IT-biztonság: az ember a leggyengébb láncszem

˝Az emberek jelentik a leggyengébb láncszemet.˝ – mondta Chris Pick, az IT-biztonsággal és rendszermenedzsmenttel foglalkozó NetIQ vállalat piaci stratégiákért felelős vezérigazgatója. Pick felel részben a Human Firewall megalapításáért is, ami egy olyan oktatási és információs webhely, ahol a témában képezheti magát tovább az érdeklődő. ˝Az oktatás a védelem első vonala.˝ – hangzik a jelmondat, amit sajnos sok vállalat nem követ.

A tavaly lezajlott Human Firewall Security Awareness Index Survey nevű kutatás során úgy találták, hogy a felmérésben részt vevő vállalatok 48 százalékánál sosem volt olyan biztonsági oktatás vagy képzés, melyben az alkalmazottakat az informatikai biztonság alapelveire okították volna. Azok közül, amelyeknél legalább egyszer tartottak ilyen jellegű ismertetést, csak tizenöt százalékuk tette ezt a kérdéssorok megválaszolása előtti fél évben.

Az Evans Data piackutató cég rámutatott már korábban, hogy a PC-felhasználók maguk jelentik a rendszerek legvédtelenebb részeit. A vállalat szerint minden negyedik megkérdezett szerint égető probléma az, hogy a felhasználók nem hajlandók követni a biztonsági szabályzatokban meghatározott eljárásokat. Vannak, akik szerint ennek az az oka, hogy a biztonsági megoldások túlságosan összetettek az átlagfelhasználó számára. Ez viszont extra költségeket jelent a vállalatoknak, mivel hiába rendelkeznek akár a legjobb szoftveres és hardveres védelemmel is, ha annak hatékonysága egy(néhány) alkalmazotton megbukik.

˝Az emberek jelentős része még mindig nem gondolkodik, mielőtt megnyitna egy e-mail csatolmányt. Minden esetben, amikor egy új [e-mailes] vírus napvilágot lát, az internetezők elég nagy hányada ugyanazt a hibás beidegződést teszi, amit nem kellene.˝ – fejtegette véleményét Mike Breth, a Westfield Group auditáló cég egyik alkalmazottja.

Pedig van megoldás, akár készen kapható is: például a Symantec is rendelkezik olyan biztonsági ˝edzőprogrammal˝, ami kifejezetten a munkavállalók oktatását célozza meg. Nagyrészt azonban hiába: a cégek megveszik a rendszervédelmi eszközöket, az oktatóprogramra azonban már nem szívesen áldoznak pénzt. ˝Eddig a nagyvállalatok 10-20 százaléka tett valamit az ügy érdekében. Amikor a biztonságpolitikai programjukról kérdezzük őket, akkor szokott kiderülni, hogy többnyire nem történik más, mint a biztonsági szabályrendszer weboldalukra való kihelyezése – és ezt hívják képzésnek. Saját véleményem az, hogy körülbelül csak a vállalatok 5 százaléka oktatja megfelelően alkalmazottait.˝ – vázolt fel egy nem túl reménykeltő helyzetet Kathleen Coe, a Symantec oktatási szolgáltatásokkal foglalkozó igazgatója.