;

Ochraňte data proti lidskému selhání

24. 12. 2012
Doba čtení: 6 minut

Sdílet

 Autor: © Elnur - Fotolia.com
Vaše citlivá data jsou bezpečná pouze tak jako nejslabší článek ve vaší organizaci. Zřejmě pro vás nebude překvapením, že v mnoha případech jsou tímto nejslabším článkem její zaměstnanci. Dobře nastavený trénink v oblasti dodržování bezpečnostních pravidel však pomůže velké části problémů předcházet.

„Bezpečnost počítačů se v posledních 15 letech významně zvýšila, zatímco o lidech se to říci nedá,“ říká Lance Spitzner, vedoucí výcviku v programu Securing the Human na Institutu SANS, výzkumné a vzdělávací organizaci zaměřené na certifikace v oblasti bezpečnosti. „Člověk se opravdu stal nejslabším článkem.“

Pokud jde o bezpečnost, jsou lidé snadnými cíli

Protože samotná technologie již nemusí být pro škodlivé hackery snadným cílem, hledají jednodušší cesty, kterými by vnikli do organizací – například sociální inženýrství nebo využívání chabé disciplíny zaměstnanců, pokud jde o hesla. Podle Spitznera pracovníci běžně nevědí, jak psát silná hesla, jak vyhovět požadavkům v oblasti ochrany dat nebo jak bezpečně sdílet informace.

„Sociální inženýrství definujeme jako snahu o pochopení toho, jak osoba myslí, čím je motivována a jak reaguje, a poté o využívání zjištěných skutečností v oblasti emočních reakcí k manipulaci této osoby, abychom ji dostali tam, kam chceme,“ říká Chris Hadnagy, spoluzakladatel organizace bezpečnostního vzdělávání Social-Engineer.com a manažer provozu ve společnosti Offensive Security, která se zaměřuje na bezpečnostní trénink.

Slabá hesla jako norma

V červnu letošního roku zveřejnil Joseph Bonneau z cambridgeské univerzity výsledky studie, která analyzovala 70 milionů hesel uživatelů Yahoo za účelem odhadu složitosti hádání hesel. Výsledkem Bonneauova zkoumání je, že lidé mají tendenci vybírat si slabá hesla.

„Objevili jsme překvapivě nízkou variabilitu při odhadu složitosti. Každá identifikovatelná skupina uživatelů vygenerovala srovnatelně slabou distribuci hesel,“ píše Bonneau. „Bezpečnostní motivace, jako například registrace čísla platební karty na určitém webu, nemá vyšší dopad než demografické faktory jako věk a národnost. Dokonce ani proaktivní snahy, které mají uživatele přimět k volbě bezpečnějších hesel pomocí grafické zpětné vazby, neslaví příliš úspěchů. Ještě překvapivější je, že i lidé používající rozdílné jazyky volí stejná slabá hesla, a útočník tak často nemusí ani přepínat mezi slovníky.

Tréninkový program tvorby bezpečnostního uvědomění

„Řešením je trénink a vzdělávání, a funguje to,“ říká Spitzner. Odkazuje na jednu organizaci, která spolupracovala s Institutem SANS. Povedlo se jí snížit počty infikovaných počítačů natolik, že byla schopna přeřadit jednoho zaměstnance, který se celou pracovní dobu staral o odvirování počítačů, na jinou pracovní pozici.

Většina programů bezpečnostního vzdělávání v rámci organizací však podle něj nedosahuje dobrých výsledků. Důvodem není nic jiného než to, že byly jako neefektivní již vytvořeny.

Začněte řídicím výborem pro bezpečnostní uvědomění

„Pro začátek byste měli stanovit výbor pro bezpečnostní vzdělávání,“ podotýká Spitzner. Měl by být tvořen pěti až deseti dobrovolníky namíchanými napříč odděleními a rolemi v organizaci – ti mohou pomoci plánovat, uskutečňovat a udržovat program. Spitzner doporučuje do výboru začlenit lidi z auditu a právního oddělení. Poznamenává, že členové výboru by neměli být pouze průvodci programu, ale i jeho velvyslanci, kteří členům organizace pomáhají se do programu začlenit.

Odpovězte si primárně na otázky, „kdo“, „co“ a „jak“

Jakmile je výbor vytvořen, potřebuje vytvořit plán, který odpovídá na tři otázky: kdo, co a jak. „Kdo“ je první otázka. Spitzner podotýká, že jedna z nejběžnějších chyb, se kterou se setkává, jsou společnosti, které se snaží vytvořit monolitický tréninkový program bezpečnostního uvědomění.

„Spousta bezpečnostních programů je zkrátka ad hoc,“ říká. „Správně vytvořený plán identifikuje, na koho se zaměřujete a v jakém rozsahu.“

V mnoha případech budou různé cílové skupiny – zaměstnanci obecně, IT personál, oddělení pomoci zákazníkům či vyšší management – vyžadovat rozličné tréninkové programy. Je třeba vzdělat všechny, kteří v rámci organizace pracují s jakýmikoliv daty.

Jakmile jsou cíle identifikovány, musí řídicí výbor určit, co se každá z cílových skupin musí naučit. Spitzner doporučuje, aby se tréninkový program místo na snahu o komplexnost zaměřil raději úžeji – na zevrubné probrání několika témat, která mohou mít velký dopad. Potřeby a potenciální rizika budou v každé organizaci jiná, takže se doporučuje provést i zhodnocení rizik pro různá témata. Mezi ně patří hesla, sociální inženýrství, dodržování pravidel, e-maily a IM chaty, surfování na webu a používání prohlížečů, sociální sítě, bezpečnost mobilních zařízení, ochrana dat a jejich bezpečné ničení.

Jakým způsobem do programu zapojit zaměstnance?

„Jak budete program komunikovat? Musíte o bezpečnostním uvědomění přemýšlet jako o produktu,“ říká Spitzner. „Musíte přemýšlet o zapojení. Nezaměřujte se prvořadě na benefity pro společnost. Soustřeďte se na benefity pro zaměstnance. Ve většině případů mají pracovníci z takového vzdělávání užitek v osobním životě i v organizaci. Jestliže se zaměříte na užitek, který lidé získají do svého osobního života, získáte ohromnou angažovanost a ohromné přínosy.“

ICTS24

Zaujměte modulární postoj

Spitzner také doporučuje vyvarovat se hodiny trvajícím tréninkům. Místo toho zaujměte k tématům modulární postoj. Moduly mohou být i velice krátké, třeba tří- nebo pětiminutové. Primární trénink by se měl skládat z kombinace krátkých videí a tréninků přímo na místě s newslettery a dokonce i schválenými phishingovými testy pro utužení. Svou roli by měly hrát i diskuze na Facebooku či Twitteru, plakáty a letáky. Je důležité, aby zaměstnanci pracující s daty alespoň jednou za rok prošli primárním tréninkem a poté utužováním vědomostí prostřednictvím pokračujících kontaktů v průběhu celého roku.

Nakonec program potřebuje systém, který bude měřit míru zapojení pracovníků do programu a také to, jak se v jeho výsledku mění jejich chování. Program by měl být na základě tohoto systému minimálně jednou ročně vyhodnocen a aktualizován.