A munkavállalók bevonása a szervezet informatikai és információbiztonsági (vagyis ezek együtt a szervezet kiberbiztonsági) feladatainak végrehajtásába számos előnnyel jár, többek között a szervezet kiberbiztonságának fokozása és a bennfentes fenyegetések valószínűségének csökkentése. Az alkalmazottak aktivitása a szervezet kiberbiztonságának megőrzésében a következő tényezők
Az első a képzés/oktatás: a kibervédelem alapelveinek tudatosítása az alkalmazottakban
A Verizon 2018. évi adatsértési nyomozási jelentése szerint az USA-ban a kibertámadások csaknem háromnegyedét szervezeten kívüli személyek követik el, viszont a további egynegyed belsősök (alkalmazottak, állandó szerződésű/folyamatos belső munkát végző vállalkozók stb.) rovására írhatók.
Biztonsággal állíthatjuk, hogy ez az adat megközelítőleg az európai országokra is érvényes. További fontos tény az is, hogy minden öt adatsértésből egynek (vagyis az adatsértések 20%-ának) kiváltó oka emberi hiba. Ezek alapján kijelenthetjük, hogy a munkaerő folyamatos és rendszeres képzése kritikus jelentőségű probléma, illetve megoldandó feladat az adat- és információvédelemben.
"Az adatsértések döntő többsége adathalász emailekre és/vagy ilyen emailek sorozatára vezethető vissza ‒ olyan esetekre, amikor az adathalász támadók az alkalmazottakat célozzák meg az adatok megszerzése céljából" ‒ mondta Luke Vile, a PA Consulting kiberbiztonsági szakértője. ‒ „Az első ilyen megvalósult támadás gyakran egy kiberbiztonsági támadás kezdetét jelzi.”
"Az alkalmazottak bevonása a számítógépes védelembe lehetővé teszi, hogy azok fokozottabban figyeljenek az adathalászati kísérletekre, és ha már rutinosan képesek a napi tevékenységük közben is figyelni a jelekre, nagyobb valószínűséggel veszik észre időben a támadási kísérleteket, és sikeresen tudják elháríthatni azokat, még mielőtt megtörténhetnének."
Ezen túlmenően Matthew Buskell, a Skillsoft alelnöke úgy véli, hogy a szervezetek nem támaszkodhatnak kizárólag az informatikai és/vagy az információbiztonsági szervezeti egységeikre.
„Egy frissen elvégzett, az (ISC)2 által megrendelt, és publikált felmérés azt állapította meg, hogy kirívó a (hatékony védekezéshez) szükséges készségek hiánya”, továbbá a felmérés szerint előre látható az is, hogy a kiberbiztonsági szakemberek hiánya a következő években egyre súlyosabban fog jelentkezni.
A második az elégedettség: A legnagyobb figyelmet az elégedetlen dolgozókra kell fordítani
Az elégedett munkavállaló produktív munkavállaló – tartja a szólás. Egy elégedett, és elkötelezett munkavállaló szintén nem valószínű, hogy becsapja a munkaadóját, amikor a számítógépes védelemről van szó.
„A szervezetek számára azért meghatározó a munkavállalók jólétébe és elkötelezettségébe való befektetés, mert az elégedetlen alkalmazottak egyértelműen biztonsági kockázatot jelentenek, különösen, amikor távoznak a munkahelyükről” - mondja Louis Smith, a Fidelis Cybersecurity bennfentes fenyegetések területi biztonsági szakértője.
Azok a személyek, akik összeütközésbe kerülnek a munkaadójukkal azt érezhetik, hogy valamiféle hasznuk származhat a szellemi tulajdon megsértése, vagy egyéb információ megszerzése révén.
Jake Moore, az ESET kiberbiztonsági szakértője egyetért. „A munkavállalók a munkaadók legjobb eszközei, ám ők a leggyengébb láncszem is.” - mondja.
A legtöbb alkalmazott a rugalmas munkavégzést igényli, és a legtöbb vezető szerint a szervezeteknek biztosítaniuk is kell ezt a munkavégzési rendet, a biztonság növelése érdekében. „Mivel sok alkalmazott dolgozik rutinszerűen otthonról, vagy a szervezet több telephelyéről, ez messze túlmutat a szervezet digitális határain a hagyományos irodaterületen” - mutat rá. "Ha a digitális határok ilyen módon kibővülnek, megnehezíti a biztonság mindenki számára történő nyújtását és lefedését."
A harmadik: az összetartozás érzésének erősítése, vagyis az egész szervezet beépítése a kibervédelembe
A felhőmegoldások bevezetésének köszönhetően ma a számítógépes védelemnek kötelezően vállalati szintű elkötelezettségé kell válnia, a legfelső szinttől lefelé mindenhol…"Az Oracle és a KPMG közös 2019. évi Cloud Threat Report-jában tették közzé, hogy a megkérdezett kiberbiztonsági team-ek mintegy 92% -a mondta, hogy aggasztó az, hogy az egyének, egész osztályok és üzletágak is megsértették a szervezetük felhőalapú alkalmazásokra vonatkozó biztonsági politikáját” - mondja John Abel, az Oracle felhő és innovációs alelnöke.
„Az esetek csaknem felében a jogosulatlan alkalmazásoknak az adatokhoz való illetéktelen hozzáféréshez és a szervezetben gyorsan terjedő rosszindulatú programok elterjedéséhez vezettek.
„A csatlakoztatott eszközök számának emelkedése és a mobil munkavégzés növekedése az internetes bűnözők lehetőségeinek exponenciális növekedését eredményezte, és ez még fontosabbá teszi az alkalmazottak elkötelezettségét és felkészültségét a fenyegetések észlelésére.
„Kutatásunk azt is feltárta, hogy az elmúlt két évben kibertámadást szenvedett négy társaság közül majdnem mindenki kijelentette, hogy a munkavállalói tudatosság és képzés növekedése a szervezet biztonságának hatalmas javulásához vezetett, és ez mutatja a munkavállalói képzési programok fontosságát.” – mondta az alelnök.
A negyedik: a felhatalmazás, a munkatársak bevonása a folyamatos éberségbe
Ha igaz az, hogy egy szervezet kibervédelme csak annyira jó, mint a kibervédelem leggyengébb láncszeme, akkor elengedhetetlen az összes alkalmazott bíztatása, támogatása abban, hogy folyamatos odafigyeléssel végezzék a munkájukat.
„Az alkalmazottak ösztönzése arra, hogy a hozzájuk érkezett kéréseket kritikusan kezeljék, a nyilvántartások kettős ellenőrzése és csak egy kissé paranoiás megközelítés ‒ ezek kiemelkedő fontosságúak az általános kiberbiztonsági hozzáállás javításában” - mondja Aaron Zander, a HackerOne informatikai vezetője.
„Azok a vállalatok, amelyek hibás jelszavak alkalmazásával, vagy rossz e-mail viselkedéssel vádolják az alkalmazottaikat, ténylegesen nem fordítanak elég időt, pénzt vagy energiát az otthoni biztonság megőrzésére. Az adathalász támadások megelőzése szerves része kell legyen a vállalati kultúrának”
„Meg kell változtatni a személyzet viselkedését” - mondja Zander úr, aki ugyanakkor azt kérdezi: „Normális, ha az ügyvezető valami olyasmit kér, mint például egy banki átutalás egy eladónak, vagy nagy értékű vásárlás egy tetszőleges helyen anélkül, hogy óvatosságból vagy a szigorúság okán kérdéseket tennének fel a kéréssel kapcsolatban?
Üdvözöljük, ez itt az adathalász mennyország!
A szervezetek kiberbiztonsági és általános biztonsági csapatainak feladata, hogy lehetővé tegyék az alkalmazottak számára, képezzék és ösztönözzék a munkavállalókat a védekezésben való közreműködésre, a leggyengébb láncszem megerősítésének részeként.”
Audra Simons, a Forcepoint Innovation Labs vezetője hozzáteszi: "Az elkötelezett alkalmazottak általában lelkiismeretesebbek, komolyabbak, és végül pozitív erőkké válnak a szervezeten belül."
Az ötödik a motiváció: tegye vonzóvá a kibervédelem megismerését – ez a tevékenység még szórakoztató is lehet!
Egy egyértelmű és egyben inspiráló kibervédelmi vízióval rendelkező szervezet nagyobb valószínűséggel kelti és tartja fenn alkalmazottai érdeklődését, ha szórakoztató és vonzó megközelítést alkalmazva oktatja a munkavállalókat a kibervédelemről, és ez nagy haszonnal járhat. "A témában készített tanulmányok azt mutatják, hogy a bot (a fenyegetés, a büntetés) nem működik" - mondja Vile úr, a PA Consulting szakértője.
„Az egyik innovatív megoldás túlmutat a puszta kibertudatossági képzésen, és fejlettebb „játékos ”megközelítéseket alkalmazva, izgalmas szerepjátékokkal és forgatókönyvekkel erősíti az alkalmazottak és a vezetők elkötelezettségét kibertámadásokkal és támadókkal folytatott „játékokat” magában foglaló „küzdelemmel” ‒ mondja Thomas Calvard, humán erőforrás menedzser az Edinburgh-i Egyetemen.
Adenike Cosgrove, a Proofpoint kiberbiztonsági stratégája ezt a megközelítést alkalmazta a Royal Bank of Scotland (RBS) munkatársaival kapcsolatban. "Az etikus adathalász szimulációk folyamatos programján keresztül, amely a napi életből származó valódi csaló üzeneteken alapszik, az RBS felkészítette alkalmazottait a valós támadásokra felismerésére" - mondja.
"Ezeknek a hamis adathalász üzeneteknek áldozataivá vált felhasználók átfogó képzésben vettek részt, aminek kököszönhetően 78% -kal csökkent annak valószínűsége, hogy a felhasználók egy, a háttérben rosszindulatú alkalmazást tartalmazó reklámra kattintanak."
Végül általános ismétlésként emlékeztetjük az olvasót arra, hogy a vállalati vagy magán e-mailjeink nem feltétlenül azok, aminek látszanak! Ismeretlen, vagy új helyről érkező levél esetén először „lepődjünk meg”, gondolkodjunk el azon, hogy az érkezett levelet mi kértük (például egy levelezőlistára történő feliratkozással), vagy egy ismerősünkön keresztüli ajánlás alapján érkezett-e (kérdezzünk rá az ismerősünknél!)? Gondosan ellenőrizzük a levél forrását, vagyis a feladót, a feladó e-mail címét, azon belül is a domain nevét stb.
A cikk a Raconteur cikkei alapján készült