1. Bevezető

Hajlamosak vagyunk azt gondolni, hogy egy munkahelyen az információk biztonsága az informatikusokra tartozik, az ő feladatuk. A munkáltató, a főnök kötelessége hogy gondoskodjon róla, hogy legyen profi informatikus vagy rendszergazda, aki jól működteti a rendszereket, ügyel rá, hogy ne legyen baj. Elvárjuk, hogy így legyen és elhisszük, hogy "sima" felhasználóként egy ilyen védett környezetben ezzel gyakorlatilag semmi dolgunk. Elolvastuk a szabályzatot még amikor felvettek dolgozni, megtanultuk a rendszerek használatát, stb. Különben is épp elég bosszantó, ha lassú a net, nem megy a Facebook vagy le van tiltva és persze a rendszergazda nem ér rá sosem, hogy megoldja az éppen aktuális problémánkat.

Az infokommunikációs technológia, bár kétségtelenül megkönnyíti a munkafolyamatokat, s egyre jobb, biztonságosabb rendszerek megjelenésével fokozza munkahelyi komfortérzetünk, mégsem mindenható, mindentől önmagában nem tud megvédeni.

A számítógépes bűnözők szemszögéből nézve egy vállalati vagy hivatali rendszerben található adathalmaz, például a nagy mennyiségű személyes adat, e-mail cím, az üzleti titoknak számító gyártási, műszaki dokumentációk (know-how), stb. jelentős értéket képvisel, mert egy helyen van, megszerezhető, eladható. Kihívás, s ha viszonylag egyszerűen hozzáférhető, a bűnözők vagy éppen az őket megbízó piaci konkurencia költség-haszon elemzésén könnyű prédának ítéltetik, akkor a várható anyagi előny reményében megéri a próbálkozást, illetve befektetést.

Egy támadás célja az adatlopáson, a közvetlen pénzszerzésen vagy az üzleti haszonszerzésen kívül lehet emellett pusztán figyelemfelkeltő, akár megfélemlítő (pl.: az Iszlám Állam által végrehajtott - magyarországi weboldalakat is érintő - támadások), de kiszolgálhat kiberháborús vagy terrorcselekményeket is, kritikus ellátó vagy ipari rendszerek, erőművek, illetve a kommunikáció megbénításával, a megbízó szándékaitól függően. A banki, pénzügyi rendszereket célzó támadások motivációja szintén egyértelmű.

Mennyiben érint ez bennünket? Befolyásolja ezt egyrészt, hogy hol dolgozunk, mekkora, mivel is foglalkozik a munkahelyünk, másrészt, hogy milyen más partnerekkel van kapcsolatban, milyen erőforrásokat, adatokat használ? Egy kibertámadás miatt bekövetkező presztízsromboló negatív hír miatt (pl.: ha kiderül, hogy feltörték a szervereit és a rendszereiből ellopták az ügyfelek adatait) az ügyfelek, partnerek bizalma hamar meginoghat, ami hamar üzleti veszteségekhez is vezethet egy cég esetében, s emiatt a munkáltató akár rövid időn belül átszervezésekre, létszámleépítésre kényszerülhet. Ugyanígy a szervezet jó híre foroghat veszélyben, ha például nem közvetlenül őt, de a napi működéséhez szükséges szolgáltatást vagy alapanyagot biztosító partnerét éri támadás és emiatt ellehetetlenül a munkavégzése mindaddig, amíg helyreáll a rend (pl.: szünetel az ügyfélfogadás vagy az ügyfelek kiszolgálása). Amennyiben  a kiesés felkészületlenül éri a szervezetet, nincsenek erre vonatkozóan alternatív megoldásai, az általa okozott kár tetemes is lehet, az ügyfelek elégedetlensége pedig borítékolható.

A támadások kivédése érdekében egyre fejlettebb eszközök állnak a szervezetek, vállalatok rendelkezésére, a korszerű biztonsági rendszerek bevezetése ugyanakkor általában elég magas költséggel jár, s nem minden szervezet vagy cég engedheti meg magának az új védelmi beruházásokat, hogy mindig a legújabbra cseréljen mindent, gyakran a meglévők megfelelő karbantartását sem. Egy elavult vagy nem folyamatosan karbantartott rendszer számos olyan sérülékenységet tartalmazhat, amelyet a hackerek könnyen ki tudnak használni.

Ahol jelentősebb értékek vannak, ott természetesen törekednek a modern védelmi rendszerek, valamint azok szakszerű kezeléséhez értő, profi szakemberek alkalmazására. Az esetleges emberi mulasztás miatti károkozás kockázata ettől függetlenül még egy szuperbiztonságosnak vélt banki rendszer esetében is fennállhat.

Az elkövetési módok a biztonsági technológiák fejlődésével együtt változnak, s mostanában a hangsúly áthelyeződni látszik az olyan, pszichológiai manipuláción (social engineering) alapuló támadások irányába, amelyek a védelmi rendszerek kikerülését célozzák azáltal, hogy megtévesztéssel, fenyegetéssel vagy csalással próbálnak megszerezni hiteles hozzáférési adatokat a kiszemelt cég vagy épp állami szerv dogozóitól. Így a fejlett és drága biztonsági rendszert nem kell feltörni, a "fal megkerülésével" a bejutás garantált, a lebukás veszélye lényegesen kisebb.

A leggyengébb láncszem maga az ember, ebben a szituációban is így van ez, ezt próbálják a támadók kihasználni. Ön is lehet célpont, Ön is lehet áldozat!

Tegyük fel, hogy elővigyázatlansága miatt hajtanak végre sikeres támadást munkahelye rendszere ellen, például úgy, hogy megszerzik a belépési adatait, kifigyelik a jelszavát munkahelyén, esetleg az otthoni gépére vagy okostelefonjára egy billentyűzet leütés megfigyelő programot, vírust vagy kártevőt telepítve, amikor beírja a munkahelyi levelező rendszer távoli elérésekor az internet böngésző alkalmazásba. Az Ön nevében járnak el, visszaélnek hozzáférési azonosítóival, s a rendszer napló, illetve log fájljaiban mindez úgy rögzítődik, mintha Ön követte volna el. Minimum kellemetlen helyzetbe kerül, főleg ha utólag bebizonyosodik, hogy gondatlansága vezetett (pl.: otthoni gépén vagy telefonján nem működött megfelelő vírusvédelmi megoldás) a káresemény bekövetkezéséhez.

Visszakanyarodva az első gondolatsorhoz, valóban a munkáltató érdeke és feladata az információbiztonság megteremtéséhez és fenntartásához szükséges feltételrendszer, a védett környezet kialakítása, ugyanakkor a jelzett humán kockázatok (elővigyázatlanság, gondatlanság vagy mulasztás) miatt a védelem megvalósításában közre kell, hogy működjön a felhasználó is; a munkavállaló felelőssége a biztonságtudatos magatartás az infokommunikációs eszközök használata, az adatok kezelése során, ezáltal a munkáltató információs és egyéb vagyonának védelme.

Mit kell tennem?

Munkavállalóként lényegében mindössze két fontos feladata – inkább kötelessége – van:

  1. megismerni és betartani a szabályokat, előírásokat, s ennek megfelelően a munkavégzéshez kapott eszközöket rendeltetésszerűen használni;
  2. a rendellenes eseményeket (úgynevezett információbiztonsági incidenseket) jelezni.

Viszonylag egyszerűnek tűnik, ugye? Ahhoz azonban, hogy minden helyzetben, minden körülmények között biztonságtudatosan tudjon cselekedni, meg kell ismernie a dolgok menetét, az infokommunikációs rendszerek működésének néhány összefüggését, továbbá az információk kezelésével kapcsolatos alapvető veszélyeket és a legfontosabb védekezési módszereket is, mivel szilárd, stabil alapra lehet csak jól építkezni. Mi most egy olyan erődöt kívánunk együtt felépíteni, amely egyaránt képes megvédeni az Ön személyes érdekeit és a munkahelye vagyonát is, s amelynek – bármily hihetetlennek tűnik – Ön az egyik tartóoszlopa.

Ezekről az „építő elemekről”, a munkahelyi környezetben előforduló információbiztonsági kockázatokról és bekövetkezésük megelőzésének lehetőségeiről, a felhasználók által követendő védelmi eljárásokról szól a következő néhány fejezet.


Következő fejezet

Tartalom