Érdekes problémára hívja fel a figyelmet egy kutatás: egyértelműen összefüggés van az alkalmazottak biztonságtudatossága és neme között. És hogy miért érdekes ez? Mert a pandémia hatására egyre több vállalat tervezi a hibrid, azaz az otthoni és az irodai munkavégzést vegyítő munkakörnyezet állandósítását, ami felértékeli a biztonságtudatosság szerepét az IT-biztonságban, írja a kutatásról készített összefoglalójában a SecurityWeek. (Júniusban a Bitporton cikksorozatot szenteltünk a témának.)

Az IT-biztonságért felelős csapatoknak ki kell terjeszteniük a védelmet az akár ellenséges környezetben működő távoli személyi eszközökre is. Erre vannak kiváló termékek, és persze ott van a cégekre szabott házirend is. Ám nincs az az erős védvonal, amit a leleményes felhasználók akarva-akaratlanul ne tudnának kicselezni. Egy fiatal amerikai startup, a biztonságtudatossági képzésekre szakosodott SecurityAdvisor készített egy felmérést (PDF), amiben az alkalmazottak hibrid környezetben jellemző viselkedését térképezte fel.

Több mint húsz országra kiterjedően elemezték azokat a rosszindulatú e-maileket, veszélyes szoftvereket és webhelyeket, melyekkel az alkalmazottak (a kezdőktől a C szintű vezetőkig) kapcsolatba kerültek. Ez alapján öt magas kockázatú tevékenységet azonosítottak: a sikertelen hitelesítést; az adathalász emailekre kattintást; adware-ek és kémprogramok telepítését; a P2P szoftverek és saját VPN-ek használatát; végül, de nem utolsósorban a kalóz tartalmak streamingjét.

Sikertelen azonosítás mint kockázat?!

Mindezek közül talán a multifaktoros hitelesítés (MFA – Multi Factor Authentication) listára kerülése a legérdekesebb. Elvileg ugyanis ez csak azt bizonyítaná, hogy a hozzáférés-szabályozás jól működik. Csakhogy ez nem teljesen igaz, hiszen olyan esetekben hiúsul meg a hozzáférés, amikor az adott személynek van jogosultsága az adott vállalati erőforrások használatára. Ha ebben a rendszer nem következetes, az fölöslegesen terheli le a biztonsági csapatot, ráadásul megnehezíti az emberi hiba és a valóban rosszindulatú tevékenység megkülönböztetését. A kutatás szerint az otthonról dolgozók fele havonta legalább egyszer elhasal az MFA-n.

Konkrétabb fenyegetést jelentenek az adathalász levelek. A vállalati spamszűrők jellemzően ezek 1 százalékát nem ismerik fel, így száz spamből legalább egy el is jut az alkalmazott postafiókjába. Ez a vizsgált körben alkalmazottanként átlagosan havi öt levelet jelent, melynek 8 százalékára kattintanak is. Ez már egy néhány száz fős szervezet esetében is elég komoly kockázati tényező lehet.

Az alkalmazottak 3-4 százaléka telepít a gépére nem megbízható forrásból szoftvereket. Ezek a szoftverek általában a hivatalos úton beszerzett programoknál nagyobb valószínűséggel tartalmaznak veszélyes kódot (adware, kémprogram stb.). Az alkalmazottak mintegy 5 százaléka telepít peer-to-peer alkalmazásokat (pl. BitTorrent) és valamilyen saját beszerzésű VPN-t, hogy hozzáférjen földrajzilag korlátozott elérésű médiatartalmakhoz. A SecurityAdvisor szerint ez utóbbi alkalmazások 38 százaléka rosszindulatú kódot tartalmaz, ráadásul az ilyen programok 82 százaléka hozzáférhet a felhasználó adataihoz.

Az alkalmazottak egy százaléka előszeretettel néz kalóz médiatartalmakat is (Putlocker, VidCloud stb.), ahonnan szintén könnyű begyűjteni gyanús-veszélyes kódokat.

Felső vezetők, férfiak, nők...

Az elemzés szerint a felső vezetők általában inkább ki vannak téve a célzott kibertámadásoknak, mint az átlagos alkalmazottak: például kb. ötvenszer gyakrabban szenvednek el adathalász jellegű támadásokat.

Ami pedig a fentebb felsorolt kockázatos tevékenységeket illeti, abban főleg a férfiak jeleskednek: a szándékos vagy figyelmetlenségből elkövetett kockázatos tevekényeségeknek kevesebb mint a negyede (24 százalék) köthető a női alkalmazottakhoz. Ezt csak részben magyarázza a mintában a férfiak magasabb aránya (a teljes mintában 58 százaléka volt férfiak aránya). A női alkalmazottak jellemzően szabálykövetőbbek és kockázatkerülőbbek, mint a férfiak. Ez azonban nem valamiféle genetikai kód következménye, hanem tanulás eredménye. Azaz a férfiak is elsajátíthatják a biztonságtudatosabb viselkedést.