A visszaélés megelőzés komoly témáját egy vidámabb eseménnyel bevezetve hadd említsem meg: informatikai biztonság-tudatosság képzést tartottunk nemrégiben. Örömteli volt nézni, ahogyan az elején tartózkodó és zárkózott hallgatók (20-60 év közötti nem informatikus szakemberek) kezdték élvezni a tréninget: felhangzott az első nevetés, a kérdésekre már egymás szavába vágva feleltek; egyszóval ráéreztek, hogy ez egyáltalán nem „rakétatudomány”, a biztonságnak számos olyan összetevője van, amely a „normál” felhasználón múlik, ő az első védelmi vonal.
(A jól átgondolt, többrétegű, mélységi technikai védelem kialakítása és működtetése a vállalat feladata. Az IDS/IPS, NAC, EPP, MDM, FDE és a többi néhány betűs technikai megoldás természetesen szintén fontos, a „humán” és a technikai védelem együtt, egymást kiegészítve ad egységes, átfogó védelmet. A technikai védelem is szóba fog kerülni több későbbi bejegyzésben (nem rövidítésekben, hanem érthetően – a korábbi terminus technikus dömping a technikai oldalról érkező olvasók megnyugtatására íródott, hogy lássák, érdemes ide visszatérni a későbbiekben) – a mai cikk azonban egy (látszólag) kevésbé komplikált védelmi megoldásról szól.
Visszatérve a képzésre: tanulságos volt az is, mikor „fagyott meg a levegő” vagy kezdett zavartan nevetgélni a társaság, mely témák, mintapéldák érintették meg leginkább a hallgatókat. Az egyik ilyen a jelszavak védelme volt, pontosabban az, hogy a jelszavát mindenki kezelje bizalmasan, ne ossza meg másokkal.
A munkavállaló aláírja a munkaszerződését, kap egy felhasználói azonosítót az informatikai rendszerekhez (innen kezdve őt felhasználónak is nevezhetjük), kap az azonosítójához egy kezdeti jelszót, majd kezdi a munkát, belép az informatikai rendszerbe, valaki elmagyarázza neki, mit és hogyan kell csinálni és így tovább. Ami számunkra jelenleg lényeges: az informatikai rendszerbe történő első belépéstől kezdődően a munkavállaló valamennyi informatikai tevékenysége naplózásra kerül, mint az általa végzett tevékenység.
Nyilvánvaló – gondolja Ön. Nyilvánvaló – gondolják a felhasználók.
A felhasználói azonosítót és a hozzá tartozó jelszót nem szabad mással megosztani, mivel ha más megismeri az azonosítót és a jelszót, az illető az eredeti felhasználó nevében tud végrehajtani tranzakciókat, amelyeket az informatikai rendszer úgy naplóz, mintha azokat a felhasználó hajtotta volna végre.
Nyilvánvaló – gondolja Ön. Nyilvánvaló – gondolják a felhasználók.
Két megjegyzés:
- A vállalaton kívüli támadók technikái közül a korábbi blogbejegyzésben említett social engineering a leginkább költséghatékony célzott támadás. A social engineering jó magyar fordítással: pszichológiai manipuláció, amelynek során a cél az, hogy a kívánt bizalmas adatokhoz ne informatikai rendszerek feltörésével, hanem felhasználók megtévesztésével – többek között azonosítójuk és jelszavuk megszerzésén keresztül – jussanak hozzá.
- A social engineering minden hatékonysága mellett visszaélések esetében a felhasználó azonosítójával és jelszavával leggyakrabban nem a vállalaton kívüli ismeretlen elkövető él vissza, nem a hacker szerzi meg pszichológiai megtévesztéssel a munkavállaló azonosítóját, hanem a felhasználóval egy munkahelyen dolgozó másik munkavállaló (például melléállva vagy válla felett átnézve meglesi az informatikai rendszerbe történő belépéskor).
A jelszavak védelme, megosztási tilalma a kollégákra, felettesekre és beosztottakra egyaránt vonatkozik; velük sem kell, velük sem szabad közölni a jelszót.
75 millió Euró elkövetési értékű visszaélést vizsgáltunk eddig. A más felhasználói azonosítójával és jelszavával elkövetett visszaéléseket mindegyik általunk vizsgált esetben belső munkavállaló, kolléga követte el.
Amikor információ biztonság-tudatosság képzésen ezt megemlítem, mindig vágni lehet a csendet. Meg is értem: a munkavállalói létezés alapja a bizalom; a kollégákkal szembeni „titkolózás” ezzel teljesen ellentétes.
Titkolózás? Bizalmatlanság?
Jogos önvédelem.
Dolgozhatnak évtizedek óta együtt, előfordulhat olyan helyzet (amelyről Ön nem tud), amikor egyik ismerőse vagy kollégája úgy érzi, nincs más lehetősége, mint hozzányúlni a rábízott vagy körülötte levő értékekhez, ráadásul ez kisebb kockázatot jelent számára, mint a felmerült kényszer. Nem biztos, hogy ez valós értékelés, az sem biztos, hogy nincs más lehetőség, de a leendő elkövető így gondolja, ezt érzi – és lép.
Remélhetőleg nem lesz ilyen eset az Ön környezetében – így legyen. Ha viszont mégis…
A visszaélés megelőzés több személyt is meg tud védeni: Önt, becsületesen dolgozó kollégáit, az ügyfeleiket – még a visszaélést fontolgató kollégát is (önmagától).
Gondoljon önmagára és családjára – előzze meg a visszaélést, ne ossza meg jelszavát mással.
Ön már tudja, mire kell figyelnie, Ön már biztonságban lesz. Kollégái, beosztottai is meg tudják védeni magukat?
Lépjünk kapcsolatba most, kezdjük el mihamarabb fejleszteni az Önök munkavállalóinak biztonságtudatosságát!
Visszaélés kivizsgálás, felderítés