Kutatás a munkavállalók vállalatokra veszélyes számítógép-használati szokásairól
forrás Prim Online, 2007. március 8. 14:05
A Cisco független kutatócéggel készítetett nemzetközi tanulmánya szerint a legtöbb alkalmazott saját bevallása szerint tudatos a hálózatbiztonság terén, miközben viselkedési szokásaik ennek gyökeresen ellentmondanak. A tapasztalatok alapján a hazai felhasználók ugyanolyan „rugalmasan” bánnak a vállalati erőforrásokkal, mint külföldi társaik.
A nemzetközi felmérés célja az volt, hogy pontosabb kép alakuljon ki azokról a fokozott kockázati tényezőkről, amelyeket az alkalmazottak körében elterjedt tévhitek és viselkedési formák jelentenek az informatikai szervezetekre, a vállalatokra és a globális hálózati közösségre nézve. A felmérésbe mintegy tíz ország összesen több mint 2000 munkavállalóját vonták be. A felmérést végző független piackutató cég legalább száz-száz végfelhasználót kérdezett meg az Egyesült Államokban, az Egyesült Királyságban, Franciaországban, Németországban, Olaszországban, Japánban, Kínában, Indiában, Ausztráliában illetve Brazíliában.
A tanulmány a hálózati biztonság szempontjából a legnagyobb kockázatot a felhasználók hamis biztonságtudatában jelölte meg. Három válaszadóból kettő (66 százalék) vallotta azt, hogy teljes mértékben tudatában van a biztonsági szempontoknak, de a gyakorlatban tanúsított tevékenységei gyakran rácáfoltak erre.
Vállalati eszközök megosztása nem vállalati dolgozókkal
A megkérdezettek közül körülbelül minden ötödik (21 százalék) lehetővé teszi barátai, családtagjai és más, nem vállalati dolgozók számára, hogy céges számítógépén keresztül internetezzenek. Kínában ötből több mint két megkérdezett (42 százalék) ismerte el, hogy megosztja másokkal céges számítógépét. Japánban pedig többen (13 százalék) engedik meg másoknak, hogy vállalati számítógépeiket használják, mint ahányan saját célokra alkalmazzák (12 százalék).
Az öt leggyakoribb magyarázat: „Szerintem ebben semmi rossz sincs”; „A cégemnek nincs ellene kifogása”; „Nem hiszem, hogy ezzel nagyobb biztonsági kockázatot vállalnék”; „Kétlem, hogy ennek jelentősége volna”; „A munkatársaim is ugyanezt csinálják”
Hozzáférés a szomszédok vezeték nélküli hálózatához
Kínában, Olaszországban és Brazíliában minden ötödik megkérdezett elismerte, hogy otthoni munkavégzése során szomszédja vezeték nélküli hálózatát használja. A nemzetközi átlag ebből a szempontból 11 százalékot mutatott, de Németország így is 15 százalékkal, az Egyesült Államok pedig 12 százalékkal követi az élbolyt.
Az öt leggyakoribb magyarázat: „A szükség így hozta”; „Nem tudom megkülönböztetni, hogy a saját vagy valaki más vezeték nélküli hálózatát használom-e”; „Túl bonyolult és zavaros a saját vezeték nélküli hálózat beállítása”; „A szomszéd nem tud róla, úgyhogy szerintem nincs ezzel semmi gond”; „Sokkal kényelmesebb használni, mint a saját vezetékes hálózatomat”
Gyanús e-mailek vagy csatolmányok megnyitása
A kutatásban megkérdezettek közül minden negyedik (25 százalék) nyilatkozott úgy, hogy a munkahelyi számítógépén meg szokta nyitni az ismeretlen e-maileket. Kínában viszont a válaszadók több mint fele (57 százalék) ismerte el, hogy rendszeresen megnyitja az ismeretlen forrásból származó e-maileket.
A legfontosabb megállapítás: Az indiaiak 20 százaléka úgy nyilatkozott, hogy az ismeretlen eredetű e-maileket és a mellékleteket is megnyitja. Brazíliában ez az arány 12 százalék volt.
Személyes használatra vonatkozó megállapítások
A tanulmány egyik legszembetűnőbb ellentmondása mégis a nem munkával kapcsolatos tevékenységekre vonatkozik: A tíz országban végzett felmérés során a megkérdezettek mindössze 29 százaléka ismerte be, hogy munkahelyi számítógépét személyes célokra is használja. Ezzel szemben 40 százalékuk – azaz 11 százalékkal többen – bevallottan használták már online vásárlásra céges számítógépüket. Ez az ellentmondás tízből nyolc országban megfigyelhető volt (a két kivétel Kína és India). Az Egyesült Királyságban például csak a válaszadók 27 százaléka vallotta be, hogy a céges számítógépet magáncélra is használta, azonban 53 számolt be arról, hogy a távmunka során rendszeresen vásárol az interneten.
Az öt legáltalánosabb magyarázat: „A céget nem zavarja”; „Sosem tudnék semmit elintézni, ha nem munkaidő alatt tenném”; „Kétlem, hogy ez érdekelné a céget”; „Az online vásárlás semmilyen biztonsági problémát nem okozhat”; „Szerintem a vállalati számítógépem jóval biztonságosabb, mint a sajátom.”
Magyarországi tapasztalatok
Magyarországon a végfelhasználók egyre szélesebb köre használja az informatikai eszközök mind színesebb palettáját, így egyre többet találkoznak biztonsági problémákkal (vírusok, férgek, spam, phising, stb.). A Cisco nemzetközi kutatásában kimutatott problémák Magyarországra is ugyanúgy igazak, mint a kutatásban résztvevő más európai országokban, hiszen az emberi tényezőben nincs számottevő eltérés.
„A védelmet a cégek hazánkban is rendszerint egy eszköz/szoftver kombinációjaként képzelik el, amely a konkrét támadást felismeri és megakadályozza, nem pedig úgy, mint egy tudatos tevékenységet, amellyel megelőzhető a konkrét támadás.” – mondta Weisz János, a Kancellár.hu informatikai biztonsági tanácsadó cég kereskedelmi igazgatója. „Ezzel párhuzamosasan az alkalmazottak a céges informatikai eszközeire úgy tekintenek, mint a nekik mint alkalmazottnak járó szolgáltatásra, ezért nehezen fogadnak el bármilyen korlátozást.” A szakember szerint egy 2006-ban végzett teszt során a megvizsgált kábelnélküli hálózatok 47,9%-a volt védtelen. Bár a tesztelés előtt a szakértők minden alkalommal rákérdeztek, hogy be van-e kapcsolva a biztonsági szoftver, és bár az esetek 51,4%-ában igenlő választ kaptak, ezek 20%-ánál mégsem volt bekapcsolva semmilyen védelmi megoldás.
A hazai piacon a cégek biztonságtudatos (pontosabban biztonság-tudattalan) viselkedésére vonatkozó átfogó kutatás még nem volt. A SavesAs információvédelmi cég által 2005-ben végzett wardriving felmérése szerint Budapesten a vezetékes hálózatok 86%-a 24 órán belül feltörhető volt. További jellemző arányt mutat az a 2006-ban elvégzett felmérés, amely szerint a spamszűrő eszközök bevezetése előtt a teljes elektronikus levélforgalom 70-80%-a kéretlen e-mail volt.
A biztonsági kérdések a cégek méretével arányosan jelentkeznek. Míg a nagyvállalatok tudatában vannak e veszélyforrásnak, és megfelelő módon védekeznek ellene, addig a cégméret csökkenésével – az IT kérdések egyre kevésbé intézményesített jellegéből adódóan – mindinkább kitettek a fentiekben felsorolt biztonsági kockázatoknak. Mindazonáltal a valós veszély akkor jelentkezik, amikor a cégek az üzleti folyamataikat már elektronikus útra terelik, így ezek elérhetővé válnak a hálózatokon keresztül.
A vállalatoknál bekövetkező biztonsági események jelentős része belső eredetű, azaz a cégen belülről származó információ / tudás felhasználásával történik. A támadások rendszerint a legsebezhetőbb ponton következnek be, ami nem csak a technológia lehet, hanem az azt üzemeltető / használó ember is. A biztonsági kérdések megválaszolásakor fontos az eszköz és a felhasználó kapcsolata, hiszen egy védelmi eszköz nem ér semmit, ha azt rosszul használják, vagy megkerülik.
Az üzemeltetők és a felhasználók számára meg kell mutatni, hogy milyen veszélyek leselkednek rájuk, milyen támadási formák veszélyeztetik őket, és hogy miként lehet ezek ellen védekezni. Fontos tudniuk, hogy a védekezésből milyen szerep hárul rájuk, azaz, hogy ők személyesen mit tehetnek annak érdekében, hogy ne az ő tevékenységük jelentsen kockázatot, ne az legyen a leggyengébb láncszem.
A megoldás: megfelelő technológiai megoldás alkalmazásával nagymértékben kiküszöbölhető az emberi tényező
A Cisco szerint a felhasználók viselkedéséből származó veszélyek a leghatékonyabban úgy küszöbölhetők ki, ha a rendelkezésre álló modern technológiákkal a cégek a lehető legkisebbre csökkentik az ember – mint a leggyengébb láncszem – által jelentett kockázati tényezőket. E megoldások lényege az, hogy a cég által definiált biztonsági követelményeknek való megfelelést folyamatosan ellenőrizni kell, azok betartását ki kell kényszeríteni. Például a jelszó beírása helyett/mellett a munkaállomás olvasójába be kell dugni a belépőkártyát, ami az épületen belüli közlekedést is biztosítja, így, ha a felhasználó elhagyja munkahelyét, a kártyáját magával kell vinnie, ami azonnal lezárja a munkaállomást. A távmunkát végző alkalmazott munkaállomásának védelméről is gondoskodni kell (tűzfal, behatolásfigyelő, vírusvédelem, stb. telepítésével), és bejelentkezni is csak akkor tudjon a céges védett hálózatba, ha az előírások szerint működik a kialakított védelem.
A Cisco ilyen jellegű megoldásai közé tartozik a hálózati hozzáférést korlátozó NAC (Network Admission Controll), a hálózati és a munkaállomásokra telepíthető behatolás-megelőző eszközök (4200 sensor, ASA IPS modul, CSA) vagy a határvédelemben alkalmazott különféle szűrések (ASA és ASA tartalombiztonsági modul)
„Meg kell erősíteni az informatika stratégiai szerepét. Ehhez a szakembereknek mindent el kell követniük, hogy a felhasználókkal szorosabb kapcsolatot kiépítve hathatósabb védelmet biztosítsanak a vállalat működését és a személyazonosítást veszélyeztető támadásokkal szemben” – mondta Hirsch Gábor, a Cisco Magyarország hálózatbiztonságért felelős üzletfejlesztési vezetője. „Az informatikusok előtt álló nagy lehetőség, hogy az eddigi támogató, reaktív szerepükön pozitív irányba változtassanak. A szakemberek feladata, hogy állandó párbeszédet folytassanak a felhasználókkal, olyan képzési programokat vezessenek be, amelyek alkalmazkodnak a különböző üzleti kultúrák és felhasználói csoportok sajátosságaihoz, illetve hogy a leginkább bevált biztonsági gyakorlatokat a vállalati kultúra szerves részévé tegyék. Ezzel a kulturális váltással maximálisan kihasználhatók például a távoli elérések nyújtotta lehetőségek, különösen a vállalati üzletmenet egyre fokozottabb mobilitása mellett.