Az IT biztonsági részleget gyakran “a nemetmondás osztályának” tartják, és nem nehéz belátni ennek okait. A fokozódó kockázatok, növekvő támadási felületek és a gyorsan fejlődő kiberbűnözés világában a biztonsági szakemberek érthető módon igyekeznek minimalizálni a károkat, amelyeket az alkalmazottak okozhatnak. Elvégre elég egyetlen rossz kattintás ahhoz, hogy egy pusztító zsarolóvírus áldozataivá váljunk. Viszont ha az alkalmazottakra túl nagy teher nehezedik a kiberbiztonság terén, nem várt módon reagálhatnak, ami növelheti a szervezet kitettségét. Ezt nevezzük biztonsági fásultságnak, ami meggondolatlan, hirtelen döntésekhez vezethet – ez éppen az ellenkezője annak, amit az informatikai szakemberek szeretnének. Szakértőink szerint, hogy ez ne történhessen meg, a kiberbiztonságnak zökkenőmentesen kell működnie, korlátozni kell a felhasználói döntések számát, valamint egészséges egyensúlyt kell teremteni a védelem és a hatékonyság között a hibrid munka világában.
Mi az a biztonsági fásultság és mekkora veszélyeket rejt?
Az emberekre gyakran úgy tekintenek, mint a leggyengébb láncszemre a vállalati biztonsági láncban. Emiatt fordítanak kiemelt figyelmet az IT csapatok arra, hogy csökkentsék az alkalmazottak által jelentett kockázatot. Kiberbiztonsági szakértőink szerint egyrészről igazuk van. Míg egy kutatás szerint 2020-ban a vállalatok 60 százaléka 21-nél is több dolgozói incidenst észlelt, addig 2021-ben már a vállalatok 67 százaléka észlelt ugyanennyit. A károk helyreállítása pedig átlagosan több mint 15 millió dollárba került. (A helyreállítás költségeiről most induló IT biztonsági podcastjunkban is beszélünk.)
Amennyiben viszont a munkavállalók rendszeresen munkahelyi biztonsági figyelmeztetéseket kapnak, szigorúak a szabályok, ráadásul a szabadidejükben is adatvédelmi jogsértésekről és fenyegetésekről szóló hírekkel találkoznak, a kimerültség jelei mutatkozhatnak. A biztonsági fásultságot a tehetetlenség és a kontroll elvesztésének érzése jellemzi. Az alkalmazottak számára mindez annyira nyomasztóvá válhat, hogy elzárkózva a vállalati szabályoktól a saját útjukat kezdik járni. Úgy érezhetik, hogy bármit tesznek, a biztonsági incidensek mindenképpen be fognak következni, ezért figyelmen kívül hagyják a biztonsági riasztásokat.
Ez pedig sajnos sokkal gyakrabban előfordul, mint gondolnánk. Egy 2018-as tanulmány kimutatta, hogy az EMEA (Európa, Közel-Kelet és Afrika) régióban dolgozók több, mint fele (55 százalék) nem törődik rendszeresen a kiberbiztonsággal, közel egyötödük (17 százalék) pedig egyáltalán nem is aggódik miatta. A tapasztalatok alapján a fiatalabb munkavállalók még inkább hajlamosak arra, hogy fásulttá-elutasítóvá váljanak a túlzott biztonsági elvárások miatt.
Melyek a biztonsági fásultság legfőbb jelei?
Sajnos mindez komoly destabilizáló hatással lehet a vállalati biztonságra. A biztonsági fásultság legfőbb jelei, ha az alkalmazottak:
- Úgy döntenek, hogy kíváncsiságból mégis rákattintanak az adathalász e-mailekben szereplő linkekre vagy megnyitják a csatolmányokat.
- Gyenge jelszavakat használnak, vagy több fiókban is ugyanazokat a gyenge hitelesítő adatokat alkalmazzák. Egy nemrég készült kutatás szerint a munkavállalók 43 százaléka megosztja másokkal a belépési adatait, sőt, hajlandó másokra bízni a feladatait, hogy elkerülje a bejelentkezéssel járó stresszt.
- VPN használata nélkül jelentkeznek be vállalati hálózatokba, mivel használata egyes szervezeteknél korlátozott lehet.
- Útközben nem biztonságos, nyilvános Wi-Fi hotspotokat használnak, hogy onnan bejelentkezzenek az érzékeny adatokat tartalmazó vállalati fiókokba.
- Nem frissítik rendszeresen eszközeiket, számítógépeiket. Az EY friss tanulmánya szerint a Z és Y generációs munkavállalók az idősebb kollégáknál jóval nagyobb valószínűséggel hagyják figyelmen kívül, és halasztják el a kötelező rendszerjavításokat.
- Nem jelzik azonnal az incidenseket a feletteseiknek vagy az informatikusoknak. Az EY-tanulmányból az is kiderül, hogy a munkavállalók közel egyötöde (16 százaléka) először inkább megpróbálja maga kezelni a feltételezett biztonsági problémát, minthogy értesítene valakit arról.
- A munkaeszközöket privát célokra használják, beleérve az internetes letöltéseket, a játékokat és az online vásárlást. Egy felmérés szerint az alkalmazottak fele személyes tulajdonának tekinti munkaeszközét.
- Megpróbálják kijátszani a biztonsági szabályokat. A 18-24 év közötti irodai dolgozók 31 százaléka próbálta már megkerülni a biztonsági előírásokat, ezt mutatta ki egy vizsgálat.
Hogyan küzdhető le a biztonsági fásultság?
A 2020-ban tapasztalt, tömeges otthoni munkavégzésre való gyors átállásra sok vállalat kapkodva reagált. Az IT-csapatok úgy próbálták csökkenteni a kockázati kitettséget, hogy új, szigorú szabályokat róttak az alkalmazottakra. Most, hogy a hibrid munkavégzés kezd általánossá válni, lehetőség nyílik arra, hogy felülvizsgáljuk ezeket a kezdeti szabályokat, különös tekintettel a biztonsági fásultság megelőzésére.
Csizmazia-Darab István kiberbiztonsági szakértőnk szerint érdemes megfontolni az alábbiakat:
- Hallgassuk meg a végfelhasználókat, hogy jobban megértsük, miként befolyásolják a biztonsági előírások a munkafolyamatokat és zavarják-e a produktivitást. Próbáljunk meg olyan szabályzatot létrehozni, amely egyensúlyban tartja az alkalmazottak elvárásait és az igényt a kiberkockázat minimalizálására, és valóban betartható.
- Korlátozzuk a döntések számát, amelyeket a felhasználóknak kell meghozniuk. Ez jelenthet automatikus szoftverfrissítést, a biztonsági programok távoli telepítését, illetve a laptopok és más elektronikai eszközök kezelését. Futtassunk háttérben futó észlelési és válasz-szolgáltatásokat, amely megakadályozza a hálózati védelemre irányuló támadásokat.
- Fektessünk hangsúlyt a bejelentkezések fokozott védelmére jelszómenedzserekkel, biometrikus alapú többtényezős hitelesítés és egyszeri bejelentkezési módszer (SSO) használatával.
- Csökkentsük a biztonsági üzenetek számát, amelyeket a felhasználóknak küldünk. A kevesebb több, és nagyobb figyelmet kap.
- Tegyük szórakoztatóbbá a biztonsági tudatosságról szóló tréningeket rövidebb (10-15 perces), valósághű szimulációkat és játékokat tartalmazó oktatások révén.
Ahhoz, hogy a vállalati védelmi rendszerek megfelelően működjenek, olyan kultúrát kell teremteni, amelyben minden alkalmazott megérti, hogy ő maga mennyire fontos szerepet játszik a szervezet biztonságának megőrzésében, és amelyből mindenki proaktívan kiveszi a részét. Egy ilyen kultúra kiépítése persze időbe telhet. Mindez viszont a biztonsági fásultság okainak megértésével és kezelésével kezdődik, az eredmény pedig megéri.
A nemrég indult Hackfelmetszők – Veled is megtörténhet podcast-ünk első adásából kiderül, hogy kik állnak a hackertámadások mögött, mik az indítékaik, mekkora károkat okozhatnak és egyáltalán, hogyan tudnak bejutni a gépeinkre, a céges hálózatokba?