A védelem leggyengébb láncszeme az ember. Ennek egyik leghétköznapibb esete, amikor egy alkalmazott, sőt akár egy vállalati vezető megfontolatlanul, óvatlanul kattintgat a leveleiben elhelyezett hivatkozásokra, vagy problémás weboldalakat látogat meg.
Ezt a veszélyt csökkentheti a szervezeten belüli biztonságtudatosság fokozására, aminek a legjobb eszköze a képzés. Persze a kockázatokat ez sem zárja ki száz százalékban. Továbbra is fontos kérdés marad, hogy mit tegyen a menedzsment, az informatikusok és a biztonságért felelős munkatársak akkor, ha megtörténik a baj, és egy felhasználó miatt veszélybe kerülnek a vállalati értékek.
A szigorú büntetések hívei mondják
A biztonságtudatosság növelését célzó képzések szervezésével foglalkozó KnowBe4 cég szerint a felelősségre vonás az egyik legjobb eszköz a felhasználók kockázatos viselkedésének befolyásolására. A cég szakemberei a kérdéskört vizsgálva arra jutottak, hogy az alkalmazottak sokkal óvatosabbá válnak, ha a cselekedeteikről a menedzsment tudomást szerez, majd kérdőre vonja őket.
A KnowBe4 széles körben kutatta a problémakört. 372 vállalat munkavállalójának a bevonásával lefolytatott felmérésükből az derült ki, hogy a felhasználó 16 százaléka még a biztonságtudatossági oktatásokat követően hajlamos volt arra, hogy adathalász levelekben linkekre kattintson. Miután azonban a menedzsment kiosztotta az első büntetéseket, az arány egyből egy százalékra csökkent.
A KnowBe4 alapítója, Stu Sjouwerman ezt azzal magyarázta, hogy a dolgozók a büntetések hatására értették meg, hogy valóban vannak következményei annak, ha egy adathalász linkre kattintanak. Sjouwerman szerint folyamatosan emlékeztetni kell a dolgozókat arra, hogy ne kattintsanak a levelekben szereplő linkekre, és ne nyissák meg a mellékleteket addig, ameddig nem győződnek meg azok ártalmatlan voltáról.
Persze ez csak elméletben ilyen egyszerű. Az adathalászok ugyanis mind kifinomultabb eszközöket alkalmaznak. Egyre inkább előtérbe kerül például a célzott adathalászat (spear-phishing). Ma már az sem garancia egy levél ártalmatlanságára, ha azt látszólag ismerőstől vagy például a vállalati helpdesktől kaptuk.
Ellenvélemény: a pozitív megerősítés hatékonyabb
A KnowBe4 felmérése vitát generált, különösen az, amit a büntetés visszatartó erejével kapcsolatban állítottak. Allan Carey, a konkurens PhishMe alelnöke, ugyanis úgy vélekedik, hogy a felhasználók megbüntetése körülményesebbé teheti a biztonságtudatos viselkedés fokozását. Ha a büntetésre helyezzük a hangsúlyt, a felhasználók jóval kisebb valószínűséggel fogják jelezni, ha valami nemkívánatos műveletet hajtottak végre, például rákattintottak egy linkre, aminek következtében megfertőződött a számítógépük. Ez pedig igencsak megnehezíti a károk megelőzését, az incidensreagálás hatékonyságát, illetve a helyreállítási munkák elvégzését.
A szankcióktól való félelem gyengíti a biztonságot. Ha egy biztonsági felelőstől félnek a szervezet munkatársai, azzal csak azt éri el, hogy maga is részévé válik a problémáknak – állítja Carey. Ezért sokkal célravezetőbbnek tartja a megfelelő kommunikáció kialakítását például a pozitív példák megerősítésével.
Carey példát is hozott erre: egyszer egy vállalat HR-osztálya úgy próbálta testmozgásra sarkallni a munkavállalókat, hogy ebédidőben leállította az ebédlőbe vezető mozgólépcsőket, hogy a dolgozók inkább a lépcsőt használják. Csakhogy az intézkedés eredménye nem az lett, amit vártak: az alkalmazottak megpróbálták megkerülni az intézkedést, és korábban vagy később mentek ebédelni, amikor már működött a mozgólépcső. A HR-osztály ekkor taktikát váltott: a mozgólépcsőt nem állították le, ám a gyalogos utat választóknak apró ajándékokat helyeztek el a lépcsőkre. Kis idő múlva egyre több dolgozó választotta a gyaloglást, pedig a mozgólépcsők is üzemeltek.
Valószínűleg önmagában nem vezet célra sem a büntetés, sem a pozitív megerősítés, hiszen a károkozás lehet szándékos, és bekövetkezhet véletlenül is. És az sem mindegy, hogy mennyire súlyosak a következmények. Egy azonban biztos: a merev, csak büntetésre épülő rendszerek esetenként negatívan befolyásolhatják a biztonságot.
(A cikk a Biztonságportálon megjelent írás szerkesztett változata.)
A NIS2-megfelelőség néhány technológiai aspektusa
A legtöbb vállalatnál a megfeleléshez fejleszteni kell a védelmi rendszerek kulcselemeit is.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak