A Cisco független kutatócéggel készíttetett nemzetközi tanulmánya azokra a viselkedési és kulturális tendenciákból eredő kihívásokra hívja fel a figyelmet, amelyekkel az IT-biztonsági szakemberek gyakran szembesülnek. A kutatás eredményei szerint a legtöbb alkalmazott saját bevallása szerint tudatos a hálózatbiztonság terén, miközben viselkedési szokásaik ennek gyökeresen ellentmondanak. A tapasztalatok alapján a hazai felhasználók ugyanolyan „rugalmasan” bánnak a vállalati erőforrásokkal, mint külföldi társaik, így a megoldást hazánkban is a biztonságtudatosságra nevelés mellett az emberi tényező lehető legnagyobb kiküszöbölése jelentheti – megfelelő eszközök segítségével.

A nemzetközi felmérés célja az volt, hogy pontosabb kép alakuljon ki azokról a fokozott kockázati tényezőkről, amelyeket az alkalmazottak körében elterjedt tévhitek és viselkedési formák jelentenek az informatikai szervezetekre, a vállalatokra és a globális hálózati közösségre nézve. A felmérésbe mintegy tíz ország összesen több mint 2000 munkavállalóját vonták be. A felmérést végző független piackutató cég legalább száz-száz végfelhasználót kérdezett meg az Egyesült Államokban, az Egyesült Királyságban, Franciaországban, Németországban, Olaszországban, Japánban, Kínában, Indiában, Ausztráliában, illetve Brazíliában.

A tanulmány a hálózati biztonság szempontjából a legnagyobb kockázatot a felhasználók hamis biztonságtudatában jelölte meg. Három válaszadóból kettő (66 százalék) vallotta azt, hogy teljes mértékben tudatában van a biztonsági szempontoknak, de a gyakorlatban tanúsított tevékenységei gyakran rácáfoltak erre.

A megkérdezettek közül körülbelül minden ötödik (21 százalék) lehetővé teszi barátai, családtagjai és más, nem vállalati dolgozók számára, hogy céges számítógépén keresztül internetezzenek. Kínában ötből több mint két megkérdezett (42 százalék) ismerte el, hogy megosztja másokkal céges számítógépét. Japánban pedig többen (13 százalék) engedik meg másoknak, hogy vállalati számítógépeiket használják, mint ahányan saját célokra alkalmazzák (12 százalék).

Kínában, Olaszországban és Brazíliában minden ötödik megkérdezett elismerte, hogy otthoni munkavégzése során szomszédja vezeték nélküli hálózatát használja. A nemzetközi átlag ebből a szempontból 11 százalékot mutatott, de Németország így is 15 százalékkal, az Egyesült Államok pedig 12 százalékkal követi az élbolyt.

A kutatásban megkérdezettek közül minden negyedik (25 százalék) nyilatkozott úgy, hogy a munkahelyi számítógépén meg szokta nyitni az ismeretlen e-maileket. Kínában viszont a válaszadók több mint fele (57 százalék) ismerte el, hogy rendszeresen megnyitja az ismeretlen forrásból származó e-maileket.

A tanulmány egyik legszembetűnőbb ellentmondása mégis a nem munkával kapcsolatos tevékenységekre vonatkozik: A tíz országban végzett felmérés során a megkérdezettek mindössze 29 százaléka ismerte be, hogy munkahelyi számítógépét személyes célokra is használja. Ezzel szemben 40 százalékuk – azaz 11 százalékkal többen – bevallottan használták már online vásárlásra céges számítógépüket. Ez az ellentmondás tízből nyolc országban megfigyelhető volt (a két kivétel Kína és India). Az Egyesült Királyságban például csak a válaszadók 27 százaléka vallotta be, hogy a céges számítógépet magáncélra is használta, azonban 53 számolt be arról, hogy a távmunka során rendszeresen vásárol az interneten.

Magyarországi tapasztalatok

Magyarországon a végfelhasználók egyre szélesebb köre használja az informatikai eszközök mind színesebb palettáját, így egyre többet találkoznak biztonsági problémákkal (vírusok, férgek, spam, phising, stb.). A Cisco nemzetközi kutatásában kimutatott problémák Magyarországra is ugyanúgy igazak, mint a kutatásban részt vevő más európai országokban, hiszen az emberi tényezőben nincs számottevő eltérés.

„A védelmet a cégek hazánkban is rendszerint egy eszköz/szoftver kombinációjaként képzelik el, amely a konkrét támadást felismeri és megakadályozza, nem pedig úgy, mint egy tudatos tevékenységet, amellyel megelőzhető a konkrét támadás” – mondta Weisz János, a Kancellár.hu informatikai biztonsági tanácsadó cég kereskedelmi igazgatója. „Ezzel párhuzamosan az alkalmazottak a céges informatikai eszközeire úgy tekintenek, mint a nekik mint alkalmazottnak járó szolgáltatásra, ezért nehezen fogadnak el bármilyen korlátozást.” A szakember szerint egy 2006-ban végzett teszt során a megvizsgált kábel nélküli hálózatok 47,9%-a volt védtelen. Bár a tesztelés előtt a szakértők minden alkalommal rákérdeztek, hogy be van-e kapcsolva a biztonsági szoftver, és bár az esetek 51,4%-ában igenlő választ kaptak, ezek 20%-ánál mégsem volt bekapcsolva semmilyen védelmi megoldás.

A hazai piacon a cégek biztonságtudatos (pontosabban biztonság-tudattalan) viselkedésére vonatkozó átfogó kutatás még nem volt. A SavesAs információvédelmi cég által 2005-ben végzett wardriving felmérése szerint Budapesten a vezetékes hálózatok 86%-a 24 órán belül feltörhető volt. További jellemző arányt mutat az a 2006-ban elvégzett felmérés, amely szerint a spamszűrő eszközök bevezetése előtt a teljes elektronikus levélforgalom 70-80%-a kéretlen e-mail volt.

A biztonsági kérdések a cégek méretével arányosan jelentkeznek. Míg a nagyvállalatok tudatában vannak e veszélyforrásnak, és megfelelő módon védekeznek ellene, addig a cégméret csökkenésével – az IT kérdések egyre kevésbé intézményesített jellegéből adódóan – mindinkább kitettek a felsorolt biztonsági kockázatoknak. Mindazonáltal a valós veszély akkor jelentkezik, amikor a cégek az üzleti folyamataikat már elektronikus útra terelik, így ezek elérhetővé válnak a hálózatokon keresztül.

A vállalatoknál bekövetkező biztonsági események jelentős része belső eredetű, azaz a cégen belülről származó információ/tudás felhasználásával történik. A támadások rendszerint a legsebezhetőbb ponton következnek be, ami nem csak a technológia lehet, hanem az azt üzemeltető/használó ember is. A biztonsági kérdések megválaszolásakor fontos az eszköz és a felhasználó kapcsolata, hiszen egy védelmi eszköz nem ér semmit, ha azt rosszul használják, vagy megkerülik.

Az üzemeltetők és a felhasználók számára meg kell mutatni, hogy milyen veszélyek leselkednek rájuk, milyen támadási formák veszélyeztetik őket, és hogy miként lehet ezek ellen védekezni. Fontos tudniuk, hogy a védekezésből milyen szerep hárul rájuk, azaz, hogy ők személyesen mit tehetnek annak érdekében, hogy ne az ő tevékenységük jelentsen kockázatot, ne az legyen a leggyengébb láncszem.

Mi a megoldás?

A Cisco szerint a felhasználók viselkedéséből származó veszélyek a leghatékonyabban úgy küszöbölhetők ki, ha a rendelkezésre álló modern technológiákkal a cégek a lehető legkisebbre csökkentik az ember – mint a leggyengébb láncszem – által jelentett kockázati tényezőket. E megoldások lényege az, hogy a cég által definiált biztonsági követelményeknek való megfelelést folyamatosan ellenőrizni kell, azok betartását ki kell kényszeríteni. Például a jelszó beírása helyett/mellett a munkaállomás olvasójába be kell dugni a belépőkártyát, ami az épületen belüli közlekedést is biztosítja, így – ha a felhasználó elhagyja munkahelyét – a kártyáját magával kell vinnie, ami azonnal lezárja a munkaállomást. A távmunkát végző alkalmazott munkaállomásának védelméről is gondoskodni kell (tűzfal, behatolásfigyelő, vírusvédelem, stb. telepítésével), és bejelentkezni is csak akkor szabad a céges védett hálózatba, ha az előírások szerint működik a kialakított védelem.