A legtöbb biztonsági incidensnek kevesebb fájó következménye lenne, ha a vállalat minden munkatársa tudná, hogy mit kell tennie vészhelyzet esetén. Például olyankor, ha a számítógépét egy zsarolóvírus fertőzi meg.

Kovács úr egy közepes nagyságú, 96 alkalmazottat foglalkoztató műszaki vállalat könyvelési osztályán dolgozik. Péntek délután van, és a legtöbb munkatársához hasonlóan ő is szeretné időben befejezni a feladatait, hogy jól megérdemelt hétvégi pihenése elkezdődhessen. Egy e-mail formájában azonban váratlan akadállyal találkozik.

– Nagyszerű, egy újabb beszállító, aki pillanatokkal a határidő előtt adja le számláját!

Kicsit bosszankodva ugyan, de Kovács úr kinyitja a levelet, nem szeretne dolga végezetlenül hazamenni. Rákattint a csatolmányra, és már nyomtatná is ki, amikor számítógépe hirtelen lefagy. Szeme sarkából még látja, hogy egy pár fájl az Intézőben hirtelen módosul, majd hirtelen megjelenik egy felirat: „Your files have been encrypted”. Egy gyors Google keresés, és már biztos abban, hogy egy zsarolóvírus fertőzte meg a gépét.

Kovács úr a problémát sikeresen azonosította, így gyorsan az IT részlegre szalad. Az informatikusok irodája azonban már teljesen üres, senki sincs benn. A folyosón találkozik hazafelé igyekvő kollégájával, aki megerősíti, hogy az IT-s kollégák már egy órával hamarabb elmentek. Riadtan tárcsázza a céges mobiltelefonokat, de senki sem veszi fel. Kovács úr magára maradt.

Ezen idő alatt a zsarolóvírus viszont megtalálta az útját a többi hálózatra csatlakoztatott számítógép felé, és minden adatot titkosított.

Pedig a legelső teendő ebben az esetben a fertőzött számítógép minden hálózati csatlakozását megszüntetni, hogy a zsarolóvírus ne tudjon tovább terjedni. Ezzel a legtöbb kártevő esetében hatékonyan csökkenthetjük a fertőzés terjedésének kockázatát. Hiszen a zsarolóvírushoz hasonló kártevők a maximális profitot tartják szem előtt, így gyorsan tovább terjednek a hálózatra csatlakoztatott többi számítógépre. Ha időben észbe kapunk és hamar cselekszünk, akkor a hálózati kapcsolat megszüntetésével megelőzhetjük a nagyobb bajt.

Fontos az oktatás

Ehhez az alkalmazottaknak meg kell tanítani az IT biztonság alapjait – ahogy feltételezett forgatókönyvünk esetében ez meg is történt. Ami viszont elmaradt: nem határozták meg, hogy kiberbiztonsági esemény bekövetkeztekor kit és hogyan lehet riasztani. Ha a kollégák tisztában vannak az IT biztonság alapjaival, biztosak lehetünk benne, hogy csak indokolt esetben riasztják informatikusokat. De lássuk be, még mindig jobb több hamis riasztást kezelni, mint egy valós támadásnak áldozatul esni.

A vállalatvezető felelőssége felkészíteni a kollégákat arra, hogy felismerjék az IT biztonsági eseményeket és jelentsék is azokat. Ha a kollégák attól félnek, hogy őket vonják felelősségre egy adott incidensért, akkor inkább szóba sem hozzák a rendkívüli IT-s eseményeket. Így eshet meg, hogy egy hacker éveken keresztül szabadon garázdálkodhat az IT rendszereinkben.

A vállalati irodákat már felkészítették arra, hogy tűz esetén mi a teendő, kit kell riasztani, hol találhatóak a tűz eloltásához szükséges eszközök, merre vannak a menekülési útvonalak. Ennek példájára érdemes lenne egy, a külső látogatók számára nem elérhető, de központi helyre kihelyezni az IT biztonsági információkat. Így mindenki számára nyilvánvaló lenne: ha kifogy a toner vagy a jelszó cseréjére szólít fel a rendszer, az nem IT biztonsági incidens. Tájékoztatást kaphatnak a munkatársaink arról, hogy mi a teendő IT biztonsági esemény bekövetkezésekor. A hálózati kapcsolat vagy a gép áramellátásának megszüntetése például megakadályozhatja a veszély tovább terjedését.