Biztonsági tudatosítás fontossága
Tóth Tamás
2022.09.25
A kiberbiztonsági szakemberek közül mindenki egyetért azzal, hogy a biztonsági tudatosítás kulcsfontosságú és elengedhetetlen védelmi intézkedés, aminek minden CISO security programjában szerepelnie kell.
Az egyszerű és a kifinomult támadások kezdeti lépései egyaránt megcélozzák a gyanútlan felhasználókat, akiknek a tudatosságán múlhat a támadó sikere. Ilyen kezdeti lépés lehet egy adathalász levél összeállítása és kiküldése, amivel belépési adatokat – és egyúttal hozzáférést is – lehet szerezni. Ezt alátámasztják a különböző keretrendszerek, modellek, amelyek a támadások fő lépéseit és technikáit írják le (pl. MITRE ATT&CK®: Initial Access Technique és Phishing Sub-technique). Erről a témakörről előző cikkünkben is olvashat.
Örökérvényű igazság – és lassan közhely is -, hogy az ember a leggyengébb láncszem. A szervezet számtalan technológiai kontrollt alkalmazhat, pl. klasszikus vírusirtókat és EDR-t, hálózati szegmentációt, erős jelszókövetelményeket és többfaktoros hitelesítést, SIEM-et, de a támadó könnyen átjuthat a nem tudatos felhasználók és utána kizárólag a többi kontrollon múlik, hogy megállítják-e vagy észlelik-e a támadó rosszindulatú tevékenységét és a szervezet megfelelő módon el tudja-e hárítani a támadást. Emiatt a megfelelő biztonságtudatossági programok rendkívül hatékonyak lehetnek, továbbá ezek költsége jelentősen alacsonyabb a többi technológiai kontrollhoz képest.
Tudatosító program és annak elemei
A szervezetnek első körben ki kell dolgoznia a tudatosító programját, ami nem egyenlő egyetlen tudatosító oktatással. Ha a Prince 2 projektmenedzsment módszertan definíciójából indulunk ki, akkor a program több összehangolt projektből áll, hogy különböző előnyöket érjenek el, amelyeket különálló irányítással nem lehet elérni. Ez alapján tudatosító programnak magában kellene foglalnia a tudatosító oktatásokat, ezek eredményességét valós szituációban felmérő kampányokat, ezek ütemezését, a területtel kapcsolatos célkitűzéseket, mérőszámokat, felelősségeket és költségvetést.
A tudatosító oktatásokat új kollégák belépésekor, illetve évente a meglévő alkalmazottak esetében ajánlott megtartani. Ha a szervezetnél jellemző, akkor az oktatásokból nem érdemes kihagyni azokat a beszállítókat, alvállalkozókat, akiknek hozzáférése van a vállalati rendszerekhez.
Az oktatások jellemzően prezentáció vagy e-learning útján valósulnak meg. Mindenképp érdemes kitérni a felhasználókat célzó fenyegetésekre (pl. rosszindulatú e-mail csatolmányok, adathalászat, social engineering), azok ismérveire és következményeire, a követendő magatartásra, valamint a kapcsolódó szervezeti szabályozásra és sajátosságokra. Fontosnak tartom, hogy az oktatásnak érdekesnek, figyelemfelkeltőnek kell lennie, hogy ne simuljon bele – az egyébként fontos és elengedhetetlen – munka- és tűzvédelmi oktatások szürkeségébe, mert ez buktató lehet. Ezt egyrészt úgy lehet elérni, ha az oktató érdekes, valós példákkal szemlélteti az egyes fenyegetéseket, amelyeket a közönség a magánéletben is hasznosítani tud. A 100%-os részvételt nehéz elérni, de megfelelő vezetőségi elkötelezettséggel nem lehetetlen megközelíteni a 90% körüli értéket, amit már jónak mondhatunk.
Az oktatásokat követően kötelezően teljesítendő kvízekkel vagy vizsgákkal mérjük vissza a tudatosító oktatásokon történő tudásátadást. Sikertelen eredmény vagy egy biztonsági incidens okozása esetén ajánlott kötelezővé tenni az oktatás és vizsga ismételt elvégzését.
Az oktatások után a következő érettségi szint a különböző biztonságtudatossági kampányok szervezése és lebonyolítása. Az ilyen kampányokat természetesen a legnagyobb titokban kell szervezni, ellenkező esetben nem fogja elérni a kívánt hatást, mivel a felhasználók figyelmeztetni fogják egymást (ez persze egy támadási kísérletnél is lehet így). A kampányokhoz jellemzően szükséges kifejezetten erre a célra fejlesztett platformot alkalmazni, amely például teszi az adathalászat szimulációját. Meg lehet vizsgálni, hogy mennyien kattintanak rá egy kiküldött gyanús linkre, vagy éppen mennyien adják meg a jelszavukat egy meghamisított bejelentkező oldalon, vagy éppen mennyien nyitják meg a gyanús e-mail csatolmányt. Másik népszerű kampány tematika a pendrive-ok szétszórása a szervezet környékén (pl. parkolóban), mivel a külső adathordozók útján is terjednek a rosszindulatú programok. Ilyen kampányok során szintén szükséges az ezt támogató megoldás, amellyel ki lehet deríteni, hogy ki csatlakoztatta a vállalati számítógépéhez az ismeretlen adathordozót. Egy ezzel foglalkozó szervezet szerint az emberek 45%-a megteszi. Vannak olyan megoldások, amelyek az Active Directory jelszavak erősségét képes tesztelni és ki tudja szűrni a gyenge, duplikált és soha le nem járó jelszavakat.
A következő érettségi szint lépést a tudatosítás játékossá tételével, vagyis a gamification-nel lehet elérni. A játékos út egyre elterjedtebb és hatékonyabb. Ezt meg lehet valósítani applikációkkal és interaktív oktatásokkal (pl. biztonságtudatossággal kapcsolatos online szabadulószoba), de nemrégiben ilyen témájú társasjáték is ki lett fejlesztve. Jómagam az utóbbi időben részt vettem egy gamification-alapú tudatosító oktatáson és sokkal emészthetőbb, barátságosabb volt, mint egy száraz, elméleti előadás. Nem véletlen, hogy egyre inkább népszerűbb ez a tudatosítási mód és több kutatás is foglalkozik vele.
Szintén növeli a szervezet érettségi szintjét, ha mérik a tudatosítást és természetesen ez alapján optimalizálják a végrehajtást. A tudatosítás fontossága alapján a részvételi és vizsga sikerességi/sikertelenségi mutatók fontos mérőszámok (KPI/KRI) lehetnek, amelyek mérése nem bonyolult.
A tudatosításért jellemzően a CISO a felelős, de a végrehajtásban gyakran közreműködik a szervezet HR részlege is.
Konklúzió
Ebben a cikkben igyekeztem rávilágítani a biztonságtudatosság kialakításának fontosságára és lehetséges módszereire. Azoknak a szervezeteknek, amelyek még nem foglalkoztak a területtel, azt javaslom, hogy minél hamarabb dolgozzák ki a saját tudatosító programjukat és hajtsák végre. Azok a szervezetek, akik már foglalkoznak a tudatosítással, azt javaslom, hogy a lehetőségeikhez képest tartsanak kampányokat és alkalmazzanak gamification elemeket is, hogy minél hatékonyabban tudjanak védekezni az emberi tényező ellen.