A dolgozónak is tennie kell a biztonságért

2015. szeptember 09. szerda - 20:27 / piacesprofit.hu
  •    

Számos olyan alkalmazott dolgozik a különféle szervezeteknél és vállalatoknál, aki a számítógépet csak a legalapvetőbb feladatokra tudja használni. Ez sokszor komoly problémává válhat, mivel a kiberbűnözők egyre inkább az ilyen alkalmazottak tudatlanságát vagy hiszékenységét használják ki.

A kkv-k IT biztonsági szabályozásai és erőforrásai főként a külső fenyegetések ellen védenek, a vállalaton belüli fenyegetésekre azonban kevés figyelem irányul. A Cisco egy korábbi felmérésében résztvevők 69%-a nincs tisztában a jelentősebb biztonsági résekkel, fenyegetésekkel, a legfőbb rizikónak a kiberbűnözést tartották (60%), ugyanakkor második helyre rangsorolták a felhasználói viselkedést, mint kockázati tényezőt. A megkérdezettek 58%-a úgy tudja, hogy vállalata rendelkezik IT biztonsági szabályzattal, 23% azonban egyáltalán nem tud ilyesmiről. (Pedig a hackerek egyre jobban utaznak a kis cégekre.)

Belső fenyegetést jelenthet egy kártevőt tartalmazó e-mail, egy rosszindulatú alkalmazott, vagy akár egy olyan ártatlan munkavállaló is, akinek ellopták a belépési adatait, esetleg feltörték a számítógépét. Annak érdekében, hogy csökkentsék a belső fenyegetést, a szervezeteknek rendszeresen tovább kell képezniük alkalmazottaikat a legfrissebb támadási módszerekkel és veszélyekkel kapcsolatban. Ehhez ad néhány tanácsot a téma egyik hazai szakértője, a NetIQ Novell SUSE Magyarországi Képviselet.

1. Terjesszük ki a felelősséget!

Az oktatás során meg kell változtatni az alkalmazottak gondolkodásmódját a kiberbiztonságról. Nem szabad, hogy egyedül a biztonsági vagy az informatikai csapat feladatának tartsák a vállalat védelmét a kibertámadásoktól. Hiszen hiába építenek ki erős védvonalat az IT-szakemberek a cégben, ha az alkalmazottak nincsenek tisztában azzal, milyen komoly károkat okozhatnak a szabályok figyelmen kívül hagyásával. Minden munkatársnak fel kell mérnie és meg kell értenie, milyen felelőssége van abban, hogy a vállalat biztonságban legyen.

A kiberbűnözők sok esetben építenek a vállalati alkalmazottak tájékozatlanságára, például az adathalász kísérletek során. Amikor az ilyen levelek felismerésére oktatjuk az alkalmazottakat, mindenképpen ki kell térnünk arra is, mekkora károkat okozhatnak a vállalatnak azzal, ha bedőlnek az átverésnek. Érzékeltetnünk kell velük, milyen felelősséggel járhat akár minden egyes kattintás.

ÚJ ÜZLETI MODELL: „BŰNCSELEKMÉNY, MINT SZOLGÁLTATÁS”
Kialakulóban van egy szolgáltatás-alapú bűnözői iparág, amelyben a virtuális feketegazdaság szakértői kimondottan más bűnözők számára fejlesztenek termékeket és szolgáltatásokat. A „bűncselekmény mint szolgáltatás” üzleti modell innovatív, kifinomult megoldások létrejöttét segíti elő, és szolgáltatások olyan széles skálájához biztosít hozzáférést, amelyek segítségével szinte bármely kiberbűncselekmény-típus megvalósítható.

2. Tartsunk rendszeres oktatásokat!

Egyszeri tájékoztatás nem elég, hiszen az információ feledésbe merülhet, ráadásul folyton új veszélyek és támadási módszerek jelennek meg, amelyekről a lehető leghamarabb informálni kell minden munkatársat, aki potenciális célpont lehet. Márpedig napjainkban ez minden olyan munkatársra igaz, aki internetkapcsolatot használ.

Emellett az is fontos, hogy a kiberbiztonsághoz kapcsolódó információkat könnyen elérhetővé és jól kereshetővé tegyük az alkalmazottak számára, hogy egy-egy kérdéses esetben maguk is egyszerűen utánanézhessenek, vajon potenciális veszéllyel állnak-e szemben egy-egy szituációban.

Hiába költ vagyonokat a szervezet védelmi és megelőző szoftverekre, ha az alkalmazottak nem tudják azokat megfelelően használni, illetve nincsenek tisztában az alapvető biztonsági szabályokkal és felelősségekkel. Az alkalmazottak tudása ezen a téren is hatalom, csak ezzel együtt teljes a védelem.

3. Csökkentsük a partnerekhez kapcsolódó kockázatokat!

A teljes munkaidős alkalmazottak oktatása nem elég. Komoly kockázatot jelenthetnek azok a partnerek, beszállítók, alvállalkozók is, akik hozzáférnek az IT hálózathoz. Az egyik nagy amerikai boltlánc ellen például úgy indítottak támadást két éve, hogy a hűtő- és fűtőrendszert karbantartó vállalat belépési adatait lopták el. Az alvállalkozót egy malware e-mail segítségével támadták meg két hónappal azelőtt, hogy a támadók elkezdték volna összegyűjteni és ellopni az áruházlánc vásárlóinak hitelkártyaadatait.

Mivel hozzáféréssel rendelkeznek a vállalat érzékeny adataihoz, fontos, hogy az alvállalkozók is részesüljenek a kiberbiztonsági oktatásban. Ha a vállalat olyan partnerrel dolgozik, amelynél nincs hasonló képzés házon belül, akkor gondoskodni kell arról, hogy csak megfelelő tájékoztatás után kapja meg az alvállalkozó a hozzáférést a hálózathoz, adatokhoz és erőforrásokhoz.

Ezzel egyidejűleg az adott szervezetnek arra is figyelmet kell fordítani, hogy a saját informatikai munkatársait megfelelően képezze az alvállalkozói hozzáférések kezelésére és figyelésére, illetve a partnernél felmerülő esetleges hibák felismerésére. A fent említett példánál a hűtő- és fűtőrendszer karbantartója egy ingyenes, lakossági felhasználóknak szánt anti-malware szoftvert használt a vállalati szintű védelmet garantáló, teljes licenc helyett, ami a jelek szerint nem volt elégséges.

Az eltérített Dolgok Internete
Kényelmes dolog, ha okos eszközeink az internetre csatlakozva gyűjtik az adatokat és kommunikálnak egymással, ugyanakkor komoly veszélyeket is rejt ez a technológia – figyelmeztetnek a NetIQ szakértői.

Feliratkozom a(z) Info & tech téma cikkértesítőjére. A megjelenő új cikkekről tájékoztatást kérek