A felhasználók csak azt hiszik, hogy tisztában vannak a biztonsági kockázatokkal

[HWSW] A Cisco független kutatócéggel készítetett nemzetközi tanulmánya szerint a legtöbb alkalmazott saját bevallása szerint tudatos a hálózatbiztonság terén, ugyanakkor viselkedési szokásaik ennek gyökeresen ellentmondanak. A felmérést végző független piackutató cég legalább száz-száz végfelhasználót kérdezett meg az Egyesült Államokban, az Egyesült Királyságban, Franciaországban, Németországban, Olaszországban, Japánban, Kínában, Indiában, Ausztráliában illetve Brazíliában.

Hamis biztonságtudatba ringatják magukat a felhasználók

A tanulmány a legnagyobb kockázatot a felhasználók hamis biztonságtudatában jelölte meg. Bár három válaszadóból kettő (66 százalék) vallotta azt, hogy teljes mértékben tudatában van a biztonsági szempontoknak, de a gyakorlatban tanúsított tevékenységei gyakran rácáfoltak erre: a megkérdezettek jelentős része elérhetővé teszi mások számára az irodai gépét, otthoni munkánál a szomszéd vezeték nélküli hálózatát használja, személyes célokra is használja munkahelyi gépét, vagy éppen üzleti adatokat tárol a saját eszközein, megnyitja az ismeretlen forrásból származó leveleket, de sokan még a velük érkezett csatolmányokat is megnézik.

A kínaiak a legmerészebbek

A felmérés szerint a kínaiak a leginkább magabiztosak, 78 százalékuk állította hogy tisztában van a kockázatokkal, ugyanekkor ebben az országban a legnagyobb a "kicsapongó" felhasználók aránya is: 57 százalék használja saját célra munkahelyi gépét, 57 százalékuk nyit meg ismeretlen forrásból származó leveleket, 42 százalékuk enged hozzáférést másoknak a géphez és 74 százalékuk tárol vállalati adatokat a saját tulajdonba tartozó informatikai eszközökön.

A válaszadók átlagosan 21 százaléka megengedi barátai, családtagjai és más, nem vállalati dolgozók számára, hogy céges számítógépén keresztül internetezzenek, de Kínában több mint 40 százalék ismerte el, hogy megosztja másokkal céges számítógépét. Kínában, Olaszországban és Brazíliában minden ötödik megkérdezett az otthoni munkavégzése során szomszédja vezeték nélküli hálózatát is használja. A válaszadók közül minden negyedik szokta megnyitni a munkahelyi számítógépén az ismeretlen e-maileket. Kínában a válaszadók több mint fele rendszeresen megnyitja az ismeretlen forrásból származó e-maileket, az indiaiak 20 százaléka pedig nem csak a leveleket, hanem a csatolmányokat is megnyitja.

A tanulmány egyik legszembetűnőbb ellentmondása mégis a nem munkával kapcsolatos tevékenységekre vonatkozik: a tíz országban végzett felmérés során a megkérdezettek mindössze 29 százaléka ismerte be, hogy munkahelyi számítógépét személyes célokra is használja. Ezzel szemben 40 százalékuk bevallottan használta már online vásárlásra céges számítógépét. Az Egyesült Királyságban például csak a válaszadók 27 százaléka vallotta be, hogy a céges számítógépet magáncélra is használta, azonban 53 számolt be arról, hogy a munka során rendszeresen vásárol az interneten.

A tapasztalatok alapján a hazai felhasználók ugyanolyan "rugalmasan" bánnak a vállalati erőforrásokkal, mint külföldi társaik. A Cisco nemzetközi kutatásában kimutatott problémák Magyarországra is ugyanúgy igazak, mint a kutatásban résztvevő más európai országokban. Magyarországra a felmérés nem terjedt ki, így a hazai felhasználók biztonságtudatával és szokásaival kapcsolatban nem állnak rendelkezésre adatok, de a Cisco szerint az emberi tényezőben nincs számottevő eltérés.

Fontos a felhasználók képzése

A biztonsági kérdések a cégek méretével arányosan jelentkeznek. Míg a nagyvállalatok tudatában vannak e veszélyforrásnak, és megfelelő módon védekeznek ellene, de a cégméret csökkenésével egyre nő a kockázat, mivel az informatikai kérdések kevéssé intézményiesítettek. A vállalatoknál bekövetkező biztonsági események jelentős része belső eredetű, azaz a cégen belülről származó információ, illetve tudás felhasználásával történik. A támadások rendszerint a legsebezhetőbb ponton következnek be, ami nem csak a technológia lehet, hanem az azt üzemeltető vagy használó ember is. Az üzemeltetők és a felhasználók számára ezért meg kell mutatni, hogy milyen veszélyek leselkednek rájuk, milyen támadási formák veszélyeztetik őket, és hogy miként lehet ezek ellen védekezni -- vélekednek a Ciscónál.

"Az informatikusok előtt álló nagy lehetőség, hogy az eddigi támogató, reaktív szerepükön pozitív irányba változtassanak. A szakemberek feladata, hogy állandó párbeszédet folytassanak a felhasználókkal, olyan képzési programokat vezessenek be, amelyek alkalmazkodnak a különböző üzleti kultúrák és felhasználói csoportok sajátosságaihoz, illetve hogy a leginkább bevált biztonsági gyakorlatokat a vállalati kultúra szerves részévé tegyék" -- mondta Hirsch Gábor, Cisco Magyarország hálózatbiztonságért felelős üzletfejlesztési vezetője. "Ezzel a kulturális váltással maximálisan kihasználhatók például a távoli elérések nyújtotta lehetőségek, különösen a vállalati üzletmenet egyre fokozottabb mobilitása mellett."