A biztonsági kockázatok közül a legnagyobb sebezhetőséget szinte minden vállaltnál a humán kockázatok jelentik. Vajon miért, hogy jelentkezik ez, és van-e ellene hatékony védekezés?
Az elmúlt napokban átott napvilágot egy hír, amely arról tudósított, rakétatitkokkal teli laptopokat adott el a brit haditengerészet egyik altisztje.
A fegyvermérnököt az eset felfedéséig kitűnő munkatársként tartották nyilván, amikor kiderült róla, hogy hatalmas kaszinó adósságokat halmozott fel, és ezeket próbálta meg törleszteni a számítógépek eladásából.
A történet mellett el lehetne menni egy mosollyal, hogy lám milyen jópofa történet, ez velünk nem történhet meg, pedig az eset nem egyedülálló és nem mentes a tanulságoktól.
Amikor az adatbiztonság szóba, kerül a többség reakciója, hogy kell tűzfal, vírusvédelem, hozzáférés-védelem és akkor nagyjából meg van oldva ez a probléma.
A vállalati vezetők még ma is elsősorban technológiai kérdésként kezelik az adatbiztonságot annak ellenére, hogy sok adat még mindig az informatikai rendszeren kívül mozog.
A Gartner Group becslése szerint a jogosulatlan hozzáférések 70%-a még mindig a belső dolgozókhoz köthető. Nem szabad megfeledkezni azokról a külsősökről sem, akik fizikai hozzáféréssel rendelkeznek telephelyeinken. Azzal mindenki tisztában van, hogy a humán erőforrások biztonsági kockázatot jelentenek, de a probléma kezelése ma még nem éri el a kívánt szintet. De mi tartozik a humán biztonsági kockázatok közé, és hogyan kell ezeket kezelni?
Kik jelentik a kockázatot?
Humán biztonsági kockázatot a megbízhatatlan, elégedetlen munkatárs, illetve a jóhiszemű, de tudatlan felhasználó jelent.
Biztonsági szempontból nem elfogadható megközelítés az, hogy bizalommal kell lenni a munkatársak iránt, ameddig ennek az ellenkezőjére nem adnak okot.
Először is meg kell akadályozni, hogy nem megbízható munkatársak felvételre kerüljenek, utána pedig időben fel kell tudnunk fedni ha valamelyik munkatársunk megbízhatatlanná vált.
Emelje fel kezét az, aki a takarítói pozíció betöltésére jelentkezőnek, az fél órás felvételi beszélgetést követően hajlandó lenne kulcsot adni a lakásához. Senki nem jelentkezett?
Pedig nincs nagy különbség ahhoz képest, amikor a vállalati vagyonhoz engedjük hozzá az új munkatársat. Ennek ellenére gyakran ez történik, néhány felvételi beszélgetést követően a “szimpatikus” jelentkező már bent is van. Ezek után még behozza az Ecserin vásárolt diplomáját és máris van egy „megbízható” dolgozónk, egy későbbi exbrókerünk.
Mit tehetünk?
Több eszköz is rendelkezésünkre áll az új dolgozók megbízhatósága iránti bizalom megalapozására, felvételkor illetve a próbaidőre:
- az erkölcsi bizonyítvány, (!) de ez nem tartalmazza a nem jogerős ítélettel végződött eljárásokat,
- a referenciák az előző munkahelyekről, de ez a felvételi eljárás diszkréciója miatt nem mindig lehetséges,
- háttér vizsgálatok, ami különlegesen bizalmas pozíciók esetében indokolt,
- nyilatkozatok a jelentkező részéről, pl. titoktartási nyilatkozat, illetve hogy nem folyik ellene valamilyen eljárás,
- jogosultságok korlátozása, tevékenység monitorozása a próbaidő alatt.
Az adott körülmények határozzák meg, hogy milyen mixét kell ezeknek az intézkedéseknek alkalmazni.
Amikor kígyót melengetünk
A munkaviszonya ideje alatt a dolgozó magánéletében számos olyan esemény történhet, amely negatív kihatással van a magatartására.
A gyengébb jellemű emberek ilyenkor könnyebben engednek a kísértésnek és hajlandók a biztonsági előírások megszegésére (lásd a fegyvermérnök történetét). Szükség van olyan intézményesített eljárásokra, amelyek lehetővé teszik a munkatársak életvitelében beálló változások azonosítását.
Az életmódbeli (negatív) változások a teljesítményben, a munkahelyi fegyelemben is megmutatkoznak, ezért a teljesítménymérés az egyik eszköze a megbízhatóság ellenőrzésére.
A sértett vad
A munkaviszony tekintetében másik biztonság kritikus momentum az, amikor a dolgozó felmond, vagy felmondanak neki.
Mindkét esetben, ha teheti, begyűjti a számára hasznos információkat, későbbi hasznosításra. Ezért fontos ilyenkor a szorosabb felügyelet a dolgozók felett, a jogosultságokat korlátozása vagy azok teljes visszavonása.
Jóhiszeműség: a pokolba vezető út
Ahogy a mondás szól, “a pokolba vezető út is jó szándékkal van kikövezve”.
Lássuk tehát a jóhiszemű, de tudatlan dolgozó esetét, illetve politikailag helyesen azt, aki “alacsony biztonsági tudatossággal rendelkezik”. Az ilyen dolgozó nem ismeri, hogy
- milyen veszélyforrásokkal áll szemben, ezért önkéntesen is közreműködik a támadásokban
- milyen védelmi intézkedések működnek cégénél és azokat hogyan is kellene használni, ezért nem vagy rosszul használja azokat.
A lusta támadó és a legkisebb ellenállás
A social engineering az egyik támadási forma, amely a felhasználók alacsony biztonsági tudatosságára épít. A Gartner Group a social engineering-et az “érett” támadási formák közé sorolja. Mit tesz ennek ismeretében a tapasztalt, ámde lusta támadó?
Valóban, bolond az a hacker, amely kívülről a rendszerek feltörésével próbálkozik az információk megszerzésével, amikor csak fel kell emelnie a telefont, vagy egy e-maillel elkérni a szükséges információkat a megfelelő személyétől.
Mikor alkalom szüli a tolvajt
A social engineering mellett a másik fenyegetés, amelynek növekvő kockázatára a Gartner Group felhívja a figyelmet az a „felügyelet nélkül hagyott gépek”.
Bármennyire is evidens, hogy a bejelentkezett gépről a tulajdonosának a jogosultságaival vissza lehet élni, mégis gyakran előfordul.
Cégünknél nevelő szándékkal a bejelentkezve hagyott gépekről egy standard, vicces e-mailt küldenek ki a kollegák a többieknek. A dolog működhet, mert ma már nincsenek ilyen emailek…
Van csodaszer?
A biztonságos működést szavatoló szokások kialakítása elengedhetetlen az „emberi tűzfal ” kialakítására, amelyre minden szervezetnek szüksége lenne az üzletileg kritikus információk védelmére.
Sajnos még mindig kevéssé elterjedt, hogy a vállalatok biztonsági tudatosság növelő programot működtetnek, pedig még mindig ez a leghatékonyabb módja a biztonsági kockázatok csökkentésére.
A biztonsági tudatosság kialakításában az okozza a nehézséget, hogy ez nem egy egyszeri akció igényel, hanem egy véget nem érő folyamatról van szó. A biztonsági tudatossági programnak számos eleme van:
- biztonsági oktatás, távoktatás formájában, vagy oktató részvételével,
- kommunikációs eszközök, mint e-mailek, poszterek, szórólapok, videók, promóciós események,
Egy ilyen program akkor lehet hatékony, ha sikerül a dolgozókat partnerré tenni a szervezet adatvagyonának védelmében.
A humán biztonsági kockázatokat sem szabad önmagukban kezelni, hanem a szervezet egyéb biztonsági tevékenységeinek a részévé kell tenni.
Arra számítani kell, hogy a technológiai megoldások kínálta biztonsági funkciók csak akkor fogják hozni a várt eredményt, ha a velük kapcsolatba kerülő humán erőforrások biztonsági készségeinek szintje összemérhető velük.
http://www.carisma.hu/cikkek/human_kockazatok.html (2015.03.15)