Igen, a biztonsági fásultság létezik – Ezek a figyelmeztető jelei és lehetséges megoldások

Az IT biztonsági részleget gyakran “a nemetmondás osztályának” tartják, és nem nehéz belátni ennek okait. A fokozódó kockázatok, növekvő támadási felületek és a gyorsan fejlődő kiberbűnözés világában a biztonsági szakemberek érthető módon igyekeznek minimalizálni a károkat, amelyeket az alkalmazottak okozhatnak. Elvégre elég egyetlen rossz kattintás ahhoz, hogy egy pusztító zsarolóvírus áldozataivá váljunk. Viszont ha az alkalmazottakra túl nagy teher nehezedik a kiberbiztonság terén, nem várt módon reagálhatnak, ami növelheti a szervezet kitettségét. Ezt nevezzük biztonsági fásultságnak, ami meggondolatlan, hirtelen döntésekhez vezethet – ez éppen az ellenkezője annak, amit az informatikai szakemberek szeretnének. Szakértőink szerint, hogy ez ne történhessen meg, a kiberbiztonságnak zökkenőmentesen kell működnie, korlátozni kell a felhasználói döntések számát, valamint egészséges egyensúlyt kell teremteni a védelem és a hatékonyság között a hibrid munka világában.

Mi az a biztonsági fásultság és mekkora veszélyeket rejt?

Az emberekre gyakran úgy tekintenek, mint a leggyengébb láncszemre a vállalati biztonsági láncban. Emiatt fordítanak kiemelt figyelmet az IT csapatok arra, hogy csökkentsék az alkalmazottak által jelentett kockázatot. Kiberbiztonsági szakértőink szerint egyrészről igazuk van. Míg egy kutatás szerint 2020-ban a vállalatok 60 százaléka 21-nél is több dolgozói incidenst észlelt, addig 2021-ben már a vállalatok 67 százaléka észlelt ugyanennyit. A károk helyreállítása pedig átlagosan több mint 15 millió dollárba került. (A helyreállítás költségeiről most induló IT biztonsági podcastjunkban is beszélünk.)

Amennyiben viszont a munkavállalók rendszeresen munkahelyi biztonsági figyelmeztetéseket kapnak, szigorúak a szabályok, ráadásul a szabadidejükben is adatvédelmi jogsértésekről és fenyegetésekről szóló hírekkel találkoznak, a kimerültség jelei mutatkozhatnak. A biztonsági fásultságot a tehetetlenség és a kontroll elvesztésének érzése jellemzi. Az alkalmazottak számára mindez annyira nyomasztóvá válhat, hogy elzárkózva a vállalati szabályoktól a saját útjukat kezdik járni. Úgy érezhetik, hogy bármit tesznek, a biztonsági incidensek mindenképpen be fognak következni, ezért figyelmen kívül hagyják a biztonsági riasztásokat.

Ez pedig sajnos sokkal gyakrabban előfordul, mint gondolnánk. Egy 2018-as tanulmány kimutatta, hogy az EMEA (Európa, Közel-Kelet és Afrika) régióban dolgozók több, mint fele (55 százalék) nem törődik rendszeresen a kiberbiztonsággal, közel egyötödük (17 százalék) pedig egyáltalán nem is aggódik miatta. A tapasztalatok alapján a fiatalabb munkavállalók még inkább hajlamosak arra, hogy fásulttá-elutasítóvá váljanak a túlzott biztonsági elvárások miatt.

Melyek a biztonsági fásultság legfőbb jelei?

Sajnos mindez komoly destabilizáló hatással lehet a vállalati biztonságra. A biztonsági fásultság legfőbb jelei, ha az alkalmazottak:

• Úgy döntenek, hogy kíváncsiságból mégis rákattintanak az adathalász e-mailekben szereplő linkekre vagy megnyitják a csatolmányokat.
• Gyenge jelszavakat használnak, vagy több fiókban is ugyanazokat a gyenge hitelesítő adatokat alkalmazzák. Egy nemrég készült kutatás szerint a munkavállalók 43 százaléka megosztja másokkal a belépési adatait, sőt, hajlandó másokra bízni a feladatait, hogy elkerülje a bejelentkezéssel járó stresszt.
• VPN használata nélkül jelentkeznek be vállalati hálózatokba, mivel használata egyes szervezeteknél korlátozott lehet.
• Útközben nem biztonságos, nyilvános Wi-Fi hotspotokat használnak, hogy onnan bejelentkezzenek az érzékeny adatokat tartalmazó vállalati fiókokba.
• Nem frissítik rendszeresen eszközeiket, számítógépeiket. Az EY friss tanulmánya szerint a Z és Y generációs munkavállalók az idősebb kollégáknál jóval nagyobb valószínűséggel hagyják figyelmen kívül, és halasztják el a kötelező rendszerjavításokat.
• Nem jelzik azonnal az incidenseket a feletteseiknek vagy az informatikusoknak. Az EY-tanulmányból az is kiderül, hogy a munkavállalók közel egyötöde (16 százaléka) először inkább megpróbálja maga kezelni a feltételezett biztonsági problémát, minthogy értesítene valakit arról.
• A munkaeszközöket privát célokra használják, beleérve az internetes letöltéseket, a játékokat és az online vásárlást. Egy felmérés szerint az alkalmazottak fele személyes tulajdonának tekinti munkaeszközét.
• Megpróbálják kijátszani a biztonsági szabályokat. A 18-24 év közötti irodai dolgozók 31 százaléka próbálta már megkerülni a biztonsági előírásokat, ezt mutatta ki egy vizsgálat.

Hogyan küzdhető le a biztonsági fásultság?

A 2020-ban tapasztalt, tömeges otthoni munkavégzésre való gyors átállásra sok vállalat kapkodva reagált. Az IT-csapatok úgy próbálták csökkenteni a kockázati kitettséget, hogy új, szigorú szabályokat róttak az alkalmazottakra. Most, hogy a hibrid munkavégzés kezd általánossá válni, lehetőség nyílik arra, hogy felülvizsgáljuk ezeket a kezdeti szabályokat, különös tekintettel a biztonsági fásultság megelőzésére.

Csizmazia-Darab István kiberbiztonsági szakértőnk szerint érdemes megfontolni az alábbiakat:

• Hallgassuk meg a végfelhasználókat, hogy jobban megértsük, miként befolyásolják a biztonsági előírások a munkafolyamatokat és zavarják-e a produktivitást. Próbáljunk meg olyan szabályzatot létrehozni, amely egyensúlyban tartja az alkalmazottak elvárásait és az igényt a kiberkockázat minimalizálására, és valóban betartható.
• Korlátozzuk a döntések számát, amelyeket a felhasználóknak kell meghozniuk. Ez jelenthet automatikus szoftverfrissítést, a biztonsági programok távoli telepítését, illetve a laptopok és más elektronikai eszközök kezelését. Futtassunk háttérben futó észlelési és válasz-szolgáltatásokat, amely megakadályozza a hálózati védelemre irányuló támadásokat.
• Fektessünk hangsúlyt a bejelentkezések fokozott védelmére jelszómenedzserekkel, biometrikus alapú többtényezős hitelesítés és egyszeri bejelentkezési módszer (SSO) használatával.
• Csökkentsük a biztonsági üzenetek számát, amelyeket a felhasználóknak küldünk. A kevesebb több, és nagyobb figyelmet kap.
• Tegyük szórakoztatóbbá a biztonsági tudatosságról szóló tréningeket rövidebb (10-15 perces), valósághű szimulációkat és játékokat tartalmazó oktatások révén.

Ahhoz, hogy a vállalati védelmi rendszerek megfelelően működjenek, olyan kultúrát kell teremteni, amelyben minden alkalmazott megérti, hogy ő maga mennyire fontos szerepet játszik a szervezet biztonságának megőrzésében, és amelyből mindenki proaktívan kiveszi a részét. Egy ilyen kultúra kiépítése persze időbe telhet. Mindez viszont a biztonsági fásultság okainak megértésével és kezelésével kezdődik, az eredmény pedig megéri.

A nemrég indult Hackfelmetszők – Veled is megtörténhet podcast-ünk első adásából kiderül, hogy kik állnak a hackertámadások mögött, mik az indítékaik, mekkora károkat okozhatnak és egyáltalán, hogyan tudnak bejutni a gépeinkre, a céges hálózatokba?