A kommunikációs szabadság új kihívásokkal, problémákkal jár. A vállalati szervezeteken belül az átlátható, a korábbinál kevésbé hierarchikus körülményekhez kell alkalmazkodniuk vezetőknek és alkalmazottaknak egyaránt. Technológiai téren talán az információk szelektálása jelenti a legnagyobb gondot: a behálózott világban csak az a cég lehet sikeres, amelyik ki tudja választani az információfolyamból, a szerteágazó kapcsolathálóból a számára fontos tudnivalókat, kapcsolatokat. Nem elég tehát szabadjára engedni az információáramlást, hanem kezelni is kell - ez a tanulság a hálózatok világában.
Lebontani az információáramlás útjában álló földrajzi, politikai, és a szervezeti struktúrából adódó határokat, ugyanakkor megakadályozni, hogy illetéktelenek kezébe jussanak a nem rájuk tartozó információk - ez a számítógépes hálózatok alkalmazásának alapproblémája a Novell és a Kroll Associates tanulmánya szerint. Amikor a „rossz" falak leomlanak, új lehetőségek tárulnak fel a gazdaság kisebb és nagyobb szereplői előtt, de csak akkor, ha az illetéktelen behatolók ellen „jó" falakkal veszik körül a vállalkozásaikat.
Az intelligens hálózati platformokon - amilyennek a tanulmány szerzői saját cégeik termékeit tartják - a felhasználó üzleti céljai szabják meg a végpontokon ülő ügyfelek hozzáférési lehetőségeit minden információforráshoz, az alkamazásoktól az adatbázisokon át az internethasználat egyénre szabott szabályaiig. A hálózatmenedzselő szoftverek lehetővé teszik, hogy a „rossz" falak lebontása és a „jók" felállítása technikai problémaként, a folyamatos változásokat követve gyorsan, zökkenőmentesen megoldható legyen.
Napjainkra az információ vált a legfőbb gazdasági erőforrássá. Ez egyfajta paradoxonhoz vezet: hogyan lehet egyszerre kitárulkozni, lényegében bárki számára hozzáférhetővé tenni egy vállalat minden tudnivalóját, ugyanakkor biztosítani, hogy az információ pontos, naprakész legyen, és ne jusson illetéktelen kezekbe?
Becslések szerint az információfüggő vállalati működés azzal jár, hogy a vállalati információk kilencven százalékára szinte minden alkalmazottnak szüksége van valamikor a munkája során. Az első rendű biztonsági probléma eljuttatni ezt a kilencvenszázaléknyi információt a megfelelő helyre a megfelelő időben, de úgy, hogy közben a maradék tízszázaléknyi csak azok elé kerüljön, akiket megillet.
Az Egyesült Államokban 1997-ben 137 millió dollárt vesztettek a cégek a számítógépes bűnözők miatt, és ha a véletlenszerűen okozott kárt is hozzátennnénk, az összeg sokkal magasabbnak adódna.
A megfelelő információvédelem kialakításának egyik legfőbb akadálya, hogy a vezetők azt hiszik, ez sokkal inkább technikai probléma, mint a menedzsment ügye. Pedig nem igy van.
A hálózatok biztonságával kapcsolatban a legfontosabb kérdés, honnan érkezik az illetéktelen „kíváncsiskodás", a „támadás". Az FBI nemrégiben a következő „megtámadási" statisztikát tette közzé: (egy-egy konkrét illetéktelen hálózati behatolás az alábbiak közül több fajtának is megfelelhet):
Szabotázs az adatbázisok vagy a hálózat ellen: 14 százalék.
Megvesztegetési kísérletek: 15 százalék.
Lopási kísérletek: 18 százalék.
Külső behatolási kísérletek a számítástechnikai rendszerbe: 24 százalék.
A biztonsági rendszer kijátszása: 25 százalék.
Alkalmazottak felhatalmazás nélküli hozzáférése: 44 százalék.
Mindezek nyomán a támadásokat négy csoportba sorolja a tanulmány: külső fenyegetések, belső fenyegetések, „Isten keze" típusú veszélyek, mint amilyenek a villámcsapások, illetve a vírusfertőzések, a 2000. év problémája.
A külső fenyegetés tíz éve még csak természeti csapásokban, véletlen balesetekben vagy gyűlölet szülte rongálásokban merült ki, ám az internet, az elektronikus kereskedelem és a számítástechnikai hálózatokon keresztül lebonyolódó üzleti forgalom terjedésével, a vállalati inforamtikai rendszerek külső hálózatokba való bekötésével ugrásszerűen megnőtt az ilyen behatolások veszélye.
A lehetséges támadók közül a legenyhébb fenyegetést az alkalmi hackerek, az iskolás fiúk jelentik, akiknek rengetek idejük van számítógépezni, hackerkedni, de sem komoly károkozó szándékuk, sem az igazi bajkeveréshez szükséges felkészültségük nincs.
Az egyetemi hallgatók már nagyobb veszélyt jelentek, minthogy sokkal többet tudnak a számítógépes rendszerekről, azok gyengeségeiről, jobb az elemzőképességük is, és erősebb számítógépekkel rendelkeznek az alkalmi behatolóknál. Az e csoportba tartozókat ráadásul sok esetben szociális vagy politikai megfontolások motiválják kiszemelt célpontjuk megtámadásában.
A zsarolók és információkereskedők már igazán nagy veszélyt jelentenek. Az előbbiek a definíció szerint bűnözők, az utóbbiak a konkurenciának eladható információért kutakodnak mások rendszereiben. E csoport tagjai kizárólag pénzért dolgoznak, következképp hajlandóak befektetni a megfelelő hackertudás megszerzésébe. Jó tudni, hogy az információtechnológia az egyik legnépszerűbb stúdium az európai börtönökben. Sok rab számottevő tudást szerez a rehabilitációs szándékú informatikai kurzusokon.
A cyberharcos áll a hackerhierarchia csúcsán. E csoport tagjainak majdhogynem korlátlan erőforrásaik, szellemi hátterük van (lehetnek például védelmi, hírszerzési területen dolgozó, ott szerzett tapasztalatokkal rendelkező számítógépes szakemberek), katalógusokba rendezett ismeretekkel rendelkezhetnek minden tűzfal, hálózati megoldás, operációs rendszer gyengeségeiről, és rá tudnak lépni nemzetközi távközlési hálózatokra. Nagyon képzett, erősen motivált emberekről van szó, akik rendkívüli szakmai felkészültséggel rendelkeznek, és az egyetemistákhoz hasonlóan gyakran valamilyen extrém ideológia nevében cselekszenek.
A külső fenyegetéssel szemben a belső titoksértés minden szervezet örök problémája. Az alkalmazottak illetéktelen tettei egy brit felmérés szerint 57 százalékban véletlen esetek, és csak 24 százalékban van a hátterükben valamilyen sérelem keltette gyűlölet. A hozzá nem értés, a gondatlanság, a figyelmetlenség, a megfelelő biztonsági szabályok hiánya, egyszóval a rosszul menedzselt informatikai hálózatok a tipikus okai a véletlenszerű hibáknak, károkozásnak.
Az „Isten keze" típusú balesetek ellen, mint amilyen a villámcsapás, a viharkár stb. alig lehet védekezni. Az információk többszörös tárolása, földrajzi szempontból is elkülönült elhelyezése, az egyik lépésről a másikra visszavezethető üzleti tervek segíthetnek. Érdekes konkrét példa, hogy míg az egyik nagy európai távközlési cég számítástechnikai központja sose szenvedett ilyenfajta kárt annak ellenére, hogy egy repülőtér kifutópályájától 500 méterre telepítették, addig az egyik bank hasonló létesítményére, amelyet mindentől távol, egy város környéki helyszínen építettek fel, majdnem rázuhant egy repülőgép.
Végül a vírusfertőzések és a 2000. év problémája olyan veszélyek, amelyek nem illenek az előbb említett kategóriákba, de azokhoz hasonlóan folyamatos rendszerfelügyeletet igényelnek. Az előbbiek elleni védelem eszközei: a programok származásának nyilvántartása, illetve antivírusszoftverek futtatása, amelyek időről időre átvizsgálják a hálózatot, és kiirtják az általuk ismert programkórokozókat. A 2000. év kezelése egyfajta minőségbiztosítási folyamat, amelynek során a számítástechnikai rendszer minden elemét ellenőrzini kell 2000-biztossága szempontjából, eközben egy hardver- és szoftverkatalógust létrehozva a vállalatnál.
A hálózatok védelmének költségeit az esetleges károk miatti kiadásokkal kell összevetni. A védekezés nem feltétlenül jelent pluszkiadást, a megfelelő szabályok megalkotása adott esetben még közvetlen megtakarítással is járhat. Egy londoni nemzetközi bank például ügyfélkezelői felületén tűzfalat működtetett, de eközben megengedte, hogy a banki PC-ken modemek legyenek. A hackerek vad elterelő támadást intéztek a tűzfal ellen, s amíg a rendszergazdák ezzel foglalkoztak, felhivogatták a modemeket, és azokon keresztül milliókat emeltek le banki számlákról. Tanulság: ha nincs modem, nincs probléma - így olcsóbb és biztonságosabb lett volna. Egy svéd informatikai cég egyetlen hét végén elvesztette legújabb fejlesztéseit tartalmazó nyilvántartását, aminek egyedüli oka a biztonsági szabályozás lyukassága volt. Azt ugyan megkövetelték, hogy minden kutatási dokumentumról azonos idejű másolat készüljön, ám azt már nem rendezték, hogy a másolatokat milyen védelem illesse meg. Minthogy azok a helyi hálózat egy másik gépére kerültek, onnan lopták le őket a hackerek.
Egy felmérés szerint Nagy-Britanniában 200 millió font kár éri a cégeket a megfelelő adatbiztonság hiánya miatt. Más becslések szerint az összeg ennek sokszorosa lehet, és akkor még nem vettük figyelembe, mennyi is adódhat egész Európában összesen. Jellemző, hogy biztosítási cég ugyancsak 200 millió fontot bukott egyetlen alkalmazottjának információval kapcsolatos vesztegetési ügyén.
Az FBI által megkérdezett cégek 64 százalékának volt számítógépes biztonsági problémája 1997-ben (egy évvel korábban még csak 22 százalék volt ez az arány), 54 százalékuk jelentette, hogy internetkapcsolata gyakori helyszíne a behatolási kísérleteknek (17 százalékos arány 1996-ban), és a válaszadók körében 241 eset járt veszteséggel, összesen 137 millió dollár értékben.
Látható tehát, hogy a védekezés elmulasztásával elérhető „megtakarítás" igazából beláthatatlan mértékű veszteségekhez vezethet. Ha a megelőzés költségeiből ki kell emelni egyet, talán a munkatársak képzésére kiadott összegekre eshet a választás, minthogy ez az egyik legfontosabb tennivaló ezen a téren.
Egy európai divatcég igen bölcsen úgy döntött, tűzfalat telepít rendszerei védelmére azon a ponton, ahol az internetre kapcsolódnak a cég termékeinek reklámozása céljából. „Megtakarításként" saját technikusukra bízták a feladatot, akinek ilyen irányú szakképesítése ugyan nem volt, de egyébként értette a dolgát. Az illető elszúrta a telepítést, és a divatház már azelőtt elvesztette legújabb kollekciójának dokumentációját, mielőtt végleg elkészült volna vele. Ugyanakkor a külsős szakértőkkel is vigyázni kell. Az FBI jelentése szerint a maffia „szolgáltató"-céget hozott létre „a millenniumcsapda kezelésére." A „szakértők" ugyan kiküszöbölték a 2000. év jelentette problémát, csakhogy közben anyagot gyűjtöttek egy későbbi zsaroláshoz.
Az információbiztonság megfelelő vezetői szinten való kezelése, az ezzel kapcsolatos stratégia kidolgozása és végrehajtása, az alkamazottak képzése és a külső partnerek alapos megválogatása - ezek a feltételei annak, hogy csak annyi kára származzon egy vállalatnak a hálózatos világ nemkívánatos mellékhatásaiból, amennyi elkerülhetetlen.