Dojcsák Dániel

Csak az ember a gép ellensége

Felhasználó nélkül biztonságos a hálózat. Hiába a komplex biztonsági háttér, a felhasználókat nem sikerült annyira kioktatni, hogy ne okozzanak galibát. A legkisebb vállalkozástól a legnagyobb multiig minden esetben az emberi hülyeség nevű biztonsági rés tűnik befoltozhatatlannak. A hackerek és vírusírók meg vinnyogva röhögnek. Miért?

A leggyengébb láncszem továbbra is az ember - ez derül ki a Cisco által végzett független kutatásból, ami azzal a céllal készült, hogy feltérképezze az alkalmazottak által okozott biztonsági kockázatokat. A felmérésbe mintegy tíz ország összesen több mint 2000 munkavállalóját vonták be. A felmérést végző piackutató cég legalább száz-száz végfelhasználót kérdezett meg az Egyesült Államokban, az Egyesült Királyságban, Franciaországban, Németországban, Olaszországban, Japánban, Kínában, Indiában, Ausztráliában illetve Brazíliában.

Az első nevetségesnek tűnő eredmény azt mutatja, hogy az alkalmazottaknak szinte fogalmuk sincs arról, hogy mit is jelent a biztonságos viselkedés. Biztosan sokan találkoztak azzal a helyzettel, amikor a laikus user felkiált: "Én csak meg akartam nézni, hogy mi az!", "Ja, ezt nem kellett volna lefuttatnom?". És máris feltelepültek a számítógépre az ártó kódok, programok.

A hamis biztonságtudatosság per­sze elérheti a független, magu­kat profinak érző rendszer­gaz­dákat is, akik azon túl, hogy tes­pednek nap­hosszat a gépük előtt, nem követik kellőképp a ten­den­ciákat. Egy szub­jektív döntés egy egye­dülálló IT felelős részéről az egész rendszer ép­ségét kockáz­tat­hat­ja. Legyen akár szó egy nem meg­fele­lő szof­tver vagy egy nem meg­felelő beállítás alkal­mazá­sáról, esetleg lusta­ságról.

Ennél talán gya­koribb prob­léma, hogy a fel­hasz­nálók nem érzik külö­nö­sen fon­tosnak a munka­helyi és az otthoni háló­zatok meg­külön­böz­teté­sét. A felmérés ada­taiból kiderül, hogy világ­szer­te 29% a vál­lalati háló­zatok rend­szeres magán­célú haszná­lata. Míg az Egyesült Államokban a súlyozott trend (30%) érvé­nye­sül, addig Japánban ez mind­összesen 12%-nyi alkal­mazottra jellemző, Kínában pedig 57% ugyanez a szám.

A szakértők magyarázata szerint Kínában nem az alacsony penetráció miatt használnak sokan vállalati gépet szórakozásra, hanem a dolog újdonsága miatt. Japánban már régóta természetes a számítógép- és internet használat, így ők képesek különbséget tenni a kettő között. Nyilván ha új üdítőautomata kerül a céghez, azt is eleinte többen használják, csak később áll be a forgalom a valós igények alapján. A szórakozáson túl az egyébként is biztonságot igénylő online tranzakciókat viszont a fejlett régiókban is többen intézik a munkahelyen, így a céges hálózaton keresztüli online vásárlás világszinten 40%. A japán-kína ellentét itt is jellemző (24-52%), viszont a britek meglepő módon még Kínát is lekörözik egy százalékkal.

A dolgozók többnyire természetbeni juttatásnak veszik a munkahelyi internetelérést és ha már lúd, legyen kövér: az ne is legyen korlátozva, mert neki joga van hozzá. Úgy tekintenek rá, mint egyfajta szerzett jogra. A jó IT vezetésnek itt kell közbelépnie és figyelembe véve a kockázati tényezőket, mérlegelni a kontroll+biztonság és a szabadság között. A dolgozók kulturális és viselkedési mintáik alapján különbözőképp reagálnak a veszélyek megjelenésére, így a cég szigorú érdeke, hogy felmérje a felhasználói szokásokat. Az eredmény után pedig két út áll a vezetés előtt: a technokrata szemlélet alapján egy IT-atombunkert húz a hálózat köré és letilt mindent, ami él és mozog. A másik megoldás pedig a képzés, oktatás, fejlesztés, policyk kialakítása.

Ma Magyarországon minden munkavállalónak kötelező aláírnia és ismernia a munkavédelmi és a tűzvédelmi szabályzatot. Miért is ne lehetne kötelező az IT szabályzat is? Sok vállalat ezt már bevezette, de gyakorlatilag mindenki magasról tesz rá, hiszen ellenőrzés ritkán elképzelhető. A legtöbb nagy sávszélességgel rendelkező fájlmegosztó például biztosan nem otthon rendelkezik 100 Mbit-es duplex vonallal, ők mind vállalati infrastruktúrát használnak gyakorlatilag illegális és sokszor veszélyes tevékenységre.

Itthon az is megkérdőjelezhető, hogy van-e egyáltalán megfelelő minőségű IT személyzet egy adott cégnél és elég felkészültek-e a menedzserek, hogy kordában tartsák ezt a kérdést is. Ha megjelenik egy Office biztonsági rés, akkor az IT felelős automatikusan letiltja a .doc, .xls, .ppt formátumú email csatolmányok továbbítását a hálózaton, ami a cégnél egy teljes leállást eredményezhet. Nincs megrendelés, nem működik a bérszámfejtés, megáll a kommunikáció. Ekkor az okos menedzser utasíthatja a feloldásra az IT-t, amennyiben tesz arról, hogy a hiba fennállásáig biztosítva lesz a szükséges erőforrás többlet. Magyarul, ha vállalja a felelősséget és segítséget ad a megoldáshoz, akkor nem lesz felelőtlen sem és a cég is működhet.

A túlzott biztonsági költekezés viszont csak és kizárólag az ebből bevételt termelő cégeknek érdeke. A hardver és szoftver elemeket gyártóktól a tanácsadó cégekig mindenki azt szajkózza, hogy pakold tele a padlást biztonsági elemekkel, mert különben bármi megtörténhet. Képesek lennének akár egy kőműves egy szem számítógépét is hardveres tűzfal mögé dugni, ha ebből kereshetnének. A menedzsment itthoni felkészültsége IT területen nagyon alacsony és a képzéseket nem mások szponzorálják, mint az említett cégek, (ld. IT biztonság napja), akik a kézenfekvő megoldást ajánlják: építs erődöt a cégedből. Ha egy átlagos középvállalat IT biztonsági infrastruktúráját átkonvertálnánk haditechnikára, akkor úgy nézne ki az épület, mint egy amerikai romboló teteje.

Két dolgot nem tagadnak a biztonsági szakértők sem: az adatlopási és betörési kísérleteket addig fogja valaki csinálni, amíg amögött bárkinek az érdekei állnak. Akár az elkövető anyagi haszonszerzése, akár egy kirúgott dolgozó bosszúja. Így ha valaki nem rendelkezik hipertitkos adatokkal, akkor nem is kell hiperbiztos széfben tartsa azokat. A másik állítás pedig, hogy amennyiben egy rendszert minden áron meg szeretnének törni, akkor az meg is fog történni.

A vezetéknélküli hálózatok feltörése, lehallgatása órák, napok kérdése. Bejutni egy vállalati hálózatba pedig az ügyeskezű hackereknek sokszor rutin feladat. Természetesen mindig kell hozzá egy buta titkárnő. Vagy elég egy alkalmazott, aki hazahordja a laptopját, amit a fent említett kutatás szerint meg is tesznek az emberek. Sőt a megkérdezettek fele a céges hardvert használja otthon, illetve szintén a fele használja az otthoni gépét (ami nem része a cég hálózatának) céges belépésre. Innentől kezdve gyerekjáték lehet elérést szerezni bárhová. Nevetségesen hangzik, de a legtöbb embernek semmilyen kockázatot nem jelent a szomszédból lopott Wi-Fi hálózaton keresztül bejelentkezni a vállalati rendszerbe, jelszavakat beírva, fontos dokumentumokat áttöltve.

Éppen az ilyen böszmeségek miatt kérdőjelezhető meg a technokrata álláspont. Ha a felhasználók (egyébként jó szakemberek!) IT témában retardáltként viselkednek, akkor bármilyen tank lánctalpai közé vasrudat lehet feszíteni. A hülyeség egy biztonsági rés, amit megoldani úgy lehet, ha megfelelő képzésben részesülnek a felhasználók. A megfelelő képzés pedig nem egy fél órás kötelező agymosás, amin a legtöbben elalszanak, mert egy monitorfejű rendszergazda unottan szakszavakkal magyaráz nekik. A gondos gazda (menedzser) vigyáz a jószágaira és tesz arról, hogy ne akkor lássanak először farkast, amikor átharapja a torkukat.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • rigidus #26
    Itt ut vissza amikor az oktatasugy tomegtermelesben osztogat bizonyitvanyokat megfelelo ismeretekkel nem rendelkezok szamara.
  • Commandante #25
    "Ha a felhasználók (egyébként jó szakemberek!) IT témában retardáltként viselkednek"

    Az is funny, amikor törvényeket basznak el, csak mert a titkárnö véletlenül kitöröl egy tagmondatot, vagy mert nem tud ^2-t ütni. Láttam már rá példát...

    De a legjobb az volt, amit az SZJ ZRT-nél láttam. Két embernek csak abból állt a munkája, hogy az adattárházból kiköpött adatok kerekítését ellenörizték excelben, 3 különbözö módon, amiböl az egyik matematikailag hibás volt (ezt ök is tudták). Ezen egy hétíg sírva röhögtem.
  • Sanyix #24
    "PCI-express és sokkal gyorsabb videokártyákat kezel 10-szer akkora memóriával."
    Amelyek persze nem léteznek :) -> semmi értelme. Na meg ott a tomshardwares teszt.
  • alma2 #23
    valami pc supportos gyerek lehetsz vagy tevedek ? :)
    csinalja ejjel vagy amikor nem dolgoznak a gepen stb.
  • ProClub #22
    Én azzal értek egyet, hogy tanítani kell az embereket. Az lenne az abszolut nyerő stratégia, ha az, akinek a gépéről egy spam is kimegy mert hülye volt és zombit csinált a gépéből, letiltódik a nethozzáférés a szolgáltató részéről amíg vissza nem jelez, hogy leírtotta a dolgot. Ez már sokat segítene, mert rájönne a felhasználó, hogy felelősen kell kattingatnia.
  • Reznor #21
    Sziasztok!

    Egyet értek kvp-vel, hogy inkább egy külön munkamenetbe csatlakozzon be az illető, aki frissítést végez. Tényleg para, amikor valaki elkezdi irányítgatni az egeremet. :)

    Nem kedvelem...

    Egyébként a cikkre annyit szeretnék reagálni, hogy nyilván ha mindenki által kezelhető egy számítógép, akkor az ilyen helyzethez vezet. Ezen nem kell csodálkozni. Ha csak néhányan értenének a gépekhez, mert bonyolultabb lenne a kezelésük (lásd régebben) akkor nem lenne ennyi balhé ezzel.

    Másrészt a hálózati protokollt is le lehetne cserélni. Pl ipv6 Néhol már bevezették, fejlődést jelentene, ha mindenhol kötelezően ezt használnák.

    Sokmindent át kéne gondolni teljesen előről, hogy biztonságosabbá lehessen tenni a rendszereket. Főleg a usereket kéne megtizedelni. Aki user szeretne maradni, az meg mélyebbfokú ismeretekkel rendelkezzen, ha egyszer ezt választotta. A többi meg ne netezzen. Vagy vegyen PS-t és netezzen azzal, vagy mittomén'.

    Üdv.: Rez
  • Csirke4 #20
    Megnyitod a Windows Intézőt és "jaajj micsinálsz ezt nemszabad mert elrontod vagy kitörölsz valamit."

    Sokan félnek ám géptől :O
  • evetke007 #19
    "A logikus lepes ilyenkor kihuzni a halozati csatlakozot"

    A logikus válasz erre, hogy jön egy telefon és leugatják a f@szba a júzert ... mivel az eetek többségében baxik felvenni a telefont amin arra kérnék , hogy várjon picit mert ver. frissítés van .

    Konzol message : muhahaha ! 500 db telefon lenne miatta , hogy valami üzenetet kiírt a gép .

    "Bizonsagos kornyezethez pedig mindent rendesen be kell allitani"
    Ja , KVM switch ... meg 3 gép ... és mindenkinek egy külön iroda ! :DDD
    Ehhez aztán nem értem mit kéne beállítani ? Meg sok ész se kell hozzá .



  • Mike at home #18
    látom fiatal lehetsz :)
    a telefonálgatás olyan mint az itteni fórumhasználat
    mindent egyből megkérdeznek
    kicsit sem keresnek információ után
    könnyebb a telefont felkapni mint gondolkodni
  • Mike at home #17
    embere válogatja
    én soha nem matatok más gépén úgy, hogy előtte ne szóljak neki, ne egyeztessünk mikor nem zavarom a munkáját
    ugyanis az előrébb való