Kiberbiztonság: ez is munkavédelem
Kiberbiztonság: ez is munkavédelem
A számítástechnikai megoldások használata ma már minden ágazatban elkerülhetetlen. A mezőgazdasági munkát speciális alkalmazások is segítik, az online marketing segíti a gyártó üzemek értékesítési folyamatát, az elektronikus számlázással pénzt, időt, működési költséget spórolhatunk. A technika azonban egy újabb támadási felületet is biztosít. Lássuk, hogyan védekezhetünk a csalások, visszaélések ellen az internet világában!
Miért kell mindenkinek foglalkoznia a témával?
A GDPR, vagyis az egységes, európai uniós adatvédelmi szabályozás rendelkezéseit mindenkinek be kell tartani. Az adatvédelem fontosságáról korábban már mi is írtunk. Ez a terület az egyik legérzékenyebb pont a cégek életében. Ha adatok szivárognak ki egy vállalkozás rendszeréből, az ritkán marad következmények nélkül. Még ha a bírságot sok esetben el is lehet kerülni, a hírnéven esett csorba sokszor rosszabb, mint a hatóságok büntetése.
Természetesen nem csak a kezelt személyes adatok, de minden céges információ értékes. A nem megfelelően működő rendszeren keresztül könnyen elárulhatjuk a terveinket a konkurenciának, vagy annak, aki előtt titkolni szeretnénk a mechanizmusaink pontos működését.
A digitális támadások ráadásul rengeteg személyes problémát, feszültséget is okozhatnak. A pszichoszociális veszélyek elhárításának egyik fontos része a megfelelő védelem az online és a digitális térben.
A kiberbiztonság alapja: a titok
Ha számítástechnikai biztonságról van szó, az egyik legfontosabb kérdés tehát az információk védelme. A biztosítás alapja, hogy a fontos adatok ne kerülhessenek illetéktelen kezekbe. Az ez elleni védekezés pedig már az adatok megosztásánál elkezdődik.
A számítógépes munka tervezését érdemes azzal kezdeni, hogy megtervezzük, kivel milyen fájlokat, adatokat osztunk meg. Míg az Adatvédelmi Szabályzat, vagy a cég bemutatkozása nyilvános dokumentumok, egy-egy belső kutatás eredményét, a dolgozók privát telefonszámának listáját, vagy a gépeken végzett javítások naplóját nem biztos, hogy mindenki számára szeretnénk elérhetővé tenni.
Mielőtt megkezdjük a munkát, érdemes rangsorolni az információkat, például ehhez hasonló módon:
- Nyilvános információk: Ilyenek lehetnek a kötelező elemek, mint az ÁSZF és az adatvédelmi tájékoztató. Ide tartoznak a marketing anyagok, a sajtóközlemények, vevőtájékoztatók.
- Belső információk: Olyan adatok, amelyekhez csak a vállalat dolgozói esetleg közvetlen partnerei férhetnek hozzá. Ilyenek lehetnek például a belső címlisták, a szabadságolási adatok, a dolgozók beosztása stb.
- Bizalmas, belső információk: Ilyenek lehetnek azok az adatok, amelyekhez csak a dolgozók bizonyos része, például egy munkacsoport, vagy csak a vezető beosztású munkatársak férhetnek hozzá. Ez lehet például egy pályázatra készülő terv, egy közös egyeztetés eredménye, a munkatársak értékelése, de ide tartozhatnak például az ügyfelek adatai is.
- Szigorúan bizalmas információk: kizárólag néhány munkatárs, vagy a vállalat vezetése ismerheti meg ezeket az adatokat. Érzékeny információk tartozhatnak ide, akár például a vállalat vezetőjének egészségi adatai vagy fizetése.
Érdemes átgondolni, melyik információt kinek tesszük hozzáférhetővé. A belső információkat például bátran feltehetjük az internetre, vagy elküldhetjük e-mailben az összes kollégának. Ezek többnyire olyan adatokat tartalmaznak, amelyek kiszivárgásából maximum kisebb kellemetlenségek származhatnak (például kéretlen levelek érkeznek egy munkahelyi e-mail címre), de nagyban nem befolyásolják az üzletmenetet.
A bizalmas információkat már érdemes nem megosztani bárkivel a cégen belül. Ezeket olyan felületre érdemes feltölteni, ahol pontosan ellenőrizni lehet, ki, mikor fér hozzá az adatokhoz. Egy céges, belső szerver, vagy más szolgáltatás erre tökéletes.
Létezhetnek annyira bizalmas adatok is, amelyeket egyáltalán nem érdemes a rendszerben tárolni. Elképzelhető, hogy néhány dolgot csak személyes beszélgetésben, elektronikus továbbítás nélkül szabad közölni a másikkal.
Milyen csatornán kommunikáljunk?
Aki illetéktelenül szeretne hozzáférni az információkhoz, az sokféle módon próbálkozhat. Az egyik legegyszerűbb talán, ha ismeri a forráshoz tartozó jelszavakat. Ilyenkor akár minden különösebb informatikai tudás nélkül be lehet hatolni a rendszerbe.
Az elterjedtebb szolgáltatók folyamatosan támadások kereszttüzében állnak. Bár ezek a cégek folyamatosan tesznek a biztonságért, egy-egy frissítéskor csak idő kérdése, hogy a hackerek, internetes kalandorok rátaláljanak a hibára. A Facebook-fiók feltöréséről, vagy az egyes e-mail rendszerekbe való behatolásról akár részletes “használati utasítást” is találhatunk az interneten. Éppen ezért fontos, hogy lehetőleg ne a legelterjedtebb, ingyenes platformokat használjuk a céges beszélgetésekhez.
Érdemes erős, kifejezetten az adott célra, például céges e-mailezésre fejlesztett szoftvert használni, olyat, amelyik titkosított csatornán továbbítja az adatokat a feladó és a vevő között. A 128 bites titkosítás logikailag feltörhetetlen biztonságot ad: az adatainkhoz vezető 128 jegyű, gép által generált kódot még egy szuperszámítógép sem tudja elfogadható idő alatt, véletlenszerű próbálkozásokkal feltörni.
Sokszor az is segít, ha az adatok tárolására, továbbítására használt programok nem egy nyilvános szolgáltató, hanem a cég saját szerverét használják. Ezáltal sokkal kisebb az esély arra, hogy valaki meg tudja támadni a felületet.
Természetesen az erős jelszavak használatának szabályát még ilyen körülmények között sem szabad figyelmen kívül hagyni. Jó, ha magukat az eszközöket is védjük. Használjunk olyan szolgáltatást, amellyel az ellopott, elveszett gépek, telefonok tartalma távolról is törölhető!
Milyen támadások érhetnek egy céget?
Sokan azt gondolják, felesleges költeni a védelemre, hiszen kinek állhat érdekében internetes támadást indítani? Sajnos vannak olyan támadási formák, amelyek ellen senki, még a legkisebb vállalat sincs biztonságban. Lássuk, milyen fő motivációk állhatnak egy-egy bűncselekmény mögött!
- Sokan azért igyekeznek behatolni a vállalati rendszerekbe, mert az kalandot jelent a számukra. Ezeknek a támadásoknak egy része nem veszélyes: az illető bemegy, “körülnéz” majd távozik és megelégszik a tudattal, hogy sikerült teljesíteni a kihívást. Máskor viszont a hacker valamilyen jelet is hagy – apróbb módosítást a honlapon, “névjegyet” a céges hálózaton. Ezek a támadási formák főleg azért bosszantóak, mert képesek megrengetni a vállalat adatbiztonságába vetett bizalmat.
- Nyilvánosság keresés. Sok hacker számára a fő motiváció, hogy megossza az ideológiáját, nézőpontját másokkal. Korábban gyakori visszaélésnek számított például, hogy iszlám szélsőségesek egyszerűen a saját ideológiájuk népszerűsítése érdekében lecserélték a weboldal tartalmát – akkor is, ha nem óriási látogatottságú oldalról volt szó.
- Bosszú. Van, amikor a támadókat valamilyen bosszú motiválja. Sokszor egymástól elszigetelt emberek, csoportok fognak össze az “igazságszolgáltatás” érdekében. Ilyen lehet például, ha egy állatkísérleteket folytató cég weboldalát sok-sok rendeléssel és kéréssel túlterhelik, hogy megakadályozzák az “erőszakos” termékek további gyártását, értékesítését.
- Anyagi haszonszerzés. Az ilyen jellegű támadások sokszor zsarolást tartalmaznak, például eltüntetik az adatokat és csak pénzért hajlandóak azt visszaállítani. Előfordul, hogy a hacker valamilyen direkt adatra vadászik, például e-mail cím + jelszó tartalmú listákat keres, amelyeket utána értékesít.
Nincs tehát szabály arra, hogy a támadások csak nagy vagy kis cégeket, nagy vagy kis forgalmú weboldalakat, rendszereket érintenének.
Nem csak a programok számítanak
Ha információbiztonságról van szó, nem csak a programok és szoftverek számítanak. Az egyik leggyengébb tényező a rendszer egészében maga a felhasználó. Sokszor az ő viselkedésén múlik, lesz-e baj. Sokszor előfordulhat, hogy egy meggondolatlan Facebook-poszt okoz gondot (például véletlenül látszik rajta az épület alaprajza, az ügyfél adatai, vagy egy gép működése). Máskor abból adódik gond, hogy valaki nyilvános helyre tölt fel valamit, vagy privát címről továbbít céges adatokat.
Az úgynevezett Social engineering a kibertámadások egyik legtrükkösebb csoportja. Ebben az esetben a támadók nem a rendszer feltörésével próbálkoznak, hanem a felhasználót igyekeznek manipulálni. Előfordulhat, hogy magukat a cég IT osztályának kiadva megpróbálják rávenni a munkatársat, hogy adja meg a rendszer jelszavát, máskor pénzt követelnek azért, mert állítólag megszerezték a céges telefonja adatait.
Ezek a támadások sokszor célzottak és hónapokig húzódnak. A támadók például sok-sok helyről gyűjtenek adatmorzsákat a cégről, hogy hitelesebbnek látszódjanak, majd valamilyen módon a kollégák bizalmába férkőznek, például coachingot, előléptetést, ígérve, vagy segítséget kínálva. Így történhet meg, hogy végül maguk a dolgozók engednek idegent a rendszerbe valamilyen, akár virtuális, akár fizikai kiskapu megnyitásával.
Mit lehet tenni?
A szakember által megtervezett, telepített és karbantartott rendszer mellett a felhasználói fegyelem és a kollégák folyamatos tájékoztatása a legfontosabb. Érdemes tisztázni, kinek mi a szerepe az adatvédelemben, sőt, azt sem árt ellenőrizni, valóban mindenki tisztában van-e a megfelelő viselkedési szabályokkal, éles helyzetben tényleg helyesen tud-e cselekedni.
Fontos olyan környezetet teremteni, ahol a felhasználó meri jelezni a problémákat: bevallja például, hogy adathalászat áldozata lett, elveszítette a telefonját, esetleg gyanús e-mailt kapott vagy megfélemlítették.
Felkészült csapatunk rendelkezik az adatvédelmi szabályzat elkészítéséhez szükséges képesítéssel és tapasztalattal is. Szívesen működünk együtt a választott informatikus szakemberekkel, akár mérnökökkel, biztonsági szakértőkkel is a kockázatok mérséklésében, a nyugodtabb, adatvesztés nélküli munkakörnyezet kialakításában.
Magabiztos, nyugodt munkavégzést kívánunk!