A vállalati IT-biztonságra is igaz: a pokolba vezető út jó szándékkal van kikövezve. Hogyan viselkednek az alkalmazottak a kibertérben?

Lehet-e felhasználó nélkül tökéletes a kiberbiztonság? Kevin Mitnick óta tudjuk, hogy nem. De az utóbbi két évben különösen felértékelődött a felhasználók biztonságtudatossága. A témával foglalkozó sorozatunk előző részében körüljártuk az okokat, illetve összegyűjtöttük azokat a fontosabb támadási vektorokat, melyek építenek a felhasználók figyelmetlenségére és fegyelmezetlenségére, vagy a szervezetükkel kapcsolatos negatív motivációkra.

De milyenek is a felhasználók? Ahhoz, hogy egy szervezet hatékonyan erősíthesse a biztonság leggyengébb láncszemét, nem árt tisztában lenni, hogy melyek a tipikus felhasználói attitűdök.

Pszichológia, szervezeti folyamat, technológia

Könyvtárnyi irodalma van a végfelhasználói viselkedés vizsgálatának. Még az Eurobarometer is kiadott erről átfogó kutatási anyagokat (a 2020-as Europeans’ attitudes towards cyber security című tanulmány innen tölthető le). A különböző tanulmányok két ponton egybehangzóak.

1. A biztonságos digitáliseszköz-használat létfontosságú, amióta a kiberfizikai rendszerek a konnektivitást, a bárhol és bármikor bármihez csatlakozás képességét elemi élménnyé tették mind a magánéletben, mind a munkában (lásd okostelefon – mobilnet vagy wifi).

2. Minél jobban értjük ezeknek a kiberfizikai rendszereknek a működési elvét (nem a technikai részleteit!), annál tudatosabban használjuk a digitális eszközeinek – értelemszerűen biztonsági szempontból is. (Az már csak ráadás, hogy ezáltal növekszik a digitális megoldások elfogadottsága is.)

Az Eurobarometer tanulmánya kiemeli, hogy az EU-ban a netezők háromnegyede okostelefonról fér hozzá a nethez (valószínűleg munkaügyben is), és már csak felük használ ehhez laptopot. Emailt szinte mindenki, de érzékeny adatokat igénylő rendszereket (pl. online bankolás) is a netezők közel kétharmada használ.

Egy brit kutatás kifejezetten az alkalmazottak munkahelyi hozzáállását vizsgálta a biztonsághoz. A lojalitás foka mellett számít az életkor, a képzettség, de a vállalatméret és a munkavégzés szabályozottsága is, hogy ki milyen gyakran enged meg magának biztonsági szempontból kockázatos tevékenységet.

A felhasználók öt alaptípusa

A tudatos. Sajnos a legritkább típus. Nem feltétlenül IT-biztonsági guru, de tisztában van azzal, hogy hol van, mit csinál, és adott pillanatban milyen kockázatokkal kell számolnia. Jellemzően szabálykövető és kockázatkerülő, ezért a legritkább esetben ered tőle biztonsági incidens.

A jó szándékú. Furcsa módon IT-biztonsági szempontból a legproblémásabb, ugyanis kiszámíthatatlan a viselkedése. Törekszik a szabályok követésére, de képtelen azokat következetesen betartani, és sokszor a legelemibb hibákat is elkövetheti. Személyiségjegyei miatt nehéz átterelni a tudatosabb rendszerhasználatra.

A felelőtlen, vagy más néven: "ez nem az én dolgom". A leggyakoribb típus. Ahogy a munkáját segítő IT-rendszerre, úgy a rendszer biztonságát garantáló szolgáltatásokra is úgy tekint, amelyekhez neki nem kell semmit sem hozzátenni. Ő az, aki inkább vár fél napot a szervizesre, ha kifogy a mellette lévő nyomtatóból a papír, mint hogy felálljon, és beletegyen egy csomaggal. Alapértelmezettnek veszi például, hogy a vállalati levelezőrendszerbe érkező levelek biztonságosak (kell legyenek), tehát gondolkodás nélkül megnyitja azokat. Ő maga semmilyen felelősséget nem vállal az adatok biztonságáért, és nem fogadja el, hogy a legmagasabb biztonság szint csak a technológia és a felhasználó együttműködésével valósítható meg.

A kétkedő. Nem érdekli az egész, mert szerinte a biztonsági fenyegetésekről szóló figyelmeztetések túlzóak, és sok intézkedés mögött hajlamos a vezetőség alkalmazottellenes magatartását feltételezni. Mivel az intézkedéseket a hatékony munkája akadályozásának tekinti, ott kerüli meg a szabályokat, ahol tudja. Nehéz kezelni, főleg ha magasabb pozíciója miatt esetleg kiemelt jogosultságokkal is rendelkezik. Egyetlen szempontból könnyen kezelhető típus: kiszámíthatóan szabálykerülő.

A szándékos károkozó, avagy a belső ember. Gyakori, hogy a kiberbűnözők belső ember segítségével jutnak be egy szervezet rendszerébe. A belső ember motiváció lehet sértődöttség (pl. elmaradt az előreléptetés), bosszú (elbocsátás) vagy akár pénz is. A koronavírus-járvány következtében tavaly közel 50 százalékkal nőttek az olyan incidensek, melyek mögött bennfentes tevékenység is volt


A biztonságmenedzsment részévé kell tenni

Abban sincs vita a szakemberek között, hogy a biztonság emberi vonatkozásait a biztonságmenedzsment szerves részeként kell kezelni. Elengedhetetlen – írja egy a brit helyzettel foglalkozó tanulmány –, hogy az információbiztonsági vezetők segítsék az alkalmazottakat abban, hogy a biztonsághoz tudatosan viszonyuljanak. Ez ugyanis a vállalati biztonsági kultúra egyik fontos alappillére.

Egy szervezet biztonsági kultúrája az egyik legelterjedtebb modell szerint négy alaptényező eredőjeként értelmezhető. Meghatározza a csoportdinamika, azaz a dolgozók egymáshoz való viszonya, szervezeti konfliktusok stb. Fontos tényező a biztonsági szabályok betartása/betartatása, tehát lényegre törő, de kellően részletes és körültekintő-e a biztonsági szabályzat, és vannak-e eszközök a betartatására?

Fontos a kommunikáció, hiszen sok esetben ezen dől el, hogy időben felismerik-e a támadást, jól működik-e az eszkalációs lánc, vagy például mikor jut el az illetékesekhez egy  érzékeny vállalati adatokat tartalmazó laptop elvesztése. A vállalati vezetők helyes kommunikációja is nagyban hozzájárulhat, hogy az alkalmazottak éberebbek legyenek, és helyesen reagáljanak kockázatok felmerülése esetén.

A negyedik elem az levelezéssel/adathalász-támadásokkal kapcsolatos magatartás: milyen valószínűséggel ismer fel az alkalmazott egy olyan rosszindulatú, adathalász levelet, ami átcsúszott a spamszűrőn? Végül, de nem utolsósorban a jelszavakkal kapcsolatos magatartás is kulcsfontosságú, lásd a billentyűzet aljára ragasztott felhasználónév-jelszó páros, vagy amikor egy felhasználói fiókot többen is használnak, mert úgy kényelmesebb...

Milyen a magyar vállalatok és alkalmazottaik viszonya a kérdéshez? Vaspöri Ferenc, az Invitech információbiztonsági üzletágának technológiai szaktanácsadója, úgy látja, meglehetősen nagy különbségek vannak. Az Invitech egy felmérése szerint a cégek egy jelentősé része (közel harmada) a felhasználói tudatosság hiányát látja a legnagyobb biztonsági kockázatnak. De a felkészültséget illetően nagyok a különbségek. Ahol rendszeresen auditálják a biztonságot (pl. pénzügyi vagy állami szektor), ott rendszeresek a biztonságtudatosság-képzések. Ott is viszonylag jól állnak, ahol a szervezetben van dedikált IT-biztonsági felelős.

Ami a felhasználókat illeti, sokan abban a hitben vannak, mondta lapunknak a szakember, hogy az IT generálisan megvédi őket minden külső támadástól. Ezen azok a tudatosító oktatások sem segítenek, melyek nem szólítják meg a felhasználót. A szakmai zsargon csak elidegeníti őket a témától, sokan azt hiszik, őket nem érheti támadás. Ez utóbbi téren egyébként lát pozitív változást Vaspöri. Mint mondta, egyre több cég talál olyan oktatási formát és tananyagot, amivel személyessé tudják tenni a problémát a nem IT-s dolgozónak is, és be tudják őket vonni a kibertámadások megelőzésébe.

Mindebből következik, hogy a közösség bevonása nélkül nem építhető ki hatékony biztonság. A következő részben a biztonságtudatosságot erősítő gyakorlatokkal és technológiákkal foglalkozunk, illetve bemutatunk néhány pozitív változást is.

Biztonság

Ellepték a bűnözők a Telegramot

Úgy tűnik, a titkosított üzenetküldőn könnyebb és biztonságosabb a törvénytelen üzleteket lebonyolítani, mint a dark weben.
 
Nyakunkon a ransomware 2.0, de szerencsére van ellenszer az elődeinél fejlettebb fenyegetésekre.

a melléklet támogatója az Euro One

A KPMG immár 22. alkalommal kiadott CIO Survey jelentése szerint idén az informatikai vezetők leginkább a digitalizációra, a biztonságra és a szoftverszolgáltatásokra koncentráltak.

Használtszoftver-kereskedelem a Brexit után

Az EU Tanácsa szerint összeegyeztethető a backdoor és a biztonság. Az ötlet alapjaiban hibás. Pfeiffer Szilárd fejlesztő, IT-biztonsági szakértő írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2021 Bitport.hu Média Kft. Minden jog fenntartva.