Oldalunkon sütiket (cookie) használunk, amelyekről adatkezelési tájékoztatónkban olvashat.
Részletek Rendben
     
    Téved, ha azt hiszi, hogy a nemtörődöm felhasználó a legveszélyesebb
    Dervenkár István2021.06.07.Biztonság
    A vállalati IT-biztonságra is igaz: a pokolba vezető út jó szándékkal van kikövezve. Hogyan viselkednek az alkalmazottak a kibertérben?

    Lehet-e felhasználó nélkül tökéletes a kiberbiztonság? Kevin Mitnick óta tudjuk, hogy nem. De az utóbbi két évben különösen felértékelődött a felhasználók biztonságtudatossága. A témával foglalkozó sorozatunk előző részében körüljártuk az okokat, illetve összegyűjtöttük azokat a fontosabb támadási vektorokat, melyek építenek a felhasználók figyelmetlenségére és fegyelmezetlenségére, vagy a szervezetükkel kapcsolatos negatív motivációkra.

    De milyenek is a felhasználók? Ahhoz, hogy egy szervezet hatékonyan erősíthesse a biztonság leggyengébb láncszemét, nem árt tisztában lenni, hogy melyek a tipikus felhasználói attitűdök.

    Pszichológia, szervezeti folyamat, technológia

    Könyvtárnyi irodalma van a végfelhasználói viselkedés vizsgálatának. Még az Eurobarometer is kiadott erről átfogó kutatási anyagokat (a 2020-as Europeans’ attitudes towards cyber security című tanulmány innen tölthető le). A különböző tanulmányok két ponton egybehangzóak.

    1. A biztonságos digitáliseszköz-használat létfontosságú, amióta a kiberfizikai rendszerek a konnektivitást, a bárhol és bármikor bármihez csatlakozás képességét elemi élménnyé tették mind a magánéletben, mind a munkában (lásd okostelefon – mobilnet vagy wifi).

    2. Minél jobban értjük ezeknek a kiberfizikai rendszereknek a működési elvét (nem a technikai részleteit!), annál tudatosabban használjuk a digitális eszközeinek – értelemszerűen biztonsági szempontból is. (Az már csak ráadás, hogy ezáltal növekszik a digitális megoldások elfogadottsága is.)

    Az Eurobarometer tanulmánya kiemeli, hogy az EU-ban a netezők háromnegyede okostelefonról fér hozzá a nethez (valószínűleg munkaügyben is), és már csak felük használ ehhez laptopot. Emailt szinte mindenki, de érzékeny adatokat igénylő rendszereket (pl. online bankolás) is a netezők közel kétharmada használ.

    Egy brit kutatás kifejezetten az alkalmazottak munkahelyi hozzáállását vizsgálta a biztonsághoz. A lojalitás foka mellett számít az életkor, a képzettség, de a vállalatméret és a munkavégzés szabályozottsága is, hogy ki milyen gyakran enged meg magának biztonsági szempontból kockázatos tevékenységet.

    A felhasználók öt alaptípusa

    A tudatos. Sajnos a legritkább típus. Nem feltétlenül IT-biztonsági guru, de tisztában van azzal, hogy hol van, mit csinál, és adott pillanatban milyen kockázatokkal kell számolnia. Jellemzően szabálykövető és kockázatkerülő, ezért a legritkább esetben ered tőle biztonsági incidens.

    A jó szándékú. Furcsa módon IT-biztonsági szempontból a legproblémásabb, ugyanis kiszámíthatatlan a viselkedése. Törekszik a szabályok követésére, de képtelen azokat következetesen betartani, és sokszor a legelemibb hibákat is elkövetheti. Személyiségjegyei miatt nehéz átterelni a tudatosabb rendszerhasználatra.

    A felelőtlen, vagy más néven: "ez nem az én dolgom". A leggyakoribb típus. Ahogy a munkáját segítő IT-rendszerre, úgy a rendszer biztonságát garantáló szolgáltatásokra is úgy tekint, amelyekhez neki nem kell semmit sem hozzátenni. Ő az, aki inkább vár fél napot a szervizesre, ha kifogy a mellette lévő nyomtatóból a papír, mint hogy felálljon, és beletegyen egy csomaggal. Alapértelmezettnek veszi például, hogy a vállalati levelezőrendszerbe érkező levelek biztonságosak (kell legyenek), tehát gondolkodás nélkül megnyitja azokat. Ő maga semmilyen felelősséget nem vállal az adatok biztonságáért, és nem fogadja el, hogy a legmagasabb biztonság szint csak a technológia és a felhasználó együttműködésével valósítható meg.

    A kétkedő. Nem érdekli az egész, mert szerinte a biztonsági fenyegetésekről szóló figyelmeztetések túlzóak, és sok intézkedés mögött hajlamos a vezetőség alkalmazottellenes magatartását feltételezni. Mivel az intézkedéseket a hatékony munkája akadályozásának tekinti, ott kerüli meg a szabályokat, ahol tudja. Nehéz kezelni, főleg ha magasabb pozíciója miatt esetleg kiemelt jogosultságokkal is rendelkezik. Egyetlen szempontból könnyen kezelhető típus: kiszámíthatóan szabálykerülő.

    A szándékos károkozó, avagy a belső ember. Gyakori, hogy a kiberbűnözők belső ember segítségével jutnak be egy szervezet rendszerébe. A belső ember motiváció lehet sértődöttség (pl. elmaradt az előreléptetés), bosszú (elbocsátás) vagy akár pénz is. A koronavírus-járvány következtében tavaly közel 50 százalékkal nőttek az olyan incidensek, melyek mögött bennfentes tevékenység is volt


    A biztonságmenedzsment részévé kell tenni

    Abban sincs vita a szakemberek között, hogy a biztonság emberi vonatkozásait a biztonságmenedzsment szerves részeként kell kezelni. Elengedhetetlen – írja egy a brit helyzettel foglalkozó tanulmány –, hogy az információbiztonsági vezetők segítsék az alkalmazottakat abban, hogy a biztonsághoz tudatosan viszonyuljanak. Ez ugyanis a vállalati biztonsági kultúra egyik fontos alappillére.

    Egy szervezet biztonsági kultúrája az egyik legelterjedtebb modell szerint négy alaptényező eredőjeként értelmezhető. Meghatározza a csoportdinamika, azaz a dolgozók egymáshoz való viszonya, szervezeti konfliktusok stb. Fontos tényező a biztonsági szabályok betartása/betartatása, tehát lényegre törő, de kellően részletes és körültekintő-e a biztonsági szabályzat, és vannak-e eszközök a betartatására?

    Fontos a kommunikáció, hiszen sok esetben ezen dől el, hogy időben felismerik-e a támadást, jól működik-e az eszkalációs lánc, vagy például mikor jut el az illetékesekhez egy  érzékeny vállalati adatokat tartalmazó laptop elvesztése. A vállalati vezetők helyes kommunikációja is nagyban hozzájárulhat, hogy az alkalmazottak éberebbek legyenek, és helyesen reagáljanak kockázatok felmerülése esetén.

    A negyedik elem az levelezéssel/adathalász-támadásokkal kapcsolatos magatartás: milyen valószínűséggel ismer fel az alkalmazott egy olyan rosszindulatú, adathalász levelet, ami átcsúszott a spamszűrőn? Végül, de nem utolsósorban a jelszavakkal kapcsolatos magatartás is kulcsfontosságú, lásd a billentyűzet aljára ragasztott felhasználónév-jelszó páros, vagy amikor egy felhasználói fiókot többen is használnak, mert úgy kényelmesebb...

    Milyen a magyar vállalatok és alkalmazottaik viszonya a kérdéshez? Vaspöri Ferenc, az Invitech információbiztonsági üzletágának technológiai szaktanácsadója, úgy látja, meglehetősen nagy különbségek vannak. Az Invitech egy felmérése szerint a cégek egy jelentősé része (közel harmada) a felhasználói tudatosság hiányát látja a legnagyobb biztonsági kockázatnak. De a felkészültséget illetően nagyok a különbségek. Ahol rendszeresen auditálják a biztonságot (pl. pénzügyi vagy állami szektor), ott rendszeresek a biztonságtudatosság-képzések. Ott is viszonylag jól állnak, ahol a szervezetben van dedikált IT-biztonsági felelős.

    Ami a felhasználókat illeti, sokan abban a hitben vannak, mondta lapunknak a szakember, hogy az IT generálisan megvédi őket minden külső támadástól. Ezen azok a tudatosító oktatások sem segítenek, melyek nem szólítják meg a felhasználót. A szakmai zsargon csak elidegeníti őket a témától, sokan azt hiszik, őket nem érheti támadás. Ez utóbbi téren egyébként lát pozitív változást Vaspöri. Mint mondta, egyre több cég talál olyan oktatási formát és tananyagot, amivel személyessé tudják tenni a problémát a nem IT-s dolgozónak is, és be tudják őket vonni a kibertámadások megelőzésébe.

    Mindebből következik, hogy a közösség bevonása nélkül nem építhető ki hatékony biztonság. A következő részben a biztonságtudatosságot erősítő gyakorlatokkal és technológiákkal foglalkozunk, illetve bemutatunk néhány pozitív változást is.

    Ennyi nem elég? Iratkozzon fel hírlevelünkre!
    Biztonság

    Szakértők figyelmeztetnek: ne küldözgessünk chatbotoknak az orvosi leleteinket

    Elon Musk arra biztatja az X közösségi oldal felhasználóit, hogy teszteljék saját egészségügyi felvételeiken a Grok MI-chatbot képelemző funkcióit, de ez nem mindenki szerint jó ötlet.
     

    Újra elmondjuk, másként: az MI veszélyes és veszélyeztetett állat

    Ezt már akkor sokan állították, amikor a Watson vagy a DeepMind még legfeljebb érdekes játék volt, mert jó volt kvízben, sakkban vagy góban.

    Régen minden jobb volt? A VMware licencelési változásai

    Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

    Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

    "EU-kapcsolatok nélkül nem tudom elképzelni a BME modellváltását"

    Az IT-projektmenedzsment új varázsszava: proof of concept

    Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

    Sok hazai cégnek kell szorosra zárni a kiberkaput

    Impresszum

    Médiaajánlat

    Adatkezelés
    Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
    © 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.