Az IT biztonsági részleget gyakran "a nemetmondás osztályának" tartják, és nem nehéz belátni ennek okait. A fokozódó kockázatok, növekvő támadási felületek és a gyorsan fejlődő kiberbűnözés világában a biztonsági szakemberek érthető módon igyekeznek minimalizálni a károkat, amelyeket az alkalmazottak okozhatnak. Elvégre elég egyetlen rossz kattintás ahhoz, hogy egy zsarolóvírus áldozataivá váljunk.
Viszont ha az alkalmazottakra túl nagy teher nehezedik a kiberbiztonság terén, nem várt módon reagálhatnak, ami növelheti a szervezet kitettségét. Ezt nevezzük biztonsági fásultságnak, ami meggondolatlan, hirtelen döntésekhez vezethet – ez éppen az ellenkezője annak, amit az informatikai szakemberek szeretnének.
Az ESET szakértői szerint, hogy ez ne történhessen meg, a kiberbiztonságnak zökkenőmentesen kell működnie, korlátozni kell a felhasználói döntések számát, valamint egészséges egyensúlyt kell teremteni a védelem és a hatékonyság között a hibrid munka világában.
Mi az a biztonsági fásultság és mekkora veszélyeket rejt? Az emberekre gyakran úgy tekintenek, mint a leggyengébb láncszemre a vállalati biztonsági láncban. Emiatt fordítanak kiemelt figyelmet az IT csapatok arra, hogy csökkentsék az alkalmazottak által jelentett kockázatot. Ebben egyrészről igazuk is van, hiszen egy kutatás szerint 2020-ban a vállalatok 60 százaléka 21-nél is több dolgozói incidenst észlelt, addig 2021-ben már a vállalatok 67 százaléka észlelt ugyanennyit.
A károk helyreállítása pedig átlagosan több mint 15 millió dollárba került. Amennyiben viszont a munkavállalók rendszeresen munkahelyi biztonsági figyelmeztetéseket kapnak, szigorúak a szabályok, ráadásul a szabadidejükben is adatvédelmi jogsértésekről és fenyegetésekről szóló hírekkel találkoznak, a kimerültség jelei mutatkozhatnak. A biztonsági fásultságot a tehetetlenség és a kontroll elvesztésének érzése jellemzi.
Az alkalmazottak számára mindez annyira nyomasztóvá válhat, hogy elzárkózva a vállalati szabályoktól a saját útjukat kezdik járni. Úgy érezhetik, hogy bármit tesznek, a biztonsági incidensek mindenképpen be fognak következni, ezért figyelmen kívül hagyják a biztonsági riasztásokat.
Ez pedig sajnos sokkal gyakrabban előfordul, mint gondolnánk. Egy 2018-as tanulmány kimutatta, hogy az EMEA (Európa, Közel-Kelet és Afrika) régióban dolgozók több, mint fele (55 százalék) nem törődik rendszeresen a kiberbiztonsággal, közel egyötödük (17 százalék) pedig egyáltalán nem is aggódik miatta.
A tapasztalatok alapján a fiatalabb munkavállalók még inkább hajlamosak arra, hogy fásulttá-elutasítóvá váljanak a túlzott biztonsági elvárások miatt. Sajnos mindez komoly destabilizáló hatással lehet a vállalati biztonságra.
A biztonsági fásultság legfőbb jelei, ha az alkalmazottak:
- Úgy döntenek, hogy kíváncsiságból mégis rákattintanak az adathalász e-mailekben szereplő linkekre vagy megnyitják a csatolmányokat.
- Gyenge jelszavakat használnak, vagy több fiókban is ugyanazokat a gyenge hitelesítő adatokat alkalmazzák. Egy nemrég készült kutatás szerint a munkavállalók 43 százaléka megosztja másokkal a belépési adatait, sőt, hajlandó másokra bízni a feladatait, hogy elkerülje a bejelentkezéssel járó stresszt.
- VPN használata nélkül jelentkeznek be vállalati hálózatokba, mivel használata egyes szervezeteknél korlátozott lehet.
- Útközben nem biztonságos, nyilvános Wi-Fi hotspotokat használnak, hogy onnan bejelentkezzenek az érzékeny adatokat tartalmazó vállalati fiókokba.
- Nem frissítik rendszeresen eszközeiket, számítógépeiket. Az EY friss tanulmánya szerint a Z és Y generációs munkavállalók az idősebb kollégáknál jóval nagyobb valószínűséggel hagyják figyelmen kívül, és halasztják el a kötelező rendszerjavításokat.
- Nem jelzik azonnal az incidenseket a feletteseiknek vagy az informatikusoknak. Az EY-tanulmányból az is kiderül, hogy a munkavállalók közel egyötöde (16 százaléka) először inkább megpróbálja maga kezelni a feltételezett biztonsági problémát, minthogy értesítene valakit arról.
- A munkaeszközöket privát célokra használják, beleérve az internetes letöltéseket, a játékokat és az online vásárlást. Egy felmérés szerint az alkalmazottak fele személyes tulajdonának tekinti munkaeszközét.
- Megpróbálják kijátszani a biztonsági szabályokat. A 18-24 év közötti irodai dolgozók 31%-a próbálta már megkerülni a biztonsági előírásokat, ezt mutatta ki egy vizsgálat.
És hogyan küzdhető le a biztonsági fásultság? A 2020-ban tapasztalt, tömeges otthoni munkavégzésre való gyors átállásra sok vállalat kapkodva reagált. Az IT-csapatok úgy próbálták csökkenteni a kockázati kitettséget, hogy új, szigorú szabályokat róttak az alkalmazottakra.
Most, hogy a hibrid munkavégzés kezd általánossá válni, lehetőség nyílik arra, hogy felülvizsgáljuk ezeket a kezdeti szabályokat, különös tekintettel a biztonsági fásultság megelőzésére.
- Hallgassuk meg a végfelhasználókat, hogy jobban megértsük, miként befolyásolják a biztonsági előírások a munkafolyamatokat és zavarják-e a produktivitást. Próbáljunk meg olyan szabályzatot létrehozni, amely egyensúlyban tartja az alkalmazottak elvárásait és az igényt a kiberkockázat minimalizálására, és valóban betartható.
- Korlátozzuk a döntések számát, amelyeket a felhasználóknak kell meghozniuk. Ez jelenthet automatikus szoftverfrissítést, a biztonsági programok távoli telepítését, illetve a laptopok és más elektronikai eszközök kezelését. Futtassunk háttérben futó észlelési és válasz-szolgáltatásokat, amely megakadályozza a hálózati védelemre irányuló támadásokat.
- Fektessünk hangsúlyt a bejelentkezések fokozott védelmére jelszómenedzserekkel, biometrikus alapú többtényezős hitelesítés és egyszeri bejelentkezési módszer (SSO) használatával.
- Csökkentsük a biztonsági üzenetek számát, amelyeket a felhasználóknak küldünk. A kevesebb több, és nagyobb figyelmet kap.
- Tegyük szórakoztatóbbá a biztonsági tudatosságról szóló tréningeket rövidebb (10-15 perces), valósághű szimulációkat és játékokat tartalmazó oktatások révén.
Ahhoz, hogy a vállalati védelmi rendszerek megfelelően működjenek, olyan kultúrát kell teremteni, amelyben minden alkalmazott megérti, hogy ő maga mennyire fontos szerepet játszik a szervezet biztonságának megőrzésében, és amelyből mindenki proaktívan kiveszi a részét.
Egy ilyen kultúra kiépítése persze időbe telhet. Mindez viszont a biztonsági fásultság okainak megértésével és kezelésével kezdődik, az eredmény pedig megéri.