Az alkalmazottak internetbiztonsági képzése
forrás Prim Online, 2003. július 13. 10:35
Annak ellenére, hogy a cégek sok időt, energiát és pénzt fordítanak az informatikai biztonságot fokozó termékekre, hálózatukra a legnagyobb veszély belülről leselkedik. Az alapvető védekezési módszerek, így a tűzfalak, a vírusok és a mobilkód elleni védelem, valamint a tartalomszűrés mellett a cégeknek az alkalmazottak képzésére is figyelmet kellene fordítaniuk, hogy csökkentsék az emberi tényező által jelentkező veszélyek hatását.
A Computer Security Institute és az FBI 1999-es, a számítástechnikai bűnözésről és biztonságról szóló felmérésében a válaszadók 38 százaléka 1–5 esetben tapasztalt a saját szervezetéből eredő védelemsértést, míg a megkérdezettek 16 százalékánál ez az arány 6 és 10 százalék között volt. Sok esetben azért sérül a cégek informatikai védelme, mert a képzetlen személyzet nem ügyel arra, hogy a számítógépek használati módja – az e-mailezésen vagy az internetezésen keresztül – hogyan befolyásolja a cég biztonságát. A tapasztalatlan alkalmazottak így áldozatul eshetnek a mesterkedőknek – az olyan személyeknek, akik az emberi kapcsolatok fondorlatos kihasználásával szereznek meg különféle bizalmas információkat –, vagy véletlenül letölthetnek valamilyen rosszindulatú programot a számítógépükre. Nem egyszer fordul elő olyan is, hogy az elégedetlen alkalmazottak szándékosan ártanak cégüknek.
Az e-mailek
Az alkalmazottak részére érkező elektronikus levelekhez csatolt kéretlen állományok, illetve azok vírusellenőrzés nélküli megnyitása veszélyt jelent a vállalatra nézve. Úgyszintén kockázatos, ha a cégek bíznak abban, hogy az alkalmazottak frissítik a vírusazonosítókat, ahelyett, hogy azokat önműködően telepítenék a felhasználók gépére – és ezáltal biztosítanák a szabályok betartását. Ezzel ugyanis a rendszer megfertőződését kockáztatják, még akkor is, ha elvégzik a vírusellenőrzést a csatolmányok megnyitása előtt. Az elektronikus levelekkel összefüggő további veszélyforrás, ha hanyagságból megengedjük a nem helyénvaló, szexuális vagy más formában sértő e-mailek küldését irodán belül – cégünk akár jogi következményekkel is számolhat.
A böngészés
Az alkalmazottak magáncélú böngészése szintén érintheti a hálózat biztonságát. A legnyilvánvalóbb következmény, hogy az alkalmazott elfecsérli az idejét, de akadnak más szempontok is. Éppúgy, mint az e-mailek esetében, a nem helyénvaló webhelyek böngészése jogi következményekkel járhat, ha az alkalmazott kimondottan szexuális vagy diszkriminációs tartalommal találkozik. Az MPEG- vagy MP3-fájlokat mértéktelenül letöltő alkalmazottak a hálózati forgalom akadozását vagy lassulását is okozhatják.
Érdemes megemlíteni, hogy a munkához nem kapcsolódó böngészés növeli annak az esélyét, hogy valamelyik alkalmazott ActiveX-et vagy Javát használó webhelyre téved. Ezeket a programnyelveket a felhasználó gépével közvetlenül kommunikáló, rosszindulatú programok írására is fel lehet használni, ezáltal megvan az esélye annak, hogy hackerek hozzáférjenek az adatokhoz vagy esetleg a hálózathoz. Ha a dolgozók ismeretlen forrásból töltenek le szabad szoftvereket vagy képernyővédőket, a rendszer vírussal vagy trójaival fertőződhet meg, ami fájlok törléséhez, jelszavak ellopásához és hasonló káros következményhez vezethet. A szakértők mindazonáltal azt tartják, hogy az ilyen programnyelveket alkalmazó nagyobb, közismertebb helyek meglehetősen biztonságosak, mivel ott megfelelő óvintézkedéseket foganatosítanak.
A jelszavak
A jelszavak a legtöbb cégnél komoly veszélyforrást jelentenek. Meglehetősen elterjedt szokás, hogy az emberek időtakarékosság okán másokkal is megosztják jelszavukat, vagy egyszerű passwordöt választanak. Ezáltal pedig feljogosítatlan felhasználók is hozzáféréshez juthatnak. A mesterkedők szintén a jelszavak gondatlan kezelését használják ki: a tapasztalat azt mutatja, hogy általában elég egyszerű egy alkalmazottat telefonon keresztül vagy e-mailben átverni, és kicsalni tőle passwordjét.
Elmondható tehát, hogy azok a dolgozók, akik nem tudják, hogyan reagáljanak a lehetséges veszélyekre, támadásoknak teszik ki a céget. Azok az alkalmazottak pedig, akik nem részesültek megfelelő oktatásban, vagy elégedetlenek a munkahelyükkel, fokozottan hajlamosak arra, hogy kifecsegjék a belső dolgokat, vagy más kényes információkat adjanak át arra jogosulatlanoknak, például a konkurenciának.
Védjük a hálózatot!
Az emberi tényező által okozott veszélyek elleni védekezés során a következő lépéseket, elveket érdemes figyelembe vennünk, és bevezetnünk:
1. Hozzunk létre internetszabályzatot! Tudassuk az alkalmazottakkal a cégnek az e-mail és az internet magáncélú használatára vonatkozó szabályait! Az internet használatára vonatkozó szabályok megalkotása a rendszergazdákat is segíti a hálózat védelmét szolgáló megoldások hatékonyabb konfigurálásában és felügyeletében.
2. Használjunk olyan eljárásokat, amelyek átnézik az e-maileket a nem helyénvaló tartalom kiszűrése érdekében, illetve naplózzák a vezetés által kijelölt korlátokat átlépő internetezést!
3. A jogi szakértők szerint az alkalmazottak e-mailjeinek és internethasználatának megfigyelése segíthet abban, hogy egy esetleges perben a cég megvédhesse magát. Legyen például olyan szabályzatunk és tartalomszűrő megoldásunk, amely arra utal, hogy törekszünk az alkalmazottak zaklatástól való megvédésére!
4. Tanítsuk meg a felhasználókat arra, hogy mikor és hogyan kell letölteni a víruselhárítók legújabb frissítéseit, és arra is, hogy miről ismerhetnek fel egy esetleges vírust! Mutassuk meg nekik, hogy hogyan kell megnyitás előtt megvizsgálni egy dokumentumot (anyagot, iratot)!
5. Javítsuk ki a szoftverek ismert hibáit, hogy csökkenjen a weben és e-mailben terjedő vírusok bekerülésének esélye!
6. Szabályozzuk a jelszavak használatát! Követeljük meg, hogy a felhasználók gyakran változtassák passwordjüket, és ismertessük velük, hogy milyen módszerekkel csalhatják lépre őket a mesterkedők! Tiltsuk meg, hogy bárkinek kiadják a jelszavukat! Léteznek jelszófejtő szoftverek, amelyekkel meg lehet találni a hálózat gyenge jelszavait, ám ez a szoftver nem védi meg a céget az alkalmazotti hanyagságtól. Gyakran elegendő az alkalmazottak megfelelő oktatása is.
7. Állapítsuk meg, hogy az egyes alkalmazottaknak milyen mértékben van szükségük a kényes információkhoz való hozzáférésre, és korlátozzuk azt a cégnél betöltött szerepükhöz szükséges mértékre!
8. Hívjuk fel az alkalmazottak figyelmét a szabad szoftverek és a képernyővédők letöltésében rejlő veszélyekre!
Képezzük a felhasználókat!
Az emberi tényező által jelentkező gondok kiküszöbölésének leghatékonyabb, bár gyakran elhanyagolt módja a felhasználók rendszeres és következetes oktatása a cég védelmi feladatait illetően. A tananyag felépítése során a szabályozandó tevékenységek és az egyes részlegeknél szükséges mértékű képzés meghatározásából kell kiindulni. Az informatikai személyzetnek például a cégnél használt védelmi termékek és rendszerek elmélyült ismeretére van szüksége, míg a nem műszaki dolgozóknak és a vezetőségnek inkább általános ismeretekkel kell rendelkeznie ezen a területen.
Az oktatás formai jellemzőinek – gyakorlati, webes, tantermi vagy szemináriumi jellegű képzés – megválasztásakor vegyük figyelembe, hogy mi az, amit az alkalmazottaknak el kell sajátítaniuk, és ennek megfelelően döntsünk a leghatékonyabb oktatási módszer mellett! A szakértők szerint a céges kultúra tudatosítását és a titoktartás fontosságának alátámasztását minden bizonnyal a személyes részvételhez kötött, szemináriumi vagy osztálytermi jellegű képzés szolgálja a legjobban. Ha egy új védelmi szoftver használatának elsajátítása a cél, a legmegfelelőbb a gyakorlati oktatás. A szakképzett oktatók segíthetnek a leghatékonyabb megoldás megtalálásában.
Juttassuk érvényre a szabályzatot!
Határozzuk meg, ki kezeli az internetszabályzatot, és ki hajtja végre a benne foglaltakat! A személyzeti részleg a tájékoztatás során hívja fel az alkalmazottak figyelmét a szabályzatra, írassa alá velük annak egy példányát és egy olyan nyilatkozatot, amelyben elismerik ismeretét, és vállalják betartását. A szabályzat betartását szükség esetén a megfelelő következmények – amelyeknek szintén benne kell lenniük a szabályzatban – foganatosításával juttassák érvényre. Általánosságban a védelmi rendszer és a hálózat kezelőinek óvintézkedéseket kell tenniük, az esetleges védelmi rések kezelésére pedig létre kell hozniuk egy csoportot, amelynek együtt kell működnie a személyzeti részleggel, jelentenie kell az esetleges gondokat.
Összefoglalva tehát elmondható, hogy az internettől való függés erősödésével és a vállalati hálózatokra leselkedő újabb és újabb veszélyek felbukkanásával egyre fontosabb a megfelelő védelmi megoldások használata, különösen a végfelhasználóknál. Bár a víruselhárítók, a tűzfalak és a tartalomszűrők segítenek a veszélyek figyelemmel kísérésében, a végfelhasználók magatartása ugyancsak veszélyeztetheti a hálózat biztonságát. Az alkalmazottak megfelelő képzése az egyik legfontosabb megelőző intézkedés a hálózat védelmi stratégiájának kialakításában.
Forrás: Symantec Corporation