A fizikai és kiberbiztonság napjainkban már egyáltalán nem választható szét.

Amikor biztonságról beszélünk, akkor nemcsak az otthonunk, családunk vagy éppen céges vagyonunk védelméről van szó, hanem a minket a kibervilágból érkező fenyegetésekre is kell gondolnunk. Nem választható el a kettő, illetve mind a kettőre fokozott figyelmet kell fordítanunk.

Mi az AxxonSoft – nál az intregrátor-oktatások alkalmával is külön foglalkozunk ezzel a kérdéskörrel, mert kiberbiztonság nélkül ma már nincs fizikai biztonság sem.

Szoftvereinket a lehető legnagyobb mértékben ellátjuk olyan ellenőrző és „védekező” funkciókkal, amik sokat segítenek abban, hogy egy esetleges rosszindulatú behatolást ki lehessen szűrni, és ne okozzon a felhasználónak visszafordíthatatlan károkat.

A következő cikkben a kiberbiztonságról lesz szó, mert olvasásakor arra gondoltunk, hogy érdemes Partnereinknek is továbbadni ezeket az információkat.

Egy biztonsági szakértő elmagyarázza, hogy az informatikai vezetők hogyan dolgozhatnak együtt az alkalmazottakkal annak érdekében, hogy stratégiáik és technikáik ténylegesen megvalósuljanak.

A kibertámadások elleni legjobb védekezés nem a technológiai megoldások, hanem az emberi tényező megerősítése, mondta Perry Carpenter – kiberbiztonsági veterán, szerző és a KnowBe4 vezető evangelista-biztonsági tisztviselője.

A Verizon Business 2022 adatbetörés-vizsgálati jelentéséből kiderült, hogy a támadások 82%-áért továbbra is az emberi tényező a felelős. A támadások pedig egyre agresszívabbak, a zsarolóvírus (ransomware) 24 hónap alatt 13%-kal ugrott meg, ami magasabb, mint az elmúlt öt évben együttvéve.

“Ahogy egyre gyorsabban haladunk egy egyre inkább digitalizált világ felé, a hatékony technológiai megoldások, az erős biztonsági keretek és az oktatásra való fokozott összpontosítás mind szerepet.

játszik abban, hogy a vállalkozások biztonságban maradjanak, az ügyfelek pedig védve” – mondta Hans Vestberg, a Verizon elnök-vezérigazgatója.

A Verizon jelentése feltárja az emberi befolyásolás költségeit. “Az emberek továbbra is – messze a leggyengébb láncszemek a szervezet kiberbiztonsági védelmében” – állítja a vállalat.

A KnowBe4, egy biztonságtudatossági képzés és szimulált adathalász platform, nemrégiben kiadott egy forráscsomagot, amely az IT és Infosec szakembereknek segít a biztonság emberi elemének javításában. A szervezet szerint az informatikai szakemberek még mindig kihívásokkal küzdenek, amikor a biztonságtudatossági program kialakításáról van szó.

Carpenter a TechRepublic-nak nyilatkozva megosztotta az elmúlt évek során szerzett emberi biztonsági tanulságait. Arra figyelmeztet, hogy bár az emelkedő kiberbiztonsági statisztikák nagy aggodalomra adnak okot, a vállalatoknak ezeken túl kell tekinteniük.

“Sajnos a kiberbiztonsági fenyegetések ismerete csak a csata egyik fele. Azzal, hogy teszünk ellenük valamit – és ami még fontosabb, hogy teszünk valamit a megelőzésük érdekében -, azzal kellene igazán az időnket töltenünk” – mondta Carpenter. Kifejtette, hogy még a biztonságtudatosságra irányuló erőfeszítésekben résztvevők is szenvednek egy végzetes hibától: a tudás-szándék-viselkedés szakadékától.

“Csak azért, mert a csapattagok tisztában vannak valamivel, még nem jelenti azt, hogy törődni is fognak vele” – mondta Carpenter. A tudás-szándék-magatartás szakadék megmagyarázza, hogy miért növekszik tovább a jogsértések száma annak ellenére, hogy a vállalatok minden munkavállaló számára erős kiberbiztonsági tudatossági programok kiépítésébe fektetnek be.

Carpenter szerint a munkavállalók tisztában lehetnek a fenyegetésekkel és kockázatokkal, azok működésével és azzal, hogy mit kell tenniük ezek elkerülése érdekében, de mégsem teszik meg a szükséges lépéseket a vállalat biztonsága érdekében.

Ennek a helyzetnek a visszafordítása érdekében a vállalatoknak be kell zárniuk a tudás és a szándék közötti szakadékot, hogy helyes viselkedésre ösztönözzék a dolgozókat. Ehhez olyan megközelítésre van szükség, amellyel a rendkívül technikai jellegű kiberbiztonsági iparág küzd – az emberi természettel való együttműködésre.

A hatékony kiberbiztonsági programok az emberi természettel dolgoznak, mivel a kiberbűnözői szervezetek szakértővé váltak a természet manipulálásában. A vezetők talán azt kérdezik maguktól, hogy ha a dolgozóik tájékozottak, miért dőlnek be mindenféle átverésnek és adathalász kampánynak?

Carpenter szerint a válasznak semmi köze ahhoz, hogy mennyire okosak az alkalmazottak. A legsikeresebb technikák egy rendszer feltörésére nem a kifinomult rosszindulatú szoftvereken múlnak, hanem azon, hogyan manipulálják az emberi érzelmeket. A támadók kihasználják a természetes kíváncsiságot, az impulzivitást, a becsvágyat és az empátiát.

Egy másik módszer a régi marketingtechnika, hogy ingyen kínálnak dolgokat. A clickbait tömeges hirdetési kampányok hihetetlenül hatékonyak lehetnek, és a kiberbűnözők számára ezek átjárók a malware-ek és zsarolóprogramok letöltéséhez. Készpénzt, befektetési lehetőségeket vagy csak egy ingyenes autómosást ígérnek, mivel tudják, hogy az emberek nagyon nehezen tudnak ellenállni egy ártalmatlannak tűnő és vonzó ajánlatnak.

Egy másik növekvő trend az emberi empátiát manipulálja. Az FBI 2020-ban figyelmeztetett a COVID-19-hez kapcsolódó, kialakulóban lévő csalási sémákra, 2022 májusában pedig az FBI internetes bűnügyi panaszközpontja, az IC3 figyelmeztetett arra, hogy a csalók ukrán szervezeteknek adják ki magukat, és adományokat kérnek. A bűnözők semmitől sem riadnak vissza, és humanitárius válságokat vagy természeti katasztrófák utáni eseményeket használnak fel a social engineering támadások gyártására.

A kiberbűnözők a közösségi médián és online oldalakon keresztül megszerzett munkavállalói információk felhasználásával rendkívül személyre szabott támadásokat is létrehoznak. Emellett, ha tudják, hogy egy munkáltató egy vezetőnek, a HR-nek vagy a vállalat vezérigazgatójának válaszol, kihasználják ezt a kapcsolatot, és a szervezeten belül tekintélyes személyeknek adják ki magukat. “Hamis üzeneteket küldenek a vezérigazgatótól olyan utasításokkal, hogy utaljanak át pénzeszközöket egy hamis szállítói számlára ” – mondta Carpenter.

Kommunikáció, viselkedés és kultúrairányítás

Carpenter kifejtette, hogy a vállalatoknak három területen kell folyamatos biztonsági képzést biztosítaniuk alkalmazottaik számára:

• Kommunikáció

• Viselkedés

• Kultúra kezelése

A TechRepublicnak elmondta a legfontosabb pontokat, amelyekből a vezetők az egyes részterületekre vonatkozó leckéket felépíthetik.

Kommunikációs leckék

• Értse meg a közönségét és azt, hogy mit értékelnek.

• Ragadja meg az emberek figyelmét, próbáljon érzelmekkel hatni: ne csak tényeket osszon meg, hanem használjon történeteket és példákat a kapcsolatteremtéshez.

• Legyen egyértelmű felhívás a cselekvésre: mondja el a csapatoknak, konkrétan, hogy mit kell tenniük.

Viselkedési leckék

• Ismerje fel a tudás-szándék-viselkedés szakadékot, mint olyan valóságot, amely hatással van minden olyan viselkedésre, amelyet ösztönözni vagy visszatartani szeretne. Lehet, hogy a csapattagjai rendelkeznek a szükséges tudással és a legjobb szándékkal, de az Ön célja végső soron a viselkedésük befolyásolása.

• Az emberek nem racionálisak. Olyan ösztönzőkkel, eszközökkel és folyamatokkal kell segítenünk őket, amelyek megkönnyítik és természetesebbnek érzik a viselkedést.

• Az eszközöket és a képzést a lehető legközelebb helyezze a viselkedés pontjához.

Kultúrairányítási leckék

• Értse meg a kultúráját, ahogyan az jelenleg létezik, kultúrafelmérő felmérések, fókuszcsoportok, megfigyelés és egyéb módszerek segítségével.

• Határozza meg azokat a potenciális “kultúrahordozókat”, akik fel vannak szerelve és felhatalmazva arra, hogy segítsenek támogatni azt a gondolkodásmódot és viselkedést, amelyet az egész csapatban látni szeretne.

• Tervezzen olyan struktúrákat, nyomást, jutalmakat és rituálékat, amelyek folyamatosak lesznek, és amelyek a különböző csoportok közötti egyedi különbségekkel foglalkoznak.

2021-ben az IBM kimutatta, hogy egy végponti támadás átlagos költsége 4,27 millió dollár. Ahogy a hibrid munkamodellek általánossá válnak, és a támadási felület a vállalati hálózatokon kívül csatlakoztatott új eszközök millióival bővül, az olyan kiberbiztonsági megoldások, mint a végponti jogosultságok kezelése (EPM) és az adathalász-szimulációk a biztonsági hiányosságokra való reagálás érdekében szintet lépnek.

Az Accenture nemrégiben rávilágított arra, hogy az EPM-ek miként tehetik lehetővé a felhasználók számára, hogy hatékonyan és biztonságosan végezzék munkájukat anélkül, hogy sérüléseket kockáztatnának. Az EPM-ek a végpontokon minimális jogosultságokat biztosítanak, eltávolítva a felhasználók rendszergazdai jogosultságait, és szabályozva, hogy mely alkalmazások futtatását engedélyezik. “Csak az ellenőrzött, megbízható alkalmazások futtathatók, méghozzá a lehető legalacsonyabb jogosultságokkal” – magyarázza az Accenture.

Egy másik biztonsági eszköz, amely egyre fontosabbá válik az emberi tényező sebezhetőségének azonosítása és a rések megerősítése érdekében, miközben a felhasználókat oktatja, az adathalász-szimulációk. Az informatikai csapatok adathalász-szimulációkban szimulálják az adathalász-kampányokat, hogy szemléltessék, hogyan reagálnak a dolgozók. Ez lehetővé teszi a csapatok számára, hogy teszteljék biztonsági helyzetüket, azonosítsák a gyenge pontokat és tanuljanak a szimulációkból.

“Még akkor is, ha már elértük az átalakítási eredményeket, az út ritkán ér véget. A rossz szereplők továbbra is innovatív módszereket találnak majd arra, hogy meghiúsítsák legjobb erőfeszítéseinket. Az önök válasza az lesz, hogy folyamatosan alkalmazkodnak és elkötelezik magukat a folyamatos fejlesztés folyamata mellett” – mondta Carpenter.

Forrás: www.techrepublic.com / Ray Fernandez