Adatbiztonság / Információbiztonság

Az adatbiztonság azoknak az eszközöknek, szoftvereknek és emberi viselkedéseknek az összessége, amelyek meghatározzák, hogy a vállalat által gyűjtött és kezelt adatok mekkora eséllyel sérülnek vagy kerülnek illetéktelen kezekbe.

Az adatbiztonság rendkívül összetett fogalom, mértéke nehezen számszerűsíthető, és számos technikai, illetve emberi képesség és tudás függvénye. 

Fontos megértenünk, hogy 100 százalékos adatbiztonság nem létezik, annak elérése végtelen költségekkel járna. A teljes adatbiztonságot csak közelíteni lehet, és hogy ezen a skálán milyen szintet tűzünk ki célul, az a védendő adatok érzékenységétől, az elvesztésükből adódó kár mértékéből vezethető le az adott biztonsági szint eléréséhez szükséges költségek figyelembevételével.

A biztonság fogalma eleve nehezen értelmezhető, hiszen a hiányát általában csak akkor érezzük meg, amikor már késő, azaz bekövetkezik valamilyen káresemény. Éppen ezért célszerű fordítva gondolkodni, azt nézni, hogy egy adott eseményből – adatbiztonság esetén az adat elvesztéséből vagy illetéktelen kézbe kerüléséből (kompromittálódásuktól) – milyen értékű kár származhat, és ez mekkora valószínűséggel következhet be. 

A potenciális kár és a bekövetkezési valószínűség szorzata az a kockázat, aminek mérséklése az adatbiztonság növelése. Mindebből következik, hogy minél értékesebb, érzékenyebb egy adat (pl. iparjogvédelem alá eső vagy személyes adatokról beszélünk) – azaz minél nagyobb kárt okoz a sérülése –, annál nagyobb erőkkel (költséggel) védjük, ezt nevezik kockázatarányos adatvédelemnek. 

Ha az adatbiztonsággal kapcsolatos veszélyekről beszélünk, a legtöbb embernek a hekkerek, az adatok megszerzésére törekvő bűnözők jutnak eszébe, de az adatbiztonságnak legalább ilyen fontos része a szükséges adatokhoz való indokolt hozzáférés mindenkori biztosítása, az adatbázisok rendben tartása, az adatállományok sérülésének (az adatvesztés, az adatok hitelességének sérülése, lehívásuk, bevetésük ellehetetlenülése) megakadályozása.  

Mivel adatainkat ma már leginkább digitális adathordozókon (és nem papíron) tároljuk, az adatbiztonság megcélzott szintje hardveres, szoftveres és humánerőforrás-beruházásokkal érhető el. Hardveres megoldás, ha például egy internetről leválasztott külön szerveren őrizzük a cég működését meghatározó adatatok másolatát, szoftveres megoldás pedig a megfelelő vírusirtók, szűrők alkalmazása vagy a vállalati kommunikáció VPN-re terelése. 

A biztonsági szakemberek általában egyetértenek azzal, hogy az adatbiztonságra leselkedő legnagyobb veszély igazából az ember, és nem is az, aki az adatok megszerzésére törekszik, hanem az, aki hivatalból hozzájuk fér, vagy ha nem is fér hozzájuk, de akaratlanul is utat tud nyitni a külső behatolók előtt. 

A nemzetközi biztonsági felmérések szerint az adatvesztéssel végződő külső támadások 80-90 százaléka valamilyen emberi hibára vezethető vissza, és az ilyen támadások túlnyomó többsége valamilyen adathalász – social engineering, beetető e-mailek, telefonos megkeresések, SMS-ek – eszköz bevetésével kezdődik. 

Éppen ezért az adatbiztonság megteremtésének, vagyis az adatvédelemnek kiemelten fontos része az alkalmazottak kockázattudatosságának fenntartása, az ilyen támadások kivédésének oktatása.