Hiába védi 12 ponton záródó, fúrás- és tűzbiztos ajtó a házadat, ha a lábtörlő alatt tartod a kulcsot. Hasonló a helyzet a céges IT biztonság területén is, ahol gyakran a legkorszerűbb szoftverek védik az IT rendszereket, de egy-két figyelmetlen kolléga miatt könnyedén bejutnak a rendszerbe a zsarolóvírusok és más kiber-kártevők.

Az ilyen helyzet egyáltalán nem rendkívüli. A különböző felmérések szerint az adatvédelmi incidensek  52-74 százalékát az okozza, hogy a munkatársak figyelmen kívül hagyják a biztonsági előírásokat. Újabb kibervédelmi szoftverek beszerzése helyett / mellett érdemes rendszeresen ellenőrizni, hogy az alkalmazottak nem veszélyeztetik-e akaratlanul a cég informatikai rendszerének sértetlenségét.

A leggyakoribb kockázati tényezők, amelyek időzített bombaként működhetnek

1. Gyenge jelszóhasználat

• Rövid, könnyen kitalálható jelszavak.
  A nehéz, bonyolult jelszavakat nehéz megjegyezni. Érthető tehát, hogy sokan házastársuk / barátjuk / barátnőjük / gyerekük / kutyájuk nevét használja jelszónak, esetleg a születési évszámmal kiegészítve. Ezekkel a jelszavakkal – amellett, hogy kitalálhatók – még az is a baj, hogy túl rövidek, ezért egy egyszerű programmal gyorsan feltörhetők.
  
• Azonos jelszó több rendszerhez való használata.
  A legtöbben nem is gondolnak rá, hogy mennyi jelszót használnak. Email, közösségi platformok, webáruházak, bank, szolgáltatók, adózás… Sokan jó ötletnek tartják, hogy mindenhol ugyanazt a jelszót használják. Nem az. Amikor a hackerek sikeresen feltörnek egy népszerű oldalt (például egy közösségi hálózatot), az ott “talált” email cím / jelszó párosokat azonnal kipróbálják másutt is. Jobb esetben csak a felhasználó valamelyik közösségi oldaladat törik fel – rosszabb esetben az online bankot, vagy éppen a céges hálózatot.

2. Gyanús emailek megnyitása

• Adathalász (phishing) üzenetek linkjeinek vagy csatolmányainak kattintása.
  Naponta kapunk értesítést valamelyik futárcégtől, pénzintézettől vagy hatóságtól. Ezek egy része kiberbűnözőktől származik, akik adatainkra utaznak. A hamis üzenetek egyre profibbak, kiszűrésük nagy figyelmet és gyakorlatot igényel.

3. Személyes eszközök használata

• Saját laptop, okostelefon vagy pendrive csatlakoztatása a vállalati hálózathoz.
  A BYOD (bring your own device), vagyis hozd a saját eszközöd megállíthatatlan trendnek tűnik, ugyanakkor komoly biztonsági kockázatokkal jár. A helyzetet tovább bonyolítja a hibrid munkavégzés, hiszen az otthon (is) használt eszközök védelme még nehezebb.

4. Frissítések mellőzése

• Elavult programok vagy nem frissített operációs rendszerek használata.
  A Windows operációs rendszert folyamatosan támadják a kiberbűnözők. A rendszeres frissítés nélkül sérülékennyé váló számítógépek veszélyt jelentenek az egész hálózatra. Hasonló kockázatokat rejtenek a régi, frissítéseket már nem kapó vagy nem hivatalos forrásból származó programok is.
  

5. Nem biztonságos adatkezelés

• Érzékeny információk tárolása felhőben vagy nem titkosított fájlokban. Ezekhez az adatokhoz a kiberbűnözők különösebb erőfeszítés nélkül hozzáférhetnek.

Hogyan ellenőrizhető az IT eszközök biztonságos használata?

• Jelszótesztek és szabályzatok
  A rendszergazda által beállított jelszó-szabályzat (jelszóhossz, alkalmazandó karakterek) a rendszeres, kötelező jelszó frissítések, a kétfaktoros hitelesítés kötelezővé tétele erősítik a jelszóbiztonságot. Fontos, hogy a munkatársak megértsék: ezekkel az intézkedésekkel az ő munkájukat is védi a cég.
  
• Phishing szimulációk
  A munkáltató (vagy megbízottja) által küldött teszt emailek segítenek kideríteni, kik azok a kollégák, aki nehezen ismerik fel a gyanús üzeneteket. A teszten elbukott kollégákat mindenképpen érdemes továbbképzésre küldeni.
  
• Hozzáférés-kezelés
  Jogosultságok folyamatos felülvizsgálata: mindenki csak ahhoz férjen hozzá, amire ténylegesen szüksége van. A jogosultságok korlátozása révén csökken a véletlenül okozott káresetek száma.
  
• Eszközfelügyelet
  Vállalati eszközök monitorozása, valamint a BYOD szabályok szigorítása. Enyhébb esetben ez a pendrive- használat korlátozását jelenti, de előfordulnak esetek, amikor az USB kimenetek fizikai korlátozására (pl. műgyantával történő kiöntésére) is szükség van.
  
• Rendszerauditok
  A rendszeraudit elvégzésére legjobb egy független IT-biztonsági audit, ami  felméri a munkatársak és rendszerek által jelentett kockázatokat.

Segít a tudatosság: IT biztonsági képzés nem informatikusoknak

Sok “kívülálló” úgy gondolja, hogy az IT biztonság az erre kiképzett, ebben a munkakörben foglalkoztatott emberek dolga. Ez igaz is, meg nem is. Valóban ők felelnek a céges rendszerek biztonságáért, ők teremtik meg a biztonságos munka feltételeit, de – IT biztonsági szempontból – minden dolgozó egy veszélyforrás.
Hogy pontosan mik is ezek a veszélyek és hogyan lehet ezek ellen védekezni, megtanulható. Természetesen nem az a cél, hogy minden munkavállaló informatikussá váljon, de veszélyforrások felismerése, a biztonságos számítógép-használat elsajátítása mindenkinek hasznára válik. A “laikusok” számára szervezett IT biztonsági képzések mindenki számára hasznosak, azonnal használható eredményekkel járnak. 

Gyakran ismételt kérdések a biztonságos eszközhasználattal kapcsolatban: