A bevezetőben nem véletlenül emeltük ki, hogy a szaksajtó részére szervezett fórumon négyen vettek részt, mert ezt ma divatos módon akár úgy is írhattuk volna: 4N. A beszélgetés házigazdái ugyanis kivétel nélkül N betĹąvel kezdődő céget képviseltek. A Noreg Kft.-től Kovács Tamás CISA, CISM mĹąszaki igazgató, a Navigator Informatika Zrt.-től Patkó Attila MSP-üzletágigazgató, a NextiraOne Magyarország Kft.-től Bánffy Miklós mĹąszaki igazgató képviselte az IT-biztonsági, a rendszerüzemeltető, illetve az IKT-rendszerintegrátori szakmát, és hozzájuk csatlakozott negyedik N-ként dr. Novák Tamás, az informatikai és munkajog szakértője.

A téma aktualitását a kerekasztalt szervező Morpho Communications képviselője bevezetőjében azzal indokolta, hogy mára nemcsak a számítógép, hanem az internet is munkaeszközzé vált, használatának korlátozása azonban rengeteg problémát vet fel. A privát böngészés, levelezés, chatelés a munkaidő rovására is mehet, ezért a cégek nagy része nem nézi jó szemmel a dolgozók barangolásait, és minden eszközzel azon van, hogy a magánhasználatot minimálisra korlátozza.

További kérdést vet fel a manapság létező számos azonnali üzenetküldő és hangátviteli program – többek között a Skype, a Messenger, az ICQ – használata. Ezek a szoftverek az egyes vállalatoknál munkaeszközök lehetnek, hiszen ingyenes alkalmazásuknak köszönhetően az ügyfelekkel, illetve más fiókirodákkal való kapcsolattartás leggyorsabb és egyben legolcsóbb módszerei. Ennek ellenére a vállalatok többségénél mégis tiltólistán vannak, mert használatukkor számos biztonsági probléma merülhet fel.

Mi itt a probléma?

Korábban időszerĹąnek neveztük a felvetett témát – és emellett ki is tartunk –, ugyanakkor ha kicsit távolabbról közelítünk a kérdéshez, általánosabb problémákat lehet vagy kell feszegetnünk. Az elvi kérdés ugyanis másképp fogalmazva úgy is feltehető: helyeselhető-e, hogy a munkahelyen, munkaidőben, a munkáltató eszközein magánügyeinket intézzük? Ez a felvetés pedig visszavezet odáig, hogy szabad-e a hagyományos vállalati telefont személyes hívásokra használni, sőt még tovább menve az a kérdés is felmerül, hogy milyen szemmel nézi a főnök, ha munkaidőben újságot lapozunk.

Mint láthatjuk, ilyen szempontból nem az a kérdés, hogy milyen eszközt (újságot, hagyományos telefont vagy chatprogramot) használunk, hanem az, hogy mikor és mire. Ez pedig inkább morális és munkajogi probléma. Ha megmaradunk az IT-szakmánál, akkor viszont az a kérdés marad, hogy az azonnali üzenetküldésre (chat) vagy az internetes telefonra (pl. Skype) alkalmas eszközök telepítését és használatát a munkaadó tiltsa, tĹąrje vagy netán támogassa.

Bár a résztvevők – magánemberként – a legliberálisabb megoldás mellett voksoltak, a szakértők egyetértettek abban, hogy a kérdésre nem lehet egyértelmĹąen sem igennel, sem pedig nemmel válaszolni. Ez függhet a vállalat méretétől, profiljától, adott esetben tulajdonosi körétől, a dolgozó feladatkörétől, beosztásától, munkaidejének kötöttségétől és számos más tényezőtől. Nyilvánvalóan másképp viszonyul a témához egy bevásárlóközpont, egy bankfiók, egy termelő gyár, egy szoftverfejlesztő cég vagy egy online hírszerkesztőség.

A helyzet viszonylag egyszerĹąen rendezhető az állandó munkahelyen és kötött munkaidőben dolgozóknál. Végül is egy áruházi pénztárosnak vagy gyártósori mĹąszerésznek lehetősége is alig van ilyen eszközök használatára. Bonyolultabb a helyzet az utazó ügynökök, anyagbeszerzők vagy távmunkában dolgozók esetében. Egyrészt a munkaidejük nehezen követhető (sőt adott esetben nem is kell követni), másrészt már az is kérdés, hogy az otthoni számítógépet vagy a hordozható laptopot a munkáltató biztosította-e, vagy pedig az a dolgozó saját tulajdona. A vállalati tulajdon használatáról egyértelmĹąbben rendelkezhet a munkaadó, de a saját gép használójától is joggal követelheti meg, hogy legalább a munkával járó kapcsolatteremtés során ne veszélyeztesse a belső hálózatot és gépeket.

Az alapkérdésre talán Kovács Tamás adta meg a legéletszerĹąbb választ: felhasználóként támogatná az említett kommunikációs eszközök használatát, tanácsadóként az előnyök és kockázatok ismertetése mellett a vállalat vezetőire bízná a döntést, míg vezetőként – éppen a veszélyek miatt – nem engedélyezné.

Miért veszélyes?

A chatprogramok, illetve a Skype hátránya nemcsak abban rejlik, hogy a munkavállalót hátráltatja a munkavégzésben, hanem komoly biztonsági kockázattal is jár. Már most is ismertek olyan vírusok, amelyek egy beszélgetés alatt képesek megfertőzni az egymással kapcsolatban lévő számítógépeket. De az igazán komoly veszélyt egy esetleges egész világra kiterjedő támadás jelentené. Erdélyi Gergely szerint, aki a finn F-Secure víruskutatója, ha létezne Skype-vírus, az egy-két perc alatt végigsöpörne az interneten. Egy ilyen támadásra pedig reális esély van, mert a Skype kommunikációs protokollja megkerüli a vállalati és a személyes tĹązfalakat, így könnyen okozhat problémát egy ilyen irányból érkező támadás. A szakértők tehát úgy vélik, hogy a Skype-ot csak vállalaton belül érdemes használni, ha pedig kimondottan a VoIP technológia előnyeit szeretnék kihasználni, akkor más megoldást kell keresniük, hogy internetes kommunikációjuk biztonságos maradhasson.

A legnagyobb biztonsági kockázatot mégis a gyanútlan felhasználók jelentik. Az ISS (Internet Security Systems) EMEA-régióért felelős biztonsági szakértője, dr. Jean Paul Ballerini elmondta, annak ellenére, hogy az antivírusszoftverek figyelmeztetik a felhasználókat, ha azonosíthatatlan csatolmánnyal ellátott e-mailt kapnak, és nem javasolják annak megnyitását, a figyelmeztetés ellenére a felhasználók több mint fele mégis megnyitja és telepíti a rosszindulatú kódokat.

A Trend Micro egy 2005-ös felmérésében azt vizsgálta, hogy a felhasználók miért folytatnak veszélyesebb online tevékenységet a munkahelyükön, mint otthon. A válaszadók közül a vállalati végfelhasználók 39 százaléka gondolta úgy, hogy a céges IT-részleg képes megfelelő védelmet nyújtani minden rosszindulatú támadás ellen. A felelőtlenebb online tevékenységet bevallók 63 százaléka elismerte, hogy nyugodt szívvel kattint rá gyanús hivatkozásokra, és látogat meg gyanús webhelyeket, mivel az IT-részleg már telepített biztonsági szoftvert a számítógépére. A bevallottan veszélyesebb online tevékenységet folytatók 40 százaléka állította, hogy azért meri mindezt megtenni, mert probléma esetén az IT-részleg segítséget tud nyújtani.

Mit lehet korlátozni?

A kerekasztal résztvevői egyetértettek abban is, hogy a probléma kezelésének elsődleges eszköze a szabályozott vállalati felhasználói környezet. Ennek része lehet a kollektív szerződéstől kezdve az IT-biztonsági előírásokon és belső vezetői utasításokon át a dolgozó egyéni munkaköri leírásáig sok minden. Az egyértelmĹą tiltások mellett mĹąszaki lehetőségek, technikai kontrollok is léteznek, amelyek megakadályozzák a vitatott vagy nyilvánvalóan kockázatos eszközök telepítését.

A Noreg képviselője szerint az azonnali üzenetküldő szolgáltatások saját népszerĹąségük áldozataiként váltak a vírusok és más kártékony programok célpontjává. A Kelvir, Oscabot, Rants és Hagbard vírus jelentős károkat okozott a felhasználóknak. A Hagbard például azonnali üzenetküldő rendszeren és P2P-hálózaton keresztül is terjed. Ezért ezek engedélyezését csak megfelelő körültekintés mellett javasolja.

A Navigator szakértője is egyetért azzal, hogy a különböző azonnali üzenetküldő rendszerek, chatprogramok (mint például az ICQ, MSN stb.) használata általában magukban hordozza az informatikai rendszer biztonsági fenyegetettségét. A nem megfelelően védett hálózatok könnyen sebezhetővé válhatnak e programok által. Amennyiben ügyfeleiknél igényként jelentkezik valamely program használata, kizárólag egységes típusú és verziójú, illetve lehetőség szerint csak belső használatra engedélyezett telepítést javasolnak. A továbbiakban ezen ismert üzenetküldő program sajátosságainak megfelelően alakítják ki a hálózat védelmi rendszerét, és kiemelt figyelmet fordítanak az adott szoftverrel kapcsolatosan megjelenő biztonsági figyelmeztetésekre, illetve megelőző tevékenységekre (javítások, frissítések telepítése).

A megelőzésre vonatkozóan Patkó Attila hozzátette: „Mivel ügyfeleink informatikai erőforrásait cégünk üzemelteti, alapvetően a mi szakembereink rendelkeznek olyan jogosultsággal, hogy programokat telepíthessenek a felhasználók gépeire. Természetesen vannak kiemelt jogosultsággal rendelkező felhasználók, úgynevezett power userek, illetve egyes felhasználók a cégvezető jóváhagyásával kaphatnak rendszergazdai jogosultságot lokális gépeiken. A biztonsági kockázatot jelentő programok futtathatóságát a központi házirend vagy a desktopmenedzsment-rendszer segítségével tiltjuk a felhasználók számára."

Bánffy Miklós is utalt arra, hogy a dolgozók nagy részének nincs úgynevezett „local admin" joga, ezért semmit sem tudnak telepíteni a rendszergazda nélkül. Egy lehetséges megelőző módszerként felmerülhet egyes weboldalak tiltólistára helyezése, ezt azonban Kovács Tamás szerint nehéz egyértelmĹąen megfogalmazni. A felhasználó csak URL-t, azaz webcímet lát, de hogy mi található mögötte, és pontosan hol található, azt nehéz eldönteni. Valamely kereső által kidobott oldal esetében ez még inkább érvényes. Emellett egy weboldal elérése az egyik felhasználónak szükségtelen, ám elképzelhető, hogy egy másiknak feltétlenül szükséges a munkájához. A több millió site napról napra változik, újak jönnek létre. Természetesen léteznek olyan oldalak, amelyek „alapból" kitilthatók, de ennek folyamatos manuális kezelése elég nehézkes. Ennél sokkal biztonságosabb megoldás lehet a tételes tiltás, vagy akinek szüksége van napi internetre, annak különböző tartalommenedzsment-eszközökkel biztosítani, hogy csak a szükséges oldalakhoz és azokhoz is biztonságosan férhessen hozzá.

A Navigator az esetleges korlátozásokat a megbízó cég egyedi igényeinek vagy érvényes informatikai szabályzatának megfelelően állítja be. Eleve létezik egy saját tiltólistájuk, amelyet ajánlani szoktak. Ez főként erőszakos és erotikus tartalmú, illetve ingyenes levelezőoldalakat tartalmaz. A tiltólista bevezetésével alapvetően preventív jellegĹą intézkedést ajánlanak, de előfordult már, hogy azt csak valamilyen rossz tapasztalat után vezették be.

Ha egy cég nem az eszközeinek biztonságát, hanem a munkaidő kihasználását félti, akkor felmerülhet az időbeli korlátozás lehetősége. Ez azonban a Noreg képviselője szerint sem biztonsági kérdés, hiszen a vírusok és egyéb károkozók nem adott időszakban támadnak. A Navigator szakembere ezzel kapcsolatban megemlítette, hogy amennyiben engedélyezett az internethasználat, de a monitoringrendszerük segítségével észlelik, hogy a hálózati terhelés munkaidőben indokolatlanul megnő (például egy felhasználó internetes rádiót hallgat, vagy más, a munkájához egyértelmĹąen nem kapcsolódó tartalmat tölt le), azt jelzik az ügyfélnek. Ettől kezdve a munkáltató dolga, hogy az adott dolgozóval szemben milyen egyedi szankciókat alkalmaz.

Miért hasznos mégis?

Az ismert veszélyek ellenére azért van mégis napirenden ez a téma, mert a Skype típusú programok használata olyakor költséghatékonyabb, olcsóbb és egyszerĹąbb, mint a telefon vagy az e-mail.

Interaktívabb lehet, mint az e-mail – ért egyet Kovács Tamás –, de a biztonság érdekében érdemes alaposan megvizsgálni, hogy milyen, vállalati környezetben is mĹąködő rendszert használjunk. Zárt környezetben viszont elképzelhetőnek tartja az említettek alkalmazását is.

A Navigator nem javasolja ezeknek a programoknak az üzleti célú használatát, mivel a minőség sem garantálható – ezt erősíti meg a NextiraOne is – a teljesen véletlenszerĹą minőségromlás/megszakadás miatt.

Felmerül az a kérdés, hogy van-e öszszefüggés a vállalat mérete és az említett programok használhatósága között. Kovács szerint nincs, bár kis cégnél nem látja értelmét. Patkó Attila szerint ez nemcsak a vállalat méretétől függ, hanem a rendelkezésre álló sávszélességtől is. Fájlok küldésére alkalmas programok használatát azért nem javasolják, mert ezeket a csatolt fájlokat nem ellenőrzi víruskereső szoftver. A chatprogramokat a belső kommunikációt segítő alkalmazásként, kizárólag belső használatra ajánlják.

Munkaeszköz magáncélra?

Ha túllépünk az internet mint munkaeszköz alkalmazásának veszélyein, még mindig felmerül, hogy lehet-e korlátozni a magáncélú böngészést, olvasgatást.

A Noreg szerint maximálisan, a Navigator úgy véli, hogy a vállalatnál érvényben lévő – az informatikai rendszerek használatára vonatkozó – szabályzat alapján akár teljes mértékben, de az is előfordulhat, hogy csak minimálisan. A NextiraOne arra hívja fel a figyelmet, hogy az ilyen forgalom jelentős részét át lehet terelni munkaidőn kívülre.

Kovács Tamás a tartalomszĹąrőben látja a megoldást. Már maga az a tény, hogy naplózzák, ki milyen mértékben látogatja a webet, és mennyi időt tölt fenn, jelentős visszatartó erő, de emellett természetesen korlátozni lehet az elérést a site-ok tiltásával, különböző kategóriák felállításával és az azokba tartozó oldalak tiltásával vagy napi internethasználati limit bevezetésével. Ugyanakkor ha valakinek a kreatív munkavégzéshez arra van szüksége, hogy 1 órát szörfözzön előtte, akkor lehetnek olyan munkahelyek és munkakörök, ahol ez teljesen belefér. Ha azonban valaki napi 7 órát webezéssel tölt, az már kevésbé magyarázható. (Tegyük hozzá: hacsak nem éppen ez a feladata, mert például a net a fő információforrása.)

Az internetelérés mindig ún. proxyszerveren keresztül engedélyezett – jegyezte meg Patkó Attila –, ahol előre definiált csoportos szabálygyĹąjtemények alapján több vagy akár egyetlen felhasználóra vonatkozóan is be tudják állítani a korlátozást. Ezt minden esetben a munkaadó határozza meg. Szankcióra akkor lehet szükség, amikor a felhasználó tevékenysége a cég informatikai rendszerének biztonságát veszélyezteti. A döntéshez segítség lehet, hogy a szerver minden eseményt naplóz, így bármikor visszakereshető, hogy egy adott felhasználó az IP-címéről mikor milyen oldalakat tekintett meg, így pontosan mérhető a hálózati forgalom. Visszamenőleg is megállapítható, hogy egy adott munkatárs mennyi időt töltött magánjellegĹą böngészéssel, és ennek fényében szintén egyedi szankciókat vezethetnek be.

Bánffy Miklós is időkorlátozást és tartalomszĹąrést javasolna. Például bizonyos felhasználóknál, akiknek a hírolvasás nem szükséges a munkájukhoz, az ilyen jellegĹą tartalmakhoz történő hozzáférést például napi fél órára lehet korlátozni.

Munkajog és informatika

Novák Tamás azzal kommentálta az elhangzottakat, hogy meglehetősen összetett jogi és mĹąszaki (informatikai) problémával állunk szemben.

Jogászként az első problémára kereste a választ. Mint említette, ezt a munkáltatók és munkavállalók alapvető jogviszonyait szabályozó – egyébként 1992-ben megalkotott és persze azóta sokszor módosított – törvény rendezi. Ez a jogszabály azonban logikusan csak megfelelően magas szintĹą absztrakcióval szabályozza ezeket a kérdéseket. Például ilyen – közhelyesnek tĹąnő, ám fontos – kitételek szerepelnek benne: a munkavállaló köteles a munkaidejét munkával tölteni, a munkavállaló köteles a munkáját az elvárható szakértelemmel és gondossággal, a munkájára vonatkozó szabályok, előírások és utasítások szerint végezni, a munkavállaló köteles a munkát a munkáltató utasítása szerint ellátni.

Ezek is azt erősítik meg, hogy nagyon fontos a munkaszerződés, illetve a különböző belső utasítások szerepe. Ezen belül igen nagy jelentősséggel bír egy vállalaton belüli informatikai rendszer használatára vonatkozó belső szabályozás, annak megismertetése a munkavállalóval és számon kérése. Ezen kötelmek megszegése ugyanis a vállalatok informatikai biztonságát veszélyezteti, egyrészt a különböző kártevők (férgek, vírusok) behatolása okán, másrészt az üzleti titkok könnyebb megszerezhetősége révén.

A másik ugyanilyen fontos terület a munkaidő védelmének kérdése, vagyis az, hogy a munkavállaló ne felesleges chateléssel, szörfözéssel töltse az idejét. Ezen kötelmek precíz megfogalmazása alapot teremthet arra, hogy a munkavállalóval szemben szankciókat lehessen alkalmazni, illetőleg az így bekövetkezett károkozása esetén a kártérítés keretei is tágulhatnak.

***

A központ nélküli kommunikáció

A Skype egy peer-to-peer IP-telefon (VoIP) hálózat. A peer-to-peer vagy P2P paradigma lényege, hogy az informatikai hálózat végpontjai közvetlenül egymással kommunikálnak, központi, kitüntetett csomópont nélkül. A szoftver létrehozásakor elsősorban a hangátvitelre helyezték a hangsúlyt, azonban a program mint azonnali üzenetküldő is megállja a helyét.

A fejlesztők célja egy egyszerĹą, megbízható és barátságos kommunikációs rendszer létrehozása volt. Ez sikerült, és bár eleinte az emberek milliói magáncélra, barátok, ismerősök, családtagok felhívására használták, napjainkban már sok vállalatnál ez az alternatív és ingyenes telefonálási lehetőség.

A program minden fontosabb operációs rendszerre letölthető, a Windows alatt futó első változat mellett már létezik MAC OS X-re, Linuxra és Pocket PC-re írt (Windows CE) változat is.

A Skype által nyújtott szolgáltatások:

– felhasználók közötti beszélgetés (IP-telefon),
– azonnali üzenetek váltása (IM),
– azonnaliüzenet-multichat akár 50 felhasználó között egyszerre,
– konferenciabeszélgetés legfeljebb 5 felhasználó között,
– fájlküldési lehetőség,
– videokonferencia (csak a Skype 2.0-s és annál újabb változatokban).

***

A chatprogramok

A chatprogramok vagy azonnali üzenetküldők olyan számítógépes alkalmazások, amelyek segítségével azonnali szöveges kommunikációt lehet létesíteni két vagy több ember között hálózaton, például az interneten keresztül.

Az azonnali üzenetküldő alkalmazás olyan ügyfélprogram, amely egy azonnali üzenetküldő szolgáltatáshoz csatlakozik. Az azonnali üzenetek váltása alapvetően abban különbözik az e-mailtől, hogy a beszélgetés valós időben folyik. Ezenkívül a legtöbb szolgáltatás megjeleníti a felhasználók elérhetőségi állapotát, például hogy egy partner éppen aktívan használja-e a számítógépet. Általánosságban az összes beszélgetőpartner látja a szöveget a begépelés után (soronként), így az efféle kommunikáció inkább hasonlít valamilyen telefonbeszélgetéshez, semmint levelezéshez. Némely azonnali üzenetküldő program képes „Nincs a gépnél" üzenetet is küldeni, amely megfelel a telefonos üzenetrögzítőnek.

A publikus, interneten hozzáférhető, legnépszerĹąbb azonnali üzenetküldő szolgáltatások közé tartozik az MSN Messenger, az AOL Instant Messenger, a Yahoo! Messenger, a .NET Messenger Service és az ICQ. Ezek a szolgáltatások sok ötletet vettek át a régebbi (és még mindig népszerĹą) csevegőmédiumtól, az IRC-től (Internet Relay Chat).

Az azonnali üzenetküldés párhuzamosan több helyen is kifejlődött, és mindegyik alkalmazásnak külön protokollja van. Ez sok felhasználót arra vezet, hogy több azonnali üzenetküldő alkalmazást futtasson egyszerre, hogy több hálózaton is elérhető legyen.