Az alkalmazottak internetbiztonsági képzése

forrás Prim Online, 2003. július 13. 10:35
Annak ellenére, hogy a cégek sok időt, energiát és pénzt fordítanak az informatikai biztonságot fokozó termékekre, hálózatukra a legnagyobb veszély belülről leselkedik. Az alapvető védekezési módszerek, így a tűzfalak, a vírusok és a mobilkód elleni védelem, valamint a tartalomszűrés mellett a cégeknek az alkalmazottak képzésére is figyelmet kellene fordítaniuk, hogy csökkentsék az emberi tényező által jelentkező veszélyek hatását.
A Computer Security Institute és az FBI 1999-es, a számítástechnikai bűnözésről és biztonságról szóló felmérésében a válaszadók 38 százaléka 1–5 esetben tapasztalt a saját szervezetéből eredő védelemsértést, míg a megkérdezettek 16 százalékánál ez az arány 6 és 10 százalék között volt. Sok esetben azért sérül a cégek informatikai védelme, mert a képzetlen személyzet nem ügyel arra, hogy a számítógépek használati módja – az e-mailezésen vagy az internetezésen keresztül – hogyan befolyásolja a cég biztonságát. A tapasztalatlan alkalmazottak így áldozatul eshetnek a mesterkedőknek – az olyan személyeknek, akik az emberi kapcsolatok fondorlatos kihasználásával szereznek meg különféle bizalmas információkat –, vagy véletlenül letölthetnek valamilyen rosszindulatú programot a számítógépükre. Nem egyszer fordul elő olyan is, hogy az elégedetlen alkalmazottak szándékosan ártanak cégüknek.

Az e-mailek

Az alkalmazottak részére érkező elektronikus levelekhez csatolt kéretlen állományok, illetve azok vírusellenőrzés nélküli megnyitása veszélyt jelent a vállalatra nézve. Úgyszintén kockázatos, ha a cégek bíznak abban, hogy az alkalmazottak frissítik a vírusazonosítókat, ahelyett, hogy azokat önműködően telepítenék a felhasználók gépére – és ezáltal biztosítanák a szabályok betartását. Ezzel ugyanis a rendszer megfertőződését kockáztatják, még akkor is, ha elvégzik a vírusellenőrzést a csatolmányok megnyitása előtt. Az elektronikus levelekkel összefüggő további veszélyforrás, ha hanyagságból megengedjük a nem helyénvaló, szexuális vagy más formában sértő e-mailek küldését irodán belül – cégünk akár jogi következményekkel is számolhat.

A böngészés

Az alkalmazottak magáncélú böngészése szintén érintheti a hálózat biztonságát. A legnyilvánvalóbb következmény, hogy az alkalmazott elfecsérli az idejét, de akadnak más szempontok is. Éppúgy, mint az e-mailek esetében, a nem helyénvaló webhelyek böngészése jogi következményekkel járhat, ha az alkalmazott kimondottan szexuális vagy diszkriminációs tartalommal találkozik. Az MPEG- vagy MP3-fájlokat mértéktelenül letöltő alkalmazottak a hálózati forgalom akadozását vagy lassulását is okozhatják.

Érdemes megemlíteni, hogy a munkához nem kapcsolódó böngészés növeli annak az esélyét, hogy valamelyik alkalmazott ActiveX-et vagy Javát használó webhelyre téved. Ezeket a programnyelveket a felhasználó gépével közvetlenül kommunikáló, rosszindulatú programok írására is fel lehet használni, ezáltal megvan az esélye annak, hogy hackerek hozzáférjenek az adatokhoz vagy esetleg a hálózathoz. Ha a dolgozók ismeretlen forrásból töltenek le szabad szoftvereket vagy képernyővédőket, a rendszer vírussal vagy trójaival fertőződhet meg, ami fájlok törléséhez, jelszavak ellopásához és hasonló káros következményhez vezethet. A szakértők mindazonáltal azt tartják, hogy az ilyen programnyelveket alkalmazó nagyobb, közismertebb helyek meglehetősen biztonságosak, mivel ott megfelelő óvintézkedéseket foganatosítanak.

A jelszavak

A jelszavak a legtöbb cégnél komoly veszélyforrást jelentenek. Meglehetősen elterjedt szokás, hogy az emberek időtakarékosság okán másokkal is megosztják jelszavukat, vagy egyszerű passwordöt választanak. Ezáltal pedig feljogosítatlan felhasználók is hozzáféréshez juthatnak. A mesterkedők szintén a jelszavak gondatlan kezelését használják ki: a tapasztalat azt mutatja, hogy általában elég egyszerű egy alkalmazottat telefonon keresztül vagy e-mailben átverni, és kicsalni tőle passwordjét.

Elmondható tehát, hogy azok a dolgozók, akik nem tudják, hogyan reagáljanak a lehetséges veszélyekre, támadásoknak teszik ki a céget. Azok az alkalmazottak pedig, akik nem részesültek megfelelő oktatásban, vagy elégedetlenek a munkahelyükkel, fokozottan hajlamosak arra, hogy kifecsegjék a belső dolgokat, vagy más kényes információkat adjanak át arra jogosulatlanoknak, például a konkurenciának.

Védjük a hálózatot!

Az emberi tényező által okozott veszélyek elleni védekezés során a következő lépéseket, elveket érdemes figyelembe vennünk, és bevezetnünk:

1. Hozzunk létre internetszabályzatot! Tudassuk az alkalmazottakkal a cégnek az e-mail és az internet magáncélú használatára vonatkozó szabályait! Az internet használatára vonatkozó szabályok megalkotása a rendszergazdákat is segíti a hálózat védelmét szolgáló megoldások hatékonyabb konfigurálásában és felügyeletében.

2. Használjunk olyan eljárásokat, amelyek átnézik az e-maileket a nem helyénvaló tartalom kiszűrése érdekében, illetve naplózzák a vezetés által kijelölt korlátokat átlépő internetezést!

3. A jogi szakértők szerint az alkalmazottak e-mailjeinek és internethasználatának megfigyelése segíthet abban, hogy egy esetleges perben a cég megvédhesse magát. Legyen például olyan szabályzatunk és tartalomszűrő megoldásunk, amely arra utal, hogy törekszünk az alkalmazottak zaklatástól való megvédésére!

4. Tanítsuk meg a felhasználókat arra, hogy mikor és hogyan kell letölteni a víruselhárítók legújabb frissítéseit, és arra is, hogy miről ismerhetnek fel egy esetleges vírust! Mutassuk meg nekik, hogy hogyan kell megnyitás előtt megvizsgálni egy dokumentumot (anyagot, iratot)!

5. Javítsuk ki a szoftverek ismert hibáit, hogy csökkenjen a weben és e-mailben terjedő vírusok bekerülésének esélye!

6. Szabályozzuk a jelszavak használatát! Követeljük meg, hogy a felhasználók gyakran változtassák passwordjüket, és ismertessük velük, hogy milyen módszerekkel csalhatják lépre őket a mesterkedők! Tiltsuk meg, hogy bárkinek kiadják a jelszavukat! Léteznek jelszófejtő szoftverek, amelyekkel meg lehet találni a hálózat gyenge jelszavait, ám ez a szoftver nem védi meg a céget az alkalmazotti hanyagságtól. Gyakran elegendő az alkalmazottak megfelelő oktatása is.

7. Állapítsuk meg, hogy az egyes alkalmazottaknak milyen mértékben van szükségük a kényes információkhoz való hozzáférésre, és korlátozzuk azt a cégnél betöltött szerepükhöz szükséges mértékre!

8. Hívjuk fel az alkalmazottak figyelmét a szabad szoftverek és a képernyővédők letöltésében rejlő veszélyekre!

Képezzük a felhasználókat!

Az emberi tényező által jelentkező gondok kiküszöbölésének leghatékonyabb, bár gyakran elhanyagolt módja a felhasználók rendszeres és következetes oktatása a cég védelmi feladatait illetően. A tananyag felépítése során a szabályozandó tevékenységek és az egyes részlegeknél szükséges mértékű képzés meghatározásából kell kiindulni. Az informatikai személyzetnek például a cégnél használt védelmi termékek és rendszerek elmélyült ismeretére van szüksége, míg a nem műszaki dolgozóknak és a vezetőségnek inkább általános ismeretekkel kell rendelkeznie ezen a területen.

Az oktatás formai jellemzőinek – gyakorlati, webes, tantermi vagy szemináriumi jellegű képzés – megválasztásakor vegyük figyelembe, hogy mi az, amit az alkalmazottaknak el kell sajátítaniuk, és ennek megfelelően döntsünk a leghatékonyabb oktatási módszer mellett! A szakértők szerint a céges kultúra tudatosítását és a titoktartás fontosságának alátámasztását minden bizonnyal a személyes részvételhez kötött, szemináriumi vagy osztálytermi jellegű képzés szolgálja a legjobban. Ha egy új védelmi szoftver használatának elsajátítása a cél, a legmegfelelőbb a gyakorlati oktatás. A szakképzett oktatók segíthetnek a leghatékonyabb megoldás megtalálásában.

Juttassuk érvényre a szabályzatot!

Határozzuk meg, ki kezeli az internetszabályzatot, és ki hajtja végre a benne foglaltakat! A személyzeti részleg a tájékoztatás során hívja fel az alkalmazottak figyelmét a szabályzatra, írassa alá velük annak egy példányát és egy olyan nyilatkozatot, amelyben elismerik ismeretét, és vállalják betartását. A szabályzat betartását szükség esetén a megfelelő következmények – amelyeknek szintén benne kell lenniük a szabályzatban – foganatosításával juttassák érvényre. Általánosságban a védelmi rendszer és a hálózat kezelőinek óvintézkedéseket kell tenniük, az esetleges védelmi rések kezelésére pedig létre kell hozniuk egy csoportot, amelynek együtt kell működnie a személyzeti részleggel, jelentenie kell az esetleges gondokat.

Összefoglalva tehát elmondható, hogy az internettől való függés erősödésével és a vállalati hálózatokra leselkedő újabb és újabb veszélyek felbukkanásával egyre fontosabb a megfelelő védelmi megoldások használata, különösen a végfelhasználóknál. Bár a víruselhárítók, a tűzfalak és a tartalomszűrők segítenek a veszélyek figyelemmel kísérésében, a végfelhasználók magatartása ugyancsak veszélyeztetheti a hálózat biztonságát. Az alkalmazottak megfelelő képzése az egyik legfontosabb megelőző intézkedés a hálózat védelmi stratégiájának kialakításában.

Forrás: Symantec Corporation
Kulcsszavak: Symantec security

Business Online ROVAT TOVÁBBI HÍREI

Minden harmadik magyar tervez valamilyen okosotthon megoldást

Minden harmadik válaszadó tervezi, hogy belekezd otthona „felokosításába”, a legtöbben 50 és 100 ezer forint között költenének erre – derül ki a Schneider Electric online felméréséből. Az idén a világ legfenntarthatóbb vállalatának választott cég kutatása szerint az alacsonyabb rezsiköltség, nagyobb biztonság és a „zöldebb” életvitel segítése egyaránt elvárás egy okosotthon felé. A Schneider Electric kérdőíve alapján arra is számítani lehet, hogy a jövőben kelendőbbek lesznek a piacon a felokosított ingatlanok.

2021. december 5. 12:17

A Vodafone nemzetközi kutatást publikált a vállalkozások jövőjéről

11 országban, összesen több mint 2500 különböző típusú és méretű vállalkozás bevonásával vizsgálta a jövőre felkészült vállalkozások jellemzőit – többek között ellenálló- és alkalmazkodóképességüket – a London School of Economics (LSE) kutatóintézet a Vodafone megbízásából. A kutatás rámutatott: világszerte emelkedik az ún. „jövőre felkészült” (Fit For The Future – FFTF) vállalkozások száma. Ezek a vállalkozások hatékonyabban kezelik a jövő kihívásait, jobban helytállnak a fokozott versenyhelyzetben, nyitottak a digitális megoldásokra, fontos számukra a fenntartható működés, továbbá időben lekövetik a változó munkavállalói elvárásokat, valamint a növekvő és egyre szélesebb fogyasztói igényeket. 

2021. december 4. 17:50

Egy telefonhívás is átírhat nehéz sorsokat

Minden második magyar szokott adományozni és önkénteskedni is, legszívesebben pedig az állatmenhelyeket segítik – derült ki a Telenor reprezentatív, magyarországi adományozási kedvről készült kutatásából. A gyermekvédelmi gondoskodásban élő gyermekeket csak 18% jelölte meg az általa leginkább támogatott célcsoportok között, pedig hazánkban közel 25 000 gyermek és fiatal él a családjából kiemelve. Az ő életükben még nagyobb a jelentősége a stabil, biztonságot adó emberi kapcsolatoknak. Erre hívja fel a figyelmet a Telenor idén karácsonykor A kis gyufaárus lány megrázó történetével, amelyhez Dragomán György új befejezést írt, az olvasók pedig hozzájárulhatnak a gyermekotthonban élő gyerekek támogatásához.

2021. december 4. 16:29

Megindultak a magyar cégek a napelemekért

A tavalyi évhez képest három-négyszeresére drágult az elektromos energia tőzsdei ára. A lakosság által fizetendő díjak a hatósági árnak köszönhetően egyelőre nem emelkedtek, de a cégek már egyértelműen érzik az elszálló árak következményeit. A drágulás ellensúlyozására kézenfekvő megoldás a napelemek telepítése, amit az elmúlt időszakban a hazai vállalkozások körében megélénkülő érdeklődés is alátámaszt.

2021. december 4. 15:41

Teams Essentials: egyszerűen használható kollaborációs platform kisvállalkozásoknak

Decembertől már elérhető lesz az új Microsoft alkalmazás, a Teams Essentials. A működtetéséhez még csak Office csomagra sem lesz szükség és egy Microsoft Accounton keresztül megvásárolható lesz. Az alkalmazás a Teams legfontosabb funkciót kínálja különösen kedvező áron a néhány főt, legfeljebb 50 embert foglalkoztató kisvállalkozásoknak. A Microsoft egy egyszerűen használható kommunikációs és kollaborációs eszközt ad ezzel a kkv-k kezébe.

2021. december 4. 13:47

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

December elején nyit az első magyar kriptotőzsde

2021. november 30. 21:13

Dr. Charaf Hassan a Vodafone Magyarország Alapítvány kuratóriumának új elnöke

2021. november 18. 16:49

A Magyar Telekom 2021. harmadik negyedévi eredményei

2021. november 9. 21:45

Magyar innováció nyert ezüstérmet az év egyik legfontosabb egészségügyi startup versenyén

2021. október 30. 14:59