Öryggismenning Hjörtur Árnason skrifar 3. maí 2023 13:30 Fundur Leiðtogaráðs Evrópu er framundan og gera má ráð fyrir auknum netárásum daganna fyrir og meðan á fundinum stendur. Þetta er það stór viðburður að illgjarnir aðilar láta þennan viðburð vart framhjá sér fara og eru tilbúnir að valda eins miklum usla og vandræðum með margskonar netárásum eins og hægt er. Það er samdóma álit þeirra aðila sem þekkja vel til í þessum málum að umtalsverðar líkur séu fyrir hendi á álagsárásum s.s. DDoS til að valda rofi á þjónustum. Einnig má búast við aukningu á varasömum tölvupóstum sem geta valdið vírussýkingum og gagna-gíslatöku (Randsomware). Það þarf oft ekki mikið til, hver man ekki eftir því þegar tyrkneskur hakkarahópur beindi spjótum sínum að íslenskum vefsíðum til að hefna fyrir slæma móttöku Íslendinga á tyrkneska landsliðinu og settu í gang DDoS árás á litla Ísland eftir landsleik Íslands og Tyrklands í fótbolta í júní 2019. Og svo reyndist þetta allt saman einn stór misskilningur hjá þeim. Sjálfsánægja með góða stöðu öryggismála getur verið varasöm. Hvað er öryggismenning og kúltúr og hvernig tryggjum við heildar öryggisstöðu fyrirtækisins? „Öryggismenning er mengi viðhorfa og gilda sem eru rótgróin í fyrirtækinu sem leiða oftast til þess að starfsmenn haga sér og starfa á þann hátt sem stuðlar að netöryggi.“ „Rétt eins og heilbrigð fyrirtækjamenning mun stuðla að framleiðni starfsmanna, vexti og varðveislu, bætir vel mótuð öryggismenning heildaröryggisstöðu fyrirtækisins.“ Það eru nokkrar leiðir til að byggja upp ígrundaða öryggismenningu. Almennt er kominn tími til að fyrirtæki hugi betur að öryggismenningu sinni og vinni að því að byggja upp árangursríka öryggisvitundaráætlun sem allir geta skilið og staðið að baki. Öryggisvitundar-þjálfun fær slæmt rapp. Starfsmenn óttast það ekki aðeins, heldur gera stjórnendur það líka. Öryggisvitund starfsmanna og stjórnenda eru oft lykilatriði í vörnum fyrirtækisins gegn net-glæpum. Kostnaður við netöryggis-brot er verulegur. Netglæpamenn miða á fyrirtæki með lélega öryggisstöðu og ómenntaðir notendur gætu verið hvati skaðlegrar netárásar. Fyrstu árásir byrja oft með því að notandi smellir á grunsamlegan hlekk eða viðhengi og eykst oft í stórt brot síðar. Að samþætta öryggisvitund í fyrirtækjamenningu mun byggja upp heildar öryggisþroska og uppskera jákvæðan árangur. Rétt eins og heilbrigð fyrirtækjamenning mun stuðla að framleiðni starfsmanna, vexti og varðveislu, bætir vel mótuð öryggismenning heildaröryggisstöðu fyrirtækisins. Mikilvægast er að það hvetur upplýsingatækni og notendur til að vinna saman að því að greina skaðlega virkni sem getur leitt til öryggisatviks. Hvað er öryggismenning? Öryggismenning er mengi viðhorfa og gilda sem eru rótgróin í fyrirtækinu sem leiða oftast til þess að starfsmenn haga sér og starfa á þann hátt sem stuðlar að netöryggi. Sterk öryggismenning viðurkennir að öryggi er starf allra - ekki bara upplýsingatækni. Fyrirtæki með góða öryggismenningu: samræma heildarmarkmið viðskipta við öryggi. stuðla að mikilvægi öryggis frekar en að líta á það sem byrði eða skyldu. innleiða bestu starfsvenjur í öryggismálum ofan frá hvetja til gagnrýninnar hugsunar, ekki ásakana og refsinga, þegar vandamál koma upp. Að byggja upp sterka öryggismenningu krefst átaks. Góð öryggismenning er ekki búin til úr einum atburði; það á sér djúpar rætur í stofnun og krefst þess vegna langtímaskuldbindingar og viðhalds. Hér eru nokkrar leiðir til að taka yfirvegaða, jákvæða nálgun á öryggismenningu og byggja upp öryggisþroska innan fyrirtækisins. Forðastu sjálfsánægju og hagræðingar til að ná árangri Því miður líta mörg fyrirtæki á öryggi sem bölvun og taka þá nálgun „við skulum bara komast í gegnum þetta, við erum í góðum málum“. Það leiðir aldrei til fyrirtækis sem er öruggt eða hamingjusamt og gefur venjulega til kynna að það séu einhver menningarleg vandamál utan upplýsingatækninnar og öryggis líka. Þegar þú tekur nálgun á öryggi sem sjálfsögðum hlut, án þess að velta þér mikið upp úr því, þá þýðir það venjulega að þú sért ekki einbeittur í því að gera stöðugar umbætur. Og almennt séð eru góðar líkur á því að brotið verði gegn fyrirtækinu á einhverjum tímapunkti. Gott netöryggi krefst þess að vera fyrirbyggjandi og mynda samfellda endurgjöf þar sem öryggisteymi mæla gögn, miðla gögnunum á áhrifaríkan hátt og finna lausn sem tekur mið af þeim upplýsingum. Fræða og hvetja notendur Mannleg mistök eru upphafið að mörgum netárásum. Auðvitað vilja notendur ekki vera ástæðan fyrir öryggisatviki - þeir gera venjulega mistök vegna skorts á menntun og þjálfun. Notendur smella á grunsamlega hlekki og viðhengi, þeir tengjast almennu þráðlausu interneti án VPN, eða þeir velja veik lykilorð eða geyma lykilorð sín á óöruggan hátt, venjulega vegna þess að fyrirtækið hefur ekki gefið þeim raunhæf ráð um hvað eigi að gera öðruvísi. Gefðu notendum skýrar leiðbeiningar um hvað á að gera - og hvað ekki - og hvers vegna. Það er mikilvægt að fylgja þessum leiðbeiningum. Að vera óljós um netöryggi eða að styðja ekki notendur með fræðslu og upplýsingatækni eða öryggisverkfærum sem þeir þurfa mun ekki stuðla að þroska í öryggisáætlun. Notendur ættu að vita afleiðingar ákveðinna aðgerða. Þú ættir að hjálpa notendum að skilja hvernig og hvers vegna „öryggi“, frekar en að gefa þeim tilskipanir án samhengis. Skilvirkt öryggisþjálfunarkerfi tryggir að starfsmenn hafi úrræði og þekkingu til að þekkja grunsamlega hegðun frá árásarmönnum. Þjálfun getur verið í formi þess sem passar best inn í fyrirtækjamenningu þína, hvort sem það er vikulegt fréttabréf, hópfundir eða gagnvirkar spurningakeppnir - því skemmtilegra og grípandi, því betra. Microsoft og fleiri aðilar bjóða upp á skilvirk öryggisþjálfunarkerfi. Verðlaunaðu góða öryggishegðun Öryggismenning er ekki byggð á einni nóttu. Bættu vitund inn í fyrirtækjamenningu og farðu lengra en hefðbundin þjálfunaráætlun til að hafa raunveruleg áhrif. Einn mikilvægur þáttur í þessu er að viðurkenna og umbuna notendum sem ástunda góða öryggishegðun. Hvað gerist til dæmis þegar notandi smellir á vef veiðar tengil? Er þeim refsað eða verðlaunað fyrir að taka eftir því? Fólk tekur mið af þessum blæbrigðum og þessir þættir stuðla að öryggisþroska og velgengni á stóran hátt. Metið öryggisverkfæri með þroska í huga Flestir framleiðendur öryggishugbúnaðar segja þér þetta ekki, en innleiðing öryggisvarna mun ekki sjálfkrafa byggja upp þroska inn í fyrirtæki þitt. Öryggisverkfæri eru oft bara þessi – „verkfæri“. Að innleiða öryggisvörn í blindni í þeirri von að fleiri viðvaranir gefi meiri vernd gegn netárásum mun sjaldan leiða til farsællar öryggismenningu. Hávær viðvaranir eða skýrslur stjórnenda leysa venjulega ekki öryggisforrit; þeir gefa þér oft takmarkaða sýn á heildar öryggisinnviði. Þess í stað munu leiðbeinandi úrbætur sem þú getur brugðist rétt við og lært af skila meiri árangri. Höfundur er formaður Félags rafeindatæknifyrirtækja og rekur eigið tölvuþjónustufyrirtæki H. Árnason ehf. Heimildir: Greinar frá Techtarget.com, InfosecIQ, Makeuseof.com og fleiri internet vefsíðum. Viltu birta grein á Vísi? Sendu okkur póst. Senda grein Netöryggi Athugið. Vísir hvetur lesendur til að skiptast á skoðunum. Allar athugasemdir eru á ábyrgð þeirra er þær rita. Lesendur skulu halda sig við málefnalega og hófstillta umræðu og áskilur Vísir sér rétt til að fjarlægja ummæli og/eða umræðu sem fer út fyrir þau mörk. Vísir mun loka á aðgang þeirra sem tjá sig ekki undir eigin nafni eða gerast ítrekað brotlegir við ofangreindar umgengnisreglur. Mest lesið Útrýming mannsins á RÚV Vala Hafstað Skoðun Svik forsetaframbjóðanda við börnin á Gaza Salvör Gullbrá Þórarinsdóttir Skoðun Ókostir forsetaframbjóðandans Katrínar Jakobsdóttur Alfreð Sturla Böðvarsson Skoðun Opið bréf til samgönguráðherra og vegamálastjóra Hópur ferðaþjóna í Dölunum Skoðun Hvað er eiginlega að gerast? Inga Minelgaite Skoðun Þessum treysti ég til þess að standa vörð um okkar hagsmuni, landið okkar og okkar mannréttindi Ólafur Tryggvi Sigmarsson Skoðun Katrínu sem forseta Stefán Friðrik Stefánsson Skoðun Jarðakaup í nýjum tilgangi Halla Hrund Logadóttir Skoðun Nú vandast valið Ebba Margrét Magnúsdóttir Skoðun The man who would be king Ian McDonald Skoðun Skoðun Skoðun Útrýming mannsins á RÚV Vala Hafstað skrifar Skoðun Opið bréf til samgönguráðherra og vegamálastjóra Hópur ferðaþjóna í Dölunum skrifar Skoðun Hugleiðingar ellilífeyrisþega um landsmálin og orkumálin Ingimundur Andrésson skrifar Skoðun Að tilheyra - Fjölmenningarþing Reykjavíkur skrifar Skoðun Katrínu sem forseta Stefán Friðrik Stefánsson skrifar Skoðun Fegin að vera frekar spurð hvaða ég sé, en „hverra manna ertu“ Matthildur Björnsdóttir skrifar Skoðun Þekking á naloxone nefúða getur bjargað lífi Hildur Vattnes Kristjánsdóttir skrifar Skoðun Svik forsetaframbjóðanda við börnin á Gaza Salvör Gullbrá Þórarinsdóttir skrifar Skoðun Getum við breytt fortíðinni? Ásgeir Jónsson skrifar Skoðun Á að banna TikTok? Óttar Birgisson skrifar Skoðun Gerum góðan dal enn betri Eiríkur Hjálmarsson skrifar Skoðun Ný norræn stjórnarskrá Hrannar Björn Arnarsson,Ragnheiður Þórarinsdóttir skrifar Skoðun Getum við verið hamingjusöm í vinnunni? Héðinn Sveinbjörnsson skrifar Skoðun Þessum treysti ég til þess að standa vörð um okkar hagsmuni, landið okkar og okkar mannréttindi Ólafur Tryggvi Sigmarsson skrifar Skoðun Stærsta loftslagsráðstefna í heimi Nótt Thorberg skrifar Skoðun Er keisarinn ekki í neinum fötum? Hákon Gunnarsson ,Bergljót Kristinsdóttir skrifar Skoðun Hugleiðing um sáttamiðlun Ámundi Loftsson skrifar Skoðun Nöturlegt ævikvöld Elín Hirst skrifar Skoðun Hvað er eiginlega að gerast? Inga Minelgaite skrifar Skoðun Manstu ekki eftir mér Sævar Helgi Lárusson skrifar Skoðun Nú vandast valið Ebba Margrét Magnúsdóttir skrifar Skoðun The man who would be king Ian McDonald skrifar Skoðun Umhverfisávinningur þess að þrifta Hólmfríður Jennýjar Árnadóttir skrifar Skoðun Ókostir forsetaframbjóðandans Katrínar Jakobsdóttur Alfreð Sturla Böðvarsson skrifar Skoðun Eru orkumálin að fara úr böndunum? Jónas Guðmundsson skrifar Skoðun Skipulagsmál og uppbygging í Árborg Bragi Bjarnason skrifar Skoðun Ég kýs… Gísli Ásgeirsson skrifar Skoðun Forsetaframboð í Fellini stíl Stefán Ólafsson skrifar Skoðun Borgar þú 65 prósent skatt af þínum tekjum? Guðfinnur Sigurvinsson skrifar Skoðun Brúarsmið á Bessastaði Jóhanna Vigdís Guðmundsdóttir skrifar Sjá meira
Fundur Leiðtogaráðs Evrópu er framundan og gera má ráð fyrir auknum netárásum daganna fyrir og meðan á fundinum stendur. Þetta er það stór viðburður að illgjarnir aðilar láta þennan viðburð vart framhjá sér fara og eru tilbúnir að valda eins miklum usla og vandræðum með margskonar netárásum eins og hægt er. Það er samdóma álit þeirra aðila sem þekkja vel til í þessum málum að umtalsverðar líkur séu fyrir hendi á álagsárásum s.s. DDoS til að valda rofi á þjónustum. Einnig má búast við aukningu á varasömum tölvupóstum sem geta valdið vírussýkingum og gagna-gíslatöku (Randsomware). Það þarf oft ekki mikið til, hver man ekki eftir því þegar tyrkneskur hakkarahópur beindi spjótum sínum að íslenskum vefsíðum til að hefna fyrir slæma móttöku Íslendinga á tyrkneska landsliðinu og settu í gang DDoS árás á litla Ísland eftir landsleik Íslands og Tyrklands í fótbolta í júní 2019. Og svo reyndist þetta allt saman einn stór misskilningur hjá þeim. Sjálfsánægja með góða stöðu öryggismála getur verið varasöm. Hvað er öryggismenning og kúltúr og hvernig tryggjum við heildar öryggisstöðu fyrirtækisins? „Öryggismenning er mengi viðhorfa og gilda sem eru rótgróin í fyrirtækinu sem leiða oftast til þess að starfsmenn haga sér og starfa á þann hátt sem stuðlar að netöryggi.“ „Rétt eins og heilbrigð fyrirtækjamenning mun stuðla að framleiðni starfsmanna, vexti og varðveislu, bætir vel mótuð öryggismenning heildaröryggisstöðu fyrirtækisins.“ Það eru nokkrar leiðir til að byggja upp ígrundaða öryggismenningu. Almennt er kominn tími til að fyrirtæki hugi betur að öryggismenningu sinni og vinni að því að byggja upp árangursríka öryggisvitundaráætlun sem allir geta skilið og staðið að baki. Öryggisvitundar-þjálfun fær slæmt rapp. Starfsmenn óttast það ekki aðeins, heldur gera stjórnendur það líka. Öryggisvitund starfsmanna og stjórnenda eru oft lykilatriði í vörnum fyrirtækisins gegn net-glæpum. Kostnaður við netöryggis-brot er verulegur. Netglæpamenn miða á fyrirtæki með lélega öryggisstöðu og ómenntaðir notendur gætu verið hvati skaðlegrar netárásar. Fyrstu árásir byrja oft með því að notandi smellir á grunsamlegan hlekk eða viðhengi og eykst oft í stórt brot síðar. Að samþætta öryggisvitund í fyrirtækjamenningu mun byggja upp heildar öryggisþroska og uppskera jákvæðan árangur. Rétt eins og heilbrigð fyrirtækjamenning mun stuðla að framleiðni starfsmanna, vexti og varðveislu, bætir vel mótuð öryggismenning heildaröryggisstöðu fyrirtækisins. Mikilvægast er að það hvetur upplýsingatækni og notendur til að vinna saman að því að greina skaðlega virkni sem getur leitt til öryggisatviks. Hvað er öryggismenning? Öryggismenning er mengi viðhorfa og gilda sem eru rótgróin í fyrirtækinu sem leiða oftast til þess að starfsmenn haga sér og starfa á þann hátt sem stuðlar að netöryggi. Sterk öryggismenning viðurkennir að öryggi er starf allra - ekki bara upplýsingatækni. Fyrirtæki með góða öryggismenningu: samræma heildarmarkmið viðskipta við öryggi. stuðla að mikilvægi öryggis frekar en að líta á það sem byrði eða skyldu. innleiða bestu starfsvenjur í öryggismálum ofan frá hvetja til gagnrýninnar hugsunar, ekki ásakana og refsinga, þegar vandamál koma upp. Að byggja upp sterka öryggismenningu krefst átaks. Góð öryggismenning er ekki búin til úr einum atburði; það á sér djúpar rætur í stofnun og krefst þess vegna langtímaskuldbindingar og viðhalds. Hér eru nokkrar leiðir til að taka yfirvegaða, jákvæða nálgun á öryggismenningu og byggja upp öryggisþroska innan fyrirtækisins. Forðastu sjálfsánægju og hagræðingar til að ná árangri Því miður líta mörg fyrirtæki á öryggi sem bölvun og taka þá nálgun „við skulum bara komast í gegnum þetta, við erum í góðum málum“. Það leiðir aldrei til fyrirtækis sem er öruggt eða hamingjusamt og gefur venjulega til kynna að það séu einhver menningarleg vandamál utan upplýsingatækninnar og öryggis líka. Þegar þú tekur nálgun á öryggi sem sjálfsögðum hlut, án þess að velta þér mikið upp úr því, þá þýðir það venjulega að þú sért ekki einbeittur í því að gera stöðugar umbætur. Og almennt séð eru góðar líkur á því að brotið verði gegn fyrirtækinu á einhverjum tímapunkti. Gott netöryggi krefst þess að vera fyrirbyggjandi og mynda samfellda endurgjöf þar sem öryggisteymi mæla gögn, miðla gögnunum á áhrifaríkan hátt og finna lausn sem tekur mið af þeim upplýsingum. Fræða og hvetja notendur Mannleg mistök eru upphafið að mörgum netárásum. Auðvitað vilja notendur ekki vera ástæðan fyrir öryggisatviki - þeir gera venjulega mistök vegna skorts á menntun og þjálfun. Notendur smella á grunsamlega hlekki og viðhengi, þeir tengjast almennu þráðlausu interneti án VPN, eða þeir velja veik lykilorð eða geyma lykilorð sín á óöruggan hátt, venjulega vegna þess að fyrirtækið hefur ekki gefið þeim raunhæf ráð um hvað eigi að gera öðruvísi. Gefðu notendum skýrar leiðbeiningar um hvað á að gera - og hvað ekki - og hvers vegna. Það er mikilvægt að fylgja þessum leiðbeiningum. Að vera óljós um netöryggi eða að styðja ekki notendur með fræðslu og upplýsingatækni eða öryggisverkfærum sem þeir þurfa mun ekki stuðla að þroska í öryggisáætlun. Notendur ættu að vita afleiðingar ákveðinna aðgerða. Þú ættir að hjálpa notendum að skilja hvernig og hvers vegna „öryggi“, frekar en að gefa þeim tilskipanir án samhengis. Skilvirkt öryggisþjálfunarkerfi tryggir að starfsmenn hafi úrræði og þekkingu til að þekkja grunsamlega hegðun frá árásarmönnum. Þjálfun getur verið í formi þess sem passar best inn í fyrirtækjamenningu þína, hvort sem það er vikulegt fréttabréf, hópfundir eða gagnvirkar spurningakeppnir - því skemmtilegra og grípandi, því betra. Microsoft og fleiri aðilar bjóða upp á skilvirk öryggisþjálfunarkerfi. Verðlaunaðu góða öryggishegðun Öryggismenning er ekki byggð á einni nóttu. Bættu vitund inn í fyrirtækjamenningu og farðu lengra en hefðbundin þjálfunaráætlun til að hafa raunveruleg áhrif. Einn mikilvægur þáttur í þessu er að viðurkenna og umbuna notendum sem ástunda góða öryggishegðun. Hvað gerist til dæmis þegar notandi smellir á vef veiðar tengil? Er þeim refsað eða verðlaunað fyrir að taka eftir því? Fólk tekur mið af þessum blæbrigðum og þessir þættir stuðla að öryggisþroska og velgengni á stóran hátt. Metið öryggisverkfæri með þroska í huga Flestir framleiðendur öryggishugbúnaðar segja þér þetta ekki, en innleiðing öryggisvarna mun ekki sjálfkrafa byggja upp þroska inn í fyrirtæki þitt. Öryggisverkfæri eru oft bara þessi – „verkfæri“. Að innleiða öryggisvörn í blindni í þeirri von að fleiri viðvaranir gefi meiri vernd gegn netárásum mun sjaldan leiða til farsællar öryggismenningu. Hávær viðvaranir eða skýrslur stjórnenda leysa venjulega ekki öryggisforrit; þeir gefa þér oft takmarkaða sýn á heildar öryggisinnviði. Þess í stað munu leiðbeinandi úrbætur sem þú getur brugðist rétt við og lært af skila meiri árangri. Höfundur er formaður Félags rafeindatæknifyrirtækja og rekur eigið tölvuþjónustufyrirtæki H. Árnason ehf. Heimildir: Greinar frá Techtarget.com, InfosecIQ, Makeuseof.com og fleiri internet vefsíðum.
Þessum treysti ég til þess að standa vörð um okkar hagsmuni, landið okkar og okkar mannréttindi Ólafur Tryggvi Sigmarsson Skoðun
Skoðun Fegin að vera frekar spurð hvaða ég sé, en „hverra manna ertu“ Matthildur Björnsdóttir skrifar
Skoðun Þessum treysti ég til þess að standa vörð um okkar hagsmuni, landið okkar og okkar mannréttindi Ólafur Tryggvi Sigmarsson skrifar
Þessum treysti ég til þess að standa vörð um okkar hagsmuni, landið okkar og okkar mannréttindi Ólafur Tryggvi Sigmarsson Skoðun