Időpocsékolás a vállalati PC-felhasználók biztonsági továbbképzése?
[News.com] A vállalati alkalmazottak képzése, felvilágosítása a biztonsági kockázatokról teljesen felesleges, elpocsékolt idő -- véli Stefan Gorling, a Svéd Királyi Műszaki Egyetem doktorandusz-hallgatója, aki a kanadai Montrealban zajló Virus Bulletin konferencián osztotta meg meglepő nézeteit a közönséggel.
Ön a leggyengébb láncszem!
A felhasználók a leggyengébb láncszeme az informatikai biztonságnak, nem tudnak biztonságos jelszavakat kitalálni, ha mégis, akkor egy cetlin felragasztják őket a monitorra vagy első szóra elárulják őket másnak. Régi, elavult biztonsági szoftvereket használnak, minden beérkező levelet megnyitnak, minden linkre rákattintanak, a "phising" jelenséget pedig még csak hírből sem ismerik. Ha valami balul sül el, rémülten hívják az IT-részleget vagy a PC-gyártót. Sokak szerint a megoldás a felhasználók továbbképzése lenne, Gorling szerint azonban ez rossz megközelítés.
"Nem lehet, hogy amikor a felhasználók továbbképzéséről beszélünk, a saját hibáinkat akarjuk elkendőzni?" -- tette fel a kérdést a Virus Bulletin konferencián résztvevő biztonsági szakembereknek. "Ez nem olyan, mintha arra kérnénk őket, végezzék el a mi munkánkat? Az IT-részleg részévé akarjuk tenni őket azzal, hogy olyan feladatokat bízunk rájuk, amiket valójában nekünk, szakembereknek kellene végrehajtanunk" -- mondta Gorling.
A svéd fiatalember úgy véli, a vállalatok informatikai biztonságáról az IT-részlegnek kell gondoskodnia, nem pedig a felhasználóknak, ugyanúgy, ahogy a pénzügyi jelentéseket is a könyvelési osztály készíti. A biztonság az IT-részlegek dolga, nem a dolgozóké, nekik a munkájukat kell végezniük. "Nem hiszem hogy a felhasználók képzése megoldja az informatikai biztonsági problémákat, mivel a felhasználók számára a biztonság mindig másodrendű kérdés marad" -- magyarázta Gorling. "A biztonságot az üzleti folyamatok részévé kell tenni, és úgy kell megtervezni, hogy ne akadályozza a hétköznapi munkát."
Oktatás helyett szigorú szabályok?
"Ez egy rémálom. A felhasználók képzése tiszta időpocsékolás, falra hányt borsó" -- értett egyet Gorlinggel Martin Overton, az IBM brit biztonsági szakértője, a Virus Bulletin konferencia résztvevője. "Egy átlagembernek nem lehet jól elmagyarázni, pontosan mi a phishing, az adathalászat, hogy működnek a kártékony programok. Egyszerűen nem érdekli őket, ők csak a munkájukat akarják végezni, aztán hazamenni és elkölteni a pénzt amit megkerestek."
Overton szerint hatékonyabb, ha a vállalatok egyszerű szabályokat hoznak létre, és be is tartatják azokat: például mindenkinek a gépén legyen kötelezően biztonsági szoftver, a kétes tartalmú weboldalat (pl. pornó, warez, szerencsejáték) pedig legyen tiltott.
A konferencia résztvevői azonban zömmel a felhasználók okítása mellett törtek pálcát, egyetérve abban, hogy a továbbképzés akkor lehet hatékony, ha az átlagember is megérti, milyen veszélyek leselkednek és hogyan lehet ellenük védekezni. "Ha bemutatjuk azokat a taktikákat, amelyeknek a legtöbben áldozatul esnek, az üzenet valószínűleg átmegy" -- mondta Matt Braverman, a Microsoft biztonsági programokért felelős vezetője, aki szerint fontos, hogy a felhasználók lássák, a támadók hogyan akarják megszerezni adataikat vagy a hozzáférést a gépükhöz.