Mit kezdjünk az összevissza kattintgató felhasználókkal?

Egy érdekes vita bontakozott ki arról, hogy vajon miként érdemes kezelni azokat az eseteket, amikor egy felhasználó kártékony linkekre kattint, és ezáltal komoly veszélybe sodorja a vállalati hálózatot.
 

Sokszor hangoztatott álláspont, hogy az emberi tényezők jelentik a védelem leggyengébb láncszemét. Az sem vitatott tény, hogy ha egy alkalmazott - vagy akár egy vállalati vezető - megfontolatlanul, óvatlanul kattintgat a leveleiben elhelyezett hivatkozásokra, illetve problémás weboldalakat látogat meg, akkor az komoly kockázati tényezőt jelent. Ezért aztán a biztonságtudatosság fokozására, és az ennek érdekében megtartott tudatosságnövelő képzésekre nagy szükség van, hiszen ilyen módon sok kárnak és kellemetlenségnek lehet elejét venni. Ugyanakkor a kockázatokat 100 százalékban soha nem lehet kizárni, így felmerül a kérdés, hogy mi tévők legyenek a vezetők, az informatikusok, illetve a biztonságért felelős munkatársak akkor, amikor mégis megtörténik a baj, és egy felhasználó miatt veszélybe kerülnek a vállalati értékek.

Mindennek van következménye

A biztonságtudatossági képzések szervezésével foglalkozó KnowBe4 cég azt állítja, hogy a felelősségre vonás az egyik legjobb eszköz a felhasználók kockázatos viselkedésének befolyásolására. Ezt a cég különféle vizsgálatokkal igyekezett alátámasztani. Tapasztalatok szerint az alkalmazottak sokkal óvatosabbá válnak akkor, amikor a cselekedeteikről a menedzsment tudomást szerez, majd kérdőre vonja őket.

A KnowBe4 372 vállalat és összesen több mint 290 ezer munkavállaló bevonásával végzett egy felmérést, amelynek során kiderült, hogy - még a biztonságtudatossági oktatásokat követően is - a felhasználók 16 százaléka hajlamos volt arra, hogy adathalász levelekben linkekre kattintson. Ez az arány megközelítőleg egy százalékra csökkent, miután a menedzsment részéről megtörténtek az első felelősségre vonások.

"Ezzel a programmal a felhasználók elkezdték megérteni, hogy valóban vannak következményei annak, ha egy adathalász linkre kattintanak. Megváltozott a viselkedésük" - nyilatkozta Stu Sjouwerman, a KnowBe4 alapítója. Majd hozzátette, hogy folyamatosan emlékeztetni kell az embereket arra, hogy ne kattintsanak a levelekben szereplő linkekre, illetve ne nyissák meg a mellékleteket addig, ameddig meg nem győződnek azok ártalmatlan mivoltáról. Sajnos azonban ez nem egyszerű feladat, ugyanis az adathalászok mind kifinomultabb eszközöket alkalmaznak, és ezzel a célzott adathalászat (spear-phishing) mind inkább előtérbe kerül. Vagyis, ha valaki látszólag egy ismerőstől vagy akár például a vállalati helpdesktől kap egy e-mailt, az még semmire sem garancia.

A büntetés nem a legjobb út

Amint megjelent a KnowBe4 felmérése és véleménye az adathalász támadások, valamint a kockázatos felhasználói viselkedés kezelését illetően, rögtön jött a válasz az egyik konkurens cégtől.

"Úgy gondoljuk, hogy a felhasználók megbüntetése nem jó ötlet, ugyanis ez körülményesebbé teheti a biztonságtudatos viselkedés fokozását" - vélekedett Allan Carey, a PhishMe alelnöke. A legnagyobb problémát az jelenti, hogy a büntetések hatására a felhasználók jóval kisebb valószínűséggel fogják jelezni azt, ha valami nemkívánatos műveletet hajtottak végre, például rákattintottak egy linkre, aminek következtében megfertőződött a számítógépük. Ez pedig korántsem szolgálja a károk megelőzését, az incidensreagálás hatékonyságát, illetve a helyreállítási munkák elvégzését.

"Azon felhasználók, akik félnek a szankcióktól gyengíteni fogják a biztonságot, hiszen nem szolgálnak majd információkkal a fenyegetettségekről. Ha pedig egy biztonsági felelős azt éri el, hogy a felhasználók féljenek tőle, akkor maga is részévé válik a problémáknak" - mondta Carey. Véleménye szerint sokkal célravezetőbb a megfelelő kommunikáció kialakítása és a pozitív megerősítések alkalmazása. Carey mindezt egy érdekes példával szemléltette: egyszer egy vállalat HR-osztálya úgy próbálta testmozgásra sarkallni a munkavállalókat, hogy ebédidőben leállította az ebédlőbe vezető mozgólépcsőket, és mindenkinek lépcsőznie kellett. Ennek az lett az eredménye, hogy az alkalmazottak megpróbálták megkerülni az intézkedést, és előbbi vagy későbbi időpontokban mentek ebédelni. Ezt látván a HR-osztály változtatott a technikán, és eltörölte a korábbi intézkedést, miközben a lépcsőkre kis ajándékokat helyezett el. Kis idő múlva azt vette észre, hogy igen sokan választották a lépcsőzést annak ellenére, hogy már a mozgólépcsők is üzemeltek.

Nyilvánvalóan a fenti két ellentétes hozzáállás létjogosultsága nagyban függ attól is, hogy a károkozás szándékosan vagy véletlenül következik-e be, illetve, hogy milyen súlyú következményekkel jár. Az azonban látszik, hogy a büntetések esetenként nem várt hatást válthatnak ki, és negatívan befolyásolhatják a biztonságot.
 
  1. 2

    Az Apple iTunes for Windows szoftverhez egy biztonsági frissítés érkezett.

  2. 4

    A Microsoft Edge webböngésző két sebezhetőség miatt szorul frissítésre.

  3. 4

    A Fortinet egy súlyos sebezhetőségről számolt be.

  4. 3

    Az Adobe egy biztonsági hibát javított a ColdFusionben.

  5. 4

    Az Adobe két sebezhetőségről számolt be a Premiere Pro kapcsán.

  6. 4

    Az Adobe Lightroom egy fontos frissítést kapott.

  7. 3

    Az Adobe 46 biztonsági rést foltozott be az Experience Manageren.

  8. 4

    A Windows ismét jelentős mennyiségű hibajavítást kapott.

  9. 4

    A Microsoft egy biztonsági javítást tett letölthetővé az Exchange Serverhez.

  10. 4

    A Microsoft egy sérülékenységről számolt be az Office kapcsán.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség