Csuka Dénes, az Egyesület titkára köszöntötte a megjelenteket, nőnap alkalmából külön a szakma nőtagjait, szólt az információvédelem aktualitásairól, a Budapesten tartandó NATO szakmai konferenciáról, s az Amazon S3 online tárhely-szolgáltatását érintő incidensről, kimaradásról. 

Csuka Dénes, az Egyesület titkára köszöntötte a megjelenteket, nőnap alkalmából külön a szakma nőtagjait, szólt az információvédelem aktualitásairól, a Budapesten tartandó NATO szakmai konferenciáról, s az Amazon S3 online tárhely-szolgáltatását érintő incidensről, kimaradásról. 

A januárban 12. alkalommal meghirdetett információ-biztonsági újságírói pályázatra 2017. április 28-ig még lehet jelentkezni.    

Dénes Sándor, az ELMÜ Nyrt. biztonsági vezetője Szoftverrel támogatott információbiztonsági rendszer bevezetés az ELMŰ-nél címmel tartotta előadását.  Áramszolgáltatóként az információ-biztonság, üzlet-folytonosság, ellátás-biztonság hármasát kívánja érvényesíteni a cég. Az ELMÜ-ÉMÁSZ  2 millió 300 ezer fogyasztót szolgál ki 2.800 munkatársának közreműködésével. Évente 17 terawattórányi (12 milliárd kWóra) elektromosságot értékesítenek, valamint 250 millió köbméter földgázt is. 110 feszültség-átalakító alállomást működtetnek elektromos hálózatukban.  2.300 kilométernyi magas-vezetésű 120kVolt-os vezetékkel, 18 ezer km-nyi középfeszültségű, és 26 ezer km-nyi szekunder kábelhálózattal rendelkeznek. A hálózat igénybevételére nyitottak más felhasználók számára is.

 

A vállalat információ biztonsága szempontjából jelentős év 2015.  Az anyavállalat, s vele a leányvállalatok is ekkor váltottak IT szolgáltatót. A teljes EMASZ csoport a T-Systemhez vonult, s a teljes cégátalakítás is lezajlott ekkor, struktúra cserével. Ez érintette a közüzemi szolgáltatást, a lakossági fogyasztókat, a nagyfogyasztók versenypiacát, az elosztó tevékenységet, a vezetékhálózat üzemeltetését, és az ügyfélszolgálati tevékenységet is.  Az átalakítás kockázatait igyekeztek a lehető legkisebbre csökkenteni. Idevágó gondok;  az elektromos áramot nem lehet gazdaságosan tárolni, de a rendelkezésre állást mindig biztosítani kell. Rendkívül nagy mennyiségű adatot kezel a társaság; vannak amelyek a fogyasztókhoz kapcsolódnak (címük, fogyasztásuk, fogyasztói szokásaik, számlaszámuk) ami nagy, érzékeny adathalmazt jelent.

 

Saját szolgáltatásuk hálózati adatai is kiterjedt mennyiséget jelentenek; terhelési adatok, feszültség-adatok, az áram haladásának iránya, egyes kapcsoló-berendezések állása. Ezen információk rendelkezésre állása, valóságnak megfelelősége, elérhetősége kulcsjelentőségű a vállalat életében. Ennek megfelelő következtetés; ha van információ biztonság, akkor lehet üzletmenet folytonosság is.

Egyesített kezelőeszköz kell mindehhez, amelyhez rendelkezésre állt a már meglévő AMC.

Az eszközleltár szerint megtalálható AMC alkalmazásokból, s a támogatott folyamatokból indultak ki, ezeket kellett elsősorban megmozgatni. Fel kellett deríteni, élnek-e még ezek az alkalmazások és kik használják őket, a használaton kívüliektől meg kellett szabadulni.

https://www.amctechnology.com/company 

https://www.amctechnology.com/solutions

 

Az egyedi hálózatvezetési üzemirányító rendszert is GTCS-re kicserélték.  

http://gtcsglobal.com

 

Felújították hardver-eszközparkjukat is, s bevezettek egy változáskezelési rendszert az elhaló alkalmazások figyelemmel követésére. Az üzletfolytonosság tekintetében a megfogalmazott kiindulópont: „mi történik akkor, ha…?" Áttekintették folyamataikat a meglévő folyamatirányítási rendszerrel, a szervezeti változások figyelembe vételével.  Az érzékenység-vizsgálat eredményeként nagy információ-halmaz keletkezett. Mintegy 200 folyamat zajlik a cégnél, mindegyikkel lefolytatták ugyanazt az algoritmust, beszélgetést, interjút. Ebben a felmérésben külső partner is segített. 200 folyamatból kellett kiválasztani azt a néhányat, amelyet elsődlegesnek kívánnak tekinteni.  

 

Az üzletfolytonossági terv elkészítése folyamatnak tekinthető, mindig frissen kell tartani.  

Összeállítottak egy paraméter-listát, s ha a halmaz minden eleme teljesült egy-egy folyamatban, akkor azt kritikus folyamatnak minősítették. Ezután összehívták az illető folyamatok gazdáit, s jóváhagyásukkal rögzítették a kritikusnak jelzett  folyamat- minősítést. Amennyiben egy folyamat kritikus, akkor arra biztosan kell üzletfolytonossági terv.  Előállt így az a halmaz, amelyre ilyet kell csinálni, ez vállalati és szabályozói elvárás is. A gondolat nem új, a módszer változott. Korábbi terveik szervezeti alapúak voltak, ez pedig folyamat-alapú üzletfolytonossági tervezést jelentett. Előnye; a folyamatok láncoltsága világosabbá teszi, melyik  irányba kell tartalékolással elmozdulni. Eredményeket hozó szemléletváltás valósult meg. 

 

Az említett interjúkat a folyamat-gazdákkal készítették, a cég szigorú folyamatirányítási rendszerének megfelelően. Ők azok, akik a napra-készségért, megfelelőségért és a többi követelményért felelnek. 

Velük közösen dolgozzák ki az áthidalási terveket is.  Az átalakítási folyamat végén kialakul egy folytonossági terv, valamint a kihirdethető, a követelményeknek megfelelő, elfogadásra alkalmas szabályzat.  Előfordul, hogy a kritikus alkalmazásokat helyre kell állítani, ebben a vállalat irányadó partnere  a T-System, amely a szolgáltatás színvonalát, esetleges helyreállítását szerződésben, SLA-kon keresztül biztosítja.

http://www.hr-face.hu/tudastar7.php

http://www.sla.hu/sla-modszertan/sla-modszertan-tartalmi-elemei-9.html  

 

A vállalat információbiztonsági rendszere illeszkedik a 27.000-es szabványhoz, bár nincsen tanúsítva, mivel eddig ez nem volt kötelező. A legutóbbi rezsicsökkentés eredményeinek fenntartása érdekében a vállalat számlázási rendszerét rendkívül szigorú feltételek mellett kell üzemeltetni, amiről évről évre számot kell adni. Egy külső cég végezte el idén is ezt az auditot, s a számlázási rendszert információbiztonsági szempontból megfelelőnek minősítette, a szoros elszámoltatásnak helytállóan. 

 

A vállalatnál tudatában vannak az adatvagyon,s az azt érintő információ-biztonság jelentőségének.

Európa-szerte kampány folyik a hasonló nagyvállalatok körében az infromációvédelem tudatosságának erősítésére. Ennek megfelelően kötelező módon képezik itt is a munkatársakat, vizsgával ellenőrzik tudatosságukat és előre bejelentett módon támadásokat is hajtanak végre ellenük, pl. adathalász levelekkel. Vizsgálják a munkatársak eredményes közreműködését ezt illetően.

Ugyan, becsapós levél linkre való kattintáskor a munkatársat a hivatalos tesztelők nem zárják el az adatbázistól váltságdíjért, s nem orozzák el az e-mail jegyzékét, hanem további információkkal látják el a hasonló helyzetek elkerülésére…

    

Az adatvagyon felmérését a vállalat elvégezte, támaszkodva a korábban gyűjtött adatokra is.  

Külső partnerek segítségével az összes folyamatgazdával interjút készítettek.  A mindennapi munka támogatása során igazodnak a feszes költség-gazdálkodáshoz, az információ- biztonsági, folytonossági megoldásokkal kapcsolatos minden kiadást is indokolni kell.  Tesztekkel kell felderíteni, hogy havária esetén (pl. vízbetörés esetén) milyen eljárást fogunk követni, mit fogunk tenni, a kiesett alkalmazások mennyi kárt okoznak, mennyi idő múlva lehet újra működőképessé tenni őket.  

 

A fizikai biztonság biztosítása az alállomások védelme szempontjából fontos. A hagyományos felállás; kerítés, udvar, ajtó zárral. Ezt rögzítik az új rendszerben, minden elem biztonsági rizikójának felmérésével, ill. azok finomításának hatásával, pl. a kerítés magasságának növelése hogyan hat a biztonságra és a járulékos költségekre.  

 

 

A vészhelyzetekkel kapcsolatos hallgatói kérdések: 

 

A naptevékenység (napfoltok, napkitörések) kedvezőtlen elektromágneses, induktív hatásának kivédésére van-e a vállalatnak megoldási terve, esetleg nemzetközi együttműködésben?

A válasz:

A napkitörésekkel minden alkalommal foglalkoznak, mindig végigfut az energia-szolgáltatókon egy riadólánc révén az információ, eddig hazai viszonylatban az üzembiztonságot ezek a jelenségek nem érintették károsan. Számolnak vele, a mágneses erőterek megváltozásának hatása a védelmi berendezésekre, a távműködtetésre, kommunikációra eddig nem okozott gondot.

 

A tengeren túl mostanában ismét felvetődik az egyenáramú hálózatok bizonyos iparágakban való alkalmazásának hasznossága, felélesztésének kérdése, a hazai vállalatnak vannak-e vonatkozó szolgáltatási elképzelései?

A válasz:

A hatékony, biztosan kezelhető üzemet a váltakozó áramú hálózatok biztosítják, nagymennyiségű villamos energiát váltóáram révén juttathatunk a fogyasztókhoz. Praktikus megközelítésben, a váltakozó áramot egyszerűen lehet kikapcsolni. Egyenáramú villamosenergia nagy távolságra való továbbítása egyfajta cél-vezetéken valósítható meg, ilyen üzemel Dél-Koreában a szárazföld és egy sziget közötti tengeralatti kábellel, de nagy gondot jelent az esetleg szükséges kikapcsolás…

A váltóáramnál a szinusz nulla-átmenetnél nem okoz gondot a kikapcsolás (vagy kikapcsolódás), az egyenáramnál ilyen nincs.  Magyarország és Ausztria között a rendszerváltás előtt létezett egy hasonló egyenáramú kábel, Ausztriában, a határ közelében a Magyarországról szállított villamos energiát egyenirányították, majd ismét váltóárammá alakították. Erre a váltóáramú hálózati frekvenciák eltérése miatt volt szükség, a magyar rendszer akkor 49,8 Hz-en járt, az osztrák pedig 50 Hz-en, emiatt nem lehetett a kettőt közvetlenül összekapcsolni. Ez az egyenáramú „kuplung" oldotta meg a gondot.  Európában jelenleg nem foglalkoznak a gondolattal.

 

 

További elhangzott előadások:

Pozsár Attila menedzser,  KPMG Tanácsadó Kft. – Hazai BCM Körkép 2016

Rónaszéki Péter, az ISACA Magyarországi Egyesület elnökségi tagja – IT vagy üzlet? Folytonossági kérdések az ISO27001 és ISO27031 tükrében.

Puskás Zsolt, HC eXpert Kft. – Indul az ESZP, adat-, és információ biztonság az egészségügyi szolgáltatási térben

www.hetpecset.hu

 

 

 Harmat Lajos

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük