Dojcsák Dániel
Csak az ember a gép ellensége
Felhasználó nélkül biztonságos a hálózat. Hiába a komplex biztonsági háttér, a felhasználókat nem sikerült annyira kioktatni, hogy ne okozzanak galibát. A legkisebb vállalkozástól a legnagyobb multiig minden esetben az emberi hülyeség nevű biztonsági rés tűnik befoltozhatatlannak. A hackerek és vírusírók meg vinnyogva röhögnek. Miért?
A leggyengébb láncszem továbbra is az ember - ez derül ki a Cisco által végzett független kutatásból, ami azzal a céllal készült, hogy feltérképezze az alkalmazottak által okozott biztonsági kockázatokat. A felmérésbe mintegy tíz ország összesen több mint 2000 munkavállalóját vonták be. A felmérést végző piackutató cég legalább száz-száz végfelhasználót kérdezett meg az Egyesült Államokban, az Egyesült Királyságban, Franciaországban, Németországban, Olaszországban, Japánban, Kínában, Indiában, Ausztráliában illetve Brazíliában.
Az első nevetségesnek tűnő eredmény azt mutatja, hogy az alkalmazottaknak szinte fogalmuk sincs arról, hogy mit is jelent a biztonságos viselkedés. Biztosan sokan találkoztak azzal a helyzettel, amikor a laikus user felkiált: "Én csak meg akartam nézni, hogy mi az!", "Ja, ezt nem kellett volna lefuttatnom?". És máris feltelepültek a számítógépre az ártó kódok, programok.
A hamis biztonságtudatosság persze elérheti a független, magukat profinak érző rendszergazdákat is, akik azon túl, hogy tespednek naphosszat a gépük előtt, nem követik kellőképp a tendenciákat. Egy szubjektív döntés egy egyedülálló IT felelős részéről az egész rendszer épségét kockáztathatja. Legyen akár szó egy nem megfelelő szoftver vagy egy nem megfelelő beállítás alkalmazásáról, esetleg lustaságról.
Ennél talán gyakoribb probléma, hogy a felhasználók nem érzik különösen fontosnak a munkahelyi és az otthoni hálózatok megkülönböztetését. A felmérés adataiból kiderül, hogy világszerte 29% a vállalati hálózatok rendszeres magáncélú használata. Míg az Egyesült Államokban a súlyozott trend (30%) érvényesül, addig Japánban ez mindösszesen 12%-nyi alkalmazottra jellemző, Kínában pedig 57% ugyanez a szám.
A szakértők magyarázata szerint Kínában nem az alacsony penetráció miatt használnak sokan vállalati gépet szórakozásra, hanem a dolog újdonsága miatt. Japánban már régóta természetes a számítógép- és internet használat, így ők képesek különbséget tenni a kettő között. Nyilván ha új üdítőautomata kerül a céghez, azt is eleinte többen használják, csak később áll be a forgalom a valós igények alapján. A szórakozáson túl az egyébként is biztonságot igénylő online tranzakciókat viszont a fejlett régiókban is többen intézik a munkahelyen, így a céges hálózaton keresztüli online vásárlás világszinten 40%. A japán-kína ellentét itt is jellemző (24-52%), viszont a britek meglepő módon még Kínát is lekörözik egy százalékkal.
A dolgozók többnyire természetbeni juttatásnak veszik a munkahelyi internetelérést és ha már lúd, legyen kövér: az ne is legyen korlátozva, mert neki joga van hozzá. Úgy tekintenek rá, mint egyfajta szerzett jogra. A jó IT vezetésnek itt kell közbelépnie és figyelembe véve a kockázati tényezőket, mérlegelni a kontroll+biztonság és a szabadság között. A dolgozók kulturális és viselkedési mintáik alapján különbözőképp reagálnak a veszélyek megjelenésére, így a cég szigorú érdeke, hogy felmérje a felhasználói szokásokat. Az eredmény után pedig két út áll a vezetés előtt: a technokrata szemlélet alapján egy IT-atombunkert húz a hálózat köré és letilt mindent, ami él és mozog. A másik megoldás pedig a képzés, oktatás, fejlesztés, policyk kialakítása.
Ma Magyarországon minden munkavállalónak kötelező aláírnia és ismernia a munkavédelmi és a tűzvédelmi szabályzatot. Miért is ne lehetne kötelező az IT szabályzat is? Sok vállalat ezt már bevezette, de gyakorlatilag mindenki magasról tesz rá, hiszen ellenőrzés ritkán elképzelhető. A legtöbb nagy sávszélességgel rendelkező fájlmegosztó például biztosan nem otthon rendelkezik 100 Mbit-es duplex vonallal, ők mind vállalati infrastruktúrát használnak gyakorlatilag illegális és sokszor veszélyes tevékenységre.
Itthon az is megkérdőjelezhető, hogy van-e egyáltalán megfelelő minőségű IT személyzet egy adott cégnél és elég felkészültek-e a menedzserek, hogy kordában tartsák ezt a kérdést is. Ha megjelenik egy Office biztonsági rés, akkor az IT felelős automatikusan letiltja a .doc, .xls, .ppt formátumú email csatolmányok továbbítását a hálózaton, ami a cégnél egy teljes leállást eredményezhet. Nincs megrendelés, nem működik a bérszámfejtés, megáll a kommunikáció. Ekkor az okos menedzser utasíthatja a feloldásra az IT-t, amennyiben tesz arról, hogy a hiba fennállásáig biztosítva lesz a szükséges erőforrás többlet. Magyarul, ha vállalja a felelősséget és segítséget ad a megoldáshoz, akkor nem lesz felelőtlen sem és a cég is működhet.
A túlzott biztonsági költekezés viszont csak és kizárólag az ebből bevételt termelő cégeknek érdeke. A hardver és szoftver elemeket gyártóktól a tanácsadó cégekig mindenki azt szajkózza, hogy pakold tele a padlást biztonsági elemekkel, mert különben bármi megtörténhet. Képesek lennének akár egy kőműves egy szem számítógépét is hardveres tűzfal mögé dugni, ha ebből kereshetnének. A menedzsment itthoni felkészültsége IT területen nagyon alacsony és a képzéseket nem mások szponzorálják, mint az említett cégek, (ld. IT biztonság napja), akik a kézenfekvő megoldást ajánlják: építs erődöt a cégedből. Ha egy átlagos középvállalat IT biztonsági infrastruktúráját átkonvertálnánk haditechnikára, akkor úgy nézne ki az épület, mint egy amerikai romboló teteje.
Két dolgot nem tagadnak a biztonsági szakértők sem: az adatlopási és betörési kísérleteket addig fogja valaki csinálni, amíg amögött bárkinek az érdekei állnak. Akár az elkövető anyagi haszonszerzése, akár egy kirúgott dolgozó bosszúja. Így ha valaki nem rendelkezik hipertitkos adatokkal, akkor nem is kell hiperbiztos széfben tartsa azokat. A másik állítás pedig, hogy amennyiben egy rendszert minden áron meg szeretnének törni, akkor az meg is fog történni.
A vezetéknélküli hálózatok feltörése, lehallgatása órák, napok kérdése. Bejutni egy vállalati hálózatba pedig az ügyeskezű hackereknek sokszor rutin feladat. Természetesen mindig kell hozzá egy buta titkárnő. Vagy elég egy alkalmazott, aki hazahordja a laptopját, amit a fent említett kutatás szerint meg is tesznek az emberek. Sőt a megkérdezettek fele a céges hardvert használja otthon, illetve szintén a fele használja az otthoni gépét (ami nem része a cég hálózatának) céges belépésre. Innentől kezdve gyerekjáték lehet elérést szerezni bárhová. Nevetségesen hangzik, de a legtöbb embernek semmilyen kockázatot nem jelent a szomszédból lopott Wi-Fi hálózaton keresztül bejelentkezni a vállalati rendszerbe, jelszavakat beírva, fontos dokumentumokat áttöltve.
Éppen az ilyen böszmeségek miatt kérdőjelezhető meg a technokrata álláspont. Ha a felhasználók (egyébként jó szakemberek!) IT témában retardáltként viselkednek, akkor bármilyen tank lánctalpai közé vasrudat lehet feszíteni. A hülyeség egy biztonsági rés, amit megoldani úgy lehet, ha megfelelő képzésben részesülnek a felhasználók. A megfelelő képzés pedig nem egy fél órás kötelező agymosás, amin a legtöbben elalszanak, mert egy monitorfejű rendszergazda unottan szakszavakkal magyaráz nekik. A gondos gazda (menedzser) vigyáz a jószágaira és tesz arról, hogy ne akkor lássanak először farkast, amikor átharapja a torkukat.
A leggyengébb láncszem továbbra is az ember - ez derül ki a Cisco által végzett független kutatásból, ami azzal a céllal készült, hogy feltérképezze az alkalmazottak által okozott biztonsági kockázatokat. A felmérésbe mintegy tíz ország összesen több mint 2000 munkavállalóját vonták be. A felmérést végző piackutató cég legalább száz-száz végfelhasználót kérdezett meg az Egyesült Államokban, az Egyesült Királyságban, Franciaországban, Németországban, Olaszországban, Japánban, Kínában, Indiában, Ausztráliában illetve Brazíliában.
Az első nevetségesnek tűnő eredmény azt mutatja, hogy az alkalmazottaknak szinte fogalmuk sincs arról, hogy mit is jelent a biztonságos viselkedés. Biztosan sokan találkoztak azzal a helyzettel, amikor a laikus user felkiált: "Én csak meg akartam nézni, hogy mi az!", "Ja, ezt nem kellett volna lefuttatnom?". És máris feltelepültek a számítógépre az ártó kódok, programok.
A hamis biztonságtudatosság persze elérheti a független, magukat profinak érző rendszergazdákat is, akik azon túl, hogy tespednek naphosszat a gépük előtt, nem követik kellőképp a tendenciákat. Egy szubjektív döntés egy egyedülálló IT felelős részéről az egész rendszer épségét kockáztathatja. Legyen akár szó egy nem megfelelő szoftver vagy egy nem megfelelő beállítás alkalmazásáról, esetleg lustaságról.
Ennél talán gyakoribb probléma, hogy a felhasználók nem érzik különösen fontosnak a munkahelyi és az otthoni hálózatok megkülönböztetését. A felmérés adataiból kiderül, hogy világszerte 29% a vállalati hálózatok rendszeres magáncélú használata. Míg az Egyesült Államokban a súlyozott trend (30%) érvényesül, addig Japánban ez mindösszesen 12%-nyi alkalmazottra jellemző, Kínában pedig 57% ugyanez a szám.
A szakértők magyarázata szerint Kínában nem az alacsony penetráció miatt használnak sokan vállalati gépet szórakozásra, hanem a dolog újdonsága miatt. Japánban már régóta természetes a számítógép- és internet használat, így ők képesek különbséget tenni a kettő között. Nyilván ha új üdítőautomata kerül a céghez, azt is eleinte többen használják, csak később áll be a forgalom a valós igények alapján. A szórakozáson túl az egyébként is biztonságot igénylő online tranzakciókat viszont a fejlett régiókban is többen intézik a munkahelyen, így a céges hálózaton keresztüli online vásárlás világszinten 40%. A japán-kína ellentét itt is jellemző (24-52%), viszont a britek meglepő módon még Kínát is lekörözik egy százalékkal.
A dolgozók többnyire természetbeni juttatásnak veszik a munkahelyi internetelérést és ha már lúd, legyen kövér: az ne is legyen korlátozva, mert neki joga van hozzá. Úgy tekintenek rá, mint egyfajta szerzett jogra. A jó IT vezetésnek itt kell közbelépnie és figyelembe véve a kockázati tényezőket, mérlegelni a kontroll+biztonság és a szabadság között. A dolgozók kulturális és viselkedési mintáik alapján különbözőképp reagálnak a veszélyek megjelenésére, így a cég szigorú érdeke, hogy felmérje a felhasználói szokásokat. Az eredmény után pedig két út áll a vezetés előtt: a technokrata szemlélet alapján egy IT-atombunkert húz a hálózat köré és letilt mindent, ami él és mozog. A másik megoldás pedig a képzés, oktatás, fejlesztés, policyk kialakítása.
Ma Magyarországon minden munkavállalónak kötelező aláírnia és ismernia a munkavédelmi és a tűzvédelmi szabályzatot. Miért is ne lehetne kötelező az IT szabályzat is? Sok vállalat ezt már bevezette, de gyakorlatilag mindenki magasról tesz rá, hiszen ellenőrzés ritkán elképzelhető. A legtöbb nagy sávszélességgel rendelkező fájlmegosztó például biztosan nem otthon rendelkezik 100 Mbit-es duplex vonallal, ők mind vállalati infrastruktúrát használnak gyakorlatilag illegális és sokszor veszélyes tevékenységre.
Itthon az is megkérdőjelezhető, hogy van-e egyáltalán megfelelő minőségű IT személyzet egy adott cégnél és elég felkészültek-e a menedzserek, hogy kordában tartsák ezt a kérdést is. Ha megjelenik egy Office biztonsági rés, akkor az IT felelős automatikusan letiltja a .doc, .xls, .ppt formátumú email csatolmányok továbbítását a hálózaton, ami a cégnél egy teljes leállást eredményezhet. Nincs megrendelés, nem működik a bérszámfejtés, megáll a kommunikáció. Ekkor az okos menedzser utasíthatja a feloldásra az IT-t, amennyiben tesz arról, hogy a hiba fennállásáig biztosítva lesz a szükséges erőforrás többlet. Magyarul, ha vállalja a felelősséget és segítséget ad a megoldáshoz, akkor nem lesz felelőtlen sem és a cég is működhet.
A túlzott biztonsági költekezés viszont csak és kizárólag az ebből bevételt termelő cégeknek érdeke. A hardver és szoftver elemeket gyártóktól a tanácsadó cégekig mindenki azt szajkózza, hogy pakold tele a padlást biztonsági elemekkel, mert különben bármi megtörténhet. Képesek lennének akár egy kőműves egy szem számítógépét is hardveres tűzfal mögé dugni, ha ebből kereshetnének. A menedzsment itthoni felkészültsége IT területen nagyon alacsony és a képzéseket nem mások szponzorálják, mint az említett cégek, (ld. IT biztonság napja), akik a kézenfekvő megoldást ajánlják: építs erődöt a cégedből. Ha egy átlagos középvállalat IT biztonsági infrastruktúráját átkonvertálnánk haditechnikára, akkor úgy nézne ki az épület, mint egy amerikai romboló teteje.
Két dolgot nem tagadnak a biztonsági szakértők sem: az adatlopási és betörési kísérleteket addig fogja valaki csinálni, amíg amögött bárkinek az érdekei állnak. Akár az elkövető anyagi haszonszerzése, akár egy kirúgott dolgozó bosszúja. Így ha valaki nem rendelkezik hipertitkos adatokkal, akkor nem is kell hiperbiztos széfben tartsa azokat. A másik állítás pedig, hogy amennyiben egy rendszert minden áron meg szeretnének törni, akkor az meg is fog történni.
A vezetéknélküli hálózatok feltörése, lehallgatása órák, napok kérdése. Bejutni egy vállalati hálózatba pedig az ügyeskezű hackereknek sokszor rutin feladat. Természetesen mindig kell hozzá egy buta titkárnő. Vagy elég egy alkalmazott, aki hazahordja a laptopját, amit a fent említett kutatás szerint meg is tesznek az emberek. Sőt a megkérdezettek fele a céges hardvert használja otthon, illetve szintén a fele használja az otthoni gépét (ami nem része a cég hálózatának) céges belépésre. Innentől kezdve gyerekjáték lehet elérést szerezni bárhová. Nevetségesen hangzik, de a legtöbb embernek semmilyen kockázatot nem jelent a szomszédból lopott Wi-Fi hálózaton keresztül bejelentkezni a vállalati rendszerbe, jelszavakat beírva, fontos dokumentumokat áttöltve.
Éppen az ilyen böszmeségek miatt kérdőjelezhető meg a technokrata álláspont. Ha a felhasználók (egyébként jó szakemberek!) IT témában retardáltként viselkednek, akkor bármilyen tank lánctalpai közé vasrudat lehet feszíteni. A hülyeség egy biztonsági rés, amit megoldani úgy lehet, ha megfelelő képzésben részesülnek a felhasználók. A megfelelő képzés pedig nem egy fél órás kötelező agymosás, amin a legtöbben elalszanak, mert egy monitorfejű rendszergazda unottan szakszavakkal magyaráz nekik. A gondos gazda (menedzser) vigyáz a jószágaira és tesz arról, hogy ne akkor lássanak először farkast, amikor átharapja a torkukat.