Itt vagy: Nyitólap Árgus Információbiztonság Mi az információbiztonság? 2. RÉSZ

fejlec argus

Mi az információbiztonság? 2. RÉSZ

  • Nyomtatás
Részletek
2008. szeptember 29. hétfő, 00:00
 

Cikkünk második részében az internet, a dokumentumkezelés és a legevidensebb kapcsolattartási eszköz, a telefon használatának információbiztonsági kockázataira térnénk ki.

Internet – közösségi oldalak

Napjainkra az internet a mindennapi életünk része lett. Azok is, akik otthon nem rendelkeznek internet-eléréssel, sokszor a munkahelyükön hozzáférhetnek. Az internethasználatnak – kétségtelen előnyei mellett – bizony sok kockázata és veszélye is van. Jelen fejezetben nem foglalkozunk az informatikai, technológiai fenyegetettségekkel, hanem elsősorban az információk interneten való kezelésének módját, veszélyeit tárgyaljuk. Az egyik legfontosabb dolog, hogy személyes adatainkat csak nagyon körültekintő módon adjuk meg, és azt is lehetőleg csak olyan honlapokon, amelyek biztonságosnak tekinthetők.



Tipikusan ilyenek (megbízhatóak) a bankok honlapjai, illetve egyéb ismert internetes vásárlói oldalak. Azonban mindenképen felhívnánk a fi gyelmet az úgynevezett adathalász1 támadásokra, amelyek során a gyanútlan felhasználóktól kicsalják személyes adataikat, és azokkal különböző csalásokat követnek el. Információbiztonsági szempontból rendkívül veszélyesek az úgynevezett közösségi oldalak, amenynyiben a felhasználó nem a megfelelő módon és nem a megfelelő gondossággal használja azokat, hiszen a közösségi oldalak célja, hogy barátokat, ismerősöket hozzon össze az interneten keresztül. Ezeken az oldalakon mód van arra, hogy minden felhasználó, aki regisztrálta magát, különböző személyes információkat adjon meg magáról, az e-mail címektől kezdve, lakcímet, telefonszámokat, fényképeket, munkahelyeket, hobbikat stb. Szeretnénk felhívni a fi gyelmet, hogy nem csak tisztességes szándékú felhasználók regisztrálhatnak ezekre a közösségi oldalakra, a közösségi oldalon önként közzétett információkkal könnyen vissza lehet élni.

Dokumentumok kezelése

A kezünkbe kerülő dokumentumokkal is rendkívül körültekintően kell bánnunk. Az esetek túlnyomó részében a napi munkavégzés során bizalmas dokumentumokkal dolgozunk, ezért ügyelni kell arra, hogy a bizalmas üzleti dokumentumok ne kerülhessenek illetéktelen kezekbe. Érdemes odafi gyelni arra, hogy a dokumentumok ne szanaszét heverjenek az íróasztalon, hanem rendezette iratgyűjtőben, dossziéban. Abban az esetben, ha valamilyen okból rövidebb időre el kell hagyni az irodát, célszerű a dokumentumokat vagy lefelé fordítva, vagy egymásra helyezve egy „kupacban” az asztalon hagyni. Amennyiben hoszszabb időre kell elhagyni az irodát (legalább félnapos távollét), illetve munkaidő végén, a bizalmas jellegű üzleti dokumentációkat minden esetben célszerű elzárni. Ne feledjük, hogy a takarító személyzetre sem tartoznak a cég belső ügyei! Nagyobb vállalatoknál létezik úgynevezett „Tiszta asztal szabályzat” (Clean Desk Policy), amely többek között szabályozza és egyben segítséget is nyújt (gyakorlati tanácsokkal) abban, hogy az adott munkahelyen hogyan kell a napi munkavégzés során a dokumentumokat kezelni2.

Telefonos kapcsolattartás

A telefon akár hagyományos vonalas telefonról, akár mobiltelefonról beszélünk, mára a hétköznapi élet szerves része lett. Gyakorlatilag a tizenéves gyerekektől kezdve a nyugdíjasokig, szinte mindenkinek van valamilyen telefonkészüléke. Az üzleti életben a mindennapi munka elengedhetetlen kelléke, nélküle szinte megállna az élet. Ugyanakkor sokan hajlamosak információbiztonsági szempontból lebecsülni a telefont, mint kockázati tényezőt. Miben rejlik a telefonálás kockázata? A legnagyobb kockázat, hogy igazából nem tudjuk azonosítani a hívó vagy hívott felet. Biztonsággal csak akkor tudunk bárkit azonosítani a vonal másik végén, ha személyeinformációbiztonság sen ismerjük, és természetesen felismerjük a hangját. Az üzleti életben azonban nem ismerhetünk mindenkit személyesen. Ezért fontos hangsúlyozni, hogy a munkatársak legyenek tisztában azzal, hogy telefonon keresztül kinek, milyen információt szabad kiadni. Képesnek kell lenni arra, hogy az esetlegesen tolakodó vagy akár zaklató jellegű hívásokat megfelelő határozottsággal és kellő diplomáciai érzékkel kezeljük. Ki kell dolgozni azokat a megoldásokat, amelyek segítségével nagy biztonsággal megtudjuk határozni a hívó személyét.

Social Engineering

A fenti kifejezést nehéz megfelelően magyarra fordítani. A Social Engineering egy elkövetési mód, ahol a tisztességtelen szándékú személy, különböző fortélyokkal, ravasz trükkökkel próbál meg számára fontos információkat megszerezni az áldozatától. Amenynyiben pontosabban szeretnénk meghatározni, hogy mit is jelent a kifejezés, akkor azt mondhatjuk, hogy a Social Engineering: emberi hiszékenységen és jóindulaton alapuló emberi kapcsolatokat felhasználó csalási forma. Az elkövetők hatalmas eszköztárral rendelkeznek egy-egy információ megszerzésére. Nagyon gyakori eset – telefonos információszerzés esetén –, hogy a hívó fél valamilyen befolyásos barátra, ismerősre vagy – már korábban megszerzett információ alapján – a hívott közvetlen főnökére való hivatkozással kér bizonyos információkat. Szintén itt említenénk meg azt az esetet, amikor a hívó a vállalat informatikusának adja ki magát, és különböző dolgokra hivatkozva kéri a felhasználót (hívott fél), hogy adja meg a felhasználói jelszavát vagy esetleg magyarázza el, hogy egy speciális alkalmazást (könyvelőrendszert, készletnyilvántartó rendszert stb.) hogyan is kell használni. Nem célunk, hogy bárkire fölöslegesen ráijesszünk, elsősorban az információbiztonság széleskörűségére szeretnénk rávilágítani. Ahhoz, hogy egy gazdálkodó szervezet üzleti titkait, belső, bizalmas információt megvédhessük, minden apró jelre, tényezőre oda kell fi gyelni.