IME - AZ EGÉSZSÉGÜGYI VEZETŐK SZAKLAPJA

Tudományos folyóirat

   +36-30/459-9353       ime@nullimeonline.hu

   +36-30/459-9353

   ime@nullimeonline.hu

Az információgazda(g)ság buktatói, avagy még mennyit áldoz(z)unk a biztonság oltárán

  • Cikk címe: Az információgazda(g)ság buktatói, avagy még mennyit áldoz(z)unk a biztonság oltárán
  • Szerzők: Dr. Kürti Sándor
  • Intézmények: Kürt Rt.
  • Évfolyam: I. évfolyam
  • Lapszám: 2002. / 3
  • Hónap: október
  • Oldal: 40-43
  • Terjedelem: 4
  • Rovat: INFOKOMMUNIKÁCIÓ
  • Alrovat: INTERNET, ADATBIZTONSÁG

Absztrakt:

Az egészségügyi informatika és az informatikai biztonság együttes és aktuális helyzetére világít rá a cikk. A biztonság növelésének lehetőségét az adott helyzetben a nem igazán tőkeigényes működési szabályzati rendszerek kidolgozásában és alkalmazásában jelöli meg. A cikket gondolatébresztőnek ajánljuk mindazoknak, akiket érdekel az egészségügyünk, akiket érdekel az informatika, és akiket mindezek együttesen is érdekelnek, és érdekeltek abban, hogy a hazai egészségügy rendszerébe az informatikai eszközök a jelenleginél hatékonyabban beépüljenek.

Cikk letöltése




Vissza az előző oldalra
Szerző Intézmény
Szerző: Dr. Kürti Sándor Intézmény: Kürt Rt.
INFOKOMMUNIKÁCIÓ ADATBIZTONSÁG Az információgazda(g)ság buktatói, avagy még mennyit áldoz(z)unk a biztonság oltárán Dr. Kürti Sándor, KüRT Rt. Az egészségügyi informatika és az informatikai biztonság együttes és aktuális helyzetére világít rá a cikk. A biztonság növelésének lehetőségét az adott helyzetben a nem igazán tőkeigényes működési szabályzati rendszerek kidolgozásában és alkalmazásában jelöli meg. A cikket gondolatébresztőnek ajánljuk mindazoknak, akiket érdekel az egészségügyünk, akiket érdekel az informatika, és akiket mindezek együttesen is érdekelnek, és érdekeltek abban, hogy a hazai egészségügy rendszerébe az informatikai eszközök a jelenleginél hatékonyabban beépüljenek. Cégünknél az informatikai biztonság kérdéseivel (megelőzés) és adatmentéssel (gyógyítás) foglalkozunk hivatásszerűen. Ugyanúgy, mint az egészségügyi gyakorlatban, ezek a tevékenységek időben is és technológiájukban is különbözőek. Ugyanakkor világosan látszik, hogy aki a gyógyítással (esetünkben az adatmentéssel) foglalkozik, az akarva-akaratlanul hozzájut a betegséget (estünkben az adatvesztést) kiváltó okokhoz, mint információhoz, tehát e két szakterület nem teljesen független egymástól. A lényeg azonban az, hogy ezen tevékenységeket elsősorban a közös céljuk, az információban rejlő értékek védelme hozza egy fedél alá. A fenti értelemben olyan „kórházként” működünk, melynek szakterülete az informatikai biztonság, és két „szakigazgatósága” van, egyik a megelőzéssel, másik a bekövetkezett sérülések gyógyításával foglalkozik. Van némi tapasztalatunk a hazai egészségügyi intézmények informatikai biztonságával kapcsolatban, az egészségügyi szervezetek adatainak gyógyítását, e szervezetek adatainak helyreállítását rendszeresen végezzük. A tapasztalatunk sommásan így fogalmazható meg: látható, hogy a legelemibb megelőzési technológiákat sem alkalmazzák. Az információ elvesztésének (megsemmisülésének) megakadályozására irányuló intézkedéseket a továbbiakban adatvédelemnek, az információ illetéktelen kézbe kerülésének megakadályozására irányuló intézkedéseket adatbiztonságnak nevezzük. Tisztában vagyunk vele, hogy ezek a megnevezések mind köznapi, mind műszaki értelemben más fogalmakat (is) takarnak, de sajnos nyelvünk ezen a területen elég szűkmarkúnak bizonyul. GONDOLATOK AZ INFORMATIKAI BIZTONSÁGRÓL Az információ megszerzésére való törekvés és ezzel együtt az információk védelme az emberi társadalmak kialakulásával egyidős tevékenység. A társadalmi-tudományos fejlődés során az információk megvédésének – és ezzel együtt megszerzésének – technológiája mind tökéletesebbé vált. Kialakultak a titkosítás – és ezzel párhuzamosan a megfejtés – módszerei, megszületett a kriptográfia, amely a huszadik századra a matematikai tudományok önálló ágává nőtte ki magát. Biztonsági szolgálatok szerveződtek, amelyek őrizték az információkat, az információt ismerő személyeket, felderítették és elhárították az információt fenyegető támadásokat – és fejlődtek az információszerzés módszerei is. A számítógépek megjelenésével nemcsak az információ védelme fejlődött, hanem a védendő információ is óriási változásokon ment keresztül. A számítógépes hálózati rendszerek kialakulása és robbanásszerű fejlődése forradalmasította az információ gyűjtését, feldolgozását, kezelését, tárolását. Az információ az innováció egyik legfontosabb forrásává vált, értéke jelentősen megnőtt. Ezzel együtt a számítógépes környezetben tárolt, továbbított adatok védelme is új értelmezést nyert. INFORMATIKAI BIZTONSÁGI ALAPFOGALMAK Az informatikai biztonsági megoldások ma alapvetően 3 feladat megoldására koncentrálnak: • az információ elvesztésének (megsemmisülésének) megakadályozása; • az információ illetéktelen kézbe kerülésének megakadályozása; • a folyamatos rendelkezésre állás biztosítása. Az erőfeszítések egyfelől a megelőzésre, másfelől, a káresemény bekövetkezése után, a kár csökkentésére irányulnak. 40 IME I. ÉVFOLYAM 3. SZÁM 2002. OKTÓBER Hazánkban a 90-es évek előtt az átlagpolgár ritkán találkozott az információvédelem problémájával, melyet az emberek az akkori politika egyik hatalomvédő eszközének tartottak. Napjainkra a helyzet megváltozott. Az informatika szinte minden iparágba, államigazgatási rendszerbe beolvadt, és az informatikai biztonság kérdése jelentősen előtérbe került. A piaci viszonyok fokozatos kialakulásával együtt újra tudatosodik a gazdasági társaságokban, az állami szervezeteknél és az egyes személyekben is, hogy olyan, hozzájuk kapcsolódó információkkal, adatokkal rendelkeznek, amelyek kizárólagos birtoklása és folyamatos INFOKOMMUNIKÁCIÓ ADATBIZTONSÁG rendelkezésre állása nagyon fontos társasági illetve személyes érdek. A számítástechnikai és informatikai rendszerek mindamellett, hogy mára teljesen átszőtték életünket, többnyire megbízhatóan működnek. A „többnyire megbízható működés” csak akkor kerül górcső alá, ha az alkalmazási terület jelentős, esetleg pótolhatatlan értéket képvisel, illetve ha már bekövetkezett az adatvesztés, vagy az adatok illetéktelen felhasználására fény derült. Fokozódó igény jelentkezik a hatékonyan és megbízhatóan működő informatikai rendszerek alkalmazására. Ezt az igényt az információtechnológiai (IT) alkalmazások javításával és megfelelő információs infrastruktúra kialakításával lehet kielégíteni. Az asztali számítógépek (PC-k) tömeges megjelenésével kezdődő informatikai forradalom felrúgta a klasszikus iparágakra jellemző szabályozást. Nem fektetett be elvárható mértékben a tudományos kutatásba, sem a minőségbiztosításba. A súlypont az eladás irányába tolódott el. Az értékesítés lett a meghatározó: teljesen maga alá gyűrte nemcsak a tudományos kutatást, hanem a jogi szabályozást is. Elsősorban ennek következménye, hogy a tömegesen használt informatikai termékek nem felelnek meg az egyéb ipari termékek iránt támasztott természetes elvárásainknak minőségi szempontból. De hát hogyan is felelhetnének meg? Éppen az jelentette a forradalmat ezen a területen, hogy minden olcsó, minden mindennel „összedugható” stb. A mai informatikának ez az alapvető jellemzője. Ilyen körülmények között a klasszikus minőségbiztosításnak nem is lehet helye, illetve értelme, hiszen a minőséget vizsgálni sem lehet. Ha nem lennének költségkorlátok, a teljes rendszer egységes, minden szintre kiterjedő, azonos minőségű védelme jelentené a legnagyobb biztonságot. A gyakorlat azonban azt mutatja, hogy az optimális biztonság szelektív. Ami értékesebb, az fokozottabb védelmet igényel. Szinte biztos, hogy minden környezetben, így a számítástechnikában is, kialakulnak a biztonságra való törekvés ösztönös, logikus formái. A nagy és bonyolult rendszereknél azonban az ösztönösség önmagában már nem elegendő. Egy szervezet informatikai rendszerében valószínűleg az adatok biztonsága a meghatározó jelentőségű, a számítástechnikai eszközök biztonsága lényegében csak az eszközök piaci értéke szempontjából érdekes. A klasszikus iparágakban azok a technológiák, amelyek már kikristályosodtak, szabványosítási folyamaton mennek keresztül. Ez a folyamat az informatikai biztonság területén még nem ment végbe, bár valami azért már elindult. A mai úttörők – pl.: a British Standard – a legjelentősebb kidolgozói az ISO típusú nemzetközi szabványoknak is. Ugyan- akkor nagyon erősen megindult az informatikai biztonsági folyamatok szabványosítása az Egyesült államokban is (COBIT, Common Criteria). Ha az egyes informatikai biztonsági folyamatok nemzetközi szabványosítása megtörténik, az jelentős előnnyel jár majd. Az informatikai folyamatok ellenőrizhetők, dokumentáltak és egységes szemlélet szerint auditálhatók lesznek. A közgondolkodásra egyelőre ma még az a jellemző, hogy az informatika a szerint jó vagy rossz, hogy ki gyártotta. Az informatikai rendszerek biztonságának növelése komoly tőke- és erőforrás-befektetést igényel, amit célszerűen kockázatelemzés előz meg. Ma azonban még ott tartunk, hogy nagyon sok szervezetnek biztonsági szabályzata, biztonsági stratégiája, biztonsági kézikönyve sincs. Ha a szervezet vezetése tudja, hogy mit tart biztonságosnak, és mit nem, hogy milyen üzleti/technológiai folyamatokhoz milyen biztonságot szeretne (illetve kötelező) hozzárendelni, akkor az informatika biztonságával foglalkozó cégek már fel tudják építeni azt a technikai védelmet, amellyel a rendszerek nyitottságát már ellenőrizni lehet, és a hívatlan betolakodók előtt bezárulhatnak az ajtók. Nem nehéz megjósolni, hogy az elkövetkező évek legfontosabb gazdasági kérdései között szerepelni fog az informatikai biztonság. Mindez az informatikai biztonság, pontosabban bizonytalanság mai helyzetéből következik. Nincs olyan iparág, ágazat, terület, amelynek fejődését a jelenlegi kaotikus helyzet ne akadályozná. A mindennapi életben, a bennünket körülvevő világban (így az informatikában is) kétféle kockázat különböztethető meg: • amely megfelelő kockázatkezelési eszközök alkalmazásával megszüntethető vagy mérsékelhető, illetve • amelynek megszüntetése, mérséklése az adott környezetben nem lehetséges. A világ informatikai összegubancolódása, az internetben rejlő lehetőségek realitása és víziói jelentik a fő hajtóerőt az informatikai eszközök és rendszerek minőségjavításhoz. Az informatikai minőség, mint fogalom, egy új terméket is elő fog állítani, az informatikai biztosítást. A klasszikus iparágakban is ilyen volt a fejlődés menete. Az informatikai rendszerek összetettségének és bonyolultságának növekedése, a rendszerek és az eszközök egyre áttekinthetetlenebbé válása, illetve az informatikával szembeni függőség és fenyegetettség növekedése miatt napjainkra érkezett el az az idő, hogy mind megrendelői, mind biztosítói oldalról egyre jelentősebb igény jelentkezik az informatikai rendszerek, illetve az elektronikus formában megjelenő adatok biztosítására. IME I. ÉVFOLYAM 3. SZÁM 2002. OKTÓBER 41 INFOKOMMUNIKÁCIÓ ADATBIZTONSÁG AZ INFORMATIKAI BIZTONSÁG TERÜLETÉN REÁLISAN ELÉRHETÔ CÉLOK Itt száraz felsorolása következik mindazon tevékenységeknek, melyeknek célja az információt (mint védendő értéket) érő káros környezeti hatásoknak a kiszűrése. • Az információ technológia (IT) alkalmazásának stratégiai és taktikai tervezése (hogy összhang legyen a finanszírozási lehetőségek és a várt eredmények között); • az információs rendszerek fejlesztése (hogy a szervezet tényleges igényeinek megfelelő rendszerek jöjjenek létre a tervezett költségkereteken belül); • a kockázatkezelés megvalósítási lehetőségeinek vizsgálata a szervezetek informatikai infrastruktúrájában; • az információs rendszerek üzemeltetése és karbantartása (hogy a rendszerek élettartamuk során folyamatosan rendelkezésre álljanak, és követni tudják az esetlegesen változó elvárásokat); • az informatikai biztonsági rendszer működésének nyomon követhetősége; • a védendő rendszerek, állományok, adatok körének és prioritásának meghatározása; • a szervezet anyagi veszteségeinek minimalizálása esetleges adatvesztéskor; • a felelősségi körök kijelölése; • az informatikai rendszer nem megfelelő működésének folyamatos korrigálása. A szervezeteknek saját biztonságuk érdekében tisztában kell lenniük rendszereik gyenge pontjaival, kockázataikkal, valamint azzal, hogy miként, és milyen biztonsági intézkedésekkel tudják mérsékelni ezeket. Szükséges a felső vezetés akaratát kifejező társasági szintű biztonságpolitikát kidolgozni, amelyben ki kell fejezni azt is, hogy ki milyen módon férhet hozzá adatokhoz, információkhoz, ki és milyen mértékben használhatja azokat, és mindezt meg kell határozni mind a belső munkatársakra, mind a partnerekre vonatkozóan. AZ INFORMATIKAI BIZTONSÁGI TECHNOLÓGIA (IBIT®) 1. ábra Az ábrából következik az is, hogy létezhetnek olyan kockázatok, amelyek bekövetkezése esetén a kárérték lényegesen alacsonyabb, A fent megfogalmazottakat ülteti át a gyakorlatba a nemzetközileg már elfogadott szabványokra és cégünk 13 éves adatmentési, adatvédelmi tapasztalatára épülő integrált adatvédelmi, adatbiztonsági rendszer, az Informatikai Biztonsági Technológia (IBiT®). Az IBiT® teljes körű, kockázatelemzést tartalmazó, integrált megoldás-csomag, amely a szervezet teljes informatikai tevékenységét átfogja, szabályozza, előtérbe helyezve az adatvédelmi és adatbiztonsági szempontokat. Tartalmazza az informatikai rendszerek biztonságos működéséhez, működtetéséhez szükséges tervezési (stratégia), fizikai (hardver, szoftver) és adminisztratív (szabályzatok, utasításrendek) elemeket. mint a megelőzéshez szükséges intézkedések költségei. Így a szervezetek számára célszerű olyan megoldást választani, amely megfelelő védelmet (garanciát) nyújt a káresemény bekövetkezte esetére, de az intézkedés költségei lényegesen alatta maradnak a bekövetkező kárértéknek. • • • • 42 az IT-tevékenységekre vonatkozó minőségbiztosítás és biztonságtechnika (hogy a minőségi és biztonsági követelmények egyenletesen és kiegyensúlyozottan épüljenek be a rendszerekbe); az informatikai biztonsági rendszer elemeinek, valamint a köztük lévő kapcsolatoknak a rögzítése; az informatikai biztonsági rendszer működésének dokumentált szabályozása; megfelelő, szabályozott és dokumentált ellenőrzés biztosítása a szervezet informatikai rendszere fölött; IME I. ÉVFOLYAM 3. SZÁM 2002. OKTÓBER 2. ábra INFOKOMMUNIKÁCIÓ ADATBIZTONSÁG ZÁRÓ GONDOLATOK Mit szűrhetünk le a fenti eszmefuttatásból, mi az, ami az egészségügyi szervezetek mai helyzetében megvalósítható az informatikai biztonság elfogadható szintjének megteremtése érdekében? A KüRT statisztikai adatai is megerősítik azt a nemzetközi felméréseken alapuló tényt, miszerint az informatikai biztonság egyik legnagyobb kockázatát az emberi tényező jelenti, ezen belül is a szervezet saját dolgozói. Ez a megállapítás igaz mind az adatvédelem, mind az adatbiztonság területén. E kockázati tényezők hatását a megfelelő szabályzatrendszerek használatával lehet hatékonyan csökkenteni. A szabályzat-rendszerek kialakítása nem igényel nagy IT beruházásokat, viszonylag kis költséggel megoldható. Természetesen a megfelelő kockázatelemzés és felmérés elvégzése után határozható meg az, hogy egy adott szervezet esetében a minimálisan szükséges biztonsági szint eléréséhez pontosan mire van szükség. A tapasztalataink azonban azt mutatják, hogy sok esetben nagyon komoly előrelépést jelent a meglévő, vagy csak kismértékben fejlesztett IT infrastruktúra használatának, karbantartásának, ellenőrzésének szabályozása, szigorú keretek közé szorítása. Az itt leírtak mind-mind a minőségbiztosítás alapgondolatát ismétlik az informatikai biztonsági technológia köntösében. Nincs új a nap alatt. A SZERZÔ BEMUTATÁSA Dr. Kürti KüRT Rt. rülete az nológiák Sándor (54) informatikus, a vezérigazgatója. Kutatási teinformatikai biztonsági techkidolgozása, alkalmazása. 1997-ben és 1998-ban az Év Informatikai Menedzserének választották. A Gábor Dénes díj és a Kalmár László díj kitüntetettje. Az Informatikai Vállalkozások Szövetségének alelnöke. ELÔZETES AZ IME KÖVETKEZÔ KONFERENCIÁJA Kontrolling és Vezetői Információs Rendszerek az Egészségügyben 2002. november 26-án Tulip Inn Budapest Millennium Információ: 06 (1) 333 2434; 210 2682; 06 (30) 9319 857 www.larix.hu; www.imeonline.hu IME I. ÉVFOLYAM 3. SZÁM 2002. OKTÓBER 43