A megfelelő információbiztonság csak úgy érhető el egy cégen belül, ha a vezetés és az alkalmazottak egytől egyig tisztában vannak vele, hogy milyen előírásokat kell betartaniuk ahhoz, hogy ne veszélyeztessék a vállalkozást informatikai szempontból.

Az adatvesztések, illetve a hekkerek által végrehajtott támadások ugyanis a legtöbb esetben éppen azért következnek be, és azért lesznek sikeresek, mert túl hanyagok a munkatársak, és nem kezelik kellő óvatossággal és körültekintéssel a rájuk bízott adatokat, fájlokat.

A kíváncsiság diadala a józan és fölött

A szakértők előtt valószínűleg örök rejtély marad, hogy a céges e-mailre ismeretlen címről érkező levelek csatolmányait miért nyitják meg az emberek. Már csak azért is, mert ezeket az üzeneteket viszonylag egyszerű lenne kiszűrni – eleve a feladónak gyanúsnak kellene lennie, a tárgyról nem is beszélve, mégis, sokan kattintanak a mellékelt fájlra, amivel adott esetben egy rosszindulatú szoftvert telepítenek.

Innen pedig már szabad az út a kiberbűnözők előtt, akik hozzáférést nyerhetnek a cég rendszereihez, vagy különféle támadásokat intézhetnek ellenük.

A fenti viselkedésre nincs racionális magyarázat; valószínűleg a kíváncsiság mindig erősebb, mint a józan ész diktálta cselekvés. És ameddig az emberi tényezőt nem iktatják ki a rendszerből, addig valószínűleg mindig lesznek olyanok, akik a tiltások és figyelmeztetések dacára is megnéznek egy érdekesnek tűnő videót, vagy pedig rákattintanak a levélben szereplő linkre.

Az információbiztonság oktatása kulcskérdés

Hogy az alkalmazottak ne sodorják veszélybe a céget, az oktatás lenne a kulcs. A munkatársaknak meg kell tanítani, hogy milyen, fenyegetést jelentő magatartásokat kerüljenek el, vagyis, hogy a lehető legkörültekintőbben járjanak el a vállalat adatait illetően.

Ez kimondva – és leírva – logikusan is hangzik, de számtalan példa mutatja, hogy hiába kapnak megfelelő képzést az alkalmazottak, még akkor is előfordulhatnak olyan esetek, ahol az emberi mulasztás okoz gondokat.

Elég csak arra a 2015-ös nagyszabású támadássorozatra gondolni, amit nemzetközi pénzügyi csoportok ellen hajtottak végre. A külső szemlélő azt hihetné, hogy az ilyen vállalatoknál minden munkatárs megkapja a szükséges oktatást, a bűnözők mégis a fertőzött mellékletet tartalmazó e-maileken keresztül jutottak be ezeknek a cégeknek a rendszereibe.

A témához kapcsolódik még a vírusvédelem és a tűzfalak kérdése is, amit szintén nem kezelnek kellő súlyán a cégek. Különösen az állami intézmények egy részénél siralmas a helyzet ezen a téren, mint például egyes kórházak, ahol ráadásul emberi életek is kockán foroghatnak egy esetleges kibertámadás során.

58902367m.jpg

Milyen az IT biztonság oktatásának helyzete ma Magyarországon?

Bár az erre szakosodott intézményrendszer létezik, összességében mégis azt mondhatjuk el Magyarországról, hogy az információbiztonság oktatásában nem jeleskedünk. A nagyobb cégeknél, cégcsoportoknál még csak-csak kielégítő a helyzet, itt ugyanis rendszeresen szerveznek továbbképzéseket, de a kisebb és a közepes vállalkozásoknál erre sokszor nincs pénz.

Pedig a munkatársak oktatása lenne igazán fontos, mert a vállalatnál dolgozó informatikai szakember hiába ismeri az összes előírást, ha az alkalmazottak rendszeresen megszegik azokat. Tehát a munkatársak képzése – amire nem fordítanak kellő figyelmet, illetve anyagilag sem tartozik a kiemelt területek közé – sokkal lényegesebb lenne, ugyanis alsó szinten dől el minden.

Nincs pénz az IT biztonságra

Az információbiztonsággal nem egy cégnél vannak úgy, mint a hétköznapi emberek a biztosítással. Vagyis sokan fölöslegesnek tartják, hogy költsenek rá, egészen addig a pontig, amíg nem éri őket valamilyen baleset. Persze, ekkor már késő bánat, mert előre kellett volna gondolni rá, mint ahogy a vállalkozások esetében sem utólag kell azon keseregni, miért nem költöttek többet az IT biztonságra.

Ennek ellenére általános tendencia hazánkban, hogy – bár a cégek tisztában vannak a szükségességével – az informatikai büdzséből csak szűkmarkúan áldoznak az IT biztonsággal kapcsolatos képzésekre, fejlesztésekre. Még akkor is, ha tudják, hogy egy esetleges támadás esetén sokkal többet kell majd költeni a vállalati rendszerek helyreállítására, az erkölcsi kár pedig felbecsülhetetlen egy-egy ilyen eset után.

A 2015-ös adatok azt mutatják, hogy a vállalatok az informatikai költségvetésükből csupán 2%-ot áldoznak az IT biztonság kérdésére, ami szinte elhanyagolható – ennél kevesebbet gyakorlatilag már képtelenség erre a területre fordítani. Ezek után tényleg érdekes, hogy nem történnek nagyobb információbiztonsággal kapcsolatos katasztrófák a hazai cégeknél, de a szerencse forgandó.

Milyen ma Magyarországon az információbiztonság oktatása?

Az informatikusok képzése, és az információbiztonsági oktatás két külön dolog, amit nem szabad összekeverni. Informatikusokat ma Magyarországon minden szinten – a középiskoláktól egészen az OKJ-s tanfolyamokig – képeznek, bár sokan fejezik ki az aggályukat a színvonal miatt.

Csakhogy nem lehet egy cég minden egyes alkalmazottja szakképzett informatikus, azzal együtt, hogy az IT biztonsággal tisztában kellene lenniük.

A legnagyobb probléma talán éppen az oktatás hiánya, vagyis az, hogy a vállalatok és a különféle szervezetek munkatársai a legalapvetőbb tudnivalókkal sincsenek tisztában. Olyanokkal, mint a már sokat hivatkozott, ismeretlen feladótól származó levelek kezelése, a privát e-mail fiókok használata, a vírusellenőrzés stb.

Hol és hogyan oktatják ma hazánkban az információbiztonságot?

Az információbiztonság és az IT tudatosság oktatását, illetve a témával kapcsolatos szakemberek képzését több vállalkozás is végzi hazánkban. Vagyis, ha egy cégnek fontos ez a terület, meg tudja találni a módját annak, hogyan képezze ki valamennyi munkatársát az IT biztonsággal összefüggésben.

A probléma sok esetben inkább az, hogy míg az IT biztonsági vezetők oktatása megoldott, addig az alkalmazottak ebből a körből kimaradnak, vagyis ők lesznek a leggyengébb láncszemek a gépezetben.

Szerencsére a számukra is lehet – akár a cégen belüli IT vezető által megtartott – workshopokat tartani, ahol elsajátíthatják a legfontosabb tudnivalókat.

Milyen a jó információbiztonsági oktatás?

A jó információbiztonsági oktatás mindig testre szabott, vagyis olyan, ami az adott cég vagy vállalkozás sajátosságait maximálisan figyelembe veszi. Nyilvánvalóan más-más igények lépnek föl egy multinacionális vállalatnál, mint egy hazai kis- és közepes vállalkozás esetén.

Ráadásul a tevékenységi kör is meghatározó lehet – ott, ahol ügyfelek adatait kell napi szinten kezelni, egészen más szempontoknak kell megfelelni, mint egy olyan vállalkozásnál, ahol erre nincs szükség.

Sőt, akár egy adott cégen belül is eltérhet az a tudás, amivel az alkalmazottaknak rendelkezniük kell, ezért egy nagyobb szervezeten belül érdemes tovább bontani a munkatársak körét, és célzottan megtartani az IT biztonsági oktatást.

A jó információbiztonsági képzés eredményeként a cég munkatársai tisztában lesznek a rájuk vonatkozó előírásokkal, és tudni fogják, hogyan kezeljék a rájuk bízott – gyakran érzékeny vagy titkos – információkat, adatokat annak érdekében, hogy semmilyen módon ne veszélyeztessék azok biztonságát.

Hogy Magyarországon mikor jutunk el erre a szintre, az kérdéses, ezért fontos az is, hogy a cégek vezetőiben tudatosodjon, hogy mennyire lényeges az IT biztonság és tudatosság, illetve az, hogy mit veszíthetnek, ha nem költenek erre a területre.