Százból egyetlen egy vállalkozó

Manapság, amikor már a csapból is a GDPR folyik, érdemes egy cikk erejéig elgondolkodni azon, vajon az adatvédelmi rendelet – és úgy általánosságban az információbiztonság – elvárásainak mennyire felelnek meg a magyar vállalkozások.  A témában a szlogenük szerint az informatikai szolgáltatások teljes arzenálját kínáló Euro-Creativity Kft. két vezetője: Szöllőssy Márk, a társaság tulajdonosa és Csitreni László ügyvezető segített eligazodni nekünk.

– A mai magyar informatikai viszonyok között nem érdemes GDPR-ról vagy ISO 27001-ről beszélni. A realitás az, hogy a tanúsító cégek, de akár mi, magunk is azért küzdünk, hogy a vállalatok nagy része legalább a minimum elvárásoknak megfeleljen – kezdi Szöllőssy Márk a helyzetelemzést.

Komoly lemaradásban vagyunk

Nyilván adódik a kérdés: ez az épületes mínusz minek a számlájára írható? A magyar vállalkozások zöme nem rendelkezik XXI. századi eszközállománnyal, netán a kiépítettséggel vannak gondok? Vagy inkább a felfogással? Csitreni László szerint egyértelműen ez utóbbi hibádzik nálunk. –  Mind az eszközállomány beszerzése, mind ennek működtetése, az IT rendszer kiépítése a felfogáson múlik.

Két út áll a cégvezetők előtt

Úgy tűnik, ma még nem fontos a magyar vállalkozóknak, hogy cégük informatikai biztonsága naprakész legyen, ezért nem is áldoznak rá. Ez egészen jól tud működni addig, amíg valami igen nagy gubanc nem keletkezik. Amikor pedig ez bekövetkezik,

a cégvezető előtt két lehetőség áll: 1. áthárítja a felelősséget a sok esetben vétlen informatikusra; 2. felméri a károkat és levonja a szükséges konzekvenciát. A forgatókönyv nagyjából így néz ki minden magyar kkv-nál.

(Cikkünk csak a magyar kis- és középvállalkozások informatikai felkészültségével foglalkozik, a multinacionális nagyvállalatok helyzetét azok speciális volta miatt nem vizsgáljuk.)

Felelősség: enyém-tied

Mindkét megkérdezett szakember úgy látja, hogy keskeny mezsgye húzódik az „én hibám, te hibád” között. Az elmérgesedő vitákat és nem utolsó sorban a jelentős károkkal járó informatikai incidenseket célszerű megelőzni például azzal, hogy adatvédelmi felelőst nevezünk ki.

Szöllőssy Márk szerint a rendelet már egy közepes méretű (200 fős) vállalkozásnál is adatvédelmi ügyintéző alkalmazását írja elő, de – teszi hozzá sietve – az szinte biztos, hogy nem a cég informatikusa lesz! Hogy miért? Azért, mert a társaság tevékenységének jellegéből fakadó üzleti sajátosságokra egy informatikusnak egyszerűen nincs rálátása.

Az információbiztonság nem az informatikus dolga?

Az Euro-Creativity Kft. tulajdonosa úgy véli, az informatikus feladata a technikai megvalósítás, a rendszer üzembiztos működtetése, ahhoz viszont, hogy milyen adatot és meddig kell őrizni, nem sok köze van. Az adatvédelem felelősségét a cég menedzsmentje által delegált személynek, közkeletű nevén az adatvédelmi felelősnek kell viselnie.

Vihar előtti csend

Interjúalanyaink meglátása szerint mostanában nagy a csend a GDPR körül, a májusi médiacunami elhalkult. A cégek kivárásra játszanak, kiváltképp azt követően, hogy a sajtóban megjelent: a GDPR május 25-i élesítése után három hónapos moratóriumot kapnak (ebből pedig kettő már el is telt) a magyar kisvállalkozások.

– Ez az átmeneti állapot, ha úgy tetszik: „uborkaszezon” egészen addig tart majd, amíg meg nem érkeznek az első büntetések.

Akkor majd megint a címlapokon szerepel a GDPR – tekint előre némi aggodalommal Csitreni László.

GDPR kontra ISO 27001

Joggal vetődik fel a kérdés, hogy ha a közismerten igen szigorú feltételeket támasztó adatvédelmi rendelet kívánalmainak ilyen nehéz megfelelni, mennyit segít egy adott cégnél az ISO 27001 megléte? –  A GDPR kézkönyve nyolcvannyolc oldalas, vagyis valóban igen sokrétű megfelelést írt elő. Azonban az ISO 27001 (információbiztonsági rendszerszabvány) a „mumusként” emlegetett GDPR legnagyobb és legkockázatosabb részét lefedi.

70 százalék

Minden IT-t használó vállalkozásnak bizonyos alap információbiztonsági intézkedéseket kell tennie. Pl. fel kell térképezni, hogy milyen jelszavak vannak a birtokunkban, azokat hol tároljuk, és milyen időközönként cseréljük le őket, de el kell készíteni az infobiztonsági szabályzatot is stb.). Ha mindezt még megfejeljük egy ISO 27001-gyel, akkor már csak egy egészen pici hiányzik ahhoz, hogy a GDPR követelményeit is teljesítsük. Ha számszerűsíteni akarnám azt, hogy milyen felkészültséget ad egy ISO 27001 a célként kitűzött GDPR-hoz képest, azt mondanám: úgy kb. 70%-ot – mondja Szöllőssy Márk.

Az informatikusok, információbiztonsági szakemberek (általában) lelkesednek az adatvédelmi rendelet szándékosan magasra tett mércéjéért. Azok viszont, akikre vonatkozik, nos … maradjunk annyiban, hogy ők már kevésbé boldogak ettől. Csitreni László is úgy tapasztalja, hogy a jelen állapotok között 100-ból, legfeljebb ha egy vállalkozásnál működik az IT szabályszerűen. Ma még inkább plusz maceraként, mintsem a vállalat értékét növelő (a jövőben pedig akár profittermelő) tényezőként tekint az egyszeri magyar vállalkozó az informatikára.

Tovább is van, mondjam még?…

Ha megkérdezünk egy informatikai szakembert, munkája során találkozott-e már olyan esettel, amikor nem akart hinni a szemének, akkor a legjobban tesszük, ha kérünk egy kávét, mert hosszú monológ következik…

Szöllőssy Márk és Csitreni László is szinte egymás szavába vágva meséli a „horror sztorikat”. – Itt van mindjárt a példa kedvéért az a jól menő étterem, ahol három különböző gépre futottak be a megrendelések. Azt ugyan nem értettük, hogy ehhez miért van szükség mindjárt három gépre, de megígértük, hogy elhárítjuk a rendszerhibát.

Az csak a helyszínen derült ki, hogy a PC-k egy zsíros falú, a tisztaság tekintetében egyébként is erős kihívásokkal küzdő helyiségben álltak. A masinák állapota miatt sem szívesen nyúltunk volna bele a gépekbe, de a helyzetet tovább bonyolította a más programokkal közismerten nehezen barátkozó, a gépeken futó Windows XP operációs rendszer.

Azt javasoltuk, hogy áldozzanak egy kb. 100 ezer forint nagyságrendű összeget a rendszerre és mi korszerű, naprakész és nem utolsó sorban biztonságos állapotokat teremtünk. Ugye, ilyen előzmények után nem meglepő, hogy az étteremvezető pillanatnyi megfontolás nélkül utasította el az ajánlatunkat? – emlékszik vissza Szöllőssy Márk.

Rendszerépítés elméleti síkon

Vagy ott van a nagy múltú faktoring cég esete – veszi át a szót kollégájától Csitreni László. – Megkeresett bennünket a vállalat, hogy készítsük fel a rendszerüket a felettes szervük, a Magyar Nemzeti Bank igen-igen rigorózus ellenőrzésére. A szokásoknak megfelelően állapotfelmérést végeztünk, és az ott tapasztaltak alapján a helyzet leírására talán az a legjobb kifejezés, hogy „borzasztó a köbön”!

Sürgősen rendbe kellett volna tenni az informatikai rendszert – az MNB felülvizsgálattól függetlenül is –, mert olyan hiányosságokat találtunk, amelyeknek könnyedén 50-100 milliós büntetés lehet a „jutalma”.

Elkezdődött az egyezkedés, hogy hogyan „tuningoljuk” fel a rendszert az elvárt szintre, majd annak rendje és módja szerint beszereztük a munkához szükséges hardver eszközöket. Ekkor ért bennünket a következő meglepetés. A cég közölte, hogy nem ugyanazt értettük az információs rendszer szabályszerű kiépítése alatt. Ők ugyanis mindezt pusztán „elméleti síkon” képzelték el, magyarán csak a munka „lepapírozását” várták tőlünk.

A vicc az – teszi fel a történetre a slusszpoént Csitreni László –, hogy a munkadíjat (mármint a rendszer kiépítéséért járó munkadíjat) így is kifizették volna ezért a pár tollvonásért. Vagyis, ennyi erővel, akár tehettük is volna a dolgunk, ám ők ragaszkodtak a „kamu melóhoz”. Mondanom sem kell, hogy azonnali hatállyal szerződést bontottunk…

A  rendszer legbonyolultabb eleme az ember

Interjúalanyaink egybehangzó véleménye az, hogy bármilyen bosszantóak is tudnak lenni az okos készülékek hibái, bármilyen összetettek lehetnek az informatikai rendszerek, közel sem tudják olyan kihívás elé állítani az szakértőket, mint az emberek.

Szöllőssy Márk azt mondja,

rendszertanilag külön alosztályt képeznek a cégvezetővel rokoni, baráti kapcsolatban álló informatikusok, akik – bennfentességüknél fogva – helyzeti előnyben vannak a „külsős” szakemberekkel szemben.

Bár láttunk már autodidakta informatikust, akinek a kisujjában volt a szakma, de a bekezdés elején említettek rendszerint nem ezek közül kerülnek ki. Gyakran a tudásuk legjava egy Windows feltelepítésében csúcsosodik ki, egyébként meg munkájukkal az informatikai rendszerekből csak a „rendet” teszik értelmezhetetlenné. Probléma esetén viszont a válogatott érvekkel tudják – a nagyfőnökkel való baráti, rokoni szál okán sajnos gyakran sikerrel – alátámasztani, hogy miért nem ők a felelősek a történtekért. A modell természetesen működik, kérdés, hogy vajon a nagy infobiztonsági ellenőrzések hajnalán is elég lesz-e ennyi.

A kkv fehér hollói

Persze,– igaz bányászlámpával kell keresni –, azért ellenpélda is akad, állítják az Euro-Creativity szakemberei. Csitreni László úgy emlékszik, a történet egy húszfős kisvállalkozással esett meg, ahová az Euro-Creativity azért érkezett, hogy „kalapáljanak ezt-azt” az informatikai rendszeren.

Az állapotfelmérést követően viszont mosolyogva közölték az ügyféllel: ezen nincs mit javítani! Példaszerű működéssel, intelligens, modern kialakítással, 3 éves ütemezéssel találkoztak. Minden olyan volt, mint a nagy könyvben! Bizonyára ez az ideális állapot a vezető és informatikus együttműködésén is múlt, így az informatikus részéről felmerülő jobbító ötletek értő fülekre találtak. Ebből az összhangból pedig mindenki, de legfőképp a működőképessé és biztonságossá tett cég profitált, bizonyítva, hogy így is lehet.