Teljes paradigmaváltást hoz az új Informatikai Biztonsági Szabályzat (IBSZ), mellyel biztonsági szintlépést hajt végre az egyetem – fogalmazott dr. Bíró Zoltán, a kancellár informatikai tanácsadója, aki egyben az IT biztonsági felelősi feladatokat is ellátja. A munkatársakat a napi munkavégzés során is érintő szabályzat több évre előre meghatározza a feladatokat. Első lépésként komplett informatikai vagyonleltár készül az egyetemen, majd ez alapján kockázatkezelési akcióterv lép életbe. A cél az, hogy az egyetem olyan informatikai szolgáltatásokkal rendelkezzen, amelyek alkalmazásával tudatosabb és biztonságosabb lesz a rendszerek használata, például megelőzhető lesz az adatszivárgás, elkerülhetők lesznek az adatvesztések, megbízhatóbbá válik az adatok helyreállítása – hangsúlyozta.
Az új szabályzat március 2-án lépett hatályba, ugyanakkor a 2016-os év alapvetően a felkészülésről szól. Amit a számítógépet használó munkatársak elsőként érzékelnek majd a szabályzatból, az az informatikai vagyonleltár elkészítése. Június 2-ig a központi informatikai szervezetben, valamint a karoknál és a tömbökben dolgozó informatikai felelősök segítségével nyilvántartásba vesznek minden informatikai eszközt (pl. hardvereket, szoftvereket, az informatikai szolgáltatáshoz tartozó műszaki kiegészítőket és a dokumentációkat). A vagyonleltárban rögzítik azokat a nem egyetemi tulajdonban lévő eszközöket is (pl. saját tulajdonban lévő laptop, okostelefon vagy valamely támogató tulajdonában lévő nyomtató), melyek kapcsolódnak az egyetemi hálózathoz, hiszen biztonsági szempontból ezek is jelenthetnek kockázatot. Az olyan magántulajdonú eszközök, melyek nem kapcsolódnak semmilyen egyetemi rendszerhez, természetesen nem kerülnek nyilvántartásba.
A vagyonleltár alapján július 2-ig elkészül egy akcióterv, mely javaslatokat fogalmaz meg az azonosított kockázatok kezelésére, augusztusban pedig összeül a kancellár által vezetett Informatikai Biztonsági Fórum, mely dönt a szükséges lépésekről. Dr. Bíró Zoltán hangsúlyozta: a kockázatfelmérés alapján szükségessé váló beszerzések (pl. biztonsági szoftverek, külső biztonsági auditok megrendelése, ütemezett hardver, szoftvercserék) indítása a következő lépcsőben, 2017-ben és 2018-ban valósulhat meg. Az IBSZ-ben leírt műszaki feltételek teljes körét 2018. december 31-ig kell kialakítani.
Az egyetem elavult központi szerverparkjának megújítása ugyanakkor egy másik projekt keretében már szeptemberben megtörténik. Ennek köszönhetően stabilabbá válik a kulcsfontosságú rendszerek (pl. a MedSol, a Neptun/Poszeidon, az SAP) működése, így még csúcsterheléses időszakban sem fordulhat elő ezek leállása.
A szabályzat rögzít egyébként több alapvető IT-biztonsági elvet is, melyet már most érdemes beépíteni a napi munkavégzésbe. Ezek közé tartozik a megfelelően biztonságos jelszavak választása (legalább nyolc karakter hosszú, mely kis- és nagybetűket, valamint számokat is tartalmaz), valamint az a rendelkezés, hogy tilos a saját jelszót más személynek átadni. Szintén rögzíti a szabályzat, hogy az egyetemi e-mail címeket nem szabad egyéb, külső rendszeren futó e-mail címre automatikusan átirányítani. Mindezzel párhuzamosan megtörténik a kiosztott belépési jogosultságok felülvizsgálata és szabályozottabbá válik ezek kiadása, rendszeres felülvizsgálata, valamint megszüntetése a dolgozó kilépése esetén. Ennek célja, hogy valóban csak azok léphessenek be a különböző egyetemi rendszerekbe, akiknek munkakörükből eredően feladatuk van velük.
A szabályzat értelmében minden egyetemi munkatárs, aki használ számítógépet, interaktív és teszttel záruló képzésben részesül az e-learning rendszer keretében. Ennek tananyagát és műszaki feltételrendszerét az év végéig dolgozzák ki, így a képzések a jövő év elején kezdődhetnek el a különböző célcsoportok számára. Dr. Bíró Zoltán külön kiemelte a Medsol rendszerrel dolgozók oktatását, hiszen ez a rendszer érzékeny egészségügyi adatokat tartalmaz. A szerződéses partnereit már tájékoztatta az egyetem az IBSZ hatálybalépéséről, az őket érintő változásokról.
A szabályzat fontos rendelkezése, hogy ha bárki informatikai biztonsági incidenst észlel, azt be kell jelentenie itbiztonsag@semmelweis-univ.hu e-mail címen, vagy a GLPI-n keresztül. Az informatikai biztonsági incidensek sokfélék lehetnek, kezdve a gazdátlanul hagyott egyetemi számítógéptől vagy okostelefontól, az illetéktelen személy részére elérhetővé tett adatbázison keresztül az internetes oldalak feltöréséig. A biztonsági incidensek megelőzésében fontos szerepe van a tudatos használatnak és a kontrollált működési környezetnek.
Dr. Bíró Zoltán hangsúlyozta: fő elvként azt tartják szem előtt, hogy a valós kockázatokkal arányban lévő védelmi intézkedéseket hozzanak. A szükséges mértékű biztonsági intézkedésekkel nem a munkavégzés nehezebbé tétele a cél, hanem az egyetem információs vagyonának a védelme.
Dobozi Pálma
Fotó: Kovács Attila, Semmelweis Egyetem
A cikket a Semmelweis Egyetem Kommunikációs Igazgatósága tette közzé.
