Az IT biztonsági részleget gyakran “a nemetmondás osztályának” tartják, és nem nehéz belátni ennek okait. A fokozódó kockázatok, növekvő támadási felületek és a gyorsan fejlődő kiberbűnözés világában a biztonsági szakemberek érthető módon igyekeznek minimalizálni a károkat, amelyeket az alkalmazottak okozhatnak. Elvégre elég egyetlen rossz kattintás ahhoz, hogy egy pusztító zsarolóvírus áldozataivá váljunk.
Viszont ha az alkalmazottakra túl nagy teher nehezedik a kiberbiztonság terén, nem várt módon reagálhatnak, ami növelheti a szervezet kitettségét. Ezt nevezzük biztonsági fásultságnak, ami meggondolatlan, hirtelen döntésekhez vezethet – ez éppen az ellenkezője annak, amit az informatikai szakemberek szeretnének. Az ESET szakértői szerint, hogy ez ne történhessen meg, a kiberbiztonságnak zökkenőmentesen kell működnie, korlátozni kell a felhasználói döntések számát, valamint egészséges egyensúlyt kell teremteni a védelem és a hatékonyság között a hibrid munka világában.
Mi az a biztonsági fásultság és mekkora veszélyeket rejt?
Az emberekre gyakran úgy tekintenek, mint a leggyengébb láncszemre a vállalati biztonsági láncban. Emiatt fordítanak kiemelt figyelmet az IT csapatok arra, hogy csökkentsék az alkalmazottak által jelentett kockázatot. Az ESET kiberbiztonsági szakértői szerint egyrészről igazuk van. Míg egy kutatás szerint 2020-ban a vállalatok 60 százaléka 21-nél is több dolgozói incidenst észlelt, addig 2021-ben már a vállalatok 67 százaléka észlelt ugyanennyit. A károk helyreállítása pedig átlagosan több mint 15 millió dollárba került. (A helyreállítás költségeiről az ESET szakértői most induló IT biztonsági podcastjukban is beszélnek.)
Amennyiben viszont a munkavállalók rendszeresen munkahelyi biztonsági figyelmeztetéseket kapnak, szigorúak a szabályok, ráadásul a szabadidejükben is adatvédelmi jogsértésekről és fenyegetésekről szóló hírekkel találkoznak, a kimerültség jelei mutatkozhatnak. A biztonsági fásultságot a tehetetlenség és a kontroll elvesztésének érzése jellemzi. Az alkalmazottak számára mindez annyira nyomasztóvá válhat, hogy elzárkózva a vállalati szabályoktól a saját útjukat kezdik járni. Úgy érezhetik, hogy bármit tesznek, a biztonsági incidensek mindenképpen be fognak következni, ezért figyelmen kívül hagyják a biztonsági riasztásokat.
Ez pedig sajnos sokkal gyakrabban előfordul, mint gondolnánk. Egy 2018-as tanulmány kimutatta, hogy az EMEA (Európa, Közel-Kelet és Afrika) régióban dolgozók több, mint fele (55 százalék) nem törődik rendszeresen a kiberbiztonsággal, közel egyötödük (17 százalék) pedig egyáltalán nem is aggódik miatta. A tapasztalatok alapján a fiatalabb munkavállalók még inkább hajlamosak arra, hogy fásulttá-elutasítóvá váljanak a túlzott biztonsági elvárások miatt.
Melyek a biztonsági fásultság legfőbb jelei?
Sajnos mindez komoly destabilizáló hatással lehet a vállalati biztonságra. A biztonsági fásultság legfőbb jelei, ha az alkalmazottak:
• Úgy döntenek, hogy kíváncsiságból mégis rákattintanak az adathalász e-mailekben szereplő linkekre vagy megnyitják a csatolmányokat.
• Gyenge jelszavakat használnak, vagy több fiókban is ugyanazokat a gyenge hitelesítő adatokat alkalmazzák. Egy nemrég készült kutatás szerint a munkavállalók 43 százaléka megosztja másokkal a belépési adatait, sőt, hajlandó másokra bízni a feladatait, hogy elkerülje a bejelentkezéssel járó stresszt.
• VPN használata nélkül jelentkeznek be vállalati hálózatokba, mivel használata egyes szervezeteknél korlátozott lehet.
• Útközben nem biztonságos, nyilvános Wi-Fi hotspotokat használnak, hogy onnan bejelentkezzenek az érzékeny adatokat tartalmazó vállalati fiókokba.
• Nem frissítik rendszeresen eszközeiket, számítógépeiket. Az EY friss tanulmánya szerint a Z és Y generációs munkavállalók az idősebb kollégáknál jóval nagyobb valószínűséggel hagyják figyelmen kívül, és halasztják el a kötelező rendszerjavításokat.
• Nem jelzik azonnal az incidenseket a feletteseiknek vagy az informatikusoknak. Az EY-tanulmányból az is kiderül, hogy a munkavállalók közel egyötöde (16 százaléka) először inkább megpróbálja maga kezelni a feltételezett biztonsági problémát, minthogy értesítene valakit arról.
• A munkaeszközöket privát célokra használják, beleérve az internetes letöltéseket, a játékokat és az online vásárlást. Egy felmérés szerint az alkalmazottak fele személyes tulajdonának tekinti munkaeszközét.
• Megpróbálják kijátszani a biztonsági szabályokat. A 18-24 év közötti irodai dolgozók 31 százaléka próbálta már megkerülni a biztonsági előírásokat, ezt mutatta ki egy vizsgálat.
Hogyan küzdhető le a biztonsági fásultság?
A 2020-ban tapasztalt, tömeges otthoni munkavégzésre való gyors átállásra sok vállalat kapkodva reagált. Az IT-csapatok úgy próbálták csökkenteni a kockázati kitettséget, hogy új, szigorú szabályokat róttak az alkalmazottakra. Most, hogy a hibrid munkavégzés kezd általánossá válni, lehetőség nyílik arra, hogy felülvizsgáljuk ezeket a kezdeti szabályokat, különös tekintettel a biztonsági fásultság megelőzésére.
Csizmazia-Darab István, az ESET termékeit forgalmazó Sicontact Kft. kiberbiztonsági szakértője szerint érdemes megfontolni az alábbiakat:
• Hallgassuk meg a végfelhasználókat, hogy jobban megértsük, miként befolyásolják a biztonsági előírások a munkafolyamatokat és zavarják-e a produktivitást. Próbáljunk meg olyan szabályzatot létrehozni, amely egyensúlyban tartja az alkalmazottak elvárásait és az igényt a kiberkockázat minimalizálására, és valóban betartható.
• Korlátozzuk a döntések számát, amelyeket a felhasználóknak kell meghozniuk. Ez jelenthet automatikus szoftverfrissítést, a biztonsági programok távoli telepítését, illetve a laptopok és más elektronikai eszközök kezelését. Futtassunk háttérben futó észlelési és válasz-szolgáltatásokat, amely megakadályozza a hálózati védelemre irányuló támadásokat.
• Fektessünk hangsúlyt a bejelentkezések fokozott védelmére jelszómenedzserekkel, biometrikus alapú többtényezős hitelesítés és egyszeri bejelentkezési módszer (SSO) használatával.
• Csökkentsük a biztonsági üzenetek számát, amelyeket a felhasználóknak küldünk. A kevesebb több, és nagyobb figyelmet kap.
• Tegyük szórakoztatóbbá a biztonsági tudatosságról szóló tréningeket rövidebb (10-15 perces), valósághű szimulációkat és játékokat tartalmazó oktatások révén.
Ahhoz, hogy a vállalati védelmi rendszerek megfelelően működjenek, olyan kultúrát kell teremteni, amelyben minden alkalmazott megérti, hogy ő maga mennyire fontos szerepet játszik a szervezet biztonságának megőrzésében, és amelyből mindenki proaktívan kiveszi a részét. Egy ilyen kultúra kiépítése persze időbe telhet. Mindez viszont a biztonsági fásultság okainak megértésével és kezelésével kezdődik, az eredmény pedig megéri.
Az ESET szakértői podcastet indítottak! A Hackfelmetszők – Veled is megtörténhet első adásából kiderül, hogy kik állnak a hackertámadások mögött, mik az indítékaik, mekkora károkat okozhatnak és egyáltalán, hogyan tudnak bejutni a gépeinkre, a céges hálózatokba?