A leggyengébb láncszem, avagy az emberi tényező szerepe a kiberbiztonságban

Ez a Magyar Telekom jogi csapatának állandó rovata az Arsbonin. A rovat célja, hogy tartalmas és érdekes, hol komolyabb, hol könnyedebb írásokkal engedjen bepillantást a Telekom progresszív gondolkodású, szakmailag felkészült, összetartó jogi csapatának a munkájába, gondolkodásába. Ha a rovattal kapcsolatban kérdés, javaslat merül fel, az alábbi címre várjuk az észrevételeket: arsboni@arsboni.hu

Napjainkban a hírportálokon az egyik leggyakrabban előkerülő téma a kiberbiztonság, de miért is annyira kiemelt téma ez, nemcsak a témával foglalkozó szakemberek, hanem mindenki számára? Szinte naponta olvashatunk újabb és újabb híreket, amikor egy-egy vállalatot, valamely állami szereplőt, vagy akár egy államot ér kiberbiztonsági incidens, válik valaki zsarolóvírus támadás áldozatává, ügyfelei személyes adatai kerülnek ki rendszereiből. Az egyre digitálisabb világban már nincs olyan, hogy a kiberbiztonság valamilyen távoli, speciális területként csak egy adott szervezeten belüli szűk csapat, vagy részleg felelőssége volna, a biztonság megteremtése az egyéni felhasználó, az adott szervezet, a partnerek, beszállítók és ügyfelek kiterjesztett ökoszisztémájának közös felelőssége kell, hogy legyen.

[1]

Jelen cikk célja, hogy felhívja a figyelmet arra, hogy a digitális tér és megoldások ugyan kényelmesebbé teszik az életünket, hatékonyabbá a munkánkat, kiszélesítik a világban lehetőségeinket, kapcsolati hálóinkat, ugyanakkor egyben veszélyeket is hordoznak, és a veszélyek ellen védekezni – vagy az általuk okozott károk esetében azokat elhárítani –  akkor tudjuk, ha kellő információbiztonsági tudatossággal is rendelkezünk.

Digitális írástudás, digitális érettség és információbiztonsági tudatosság

A fenti fogalmak nem ugyanazt jelentik, noha biztonságunk érdekében kéz a kézben kellene járniuk.

Gyakran beszélünk egyének, vagy egy egész társadalom digitális írástudásáról (vagy épp írástudatlanságáról), digitális érettségről. Noha ezeknek a fogalmaknak nincs valamiféle egységes, elfogadott definíciójuk, egyének vonatkozásában alapvetően általában a digitális eszközök használatára vonatkozó készségek és képességek meglétére vonatkoznak, míg egy szervezet esetében a technológiai infrastruktúra fejlettségét, az innovációs képességet, a digitális eszközök integrációját, valamint az ezekhez kapcsolódó stratégiák és folyamatok érettségét értjük alatta. Egy vállalat esetében a digitális érettség magas szintje azt jelenti, hogy a vállalat képes hatékonyan kihasználni a digitális eszközök és megoldások, a technológia lehetőségeit a működésében, üzleti céljai elérésében.

De létezik digitális érettség fogalom magára a társadalomra vonatkozóan is, például az Európai Bizottság által évente közzétett mutató a DESI (Digital Economy and Society Index)[2] alapvetően öt dimenzióban méri az EU tagállamok digitalizácós fejlettségét: konnektivitás, digitális készségek, internetes szolgáltatások használata, digitális szolgáltatások integrációja és digitális közszolgáltatások. Ez azonban nem fókuszál magára a biztonságtudatosságra.

A biztonságtudatosság vonatkozásában is létezik mérőszám, ez a Nemzetközi Távközlési Egyesület (ITU) Globális Kiberbiztonsági Felmérése (Global Cybersecurity Index- GCI)[3]. Ez alapján a kiberbiztonság, mint téma, széles alkalmazási területként értelmezhető, ezért az online felmérés is több iparágat, szektort ölel fel. Az egyes országok fejlesztési vagy szerepvállalási szintjei öt főpillér (jogi, technikai, szervezeti, kapacitásbővítési és együttműködési intézkedések) mentén kerülnek értékelésre, majd ezen részeredményeket összesítve alakul ki az összesített pontszám.

Az emberi tényező jelentősége a biztonságban

A kibertámadók egyre fejlettebb technikájú és egyre modernebb eszköztára és alkalmazott eszköz alapú támadásai ellenére a biztonsági kockázatok egyik fő forrása továbbra is az emberi tényező, amely a leggyengébb láncszemként jelenik meg az információvédelemben, mivel az átlagfelhasználók biztonságtudatossága nem nevezhető éppen túlságosan magasnak[4]. Az emberi gyengeségekre, a pszichológiai manipulációra épülő social engineering támadások azért olyan elterjedtek és sikeresek, mert akár minimális technikai eszköz használatával is bevethetőek. Ki ne kapott volna már maga is olyan üzenetet vagy e-mailt, amelyben csomagja megérkezéséről, nyereményről, lejáró pontok azonnali beváltásának szükségességéről, banki adatai sürgős egyeztetési kötelezettségéről értesítik – hogy csak néhány példát említsek, ám ezek az üzenetek nem az igazi feladótól érkeztek.  A támadók ilyenkor az emberi természet gyengeségeire – segítőkészség, naivitás, kíváncsiság, figyelmetlenség, hanyagság, befolyásolhatóság[5] – alapozva jutnak hozzá bizalmas információkhoz és érnek el zárt rendszereket, mondhatni a felhasználó az a nyitott vagy könnyen nyitható kapu, amelyen keresztül a támadók számára fontos adatok megszerezhetőek.

Ezek a tulajdonságok azok, amiért az ember adott esetben (kényelemből, hanyagságból) nem megfelelően biztonságos jelszót használva, (kíváncsiságból, figyelmetlenségből, segítőkészségből)  adathalász linkre kattintva, még akár adatokat is megadva, vagy az e-mailezés során nem kellően körültekintően eljárva válik azzá a bizonyos leggyengébb láncszemmé, miközben egy vállalati környezetben különféle belső és bizalmas információkhoz fér hozzá, az információk létrehozása, megjelenítése, módosítása vagy esetleges törlése, megsemmisítése érdekében számtalan művelet végrehajtására jogosult, jogosultsági szintjének megfelelően különböző alkalmazásokat, programokat használ, és hozzáfér az alkalmazásokhoz, mint védendő értékekhez. A munkájához szükséges szoftverek hardver eszközökön futnak, ezek összeköttetéséhez megfelelő belső hálózatot használ, ilyen módon hozzáfér egy másik védendő értékhez, a vállalat informatikai infrastruktúrájához. Továbbá az alkalmazottak kapcsolatban állnak egymással, ezáltal könnyedén oszthatnak meg információkat is egymással, ami egy támadónak kitűnő alapot nyújthat például a szervezet másik alkalmazottjának megszemélyesítésére (úgy, hogy valójában nem alkalmazott – akár lehet, hogy korábban az volt, de az információk megszerzése érdekében így tesz).

Mivel a kiberbiztonság emberi aspektusait egyre inkább a szervezeti biztonságmenedzsment központi részeként ismerik el, kulcsfontosságú, hogy az információbiztonságot vezető kollégák megértsék, hogyan alakítsák a vállalaton belül a biztonságpolitikát, hogyan növeljék az alkalmazottak biztonságtudatosságát.

Egy közelmúltbeli, a munkahelyi kiberbiztonsági magatartással kapcsolatban megjelent szakirodalmi áttekintés a biztonságra hatással lévő magatartásokat öt nagy témába – lsd. az ábrát – sorolta, melyek szorosan összefüggenek egymással.[6]

Fentiek közül jelen cikkben a jelszavakkal és az e-mailekkel kapcsolatos viselkedésre és biztonsági szempontokra térek ki, majd olyan esetekre, ahol éppen az ezekkel kapcsolatos felhasználói magatartás vezetett incidenshez.

Online biztonságunk alapja: a megfelelő jelszó választása

Akár unalomig ismételtnek tűnhet a biztonságos jelszó használatára való figyelmeztetés, hiszen valószínűleg mindenki folyamatosan kap a közüzemi szolgáltatójától, bankjától stb. „hogyan védekezzünk az online csalások ellen” típusú üzeneteket. A Kiberpajzs[7] oldalán is sok hasznos információt találhatunk arról, hogyan védjük meg magunkat az online térben, kitérve a jelszavakkal kapcsolatos legfontosabb követelményekre, és a Telekom is részletes tájékoztatót[8] készített ügyfelei számára a leggyakoribb csalás típusokról, és hogy hogyan védekezhetnek ellenük.

Mégis, a gyakorlatban – remélhetőleg nem a sajátunkban, hanem a hírekből értesülve – számos olyan esettel találkozunk, ahol éppen a nem megfelelő jelszó választás/kezelés vezette sikerre a támadókat.

[9]

A képen látható „megoldás” (esetleg látott már valaki ilyet?) szolgáljon elrettentő például, illusztrációként az alábbi ténylegesen megtörtént esethez.

A New York melletti Bowman Dam víztározó egy viszonylag jelentéktelen közmű volt, amit nem őriztek a nap 24 órájában, hanem interneten keresztül tudtak belépni a vezérlő-számítógépre, ha erre szükség volt. A támadó egy egyszerű Google kereséssel talált rá a számítógépre, és próbálta ki a belépéshez – ismerve azt a tényt, hogy sok esetben bizony nem változtatják meg a rendszergazdák ezt az alapbeállítást – az admin felhasználónév és admin jelszó párost, és sikerrel is járt. A támadó haszna ez esetben a propagandagyőzelem volt, illetve egy figyelmeztető jelet sikerült küldenie az amerikai kormányzatnak arról, hogy a kritikus infrastruktúrái közel sem sérthetetlenek. [10]

A fenti eset kiválóan példázza, hogy az elégtelen kiberbiztonsági intézkedések – például az adminisztrátori hitelesítő adatok nem megfelelő védelme, a nem biztonságos felhasználónév és jelszó páros használata – jelentős kockázatokat okozhatnak az infrastruktúra rendszerei számára, ráadásul messze az egyszeri felhasználón vagy a vállalaton túlnyúló, akár államok közti konfliktust okozó hatásuk is lehet.

Ezek után mégiscsak érdemes átnéznünk, melyek a jelszavakkal kapcsolatos legfontosabb biztonsági követelmények[11]:

(1)  minimális hossza – legalább 16 karakter,

(2) kisbetűt, nagybetűt, számot, speciális karaktert tartalmazzon,

(3) ne tartalmazzon személyes információt (kikövetkeztethető),

(4) nagyon fontos, hogy ne használjuk több alkalmazásban ugyanazt a felhasználónév- jelszó párost (hiszen, ha egy adatszivárgás során kitudódik, annak ismeretében más rendszerbe is be lehet vele lépni, pl. saját levelezéshez használt felhasználónév – jelszó párossal a vállalati levelezésünkbe),

(5)  ne írjuk fel sehová (ha nem tudjuk mindet megjegyezni, akkor  sem a füzet hátulja a jó megoldás, használjunk jelszómenedzser alkalmazást),

(6) ne adjuk ki illetékteleneknek.

[12]

Biztonság a jelszavakon túl

Azt is láthatjuk, hogy a minden biztonsági elvárásnak eleget tevő jelszó sem jelent önmagában teljes biztonságot, hiszen akár egy adathalász linkre való kattintást követően – pl. akár a legtudatosabb felhasználó által a két meeting közötti pár percben, vagy egy esti, elalvás előtti „még gyorsan átfutom az olvasatlanokat és reagálok pár dologra” típusú görgetés közben (ismerős?) is előfordulhat – a felhasználónév és jelszó páros máris illetéktelen tudomására juthat, és ráadásul ha az előző bekezdés 4. pontjában írott alapszabály ellenére ugyanezt használjuk más rendszerben (akár a magán levelezőrendszerünkben alkalmazottat a vállalati környezetbe való belépéshez, ugye ilyet senki nem tesz?), máris tökéletesen előkészítettük a terepet egy rosszindulatú támadó számára.

Ezért fontos, hogy a (tudatos, biztonságos és megfelelő) jelszó használat mellet használjuk a többfaktoros (általános rövidítése MFA) vagy többlépcsős hitelesítést. Egy biztosan mindenki által ismert példaként szerepeltetem itt az Ügyfélkaput, ahol éppen a pusztán felhasználónév és jelszó párossal való belépés nem kellően biztonságos volta miatt szűnt meg annak elérhetősége[13], és január közepe óta Ügyfélkapu helyett a Digitális Állampolgár mobilalkalmazással vagy Ügyfélkapu+-szal – kétfaktoros azonosítással – jelentkezhetünk be az állami weboldalakon és alkalmazásokban. De példaként említem itt a Telekom ügyfelek ügyintézési felületét, ahol szintén beállítható a magasabb biztonsági szintet nyújtó többfaktoros azonosítással történő belépés lehetősége.

A jelszavakon túli lehetőségek közé tartozik még az ún.  biometrikus – a felhasználó egyedi, csak rá jellemző biológiai jellemzője – azonosítók használata (ilyen például az okostelefonunk arcfelismeréssel való feloldása, vagy a banki tranzakciónak a banki applikáció használata során az ujjlenyomattal való jóváhagyása), egyes szolgáltatók ügyfélszolgálatán a hangfelismerés, vagy amikor meccsre megyünk, a stadion bejáratánál alkalmazott vénaszkenner (ami egyébként magyar találmány[14]).

Vállalati környezetben, oktatási rendszerbe történő belépésnél találunk még további megoldásokat, pl. a legelterjedtebb a Microsoft Authenticator alkalmazása, az abban alkalmazott ugrókód beírása a felhasználónév és a jelszó megadása mellett.

E-mailek biztonsága

Napjainkra az e-mail az egyik legelterjedtebb kommunikációs formává vált, amit az üzleti életben és saját személyes ügyeink intézésére egyaránt használunk. Nem vagyunk tévedhetetlenek, kivel ne fordult volna már elő, hogy még nem a küldés gombra, csak a mentésre szeretett volna nyomni, de nem úgy sikerült és úgy küldte el a levelét, hogy még nem tudta ellenőrizni a levél végleges tartalmát és a címzetti kört, majd kétségbeesve próbálta visszahívni azt (ennek egyik legenyhébb formája a kollégának tervezett kedves szülinapi ajándék tervezése, ahol a meglepni szándékozott is bekerült a címzettek közé).

Tehát az e-mail használata során is érdemes a legalapvetőbb biztonsági szabályokat betartani, hiszen kiberbiztonsági – ezzel együtt egyben adatvédelmi incidenshez (lsd. a cikkben a kiberbiztonság és az adatvédelem kapcsolatáról szóló következő szakaszt) – vezethetnek a következő rossz gyakorlatok:

• ha a felhasználó az e-mailben esetleg nem ellenőrzi a feladót (valóban tőle érkezett, vagy csak a megtévesztésig hasonló a cím – nézzünk csak egy példát: telekom.hu, vagy telekorn.hu (ki olvasta a másodikat is telekom.hu-nak?)
• ő maga címzi levelét tévesen – siet, megszokásból cselekszik (pl. a korábbi címzés alapján a levelezőrendszer által automatikusan felajánlott címre kattint, ami lehet a hasonló nevű kolléga vagy szervezeten kívüli személy a szándékolt címzettek helyett – az Outlookban a beállításoknál az automatikus kiegészítés lista kikapcsolható!), – akár a levéltörzsben, akár csatolmányként így illetéktelen számára bizalmas információt továbbítva,
• bizalmas dokumentumot titkosítatlan formában továbbít csatolmányként (a bizalmas dokumentumot mindig vagy titkosított formában csatoljuk, vagy csatolás helyett mentsük közös meghajtóra, ahol csak a címzett(ek) részére állítunk be megtekintési/szerkesztési jogosultságot)
• nem figyelünk a címzette(ke)t melyik mezőben szerepeltetjük (pl: BCC helyett CC)

Fenti hibák talán azok, amelyeket a leggyakrabban elkövethetünk. Ha ezeket ismerjük, tudatában vagyunk, és körültekintően járunk el, úgy felhasználóként könnyebben megvédhetjük a különböző bizalmas információkat, jelentősen csökkentve a bizalmas adatok kiszivárgásának lehetőségeit, ezáltal megelőzve egy lehetséges adatvédelmi incidens bekövetkezését is.

Ehhez is említek egy példát, ami segíthet könnyebben megérteni a fentiek fontosságát, és jobban megjegyezhetjük, mire is figyeljünk. Ebben az esetben az előbbi felsorolás (4) pontja szerinti hibát követték el, vagyis az e-mail címek rossz mezőben való feltüntetése vezetett adatvédelmi incidenshez. A NHS Highland[15] 37 címzettnek küldött e-mailt a HIV-szolgáltatásokról, de e-mail címüket a “CC” (másolat) mezőbe illesztették be a “BCC” (titkos másolat) mező helyett. A címzettek mind megismerték a többi címzett e-mail címét, HIV státuszát, ami súlyos adatvédelmi incidenst jelentett. [16]

Az adatvédelem és a kiberbiztonság összefüggései, a felhasználói tudatosság fontossága a középpontban

Bár a kiberbiztonságra vonatkozó jogi szabályozás kapcsán valószínűleg nem a GDPR az első, ami eszünkbe jut, az e-mailek biztonságáról szóló részben hivatkozott jogeset is jól példázza azt az alapvető összefüggést, hogy a kiberbiztonsági incidens, amennyiben annak során személyes adatok is támadók birtokába kerülnek, egyidejűleg szinte biztosan adatvédelmi incidenst is eredményez. Ez az összefüggés egy újabb válasszal szolgál a cikk bevezetésében feltett kérdésre, hogy miért is olyan fontos téma a kiberbiztonság.

A személyes adatok ugyanis kiváló célpontjai lehetnek a rosszindulatú támadóknak, ezért az adatvédelem és kiberbiztonság szoros összefüggésben állnak egymással: mindkettő célja az információk védelme a digitális térben, kéz a kézben járnak úgy, hogy a GDPR a személyes adatok védelmére helyezi a hangsúlyt, a NIS2[17] szabályozás pedig tágabb kontextusban öleli fel a kiberbiztonság szabályrendszerét. Ugyanakkor a GDPR[18] is tartalmazza az adatok biztonságára és integritására vonatkozó különös rendelkezéseket, a vonatkozó résznél a jogalkotó az információbiztonság C.I.A. alapkövetelményét (confidentality – bizalmasság, integrity – sértetlenség, availability – rendelkezésre állás) fogalmazta meg előírásként.

Hogy mire is használhatóak ezek a személyes adatok, amelyeket védeni próbálunk, miért is akarják azokat megszerezni? Csak néhány példát említve a tulajdonképpen végtelen listáról a felhasználhatóság körében: zsarolhatóság, befolyásszerzés, személyiséglopás, jelszavak feltörése (amennyiben elegendő információval rendelkezünk az adott személyről, akár ki is található!). Célzott támadás indítható egy adott adatbázisban szereplők ellen – gondoljunk a már említett social engineering támadásokra, de akár az arckép, hang-, biometrikus adatok megszerzésére és a felhasználásukkal elkövethető deepfake támadásokra. A deepfake technológia alkalmazásával történő támadás során az illetőt megszemélyesítve másoktól csal ki összeget az elkövető, erre példaként említhető az a hongkongi multinacionális vállalat ellen elkövetett csalás, amikor a csalók a cég pénzügyi igazgatójának (CFO) és más kollégáknak digitálisan létrehozott, valósághű képmását használták egy videókonferencia során. Az alkalmazott, aki azt hitte, hogy valódi kollégáival beszél, végül 200 millió hongkongi dollárt (kb. 25,6 millió amerikai dollár) utalt át a csalók által megadott számlákra 15 tranzakció során.[19]

A zsarolóvírusok új típusaként jelent meg néhány éve a többfázisú támadás (multi stage attack). A „régi” zsarolóvírus nem tett mást, mint lekódolta a számítógépet, és ha nem fizettünk, nem engedett hozzáférni az adatokhoz. Mostanra már biztonsági mentéseket készítenek a vállalkozások, így egy ilyen támadás elszenvedése ugyan számos negatív következménnyel jár (a zsarolóknak esetlegesen fizetett pénzösszegen felül reputáció vesztés, kiesés a termelésben, rendszer helyreállításának költsége stb.), azonban az új típusú támadás során a támadók először minden adatot – értsd személyes adatokat is! – elvisznek, és csak ezt követően kódolják le a rendszereket. Itt következik a zsarolás második része: ha nem fizet az áldozat (de valószínűleg, ha fizet, akkor is), még közzé is teszik a megszerzett adatokat. Így a felsorolt negatív következmények mellett még adatvédelmi bírsággal is számolhat a vállalat.

Ha kiberbiztonsági hiányosságok vagy tervezési hibák miatt a személyes adatok jogszerű kezelése sérül, illetve az adatok veszélybe kerülnek, határozott és elrettentő hatósági fellépés várható.[20]

Példaként említendő a British Airways légitársaság 2018 júniusi kiberbiztonsági incidense[21], melynek során az ügyfélforgalmat egy hamis weboldalra irányították át. Ezen keresztül a támadók mintegy 500.000 ügyfél, valamint a légitársaság dolgozóinak személyes adatait szerezték meg (ügyfelek neve, címe, bankkártya száma és CVC kódja, alkalmazottak és adminisztrátorok felhasználói nevei és jelszavai, BA executive club felhasználónevek és PIN kódok). Az ICO (az Egyesült Királyság adatvédelmi hatósága) a valaha volt legnagyobb adatvédelmi bírságot, 183,39 millió font (kb. 205 millió euró) bírságot szándékozott kiszabni a GDPR megsértése miatt, azonban a COVID-19 járvány gazdasági hatásai miatt a végleges bírságot jelentősen csökkentették, és 2020-ban 20 millió fontra (kb. 22 millió euróra) mérsékelték.[22] A légitársaság csak két hónappal később, szeptemberben értesült az incidensről (ez idő alatt a támadás és a támadók észrevétlenek maradtak!). Az ICO vizsgálata megállapította, hogy a légitársaság nem alkalmazott megfelelő biztonsági intézkedéseket, mint például többfaktoros azonosítást, amellyel megelőzhető lett volna a személyes adatok ellopása.

Egy hazai példát is említve, 2022 szeptemberében adathalász támadás érte a KRÉTA rendszert fejlesztő eKRÉTA Informatikai Zrt.-t (jelenlegi nevén Educational Development Informatikai Zrt.). A támadók egy support munkatárs e-mail fiókját célozták meg, aki megnyitott egy fertőzött csatolmányt. Ezáltal a támadók hozzáférést szereztek a munkavállaló jelszavaihoz, amelyek révén elérték a KRÉTA rendszer éles és teszt adatbázisait. A támadás során tizenkét oktatási intézmény teljes adatállománya került veszélybe, és több mint 20 ezer ember személyes adatai bizonyítottan illetéktelen kezekbe kerültek. A támadók hozzáférhettek akár 1,5 millió diák és 1,87 millió gondviselő érzékeny adataihoz is, például TAJ-számokhoz, lakcímekhez és bankszámlaszámokhoz. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) hivatalból indított vizsgálatot, miután nyilvánosságra került az incidens. Az eljárás során kiderült, hogy a cég nem tett eleget a GDPR előírásainak, (1) nem biztosított megfelelő technikai és szervezési intézkedéseket az adatok védelmére (GDPR 32. cikk), (2) Az adatvédelmi incidenst nem jelentette be indokolatlan késedelem nélkül az érintett iskoláknak (GDPR 33. cikk). A NAIH 110 millió forintos adatvédelmi bírságot[23] szabott ki a fejlesztő cégre, és megállapította, hogy a vállalat súlyos mulasztásokat követett el azzal, hogy (1) nem alkalmazott alapvető biztonsági megoldásokat, például kétfaktoros hitelesítést, (2) a támadók hozzáférhettek a Google fiók szinkronizációja révén az új jelszavakhoz is, és (3) a munkamenetek nem kerültek automatikusan kiléptetésre, ami növelte a rendszer sérülékenységét.

Hogyan kapcsolódik mindez a felhasználói tudatossághoz, a biztonságtudatossági képzések témájához? A példaként hozott esetekből láthatjuk, hogy a támadás sikerében, az adatvédelmi incidenst is eredményező kiberbiztonsági incidens sikerében a cikk előző részében említett biztonsági hiányosságok – a munkavállaló e-mail fiókjába érkezett fertőzött e-mail csatolmány megnyitása, jelszavak megszerzése – jelentős szerepet játszottak.

Kiberbiztonsági nézőpontból a fenti esetek is arra irányítják rá a figyelmet, hogy a felhasználói hibák kiküszöbölésére, a személyi állomány kiválasztására és oktatására különös gondot kell fordítani, mert az érintettek és az adatvédelmi hatóság irányában akkor is helyt kell állnia a cégnek vagy szervezetnek, ha a személyes adatokat érintő kockázat nem a hibás műszaki eszközökből vagy protokollokból, hanem egyéni hibából ered.[24]  A láncban a leggyengébb láncszemként szereplő felhasználó, alkalmazott, ügyintéző hibájából sikeres támadás során kiszivárgó adatok esetén is tehát az őt foglalkoztató vállalat lesz a felelős.

A hazai joggyakorlatban a NAIH határozatai alapján egyértelmű az az álláspont, hogy az ügyintézői hiba nem kimentési ok a vállalkozás számára. Itt is nézzünk két példát a határozatok közül. A Kréta ügyben hozott határozat szerint „Egy vállalkozás sem építhet arra, hogy a munkavállalója úgysem fog hibázni”[25] . Egy másik, az MKB Bank ügyében hozott határozat[26] szerint pedig „az ügyintézői hiba tehát nem minősül kimentési oknak, ebben az esetben is az adatkezelő viseli a felelősséget.”

Miért is van szükség biztonságtudatossági képzésre, mikor éri az el ténylegesen a célját

Fentiek ismeretében már nem lehet kérdéses, de nézzük meg, miért is bír kiemelt jelentőséggel munkavállalóink, partnereink, ügyfeleink, és talán legfontosabbként a vállalatok élén, vezetésében részt vevő személyek kiberbiztonsági tudatossága; miért is van szükség egy vállalatban biztonságtudatossági képzésre, és milyen módszerek lehetnek a leghatékonyabbak a valós tudás megszerzéséhez és alkalmazásához.

Szükség van rá egyfelől a jogszabályi megfelelés biztosítása érdekében, hiszen a NIS2 irányelv, az azt a hazai jogunkba átültető, a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény, és annak végrehajtási szabályait tartalmazó 7/2024. (VI.24.) Korm. rendelet, egyaránt kiemelt figyelmet fordít a munkavállalók kiberbiztonsági tudatosságának növelésére és szerepkör alapú képzésükre, amihez hasznos dokumentumként szolgál a Nemzeti Kibervédelmi Intézet „Tudatosság és képzés”[27] című útmutatója.

Másfelől a jogszabályi megfelelés mellett minden szereplőnek jól felfogott érdeke, hogy a képzés ne pusztán a jogszabályi előírás „kipipálását” jelentse, hanem a gyakorlatban, a magánéletben és a munkában (hiszen a távmunka elterjedtté válásával, magán- és munka céljából ugyanazon eszköz használatával már egybefolyik) használható valós tudást biztosítson a támadások felismerése, azok megelőzése vagy elhárítása során követendő magatartásokról.

Ha az alkalmazottak nem rendelkeznek megfelelő kiberbiztonsági ismeretekkel, könnyen válhatnak social engineering támadások célpontjává, a tudatosság hiánya miatt nagyobb eséllyel kattintanak rosszindulatú linkekre, adják ki jelszavaikat, vagy futtatnak kártékony programokat. A biztonságtudatosság hiánya növeli az óvatlanságból eredő hibák valószínűségét is, mint a nem megfelelő adatkezelés, vagy a gyenge jelszavak használata. A vállalati szabályzatok (poilcy-k) az IT biztonság alapvető pillérei, céljuk a biztonsági incidensek megelőzése, felismerése és kezelése. [28]

Annak érdekében, hogy egy alkalmazott a kibertéri csatamezőn a páncéling gyenge láncszeme helyett az erős láncszeme legyen, messze nem elegendő már egy vállalati tréningen való egy alkalmas részvétel, vagy egy online „next-next- done” típusú tananyag végigklikkelése és annak végén egy egyszerű online teszt kitöltése (noha a jogszabályi előírásnak ezek dokumentálása eleget tesz). Számos, ennél jóval hatékonyabb és az alkalmazottak számára is érdekesebb, valós tudást nyújtó oktatási módszer létezik, csak néhány példát említve:

(1) szimulált adathalász kampányokkal az alkalmazottak valós helyzetben próbálhatják ki, hogyan ismerjék fel a veszélyeket, lehetőség van a szimulált támadás során elkövetett hibák utólagos elemzésére;

(2) virtuális szimulációs környezetek: a résztvevők megtapasztalhatják az egyes kibertámadási technikákat és hogy miként reagáljanak, pl. kipróbálhatják a „másik oldal” szemszögéből a támadást;

 (3) gamifikációs elemek alkalmazása – versenykörnyezetet teremt és motiválja a tanulást megszerezhető pontokkal, karakterek fejlesztésével, jutalmakkal, e körben kiváló megoldás a társasjáték, hiszen a biztonság nem játék, de játszva könnyebben tanulható[29];

(4) workshopok – melyek alkalmával a résztvevők csoportban dolgozhatnak incidenskezelési terveken vagy kockázatelemzésen.

A tudás, a szabályok, eljárások és utasítások ismerete alapvető az információbiztonsági tudatosság szempontjából, de fontos, hogy önmagában csak ez a fajta tudás még nem biztosít aktív védelmet a vállalat védendő értékei számára. A tudás mellett kiemelt fontossággal bír az attitűd, ami pozitív hozzáállást feltételez az alkalmazottak részéről, fontos, hogy tudják és megértsék, hogy mit kell csinálni és az adott gyakorlat miért helyes vagy helytelen, de aktívan részt is vegyenek a megelőző és helyesbítő intézkedésekben, pl. jelentsék az észlelt gyanús eseményeket, részt vegyenek a mentési és helyreállítási műveletekben, kövessék a szabályokat és aktívan nyújtsanak egymásnak segítséget, ha váratlan biztonsági eseményekkel szembesülnek.[30]

Vezetők felelőssége az alkalmazottak biztonságtudatosságában, a vállalat biztonságában

Mint láthattuk, a különböző kiberbiztonsági/adatvédelmi incidensek bekövetkezése mögött döntő hányadban maga az ember áll, az alkalmazottak figyelmetlensége, kihasználható emberi tulajdonságaik, a szabályok nem megfelelő betartása komoly veszélyeket jelenthet a vállalat biztonságára. A megfelelő, hatékony, gyakorlatias oktatás, a biztonságtudatos és kritikus gondolkozás képességének kialakítása, javítása elengedhetetlen ahhoz, hogy az alkalmazottak felismerjék a lehetséges támadási módszereket. Azt is láttuk nemzetközi és hazai jogesetek (lsd. a cikkben hivatkozott ICO és NAIH döntések) példáján keresztül egyaránt, hogy a vállalatot, vagy a szervezetet kell felelősnek tekinteni egy adott incidens bekövetkeztekor, akkor is, ha az ügyintézői hibából történt.

A vezetők alapvető szerepet töltenek be egy vállalat információbiztonságában azáltal, hogy meghatározzák a szervezet biztonsági stratégiáját, elősegítik a biztonsági kultúra kialakítását, biztosítják a biztonsághoz és a biztonsági képzéshez szükséges erőforrásokat, és példát mutatnak. Ezen túlmenően proaktív intézkedéseikkel hozzájárulnak ahhoz, hogy a szervezet felkészült legyen a kibertámadásokkal szemben, miközben támogatják az alkalmazottak tudatosságát és felelősségvállalását minden hierarchikus szinten.

Így nem véletlen, hogy a vezetők felelőssége hangsúlyosan jelenik meg mind a NIS2 irányelvben, mind pedig a hazai jogszabályokban[31], az ő feladatuk és felelősségük az erőforrások biztosítása és az oktatási programok felügyelete, a részvétel a képzéseken, és a munkatársak képzésben való részvételének a biztosítása.

A cikk végére érve mindenkit bíztatok, hogy gondolja át saját biztonságtudatossággal kapcsolatos hozzáállását, magatartását, állítson be biztonságosabb jelszót, kapcsolja be a többfaktoros vagy a kétlépcsős azonosítást (ha még nem tette meg), így a lehetséges veszélyek és következmények ismeretében felkészültebb lesz a támadásokkal szemben.

Ahhoz, hogy a digitális világ tüneményeivel mindenki a saját élete nyertesévé válhasson[32], és ne a csalók győzedelmeskedjenek, elengedhetetlen, hogy a digitális világ útjain is a szabályokat ismerve és azokat betartva közlekedjünk, ahogy az offline világban sem hajtunk fel (remélhetőleg) az autópályára a KRESZ ismerete és szabályainak betartása, valamint a biztonsági öv becsatolása nélkül.  Biztonságos utazást kívánok!

A Jogtanácsosok a digitális világban rovat a Telekom jogi csapatának állandó rovata az Arsbonin.