Road

24_1.jpg
Forrás: ITB
Intsünk búcsút a digitális kőkorszaknak!

Nem csak pénzzel erősíthetjük az IT-biztonságot

A kollégák IT-biztonsági tudatosságának növelésével is emelhetjük vállalatunk biztonsági szintjét. A közösségi terekben elhelyezett tájékoztatók, információs plakátok, a konkrét tennivalók ismertetése mind segít a vírusos támadások elkerülésében, egyáltalán az ártó szándék felismerésében.

A digitális korban a tűzvésznél is nagyobb problémát okozhat egy hackertámadás vagy adatveszteség okozta teljes rendszerleállás. IT-biztonság szempontjából viszont még nagyon is a digitális kőkorszakban tartunk, ahol az „ősember” csak ismerkedik az eszközökkel, és rácsodálkozik, ha a számítógép nem az elvártak szerint működik. Elnézzük például, hogy nem elterjedt szokás a munkahelyi közösségi terekben jelezni, hol található a legközelebbi internetes csomópont, ahol a hálózati kábelek kihúzásával megakadályozhatjuk a zsarolóvírus terjedését. Vagy nincsenek feltüntetve (nagyon gyakran kitalálva) azok a digitális vészkijáratok, ahol kimenekíthetjük (vagy előre menekíthetjük) adatainkat végszükség esetén. Nem tartunk adatveszteségi gyakorlatokat, így nem csoda, hogy fogalmunk sincs, mi a teendő, ha felüti a fejét a vírus. Gyakran olyan alapvető információ sem forog közkézen, hogy egyáltalán kit kell értesíteni, ha például hétvégén éri támadás a rendszereket.

 

A pénz fontos, de nem minden

Az IT-biztonsági technológia gyártói rengeteg megoldást, fejlesztést és újdonságot tudnak eladni, de semmit sem ér mindez, ha nem foglalkozunk a biztonság emberi komponensével. Nagyon sok esetben anélkül növelhetjük IT security rendszereink biztonsági szintjét – vagyis léphetünk az őskorból a modern korba –, hogy minderre túl sok pénz költenénk.

Az alkalmazottak informálása, oktatása, az IT-biztonsági tudatosság és kultúra terjesztése az egyik legfontosabb eszköz a vállalat IT-biztonsági szintjének emeléséhez. Például egy közösségi étkezőben elhelyezett, vicces informáló tábla hatására felismert adathalász e-mail kikerülése és jelentése máris többszörösen megtérülő befektetés. Vagy a sikeres zsarolóvírusos támadás esetén követendő konkrét lépések ismertetése (mit tegyek elsőre, kit hívjak fel, milyen információkat osszak meg az esettel kapcsolatban, stb.) megelőzheti a probléma továbbterjedését. Ezeket általában az adatvédelmi szabályzatban amúgy is leírjuk, nem árt, ha emészthető módon megosztjuk, tudatosítjuk a teendőket.

Rúgjuk ki az adathalász teszten elbukó munkatársat?

Az Amerikai Egyesült Államokban több pénzintézetnél rendszeresítették, hogy az adathalász teszteken sorozatosan megbukó kollégákat egyszerűen kirúgják, hiszen nagy kockázatot jelentenek adatbiztonság szempontjából. Itthon hasonló esetről még nem hallottunk, de arról már igen, hogy az adathalász tesztek egyre népszerűbbek és egyre több vállalatnál találkozhatunk velük. De ne feledjük, ezeknek a teszteknek nem az a célja, hogy kellemetlen pillanatokat okozzunk a kollégáknak, hanem az oktatáson rögzültek felmérésének jó eszköze.

 

Figyeljünk kiberhigiéniára!

A kollégák tudatosítása mellett érdemes, ha tisztában vagyunk a vállalat kiberhigiéniás állapotával. Ehhez szükségünk van viszonyítási alapra, egy keretrendszerre, melyhez hasonlíthatjuk a céges biztonság állapotát. Egy IT-biztonsági tanúsítvány segíthetne, amit nemcsak az erre kötelezettek, hanem saját jogos érdekéből minden vállalat megszerezhetne. Itthon nincs ehhez hasonló univerzális IT-biztonsági keret, de van jó nemzetközi példa. A brit kormány Cyber Essentials néven futtat egy tanúsítványhoz hasonló programot, melyet a kormányzati tendereken szereplő cégeknek kötelező teljesíteni, de a többiek számára is iránymutató. A vállalati bizalom kiépítéséhez szükséges tanúsítvány megszerzése a becslések szerint 80 százalékkal csökkenti a sikeres kibertámadás kockázatát.

Az alapok betartását persze semmi sem helyettesítheti. A frissítés, a biztonsági lyukak betömése olyan rendszeres feladat, ami a háztartásban felmerülő takarítási munkákhoz hasonlóan mindig ad munkát. Ha egy olyan IT-rendszert használunk, amelyhez megszűnt a biztonsági támogatás, az egyenlő a biztonsági rendszer teljes hiányával: hiába vasaljuk meg az ajtókat, ha hiányzik mellette a teljes fal. Iktassunk be rendszeres karbantartásokat, és ne ijedjünk meg az külső auditoktól sem!

Ha már megvásároltuk azt a megoldást, ami szerepkör szerint biztosít hozzáférést a vállalati adatokhoz és vállalati rendszerekhez, vegyük a fáradtságot és valóban felhasználói szinten állítsuk be a hozzáféréseket. Míg a rendszergazdáknak például semmi köze a HR-adatokhoz (ne feledjük el, az IT-s kollégák szeretnek széles körű hozzáférést biztosítani önmaguknak, holott nincs erre szükség, sőt adott esetben törvénybe ütköző), a HR-feladatokat is ellátó asszisztensnek már szüksége lehet az alkalmazottak otthoni telefonszámára is. Aprólékos, nehéz feladat, de a személyi szintű hozzáférés beállítása sok nem kívánt adatszivárgástól mentheti meg a vállalatot. Ha távozik egy munkatárs, a vállalat digitális életében betöltött szerepét is töröljük: szüntessük meg a hozzáféréseket, vágjuk el a külső kapcsolódásokat.


 

Oktatás, gyakorlati alkalmazás, újra oktatás

Sajnos nem kevés pénzbe kerül, de a rendszeres oktatás is a vállalat IT-biztonsági szintjét növeli. Az IT-biztonsági szemlélettel beoltott kollégáknak legalább fél évente érdemes ismételni a tananyagot a legnépszerűbb fenyegetettségekről, problémákról, az adathalász magatartás felismeréséről, a zsarolóvírus terjedésének megakadályozásáról. Adathalász témakörben sok szolgáltató kínál vállalati teszteket, amelyekkel a kollégák felkészültségét lehet tesztelni. Ezeket a próbatételeket azonban ne meglepetésszerűen ütemezzük be, hanem szóljunk kollégáinknak, hogy fel tudjanak készülni. Nem az a cél, hogy kitoljunk munkatársainkkal, hanem az, hogy felkészítsük őket a váratlan támadások hatékony kivédésére.