fel is hördül a kedves olvasó: De ezeket mind ismerem. Ami jogos is lenne, ha egységes eredmények születnének, de nem szoktak. Az EIR-ből például két hasonló méretű és tevékenységet végző közül az egyik vállalatnál 10 darab van, a másiknál 56, mivel az egyiknél szolgáltatásra, a másiknál éppen kiszolgálókra és adatbázisokra lőttek. Persze így is, úgy is jó lehet, de van értelmezésből pár, így nem egységes. A kockázatarányos védelem könnyebb falat, már ha rendelkezünk kockázatelemzéssel, ami megmondja – remélhetőleg közelítve a valósághoz –, hogy mennyi az annyi, de abból is van különböző módszertan meg leírás. Sokaknál viszont ilyen nincs, vagy ha van is, azt még a COVID előtt rakta össze egy azóta Ománba költözött külsős szakértő. Tudom kissé sarkítás, de ilyen is van.

Mielőtt eltérnénk a tárgytól, ott állunk összeakadt szemöldökkel, mi is legyen most. A tulajdonos elvárása a tanúsítványra, a szabályozó a rendeletével beránt minket egy olyan szituációba, amikor valaki megnézi nálunk, hogyan is állunk kiberbiztonság terén és ehhez ad némi támpontot ugyan, de messze az egyértelmű zsinórmércétől, mert ott, ahol ezek a szövegek születnek senki sem tudja, milyen tevékenységet végzünk, így hogyan is mondhatná meg, mi az arányos, meg milyen szolgáltatásokból kell nekünk EIR gombócot gyúrni, és ezen EIR-ek kiesése esetén majd milyen üzleti hatást szenvedünk el, vagy szenvednek el az ügyfeleink.

Valahogy azért el kellene kezdeni a dolgot, amit hívjuk megfelelésnek. Van is, ahol már van compliance terület meg felelős, mert hozzászoktak más jogszabály, vagy hatóság elvárásaihoz, de sok cég nem ilyen. Náluk pl. a Kibertan. tv. és végrehajtási rendeletei alapján történő audit lesz az első. Vakarják is a fejüket rendesen, mint tapasztalatlan fiatal a nagy alkalom előtt. Ha szerencséje van, akkor ott egy felelős személy a közelben, aki felhívja a figyelmet a védekezés fontosságára, vagy a kezébe nyomja a szükséges eszközt. Ha nincs ilyen, akkor majd valaki más – esetünkben az ellenőrzést végző fogja megkérdezni, hogy védekeztél te egyáltalán?!

Persze no azonnali para. Az IT, az üzemeltetés a helpdesk (HD) és minden résztvevő a maga szintjén arra törekszik, hogy minél kisebb legyen a leállások, az üzemeltetést érintő incidensek száma. Lesz valamilyen folyamat, ha nem is a rendelet megfogalmazásának pontosan megfelelően, nem összefogva, nem egy keretbe rakva, bemutathatóan, hanem valahogy. A kockázatelemzés is ott van mélyen elásva az üzemeltetői fejekben, meg az üzleti felelősnél, mert nem szeretne üzemidőn kívül és a nyaralás alatt incidenst kezelni, és a BCP is be van égve a 20 éve ott dolgozó mozdulataiba, mert látott ő már olyat, hogy leállt a net és rutinból veszi elő a kockás füzetet, teams helyett a mobilt.

Szóval még mindig vakarjuk a fejet, hogy akkor merre tova? Mert előbb utóbb valaki jön és kérdez. Igazából nem is kérdez majd újdonságot – nincs úja a nap alatt – hanem fogja az elvárásokat, megfogalmazza, ha szerencsénk van úgy, hogy mindenki megértse, elfogadja és magáénak érezze – hiszen a kiberbiztonság közös érdek –, de ha nem így, akkor a bírság és hatalom szavát emlegetve elvár és vizsgál. Ez utóbbi nehezebb. Lehet, hogy ezért is jó hívni valakit, aki mégiscsak azért van, hogy úgy kérdezzen ahogy kell, hogy ne kelljen kitépni a hajam a faramuci megfogalmazásoktól, adjon jógyakorlatokat és megoldásokat, hogy éles helyzetben mégis rá tudjak majd mutatni, hogy nálam hogyan nem lesz baj kibertéren. Mert a jogszabályok, szabványok elvárásait nem csak csinálni kell, de összefogni, tervezni, véleményezni, dokumentálni, felelősséget vállalni – és bemutatni is.

Tegyük most már félre az elmélkedést és keressünk valakit – belsőst, vagy külsőst – aki tud kérdezni, látott már egy-két szervezetet működés közben, és el tud minket vinni oda, hogy az elvárásokban szereplő elemekre szépen sorban választ tudjunk adni…

• Tudod mik a fenyegetések veled szemben, és azok hogyan hatnak rád (kockázatelemzés)?
• Van valamilyen elvárásod magaddal szemben (szabályozás)?
• Van valaki, akinek az a dolga, hogy koordinálja a kiberbiztonsági feladatokat(felelős)?
• Le tudja írni valaki, mit csinál, ha nincs net, és az elégséges-e(BCP)?

…egészen addig, míg az elvárás minden elemére nem lesz egy válasz, ami vagy jó és legalább elégséges vagy javítandó. Ez utóbbiakra viszont kell valami. Kell stratégiai döntés, kell a kockázatok elfogadása, a megoldások kialakítása – természetesen a fenyegetéseknek és az azok hatásainak megfelelően. A legtöbb dologra, ha keresünk, akár a meglévő környezetben is találunk választ, hiszen eddig is működtünk, sokszor az elvárások ismerte nélkül is az elvárásoknak megfelelően.

Ha legalább magunkat ismerjük, az első alkalom biztosan kevésbé lesz fájdalmas.