Így sodorják veszélybe az adatokat a felhasználók

A legtöbb vállalat, intézmény továbbra is csak a külső támadások elhárítására koncentrál, miközben a belső fenyegetettségek által jelentett kockázatok kezelése csorbát szenved.
 

A biztonsági cégek folyamatosan hangoztatják, hogy az emberi tényezők megfelelő kezelése nélkül a legkorszerűbb technológiai védelem sem képes maradéktalanul helyt állni a különféle fenyegetettségekkel szemben. Márpedig úgy tűnik, hogy a humán faktor biztonsági szempontból sokszor szorul háttérbe, és megannyi kockázatot vet fel. A Blue Coat szakemberei annak próbáltak utána járni, hogy napjainkban melyek a legmarkánsabb, nem megfelelő felhasználói tevékenységekre visszavezethető veszélyforrások. A felmérésüket 11 országban végezték el, több mint 1500 munkavállaló megkérdezésével.

Vonzóak a felnőtt tartalmak

A felmérés szerint minden húsz amerikai munkavállaló közül egy tölt le felnőtteknek szóló tartalmakat az internetről, de például Kínában már minden ötödik alkalmazott teszi ugyanezt. Ezzel pedig nem kizárólag az a probléma, hogy a termelékenység rovására megy, hanem biztonsági szempontból sokkal inkább az, hogy az ilyen jellegű weboldalak letöltése megannyi kockázatot vet fel. Elég, ha csak egy kártékony kód felkerül egy vállalati PC-re, máris szabaddá válhat az út a támadók előtt, és akár teljes IT-infrastruktúrák válhatnak kiszolgáltatottá. További gond, hogy ezek a felhasználók általában nemcsak a pornóoldalakkal szemeznek, hanem az ingyenes filmletöltéseket, illetve a kalóz szoftvereket kínáló weblapokat sem restek meglátogatni a munkahelyi számítógépükről. Ezzel pedig a kockázatok tovább fokozódnak.

Az adathalászok csapdája

A felmérésben résztvevő szervezetek 80 százaléka továbbra is az elsődleges veszélyforrások között tartja számon az adathalászatot. Noha az Egyesült Államokban javult a helyzet abból a szempontból, hogy a felhasználók egyre kevesebb alkalommal kattintanak a csalók által elektronikus levelekben kiküldött linkekre, ennek ellenére még mindig sok a kockázat. Elég, ha csak egy felhasználót sikerül megtéveszteni egy szervezeten belül, és a letöltődő fájlok komoly károkhoz vezethetnek.

Közösségi oldalak

Az amerikai munkavállalók 41 százaléka eléri a munkahelyi számítógépéről a különféle közösségi oldalakon létrehozott profiljait. Ez pedig nem éppen kedvező a vállalati biztonsági szempontjából, ugyanis a Blue Coat szerint egyre gyakoribbak a közösségi médiára specializált fenyegetettségek. Legtöbbször a megosztott bejegyzésekben, hozzászólásokban helyet kapó, rövidített URL-ek jelentenek veszélyt, amelyekre a felhasználók - mondván a saját vagy az ismerőseik profil oldalain látják azokat - általában gondolkodás nélkül rákattintanak. Ezután pedig csak szerencse kérdése, hogy a link mögött ártalmas vagy ártalmatlan weblap húzódik meg. További kockázat, hogy a közösségi oldalak kiváló terepet jelentenek azon támadók számára, amelyek social engineering módszereket is alkalmaznak a felhasználók bizalmának elnyeréséhez.

A Blue Coat kiemelte, hogy a nemzetközi szinten működő vállalatoknak abból a szempontból még nehezebb a dolguk, hogy az egyes országokban eltérő jogszabályok vannak életben, és ezt a biztonság kialakítása, illetve az oktatások során sem szabad figyelmen kívül hagyni. A helyzet pedig még tovább bonyolódik akkor, amikor azon alkalmazottakat kell megvédeni, akik rendszeresen utaznak, hiszen ilyenkor alkalmazkodni kell az éppen aktuális célország előírásaihoz.

Hogyan védekezzünk?

Joggal merül fel a kérdés, hogy miként lehet a humán faktor által jelentett kockázatokat minimalizálni. A biztonsági cég szerint nincs olyan módszer, amely egy csapásra minden problémát megoldana, ezért átfogó védelmi intézkedésekre van szükség. Megfelelő technológiai háttér biztosítása mellett a felhasználók oktatása elengedhetetlen ahhoz, hogy a munkavállalók még időben felismerjék a nemkívánatos tartalmakat, illetve a csalók ténykedését. Mindezeken túl ki kell alakítani azt a kockázatarányos tartalomszűrési rendszert, amelynek révén felügyelhetővé, kontrollálhatóvá válhat az alkalmazottak online tevékenysége.