Lehet-e felhasználó nélkül tökéletes a kiberbiztonság? Kevin Mitnick óta tudjuk, hogy nem. De az utóbbi két évben különösen felértékelődött a felhasználók biztonságtudatossága. A témával foglalkozó sorozatunk előző részében körüljártuk az okokat, illetve összegyűjtöttük azokat a fontosabb támadási vektorokat, melyek építenek a felhasználók figyelmetlenségére és fegyelmezetlenségére, vagy a szervezetükkel kapcsolatos negatív motivációkra.
De milyenek is a felhasználók? Ahhoz, hogy egy szervezet hatékonyan erősíthesse a biztonság leggyengébb láncszemét, nem árt tisztában lenni, hogy melyek a tipikus felhasználói attitűdök.
Pszichológia, szervezeti folyamat, technológia
Könyvtárnyi irodalma van a végfelhasználói viselkedés vizsgálatának. Még az Eurobarometer is kiadott erről átfogó kutatási anyagokat (a 2020-as Europeans’ attitudes towards cyber security című tanulmány innen tölthető le). A különböző tanulmányok két ponton egybehangzóak.
1. A biztonságos digitáliseszköz-használat létfontosságú, amióta a kiberfizikai rendszerek a konnektivitást, a bárhol és bármikor bármihez csatlakozás képességét elemi élménnyé tették mind a magánéletben, mind a munkában (lásd okostelefon – mobilnet vagy wifi).
2. Minél jobban értjük ezeknek a kiberfizikai rendszereknek a működési elvét (nem a technikai részleteit!), annál tudatosabban használjuk a digitális eszközeinek – értelemszerűen biztonsági szempontból is. (Az már csak ráadás, hogy ezáltal növekszik a digitális megoldások elfogadottsága is.)
Az Eurobarometer tanulmánya kiemeli, hogy az EU-ban a netezők háromnegyede okostelefonról fér hozzá a nethez (valószínűleg munkaügyben is), és már csak felük használ ehhez laptopot. Emailt szinte mindenki, de érzékeny adatokat igénylő rendszereket (pl. online bankolás) is a netezők közel kétharmada használ.
Egy brit kutatás kifejezetten az alkalmazottak munkahelyi hozzáállását vizsgálta a biztonsághoz. A lojalitás foka mellett számít az életkor, a képzettség, de a vállalatméret és a munkavégzés szabályozottsága is, hogy ki milyen gyakran enged meg magának biztonsági szempontból kockázatos tevékenységet.
A felhasználók öt alaptípusa
A tudatos. Sajnos a legritkább típus. Nem feltétlenül IT-biztonsági guru, de tisztában van azzal, hogy hol van, mit csinál, és adott pillanatban milyen kockázatokkal kell számolnia. Jellemzően szabálykövető és kockázatkerülő, ezért a legritkább esetben ered tőle biztonsági incidens.
A jó szándékú. Furcsa módon IT-biztonsági szempontból a legproblémásabb, ugyanis kiszámíthatatlan a viselkedése. Törekszik a szabályok követésére, de képtelen azokat következetesen betartani, és sokszor a legelemibb hibákat is elkövetheti. Személyiségjegyei miatt nehéz átterelni a tudatosabb rendszerhasználatra.
A felelőtlen, vagy más néven: "ez nem az én dolgom". A leggyakoribb típus. Ahogy a munkáját segítő IT-rendszerre, úgy a rendszer biztonságát garantáló szolgáltatásokra is úgy tekint, amelyekhez neki nem kell semmit sem hozzátenni. Ő az, aki inkább vár fél napot a szervizesre, ha kifogy a mellette lévő nyomtatóból a papír, mint hogy felálljon, és beletegyen egy csomaggal. Alapértelmezettnek veszi például, hogy a vállalati levelezőrendszerbe érkező levelek biztonságosak (kell legyenek), tehát gondolkodás nélkül megnyitja azokat. Ő maga semmilyen felelősséget nem vállal az adatok biztonságáért, és nem fogadja el, hogy a legmagasabb biztonság szint csak a technológia és a felhasználó együttműködésével valósítható meg.
A kétkedő. Nem érdekli az egész, mert szerinte a biztonsági fenyegetésekről szóló figyelmeztetések túlzóak, és sok intézkedés mögött hajlamos a vezetőség alkalmazottellenes magatartását feltételezni. Mivel az intézkedéseket a hatékony munkája akadályozásának tekinti, ott kerüli meg a szabályokat, ahol tudja. Nehéz kezelni, főleg ha magasabb pozíciója miatt esetleg kiemelt jogosultságokkal is rendelkezik. Egyetlen szempontból könnyen kezelhető típus: kiszámíthatóan szabálykerülő.
A szándékos károkozó, avagy a belső ember. Gyakori, hogy a kiberbűnözők belső ember segítségével jutnak be egy szervezet rendszerébe. A belső ember motiváció lehet sértődöttség (pl. elmaradt az előreléptetés), bosszú (elbocsátás) vagy akár pénz is. A koronavírus-járvány következtében tavaly közel 50 százalékkal nőttek az olyan incidensek, melyek mögött bennfentes tevékenység is volt
A biztonságmenedzsment részévé kell tenni
Abban sincs vita a szakemberek között, hogy a biztonság emberi vonatkozásait a biztonságmenedzsment szerves részeként kell kezelni. Elengedhetetlen – írja egy a brit helyzettel foglalkozó tanulmány –, hogy az információbiztonsági vezetők segítsék az alkalmazottakat abban, hogy a biztonsághoz tudatosan viszonyuljanak. Ez ugyanis a vállalati biztonsági kultúra egyik fontos alappillére.
Egy szervezet biztonsági kultúrája az egyik legelterjedtebb modell szerint négy alaptényező eredőjeként értelmezhető. Meghatározza a csoportdinamika, azaz a dolgozók egymáshoz való viszonya, szervezeti konfliktusok stb. Fontos tényező a biztonsági szabályok betartása/betartatása, tehát lényegre törő, de kellően részletes és körültekintő-e a biztonsági szabályzat, és vannak-e eszközök a betartatására?
Fontos a kommunikáció, hiszen sok esetben ezen dől el, hogy időben felismerik-e a támadást, jól működik-e az eszkalációs lánc, vagy például mikor jut el az illetékesekhez egy érzékeny vállalati adatokat tartalmazó laptop elvesztése. A vállalati vezetők helyes kommunikációja is nagyban hozzájárulhat, hogy az alkalmazottak éberebbek legyenek, és helyesen reagáljanak kockázatok felmerülése esetén.
A negyedik elem az levelezéssel/adathalász-támadásokkal kapcsolatos magatartás: milyen valószínűséggel ismer fel az alkalmazott egy olyan rosszindulatú, adathalász levelet, ami átcsúszott a spamszűrőn? Végül, de nem utolsósorban a jelszavakkal kapcsolatos magatartás is kulcsfontosságú, lásd a billentyűzet aljára ragasztott felhasználónév-jelszó páros, vagy amikor egy felhasználói fiókot többen is használnak, mert úgy kényelmesebb...
Milyen a magyar vállalatok és alkalmazottaik viszonya a kérdéshez? Vaspöri Ferenc, az Invitech információbiztonsági üzletágának technológiai szaktanácsadója, úgy látja, meglehetősen nagy különbségek vannak. Az Invitech egy felmérése szerint a cégek egy jelentősé része (közel harmada) a felhasználói tudatosság hiányát látja a legnagyobb biztonsági kockázatnak. De a felkészültséget illetően nagyok a különbségek. Ahol rendszeresen auditálják a biztonságot (pl. pénzügyi vagy állami szektor), ott rendszeresek a biztonságtudatosság-képzések. Ott is viszonylag jól állnak, ahol a szervezetben van dedikált IT-biztonsági felelős.
Ami a felhasználókat illeti, sokan abban a hitben vannak, mondta lapunknak a szakember, hogy az IT generálisan megvédi őket minden külső támadástól. Ezen azok a tudatosító oktatások sem segítenek, melyek nem szólítják meg a felhasználót. A szakmai zsargon csak elidegeníti őket a témától, sokan azt hiszik, őket nem érheti támadás. Ez utóbbi téren egyébként lát pozitív változást Vaspöri. Mint mondta, egyre több cég talál olyan oktatási formát és tananyagot, amivel személyessé tudják tenni a problémát a nem IT-s dolgozónak is, és be tudják őket vonni a kibertámadások megelőzésébe.
Mindebből következik, hogy a közösség bevonása nélkül nem építhető ki hatékony biztonság. A következő részben a biztonságtudatosságot erősítő gyakorlatokkal és technológiákkal foglalkozunk, illetve bemutatunk néhány pozitív változást is.
Adathelyreállítás pillanatok alatt
A vírus- és végpontvédelmet hatékonyan kiegészítő Zerto, a Hewlett Packard Enterprise Company platformfüggetlen, könnyen használható adatmentési és katasztrófaelhárítási megoldása.
a melléklet támogatója az EURO ONE Számítástechnikai Zrt.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak