A technikai védelem mellett szükség van alkalmazottjaink biztonsági tudatosságának fejlesztésére tréningek, képzések segítségével. Vannak, akik szerint ezekre a tréningekre elköltött pénz egy szerű pocsékolás, a G DATA szerint egyetlen támadás megelőzésével többszörösen megtérül a befektetett pénz.
Naponta felfedezett új sérülékenységek, vírusok, kémprogramok – ilyen környezetben nem az a kérdés, hogy vállalatunkat éri-e valaha kibertámadás, hanem az, hogy mikor. A G DATA kibervédelmi szakemberei több mint 4,9 milliónyi új kártevő programot számoltak össze 2019-ben, ami azt jelenti, hogy minden percben kilenc új mintát fedeznek fel. Ennek fényében nem meglepő, hogy az Allianz Kockázat Barométer szerint a német vállalatok a biztonsági incidensekre a második legfontosabb üzleti kockázatként tekintenek.
A gondot az jelenti, hogy annak ellenére, hogy a technikai jellegű védelemre – mint tűzfal, vírusirtó – szükség van, azok nem jelentenek 100 százalékos védelmet. Szükség van arra, hogy az alkalmazottak IT biztonságtudatosságát fejlesszük, oktatással és képzésekkel.
Egy újabb rétegnyi védelem megalkotása az alkalmazottak oktatása révén nemcsak, hogy nagyon jól hangzik, hanem működik is. Amikor a G DATA SMB Report-ot állítottuk össze 2019-ben, akkor 200 közepes méretű német vállalat képviselőjét kérdeztük meg ebben a témában. Az eredmények szerint tízből nyolc megkérdezett IT menedzser azt vallja, hogy az alkalmazottak akaratlanul elindíthatnak egy kibertámadást. Ezért nagyon sok IT-s vezető képzés, oktatás segítségével igyekszik megalkotni és megerősíteni a kollégák biztonságtudatát.
A biztonságtudatossági tréningek működnek?
Bruce Scheier, amerikai kriptográfiai és IT biztonsági szakértő megkérdőjelezte a biztonságtudatosságot növelő vállalati képzések hatékonyságát, egyszerű idő és pénz pocsékolásnak nevezve őket. Meglátása szerint a vállalatoknak biztonságos szoftverek és interfészek fejlesztésére kellene összpontosítsanak. Szerinte rendkívül nehéz az emberek viselkedését megváltoztatni, és példaként az egészségügyben dolgozókat hozta fel: legtöbben tudják, hogy az egészséges étkezés és a rendszeres mozgás nagyon fontos, de ettől semmi sem állítja meg őket a gyorsétel fogyasztásától és a tévé előtti ücsörgéstől.
Mi nem így gondolkodunk. Tudjuk, hogy nehéz a szokásokon változtatni, de ez nem azt jelenti, hogy teljességgel lehetetlen.
A biztonságtudatosság egy folyamat
Az amerikai biztonságszakértő ott hibázik, hogy nem tekinti a biztonságtudatosságot folyamatnak – pedig az. Az IT biztonság nem egy álom, mely egy éjszaka alatt valóra válik. Ha növelni szeretnénk vállalatunk biztonságtudatosságát, akkor az első cél az, hogy óvatosan és biztonságosan használjuk meglévő IT erőforrásainkat. Ez nem könnyű dolog, de a kollégákban tudatosítani kell, hogy milyen kiberfenyegetettségekkel találkozhatnak szakmai és személyes életük során, és ezeket hogyan menedzseljék.
Azt be kell látnunk, hogy az IT biztonság egy rendkívül bonyolult és absztrakt téma. Nagyon sok embernek nehézséget okoz elképzelni pontosan hogyan is működik egy kibertámadás – hiszen nincs semmilyen látható dolog benne. Legtöbb esetben az egyetlen látható dolog a támadás következménye: egy zárolt képernyő zsarolólevéllel. A káros kód a laikusok szeme elől rejtve marad, pont mint az igazi baktériumok vagy vírusok esetében, melyek csak mikroszkóp alatt láthatóak.
A biztonságtudatossághoz vezető út
Hogyan lehetnek biztosak az IT menedzserek, hogy a pénzügyesek, HR-esek vevők az IT biztonság témájára?
A vállalatoknak olyan biztonságtudatossági tréningekre kell alapozzanak, melyek a szükséges tudást gyakorlatias, érthető módon adják át. Az alkalmazottaknak ne legyen az a benyomásuk, hogy ők a leggyengébb láncszem a kibervédelemben – tanácsolja Jessica Barker szociológus.
A bécsi DeepSec 2017-es konferencia előadója szerint az IT biztonságot pozitívan és bátorítóan kell feldolgozni, anélkül, hogy megoldhatatlan problémákkal szembesítsük őket. Az IT vezetőknek meg kell nyerniük a kollégákat, hogy a kibervédelem aktív részeseinek érezzék magukat.
Ugyanakkor a kollégáknak meg kell érteniük, hogy az IT biztonság miért fontos a KKV-knak. Egy sikeres támadás gazdasági problémákhoz, rossz esetben az érintett cég teljes csődjéhez vezethet. Ha alkalmazottjaink értik az alapproblémákat, készen állnak egy olyan oktatásra, mely saját egyéni problémáikra ad választ.
Hogyan működik a biztonság tudatosság?
Első körben, az IT vezetőknek kell felmérniük az IT biztonsági tudás szintjét. Nagyon sok biztonságtudatossági tréning is ezzel indít, hiszen fontos tudni, melyek a hiányos területek és mire érdemes fókuszálni. Több tréninget úgy terveztek meg, hogy hosszabb ideig, például két évig tartson. Az alkalmazottaknak ez idő alatt kell teljesíteniük az egyéni tréning modulokat. A megszerzett tudást a gyakorlatban, például egy teszt adathalász email kiküldésével gyakorolhatják a kollégák.
A biztonságtudatossági tréningek bírálói azt is felhozzák érvként, hogy a befektetett pénz soha sem térül meg. A befektetés azonban azonnal megtérül, ha egy alkalmazott a megszerzett tudásával és óvatos viselkedésével megelőz egy kibertámadást. Nincs leállási idő, reputációs veszteség, ahogy visszaállítási költségek sem keletkeznek. Ugyanakkor az alkalmazottak a GDPR előírásainak megfelelően viselkednek, így a magas hatósági bírságokat is megelőzheti a tréning.
Az biztos, nem könnyű jobb IT biztonsági szintet elérni. Ha az IT vezetők figyelmek a buktatókra, akkor a biztonságtudatosság a vállalat részévé vállik és valós hozzáadott értéket biztosít az IT biztonság számára. Egy óvatos alkalmazott még azelőtt megelőz egy támadást, hogy a meglévő IT biztonsági infrastruktúrát tesztelnék a támadók. Ezzel IT rendszereink jelentősen biztonságosabbá válnak, az összes kritikus adatot jobban védjük. Azok a vállalatok, akik nem vonják be alkalmazottjaikat az IT biztonságba óriási lehetőséget szalasztanak, és szükségtelenül magas kiberkockázatnak teszik ki magukat.