Sokszor és egyre többször hallani, hogy hiába a drága védelmi berendezés, ha a munkavállalók nem végzik biztonságtudatosan a munkájukat, akkor óriási szürkezónát teremtenek maguk és a vállalat számára is. A technikai védelmi megoldások markánsan csökkenteni képesek a potenciális kockázatokat és nagymértékben szűrni tudják a beérkező rosszindulatú kísérletek számát, a maximális pontosság azonban nem reális és nem kivitelezhető cél. Nincs 100%-os biztonság, ez egy általánosan elfogadott tény, és ez a kiberbiztonság esetében sincsen másképp.
A technológiai fejlődés lehetővé teszi a rendszerek effektivitásának folyamatos növelését, amik valóban egyre hatékonyabban képesek fellépni a rosszindulatú támadásokkal szemben, azonban fontos megemlíteni, hogy nem csupán a védelmi oldalon dolgozó fejlesztő csapatok és szakemberek fektetnek energiát a termékek hatékonyságának növelésére, hanem a támadók is egyre szofisztikáltabb és kreatívabb módszerekkel állnak elő. Szokták mondani, hogy a rendszereket és eszközöket is emberek hozták létre, így ahogy az ember maga is tévedni képes, úgy az általa létrehozott termékek és eszközök is nagy eséllyel rendelkeznek sérülékenységgel. A támadásokat jellemzően ezen sérülékenységekre épülve vagy azt kihasználva indítják, sok esetben úgy, hogy annak ténye az áldozatok előtt ismeretlen marad és majd csak hosszú idő után derül fény annak bekövetkeztére. A támadók és védők harca egy macska-egér játékba burkolódzó folyamatos jelenség, amely az idő haladtával újabb és újabb arculattal bővül.
Az újdonságokra nem csupán technikai oldalon kell reagálni és azokkal lépést tartani, hanem a felhasználókat is rendszeresen képezni kell, hogy képesek legyenek felismerni a kockázatot, veszélyt, hogy kialakuljon az a minimális, de szükséges kétely, amely a saját és vállalati védelmük érdekében rendkívül fontos.
A támadók tisztában vannak azzal, hogy a legkönnyebb dolguk a felhasználókkal van, mert a rendszerekkel szemben szubjektivitásra is képesek, ezáltal érzelmi szinten is lehet rájuk hatni. Egy jól megírt phishing, scam könnyebben sikert hozhat, amennyiben minőségben és tartalmilag is jól kivitelezett formában jut el az áldozat részére. Evidens lehet, hogy egy szedett-vedett és nyelvtanilag is hibásan megfogalmazott levél mindenki számára gyanút kelt, azonban sajnos ez nincs így. A tapasztalat azt mutatja, hogy az „alacsony igényű” levelek továbbra is óriási számban haladnak végig a világhálón és célozzák meg a potenciális áldozatok email címeinek millióit, ennek oka pedig nagy valószínűséggel annak alacsony százalékú, de mégis néhány esetben jövedelmező eredményessége.
A felhasználói tudatosság az emberi tényezőt is érintő támadások kivédések egy hatékony és nélkülözhetetlen módja, így elengedhetetlen, hogy a vállalatok a biztonságuk érdekében foglalkozzanak annak fejlesztésével és megfelelő szinten tartásával. Minden védelmi hálózat annyira erős, mint amennyire a leggyengébb láncszeme, és ennek a hálózatnak az ember is része, és sajnos jellemzően a leggyengébb.
Képzeljük el, hogy a vállalatunknál dolgoznak öten, ebből 4 információ-biztonsági szakértő, 1 pedig laikus, aki nemigen ismeri, csak futólag a hálózatokon keresztül megjelenő veszélyforrásokat. Egy jól megfogalmazott, mégis szakértők számára nyilvánvaló adathalász email az első négy munkavállaló számára egyértelmű lesz, a laikus munkavállaló viszont nagy eséllyel kétely nélkül elfogadja a levél tartalmát és teljesíti a benne leírtakat. A laikus munkavállaló szervezetben betöltött munkakörétől függően képes lehet így jóhiszeműen közvetlen vagy közvetett kárt okozni a vállalatnak és akár saját magának is, akár pénzben, információban, adatban vagy reputációban mérve. Emiatt érdemes odafigyelni a biztonságtudatosság megfelelő kialakítására és szinten tartására, hiszen ha mindenki tisztában van a potenciális veszélyekkel és azoknak a következményeivel, akkor könnyebben elkerülhetőek a kellemetlenségek, magyarázkodások és tűzoltás.
De vajon hogyan érdemes kezdeni, mikre érdemes kitérni egy ilyen oktatás során? Hogyan lehet a tudatosságot mérni, illetve szinten tartani? A kötelező tudásanyagok elsajátítása a munkavállalók egy nem kis csoportja számára általában felesleges plusz terhet jelent, amit kötelező jellege miatt végig hallgatnak, aláírják a jelenléti íveket és egy hét múlva már semmire sem emlékszenek. Ha rosszul csináljuk, az információbiztonsági tudatossági oktatás pontosan ilyen és akkor csak energiát és időt fecséreltünk el, minimális eredménnyel.
Nagyon fontos, hogy az oktatásnak rendszeresnek kell lennie, negyedéves, féléves, éves ciklusokban, mindazonáltal tartalmilag legyen:
- Változatos
Ne ugyanaz a dia legyen ugyanazzal a tartalommal újra és újra, mert unalmassá válik és melegítve csak a töltött káposzta jó.
- Lényegre törő
Mutassuk be a lényegét a tudásanyagnak, ne menjünk túl mélyre az ismeretanyagban. Nem egyetemi képzésről van szó, hanem bizonyos tekintetben egy marketing előadásról.
- Laikus számára is érthető
Használjunk közérthető kifejezéseket, kerüljük a rövidítéseket. Vagy azt szeretnéd, ha a hallgatóság leragadna az első három betűs rövidítésnél? SMH
- Érdekes
Melyik a jobb, egy száraz és unalmas, monoton előadás vagy egy érdekes, tapasztalati megközelítésű, kicsit figyelemfelkeltőre és izgalmasra sikerült, interaktív beszélgetés?
- Gyakorlati
Az emberek túlnyomó többsége vizuális alkat, így az elméleti száraz tudás átadását nem mindig övezi maradéktalan siker. Érdemes lehet gyakorlati példákat, megtörténteseteket bemutatni, képekkel, ábrákkal illusztrálni a gyakorlati vetületeit a kockázatoknak és praktikáknak.
A fentiek az oktatási részt lefedik, de mint tudjuk, a puding próbája az evés. Érdemes az oktatást követően tesztet kitöltetni a hallgatósággal, valamint időszakosan, véletlenszerűen tesztelni a vállalat alkalmazottainak tudatossági szintjét olyan tevékenységek szimulációjával, ami jellemzően előfordulhat egy valódi támadás során. Ilyen lehet akár egy adathalász email küldése, telefonon keresztüli „informálódás”, fizikai besurranás stb. A tesztelés eredménye alapján finomhangolható az oktatás és bizonyos témák kidolgozottsága, emellett mérhető értékként is szolgálhat, ami később biztonsági elemzésnél felhasználható.
A biztonságtudatosságra érdemes odafigyelni és rászánni a kellő időt és energiát a munkavállalók oktatására, hiszen a befektetés később, még ha nem is láthatómódon, de megtérül. Az üzleti oldal ebben közvetlen hasznot nem, de megelőzött veszteséget fog látni.
