A munkatársak nem bűnözők...
Az adatszivárgás emberi oldala
Az adatszivárgást okozó munkavállalók között többségben vannak a jó szándékú és a hanyag kollégák, de előfordulnak rosszindulatúak is. Amíg az első csoport a vállalat érdekeit szem előtt tartva jóhiszeműen vagy gondatlanul szegi meg a biztonsági előírásokat, addig a rosszindulatú munkavállalók csak a saját érdekükben cselekszenek. Mindkét csoport fenyegetést jelent a vállalatok biztonságára, és csak kevesen veszik észre, mennyire fontos, hogy a mindkét csoport által jelentett kockázatot mérsékelni tudják.
„Minden ügyfelünknél külön hangsúlyozzuk, hogy vállalati oldalról közelítsék meg a problémát, és ne bűnözőként kezeljék ezeket a munkavállalókat, mert így könnyen elveszthetnek egy tehetséges, jó munkaerőt vagy megronthatják kollégáik kapcsolatait a vállalaton belül. A képzés és a megfelelő biztonsági kultúra kialakítása, illetve a tökéletesített és automatizált IT megoldás segíthet csökkenteni a kockázatokat és fenntartani a hatékonyságot – nyilatkozta Egerszegi Krisztián, a CDSYS ügyvezető igazgatója. – A DLP (adatszivárgás elleni védelmi) rendszerek telepítésénél éppen ezért fontos, hogy folyamatos tanácsadással segítsük a biztonságért felelős vezető munkáját a többi munkavállaló képzésében és megismerésében. Legtöbb esetben ez a tanácsadói munka tovább tart, mint a szoftver telepítése” – folytatta Egerszegi Krisztián.
A Symantec frissen közzé tett „Organizational Security and the Insider Threat: Malicious, Negligent and Well-Meaning Insiders” című tanulmányában több nemzetközi kutatásra alapozva elemezte a belső adatvesztés okait. Az anyagban szereplő – többek között hazai munkavállalók részvételével is végzett – felmérés szerint a válaszadók majdnem fele (48%) dolgozik távoli elérést is használva, az esetek 18%-ában nem biztonságos rendszer igénybe vételével. A dolgozók majdnem háromnegyede (71%) küld bizalmas anyagot a privát email-címére, hogy a vállalaton kívül dolgozzon vele, illetve 42% védelem nélküli USB-re másol anyagokat. Az esetek 90%-ban a vállalatok rendelkeztek IT biztonsági szabályzattal, de ez nem akadályozta meg a munkavállalókat a fentiekben. A munkavállalók 78%-a gondolta, hogy az információk bizalmas kezelése egyedül az IT-osztály felelőssége.
Ahhoz, hogy vállalatunk védve legyen az ilyen téves felfogás miatt kialakuló fenyegetésektől, azonosítani kell, kik és milyen formában kezelnek adatokat. Nem minden munkavállaló kockázati profilja azonos, így a biztonsági intézkedéseket pontosan az egyes karakterekhez kell igazítani.
A kockázati csoportok
A felmérés alapján a tanulmány a következő személyiségtípusokat, illetve kockázati profilokat azonosította be:
- Az aláásók a saját munkájuk megkönnyítése érdekében nem foglalkoznak a biztonsági szabályokkal. Könnyen megjegyezhető jelszavakat adnak, néha meg is osztják ezeket.
- A túlteljesítők szándékosan megkerülik a biztonsági előírásokat, azt gondolva, hogy ezzel hatékonyabban tudják szolgálni a vállalat érdekeit és saját karrierjüket. Példa erre a munkát lassító és hatékonyságot csökkentő titkosítások elhagyása.
- A manipuláltak azok az alacsonyabb pozícióban lévő munkatársak, akik személyes kapcsolatban állnak a vásárlókkal, ezért lehetnek a bizalmukkal visszaélő rosszindulatú külső behatolók célpontjai (social engineering). Általában segítő szándékkal adják ki a kódokat, információkat, a „mindent az ügyfélért” elv alapján, abban a hitben, hogy a cég érdekében cselekednek.
- Az egyre növekvő számú szivárogtatók különféle etikai megfontolások alapján adják ki a bizalmas adatokat a nyilvánosság számára, azt gondolva, hogy az embereknek tudomást kell szerezni ezekről az információkról. A szivárogtatások általában valamilyen közösségi szolgáltatáson keresztül zajlanak. Ezek az akciók a vállalat érdekeivel ellentétesen történnek, és a legtöbbször illegálisak, mégsem nevezhetjük egyszerűen rosszindulatúnak, ha a közvélemény tájékoztatása a cél. Erre kiváló példa a WikiLeaks ügye.
- Az adat „ömlesztők” olyan munkavállalók, akiknek legális hozzáférése van az információkhoz, és hajlamosak az adatvesztésre, mivel az egyébként is laza IT szabályok nem ellenőrzik megfelelően a berögzült vállalati gyakorlatokat. Az adatvesztők típusai:
- Véletlenül adják ki az információt elvesztett eszközökön (laptop, okostelefon, CD lemez, USB stick) keresztül. Bár ezek az incidensek aránylag kicsi anyagi veszteséget, de komoly információ mennyiség elvesztését jelentik a vállalatnak, mégis komolyan rontják a cég hírnevét a nagy médiaérdeklődés miatt.
- Kiviszik az adatokat a biztonságos környezetből, hogy irodán kívül dolgozzanak vele, azonban a munka végeztével már nem törlik ezeket az információkat.
- Adatokat hagynak a leselejtezett, lecserélt számítógépeken. Egy 2009-es felmérés szerint az aukciós oldalakon árult merevlemezek 40%-a tartalmazott céges adatokat, e-maileket, és fotókat.
- Nem elég körültekintően osztják meg az adatokat egy harmadik személlyel.
- Védelem nélkül küldenek adatokat nyilvános szolgáltatókon keresztül – például postán –, ahol a bizalmas információk elvesznek, illetve rossz kezekbe kerülnek.
- Elavult levelezési és információs címlistákra küldenek bizalmas anyagokat.
A fenti problémák megoldása történhet megerősített informatikai szabályozással és a munkatársak megfelelő képzésével is. Mindkét megoldás célja, hogy megőrizzük emberi- és technológiai erőforrásainkat.
Kapcsolódó cikkek
- A Stratfor az adatvédelem megsértésének minősítette a WikiLeaks-kiszivárogtatást
- Katonai szintű adatvédelmet biztosít a Kingston DT6000
- Betegbiztosítási adatokat tettek közzé a neten - tiltakozásul
- Biztonságosabbá teszi a Fujitsu az okostelefonok és a táblagépek vállalati használatát
- A vállalatok több mint fele képtelen biztonságossá tenni munkakörnyezetét
- Személyes adatokat halászhattak le a Facebookról
- Biztonsági kockázatot jelentenek a multifunkciós készülékek?
- A Iomega Szuperhőse megvédi az Iphone adatokat
- A gyorsabb banki átutalás adatszivárgással járhat
- Adatszivárgás elleni lehetséges előkészületek
IT ROVAT TOVÁBBI HÍREI
A Rakuten Viber elnyerte a SOC 2 Type 2 tanúsítványt
A Rakuten Viber, a világ egyik vezető kommunikációs platformja, amely nagy hangsúlyt fektet a biztonságos és privát kommunikációra, sikeresen teljesítette a Service Organization Control (SOC) 2 Type II tanúsítványt. A SOC 2 az American Institute of Certified Public Accounts (AICPA) által kidolgozott ellenőrzési szabvány. Szigorú keretrendszerét úgy alakították ki, hogy biztosítsa az ügyféladatok biztonságát, rendelkezésre állását, bizalmas jellegét és védelmét.
Factor 4: a legújabb UltiMaker 3D nyomtató gyártósorok támogatására
Az UltiMaker április 22-én bemutatta az UltiMaker Factor 4 új, ipari 3D nyomtatót, amelyet kifejezetten gyártóüzemi felhasználásra, a gyártósorok működési hatékonyságának és megbízhatóságának növelésére fejlesztettek. Az UltiMaker Factor 4 hazai bemutatójára az Ipar Napjain kerül sor a kizárólagos hazai forgalmazó, a FreeDee Kft. standján (A pavilon, 101F).
A Thermaltake bemutatja a háromféle GPU-elrendezést támogató közepes toronyházát
A Thermaltake, a prémium PC-hardvermegoldások vezető márkájának, CTE E600 MX közepes toronyháza fekete, hófehér és hortenziakék változatban is elérhető. A CTE E600 MX a CTE-sorozat legújabb kiegészítése, egy kétkamrás közepes toronyház, amely a Thermaltake innovatív CTE-kialakítását örökölte, ami a központi hűtési hatékonyság (Centralized Thermal Efficiency) rövidítése, és a kritikus alkatrészek magas szintű hűtési teljesítményének biztosítására összpontosít. Ráadásul a CTE E600 MX háromféle GPU-elrendezési lehetőséggel és cserélhető, kettős előlapi kialakítással rendelkezik, maximális rugalmasságot kínálva a felhasználóknak gépük testreszabásához.
Az AOC a Graphic Pro U3 sorozattal erőt ad az alkotóknak
A kijelzőspecialista AOC büszkén jelenti be a kreatív szakemberek egyedi igényeihez gondosan kidolgozott új monitorcsaládját. A kivételes színhűségével, élvonalbeli funkcióival és elegáns, díjnyertes dizájnjával az AOC Graphic Pro U3 sorozat forradalmasítja a fotósok, vizuális művészek, tervezők, szerkesztők, műsorszolgáltatók, producerek és játékipari szakemberek munkáját.
Form 4: új, villámgyors 3D nyomtató a Formlabs-tól
A Formlabs bemutatta a Form 4-et, a következő generációs műgyanta 3D nyomtatóját. A Form 4 és biokompatibilis változata, a Form 4B rendkívül gyors additív gyártást ígér nagy precizitással a választott alapanyag típusától függetlenül. A Formlabs legújabb fejlesztése már megtekinthető és tesztelhető a FreeDee Kft. budapesti irodájában.