Öryggismenning Hjörtur Árnason skrifar 3. maí 2023 13:30 Fundur Leiðtogaráðs Evrópu er framundan og gera má ráð fyrir auknum netárásum daganna fyrir og meðan á fundinum stendur. Þetta er það stór viðburður að illgjarnir aðilar láta þennan viðburð vart framhjá sér fara og eru tilbúnir að valda eins miklum usla og vandræðum með margskonar netárásum eins og hægt er. Það er samdóma álit þeirra aðila sem þekkja vel til í þessum málum að umtalsverðar líkur séu fyrir hendi á álagsárásum s.s. DDoS til að valda rofi á þjónustum. Einnig má búast við aukningu á varasömum tölvupóstum sem geta valdið vírussýkingum og gagna-gíslatöku (Randsomware). Það þarf oft ekki mikið til, hver man ekki eftir því þegar tyrkneskur hakkarahópur beindi spjótum sínum að íslenskum vefsíðum til að hefna fyrir slæma móttöku Íslendinga á tyrkneska landsliðinu og settu í gang DDoS árás á litla Ísland eftir landsleik Íslands og Tyrklands í fótbolta í júní 2019. Og svo reyndist þetta allt saman einn stór misskilningur hjá þeim. Sjálfsánægja með góða stöðu öryggismála getur verið varasöm. Hvað er öryggismenning og kúltúr og hvernig tryggjum við heildar öryggisstöðu fyrirtækisins? „Öryggismenning er mengi viðhorfa og gilda sem eru rótgróin í fyrirtækinu sem leiða oftast til þess að starfsmenn haga sér og starfa á þann hátt sem stuðlar að netöryggi.“ „Rétt eins og heilbrigð fyrirtækjamenning mun stuðla að framleiðni starfsmanna, vexti og varðveislu, bætir vel mótuð öryggismenning heildaröryggisstöðu fyrirtækisins.“ Það eru nokkrar leiðir til að byggja upp ígrundaða öryggismenningu. Almennt er kominn tími til að fyrirtæki hugi betur að öryggismenningu sinni og vinni að því að byggja upp árangursríka öryggisvitundaráætlun sem allir geta skilið og staðið að baki. Öryggisvitundar-þjálfun fær slæmt rapp. Starfsmenn óttast það ekki aðeins, heldur gera stjórnendur það líka. Öryggisvitund starfsmanna og stjórnenda eru oft lykilatriði í vörnum fyrirtækisins gegn net-glæpum. Kostnaður við netöryggis-brot er verulegur. Netglæpamenn miða á fyrirtæki með lélega öryggisstöðu og ómenntaðir notendur gætu verið hvati skaðlegrar netárásar. Fyrstu árásir byrja oft með því að notandi smellir á grunsamlegan hlekk eða viðhengi og eykst oft í stórt brot síðar. Að samþætta öryggisvitund í fyrirtækjamenningu mun byggja upp heildar öryggisþroska og uppskera jákvæðan árangur. Rétt eins og heilbrigð fyrirtækjamenning mun stuðla að framleiðni starfsmanna, vexti og varðveislu, bætir vel mótuð öryggismenning heildaröryggisstöðu fyrirtækisins. Mikilvægast er að það hvetur upplýsingatækni og notendur til að vinna saman að því að greina skaðlega virkni sem getur leitt til öryggisatviks. Hvað er öryggismenning? Öryggismenning er mengi viðhorfa og gilda sem eru rótgróin í fyrirtækinu sem leiða oftast til þess að starfsmenn haga sér og starfa á þann hátt sem stuðlar að netöryggi. Sterk öryggismenning viðurkennir að öryggi er starf allra - ekki bara upplýsingatækni. Fyrirtæki með góða öryggismenningu: samræma heildarmarkmið viðskipta við öryggi. stuðla að mikilvægi öryggis frekar en að líta á það sem byrði eða skyldu. innleiða bestu starfsvenjur í öryggismálum ofan frá hvetja til gagnrýninnar hugsunar, ekki ásakana og refsinga, þegar vandamál koma upp. Að byggja upp sterka öryggismenningu krefst átaks. Góð öryggismenning er ekki búin til úr einum atburði; það á sér djúpar rætur í stofnun og krefst þess vegna langtímaskuldbindingar og viðhalds. Hér eru nokkrar leiðir til að taka yfirvegaða, jákvæða nálgun á öryggismenningu og byggja upp öryggisþroska innan fyrirtækisins. Forðastu sjálfsánægju og hagræðingar til að ná árangri Því miður líta mörg fyrirtæki á öryggi sem bölvun og taka þá nálgun „við skulum bara komast í gegnum þetta, við erum í góðum málum“. Það leiðir aldrei til fyrirtækis sem er öruggt eða hamingjusamt og gefur venjulega til kynna að það séu einhver menningarleg vandamál utan upplýsingatækninnar og öryggis líka. Þegar þú tekur nálgun á öryggi sem sjálfsögðum hlut, án þess að velta þér mikið upp úr því, þá þýðir það venjulega að þú sért ekki einbeittur í því að gera stöðugar umbætur. Og almennt séð eru góðar líkur á því að brotið verði gegn fyrirtækinu á einhverjum tímapunkti. Gott netöryggi krefst þess að vera fyrirbyggjandi og mynda samfellda endurgjöf þar sem öryggisteymi mæla gögn, miðla gögnunum á áhrifaríkan hátt og finna lausn sem tekur mið af þeim upplýsingum. Fræða og hvetja notendur Mannleg mistök eru upphafið að mörgum netárásum. Auðvitað vilja notendur ekki vera ástæðan fyrir öryggisatviki - þeir gera venjulega mistök vegna skorts á menntun og þjálfun. Notendur smella á grunsamlega hlekki og viðhengi, þeir tengjast almennu þráðlausu interneti án VPN, eða þeir velja veik lykilorð eða geyma lykilorð sín á óöruggan hátt, venjulega vegna þess að fyrirtækið hefur ekki gefið þeim raunhæf ráð um hvað eigi að gera öðruvísi. Gefðu notendum skýrar leiðbeiningar um hvað á að gera - og hvað ekki - og hvers vegna. Það er mikilvægt að fylgja þessum leiðbeiningum. Að vera óljós um netöryggi eða að styðja ekki notendur með fræðslu og upplýsingatækni eða öryggisverkfærum sem þeir þurfa mun ekki stuðla að þroska í öryggisáætlun. Notendur ættu að vita afleiðingar ákveðinna aðgerða. Þú ættir að hjálpa notendum að skilja hvernig og hvers vegna „öryggi“, frekar en að gefa þeim tilskipanir án samhengis. Skilvirkt öryggisþjálfunarkerfi tryggir að starfsmenn hafi úrræði og þekkingu til að þekkja grunsamlega hegðun frá árásarmönnum. Þjálfun getur verið í formi þess sem passar best inn í fyrirtækjamenningu þína, hvort sem það er vikulegt fréttabréf, hópfundir eða gagnvirkar spurningakeppnir - því skemmtilegra og grípandi, því betra. Microsoft og fleiri aðilar bjóða upp á skilvirk öryggisþjálfunarkerfi. Verðlaunaðu góða öryggishegðun Öryggismenning er ekki byggð á einni nóttu. Bættu vitund inn í fyrirtækjamenningu og farðu lengra en hefðbundin þjálfunaráætlun til að hafa raunveruleg áhrif. Einn mikilvægur þáttur í þessu er að viðurkenna og umbuna notendum sem ástunda góða öryggishegðun. Hvað gerist til dæmis þegar notandi smellir á vef veiðar tengil? Er þeim refsað eða verðlaunað fyrir að taka eftir því? Fólk tekur mið af þessum blæbrigðum og þessir þættir stuðla að öryggisþroska og velgengni á stóran hátt. Metið öryggisverkfæri með þroska í huga Flestir framleiðendur öryggishugbúnaðar segja þér þetta ekki, en innleiðing öryggisvarna mun ekki sjálfkrafa byggja upp þroska inn í fyrirtæki þitt. Öryggisverkfæri eru oft bara þessi – „verkfæri“. Að innleiða öryggisvörn í blindni í þeirri von að fleiri viðvaranir gefi meiri vernd gegn netárásum mun sjaldan leiða til farsællar öryggismenningu. Hávær viðvaranir eða skýrslur stjórnenda leysa venjulega ekki öryggisforrit; þeir gefa þér oft takmarkaða sýn á heildar öryggisinnviði. Þess í stað munu leiðbeinandi úrbætur sem þú getur brugðist rétt við og lært af skila meiri árangri. Höfundur er formaður Félags rafeindatæknifyrirtækja og rekur eigið tölvuþjónustufyrirtæki H. Árnason ehf. Heimildir: Greinar frá Techtarget.com, InfosecIQ, Makeuseof.com og fleiri internet vefsíðum. Viltu birta grein á Vísi? Sendu okkur póst. Senda grein Netöryggi Mest lesið Geðdeild Akureyrar aðeins með 10 pláss á legudeild fyrir sjúklinga með alvarlegan geðrænan vanda Gísli Hvanndal Jakobsson Skoðun Halldór 16.11.2024 Halldór Ríkið sviptir 30.400 manns grundvallarréttindum sínum Yngvi Sighvatsson Skoðun Opið bréf til næsta heilbrigðisráðherra Teitur Guðmundsson Skoðun Aðgangur bannaður Áslaug Arna Sigurbjörnsdóttir Skoðun Nærsýni afinn og baunabyssan Ragnar Þór Pétursson Skoðun Miðflokkurinn hefur lausnir á húsnæðismarkaði Bessí Þóra Jónsdóttir Skoðun Einkavæðing súrefnisins Björn Þorláksson Skoðun Íslensku menntaverðlaunin og vandi íslenska skólakerfisins Meyvant Þórólfsson Skoðun Leyfum ungmennum að sofa – hættum að sofa á verðinum Sigurður Eyjólfur Sigurjónsson Skoðun Skoðun Skoðun Nærsýni afinn og baunabyssan Ragnar Þór Pétursson skrifar Skoðun Miðflokkurinn hefur lausnir á húsnæðismarkaði Bessí Þóra Jónsdóttir skrifar Skoðun Skyldan við ungt fólk og framtíðina Kolbrún Áslaugar Baldursdóttir skrifar Skoðun Ríkið sviptir 30.400 manns grundvallarréttindum sínum Yngvi Sighvatsson skrifar Skoðun Tökum aftur völdin í sjávarútvegi Unnur Rán Reynisdóttir skrifar Skoðun Forarpyttur fordómanna – forðumst hann! Gunnar Hólmsteinn Ársælsson skrifar Skoðun Örugg og fagleg lyfjaendurnýjun – hagur sjúklinga Már Egilsson skrifar Skoðun Rangar lögheimilisskráningar og skynsemishyggja Ingibjörg Bernhöft skrifar Skoðun Fjölfræðingur óskar eftir starfi Rakel Linda Kristjánsdóttir skrifar Skoðun Leyfum ungmennum að sofa – hættum að sofa á verðinum Sigurður Eyjólfur Sigurjónsson skrifar Skoðun Íslensku menntaverðlaunin og vandi íslenska skólakerfisins Meyvant Þórólfsson skrifar Skoðun Dagur íslenskrar tungu 2024: Væntumþykja í 60 ár Eva María Jónsdóttir skrifar Skoðun Opið bréf til næsta heilbrigðisráðherra Teitur Guðmundsson skrifar Skoðun Einkavæðing súrefnisins Björn Þorláksson skrifar Skoðun Aðgangur bannaður Áslaug Arna Sigurbjörnsdóttir skrifar Skoðun Á að vera landbúnaður á Íslandi? Ágústa Ágústsdóttir skrifar Skoðun Miðflokkurinn stendur vörð um bændur Högni Elfar Gylfason skrifar Skoðun Fjármál Kópavogsbæjar - hin hliðin Theódóra Þorsteinsdóttir skrifar Skoðun Feður eiga undir högg að sækja í forsjármálum Jörgen Ingimar Hansson skrifar Skoðun Mikill má máttur Viðreisnar og áhrif um alla Evrópu, líka á Pútín, vera Ole Anton Bieltvedt skrifar Skoðun Geðdeild Akureyrar aðeins með 10 pláss á legudeild fyrir sjúklinga með alvarlegan geðrænan vanda Gísli Hvanndal Jakobsson skrifar Skoðun Frír hádegisverður í boði Friedmans Róbert Björnsson skrifar Skoðun Höldum áfram með íslenskuna og konuna Helga Dögg Sverrisdóttir skrifar Skoðun Ekki láta kaupa atkvæði þitt Alexandra Briem skrifar Skoðun Afnemum fátæktina Helgi Máni Sigurðsson skrifar Skoðun Krónur, evrur og fullveldi Bjarni Benediktsson skrifar Skoðun Ný ríkisstjórn styrki meistarakerfi löggiltra iðngreina Hópur formanna fag- og meistarafélaga innan SI skrifar Skoðun Stefnubreyting Miðflokksins gegn hagsmunum bænda Þórarinn Ingi Pétursson,Þuríður Lillý Sigurðardóttir,Jóhann Friðrik Friðriksson,Sigurður Eyjólfur Sigurjónsson,Stefán Vagn Stefánsson,Halla Signý Kristjánsdóttir skrifar Skoðun Farsældarlögin snúast ekki um börnin Lúðvík Júlíusson skrifar Skoðun Víðtæk og öflug barátta gegn einmanaleika á Íslandi Guðrún Svava Viðarsdóttir skrifar Sjá meira
Fundur Leiðtogaráðs Evrópu er framundan og gera má ráð fyrir auknum netárásum daganna fyrir og meðan á fundinum stendur. Þetta er það stór viðburður að illgjarnir aðilar láta þennan viðburð vart framhjá sér fara og eru tilbúnir að valda eins miklum usla og vandræðum með margskonar netárásum eins og hægt er. Það er samdóma álit þeirra aðila sem þekkja vel til í þessum málum að umtalsverðar líkur séu fyrir hendi á álagsárásum s.s. DDoS til að valda rofi á þjónustum. Einnig má búast við aukningu á varasömum tölvupóstum sem geta valdið vírussýkingum og gagna-gíslatöku (Randsomware). Það þarf oft ekki mikið til, hver man ekki eftir því þegar tyrkneskur hakkarahópur beindi spjótum sínum að íslenskum vefsíðum til að hefna fyrir slæma móttöku Íslendinga á tyrkneska landsliðinu og settu í gang DDoS árás á litla Ísland eftir landsleik Íslands og Tyrklands í fótbolta í júní 2019. Og svo reyndist þetta allt saman einn stór misskilningur hjá þeim. Sjálfsánægja með góða stöðu öryggismála getur verið varasöm. Hvað er öryggismenning og kúltúr og hvernig tryggjum við heildar öryggisstöðu fyrirtækisins? „Öryggismenning er mengi viðhorfa og gilda sem eru rótgróin í fyrirtækinu sem leiða oftast til þess að starfsmenn haga sér og starfa á þann hátt sem stuðlar að netöryggi.“ „Rétt eins og heilbrigð fyrirtækjamenning mun stuðla að framleiðni starfsmanna, vexti og varðveislu, bætir vel mótuð öryggismenning heildaröryggisstöðu fyrirtækisins.“ Það eru nokkrar leiðir til að byggja upp ígrundaða öryggismenningu. Almennt er kominn tími til að fyrirtæki hugi betur að öryggismenningu sinni og vinni að því að byggja upp árangursríka öryggisvitundaráætlun sem allir geta skilið og staðið að baki. Öryggisvitundar-þjálfun fær slæmt rapp. Starfsmenn óttast það ekki aðeins, heldur gera stjórnendur það líka. Öryggisvitund starfsmanna og stjórnenda eru oft lykilatriði í vörnum fyrirtækisins gegn net-glæpum. Kostnaður við netöryggis-brot er verulegur. Netglæpamenn miða á fyrirtæki með lélega öryggisstöðu og ómenntaðir notendur gætu verið hvati skaðlegrar netárásar. Fyrstu árásir byrja oft með því að notandi smellir á grunsamlegan hlekk eða viðhengi og eykst oft í stórt brot síðar. Að samþætta öryggisvitund í fyrirtækjamenningu mun byggja upp heildar öryggisþroska og uppskera jákvæðan árangur. Rétt eins og heilbrigð fyrirtækjamenning mun stuðla að framleiðni starfsmanna, vexti og varðveislu, bætir vel mótuð öryggismenning heildaröryggisstöðu fyrirtækisins. Mikilvægast er að það hvetur upplýsingatækni og notendur til að vinna saman að því að greina skaðlega virkni sem getur leitt til öryggisatviks. Hvað er öryggismenning? Öryggismenning er mengi viðhorfa og gilda sem eru rótgróin í fyrirtækinu sem leiða oftast til þess að starfsmenn haga sér og starfa á þann hátt sem stuðlar að netöryggi. Sterk öryggismenning viðurkennir að öryggi er starf allra - ekki bara upplýsingatækni. Fyrirtæki með góða öryggismenningu: samræma heildarmarkmið viðskipta við öryggi. stuðla að mikilvægi öryggis frekar en að líta á það sem byrði eða skyldu. innleiða bestu starfsvenjur í öryggismálum ofan frá hvetja til gagnrýninnar hugsunar, ekki ásakana og refsinga, þegar vandamál koma upp. Að byggja upp sterka öryggismenningu krefst átaks. Góð öryggismenning er ekki búin til úr einum atburði; það á sér djúpar rætur í stofnun og krefst þess vegna langtímaskuldbindingar og viðhalds. Hér eru nokkrar leiðir til að taka yfirvegaða, jákvæða nálgun á öryggismenningu og byggja upp öryggisþroska innan fyrirtækisins. Forðastu sjálfsánægju og hagræðingar til að ná árangri Því miður líta mörg fyrirtæki á öryggi sem bölvun og taka þá nálgun „við skulum bara komast í gegnum þetta, við erum í góðum málum“. Það leiðir aldrei til fyrirtækis sem er öruggt eða hamingjusamt og gefur venjulega til kynna að það séu einhver menningarleg vandamál utan upplýsingatækninnar og öryggis líka. Þegar þú tekur nálgun á öryggi sem sjálfsögðum hlut, án þess að velta þér mikið upp úr því, þá þýðir það venjulega að þú sért ekki einbeittur í því að gera stöðugar umbætur. Og almennt séð eru góðar líkur á því að brotið verði gegn fyrirtækinu á einhverjum tímapunkti. Gott netöryggi krefst þess að vera fyrirbyggjandi og mynda samfellda endurgjöf þar sem öryggisteymi mæla gögn, miðla gögnunum á áhrifaríkan hátt og finna lausn sem tekur mið af þeim upplýsingum. Fræða og hvetja notendur Mannleg mistök eru upphafið að mörgum netárásum. Auðvitað vilja notendur ekki vera ástæðan fyrir öryggisatviki - þeir gera venjulega mistök vegna skorts á menntun og þjálfun. Notendur smella á grunsamlega hlekki og viðhengi, þeir tengjast almennu þráðlausu interneti án VPN, eða þeir velja veik lykilorð eða geyma lykilorð sín á óöruggan hátt, venjulega vegna þess að fyrirtækið hefur ekki gefið þeim raunhæf ráð um hvað eigi að gera öðruvísi. Gefðu notendum skýrar leiðbeiningar um hvað á að gera - og hvað ekki - og hvers vegna. Það er mikilvægt að fylgja þessum leiðbeiningum. Að vera óljós um netöryggi eða að styðja ekki notendur með fræðslu og upplýsingatækni eða öryggisverkfærum sem þeir þurfa mun ekki stuðla að þroska í öryggisáætlun. Notendur ættu að vita afleiðingar ákveðinna aðgerða. Þú ættir að hjálpa notendum að skilja hvernig og hvers vegna „öryggi“, frekar en að gefa þeim tilskipanir án samhengis. Skilvirkt öryggisþjálfunarkerfi tryggir að starfsmenn hafi úrræði og þekkingu til að þekkja grunsamlega hegðun frá árásarmönnum. Þjálfun getur verið í formi þess sem passar best inn í fyrirtækjamenningu þína, hvort sem það er vikulegt fréttabréf, hópfundir eða gagnvirkar spurningakeppnir - því skemmtilegra og grípandi, því betra. Microsoft og fleiri aðilar bjóða upp á skilvirk öryggisþjálfunarkerfi. Verðlaunaðu góða öryggishegðun Öryggismenning er ekki byggð á einni nóttu. Bættu vitund inn í fyrirtækjamenningu og farðu lengra en hefðbundin þjálfunaráætlun til að hafa raunveruleg áhrif. Einn mikilvægur þáttur í þessu er að viðurkenna og umbuna notendum sem ástunda góða öryggishegðun. Hvað gerist til dæmis þegar notandi smellir á vef veiðar tengil? Er þeim refsað eða verðlaunað fyrir að taka eftir því? Fólk tekur mið af þessum blæbrigðum og þessir þættir stuðla að öryggisþroska og velgengni á stóran hátt. Metið öryggisverkfæri með þroska í huga Flestir framleiðendur öryggishugbúnaðar segja þér þetta ekki, en innleiðing öryggisvarna mun ekki sjálfkrafa byggja upp þroska inn í fyrirtæki þitt. Öryggisverkfæri eru oft bara þessi – „verkfæri“. Að innleiða öryggisvörn í blindni í þeirri von að fleiri viðvaranir gefi meiri vernd gegn netárásum mun sjaldan leiða til farsællar öryggismenningu. Hávær viðvaranir eða skýrslur stjórnenda leysa venjulega ekki öryggisforrit; þeir gefa þér oft takmarkaða sýn á heildar öryggisinnviði. Þess í stað munu leiðbeinandi úrbætur sem þú getur brugðist rétt við og lært af skila meiri árangri. Höfundur er formaður Félags rafeindatæknifyrirtækja og rekur eigið tölvuþjónustufyrirtæki H. Árnason ehf. Heimildir: Greinar frá Techtarget.com, InfosecIQ, Makeuseof.com og fleiri internet vefsíðum.
Geðdeild Akureyrar aðeins með 10 pláss á legudeild fyrir sjúklinga með alvarlegan geðrænan vanda Gísli Hvanndal Jakobsson Skoðun
Skoðun Mikill má máttur Viðreisnar og áhrif um alla Evrópu, líka á Pútín, vera Ole Anton Bieltvedt skrifar
Skoðun Geðdeild Akureyrar aðeins með 10 pláss á legudeild fyrir sjúklinga með alvarlegan geðrænan vanda Gísli Hvanndal Jakobsson skrifar
Skoðun Ný ríkisstjórn styrki meistarakerfi löggiltra iðngreina Hópur formanna fag- og meistarafélaga innan SI skrifar
Skoðun Stefnubreyting Miðflokksins gegn hagsmunum bænda Þórarinn Ingi Pétursson,Þuríður Lillý Sigurðardóttir,Jóhann Friðrik Friðriksson,Sigurður Eyjólfur Sigurjónsson,Stefán Vagn Stefánsson,Halla Signý Kristjánsdóttir skrifar
Geðdeild Akureyrar aðeins með 10 pláss á legudeild fyrir sjúklinga með alvarlegan geðrænan vanda Gísli Hvanndal Jakobsson Skoðun