Öryggismenning Hjörtur Árnason skrifar 3. maí 2023 13:30 Fundur Leiðtogaráðs Evrópu er framundan og gera má ráð fyrir auknum netárásum daganna fyrir og meðan á fundinum stendur. Þetta er það stór viðburður að illgjarnir aðilar láta þennan viðburð vart framhjá sér fara og eru tilbúnir að valda eins miklum usla og vandræðum með margskonar netárásum eins og hægt er. Það er samdóma álit þeirra aðila sem þekkja vel til í þessum málum að umtalsverðar líkur séu fyrir hendi á álagsárásum s.s. DDoS til að valda rofi á þjónustum. Einnig má búast við aukningu á varasömum tölvupóstum sem geta valdið vírussýkingum og gagna-gíslatöku (Randsomware). Það þarf oft ekki mikið til, hver man ekki eftir því þegar tyrkneskur hakkarahópur beindi spjótum sínum að íslenskum vefsíðum til að hefna fyrir slæma móttöku Íslendinga á tyrkneska landsliðinu og settu í gang DDoS árás á litla Ísland eftir landsleik Íslands og Tyrklands í fótbolta í júní 2019. Og svo reyndist þetta allt saman einn stór misskilningur hjá þeim. Sjálfsánægja með góða stöðu öryggismála getur verið varasöm. Hvað er öryggismenning og kúltúr og hvernig tryggjum við heildar öryggisstöðu fyrirtækisins? „Öryggismenning er mengi viðhorfa og gilda sem eru rótgróin í fyrirtækinu sem leiða oftast til þess að starfsmenn haga sér og starfa á þann hátt sem stuðlar að netöryggi.“ „Rétt eins og heilbrigð fyrirtækjamenning mun stuðla að framleiðni starfsmanna, vexti og varðveislu, bætir vel mótuð öryggismenning heildaröryggisstöðu fyrirtækisins.“ Það eru nokkrar leiðir til að byggja upp ígrundaða öryggismenningu. Almennt er kominn tími til að fyrirtæki hugi betur að öryggismenningu sinni og vinni að því að byggja upp árangursríka öryggisvitundaráætlun sem allir geta skilið og staðið að baki. Öryggisvitundar-þjálfun fær slæmt rapp. Starfsmenn óttast það ekki aðeins, heldur gera stjórnendur það líka. Öryggisvitund starfsmanna og stjórnenda eru oft lykilatriði í vörnum fyrirtækisins gegn net-glæpum. Kostnaður við netöryggis-brot er verulegur. Netglæpamenn miða á fyrirtæki með lélega öryggisstöðu og ómenntaðir notendur gætu verið hvati skaðlegrar netárásar. Fyrstu árásir byrja oft með því að notandi smellir á grunsamlegan hlekk eða viðhengi og eykst oft í stórt brot síðar. Að samþætta öryggisvitund í fyrirtækjamenningu mun byggja upp heildar öryggisþroska og uppskera jákvæðan árangur. Rétt eins og heilbrigð fyrirtækjamenning mun stuðla að framleiðni starfsmanna, vexti og varðveislu, bætir vel mótuð öryggismenning heildaröryggisstöðu fyrirtækisins. Mikilvægast er að það hvetur upplýsingatækni og notendur til að vinna saman að því að greina skaðlega virkni sem getur leitt til öryggisatviks. Hvað er öryggismenning? Öryggismenning er mengi viðhorfa og gilda sem eru rótgróin í fyrirtækinu sem leiða oftast til þess að starfsmenn haga sér og starfa á þann hátt sem stuðlar að netöryggi. Sterk öryggismenning viðurkennir að öryggi er starf allra - ekki bara upplýsingatækni. Fyrirtæki með góða öryggismenningu: samræma heildarmarkmið viðskipta við öryggi. stuðla að mikilvægi öryggis frekar en að líta á það sem byrði eða skyldu. innleiða bestu starfsvenjur í öryggismálum ofan frá hvetja til gagnrýninnar hugsunar, ekki ásakana og refsinga, þegar vandamál koma upp. Að byggja upp sterka öryggismenningu krefst átaks. Góð öryggismenning er ekki búin til úr einum atburði; það á sér djúpar rætur í stofnun og krefst þess vegna langtímaskuldbindingar og viðhalds. Hér eru nokkrar leiðir til að taka yfirvegaða, jákvæða nálgun á öryggismenningu og byggja upp öryggisþroska innan fyrirtækisins. Forðastu sjálfsánægju og hagræðingar til að ná árangri Því miður líta mörg fyrirtæki á öryggi sem bölvun og taka þá nálgun „við skulum bara komast í gegnum þetta, við erum í góðum málum“. Það leiðir aldrei til fyrirtækis sem er öruggt eða hamingjusamt og gefur venjulega til kynna að það séu einhver menningarleg vandamál utan upplýsingatækninnar og öryggis líka. Þegar þú tekur nálgun á öryggi sem sjálfsögðum hlut, án þess að velta þér mikið upp úr því, þá þýðir það venjulega að þú sért ekki einbeittur í því að gera stöðugar umbætur. Og almennt séð eru góðar líkur á því að brotið verði gegn fyrirtækinu á einhverjum tímapunkti. Gott netöryggi krefst þess að vera fyrirbyggjandi og mynda samfellda endurgjöf þar sem öryggisteymi mæla gögn, miðla gögnunum á áhrifaríkan hátt og finna lausn sem tekur mið af þeim upplýsingum. Fræða og hvetja notendur Mannleg mistök eru upphafið að mörgum netárásum. Auðvitað vilja notendur ekki vera ástæðan fyrir öryggisatviki - þeir gera venjulega mistök vegna skorts á menntun og þjálfun. Notendur smella á grunsamlega hlekki og viðhengi, þeir tengjast almennu þráðlausu interneti án VPN, eða þeir velja veik lykilorð eða geyma lykilorð sín á óöruggan hátt, venjulega vegna þess að fyrirtækið hefur ekki gefið þeim raunhæf ráð um hvað eigi að gera öðruvísi. Gefðu notendum skýrar leiðbeiningar um hvað á að gera - og hvað ekki - og hvers vegna. Það er mikilvægt að fylgja þessum leiðbeiningum. Að vera óljós um netöryggi eða að styðja ekki notendur með fræðslu og upplýsingatækni eða öryggisverkfærum sem þeir þurfa mun ekki stuðla að þroska í öryggisáætlun. Notendur ættu að vita afleiðingar ákveðinna aðgerða. Þú ættir að hjálpa notendum að skilja hvernig og hvers vegna „öryggi“, frekar en að gefa þeim tilskipanir án samhengis. Skilvirkt öryggisþjálfunarkerfi tryggir að starfsmenn hafi úrræði og þekkingu til að þekkja grunsamlega hegðun frá árásarmönnum. Þjálfun getur verið í formi þess sem passar best inn í fyrirtækjamenningu þína, hvort sem það er vikulegt fréttabréf, hópfundir eða gagnvirkar spurningakeppnir - því skemmtilegra og grípandi, því betra. Microsoft og fleiri aðilar bjóða upp á skilvirk öryggisþjálfunarkerfi. Verðlaunaðu góða öryggishegðun Öryggismenning er ekki byggð á einni nóttu. Bættu vitund inn í fyrirtækjamenningu og farðu lengra en hefðbundin þjálfunaráætlun til að hafa raunveruleg áhrif. Einn mikilvægur þáttur í þessu er að viðurkenna og umbuna notendum sem ástunda góða öryggishegðun. Hvað gerist til dæmis þegar notandi smellir á vef veiðar tengil? Er þeim refsað eða verðlaunað fyrir að taka eftir því? Fólk tekur mið af þessum blæbrigðum og þessir þættir stuðla að öryggisþroska og velgengni á stóran hátt. Metið öryggisverkfæri með þroska í huga Flestir framleiðendur öryggishugbúnaðar segja þér þetta ekki, en innleiðing öryggisvarna mun ekki sjálfkrafa byggja upp þroska inn í fyrirtæki þitt. Öryggisverkfæri eru oft bara þessi – „verkfæri“. Að innleiða öryggisvörn í blindni í þeirri von að fleiri viðvaranir gefi meiri vernd gegn netárásum mun sjaldan leiða til farsællar öryggismenningu. Hávær viðvaranir eða skýrslur stjórnenda leysa venjulega ekki öryggisforrit; þeir gefa þér oft takmarkaða sýn á heildar öryggisinnviði. Þess í stað munu leiðbeinandi úrbætur sem þú getur brugðist rétt við og lært af skila meiri árangri. Höfundur er formaður Félags rafeindatæknifyrirtækja og rekur eigið tölvuþjónustufyrirtæki H. Árnason ehf. Heimildir: Greinar frá Techtarget.com, InfosecIQ, Makeuseof.com og fleiri internet vefsíðum. Viltu birta grein á Vísi? Sendu okkur póst. Senda grein Netöryggi Mest lesið 80.000 manna klóakrennsli í Dýrafjörð í boði Arctic Fish Jón Kaldal Skoðun Hvað er þetta græna? Karlinn er að spræna Jóhanna Jakobsdóttir Skoðun Að velja friðinn fram yfir réttlætið Þórdís Hólm Filipsdóttir Skoðun Af hverju útiloka Ísrael frá Eurovision eins og Rússland? Stefán Jón Hafstein Skoðun Ofurgróði sjávarútvegs? – Hættið að afvegaleiða! Elliði Vignisson Skoðun Heilbrigðisþjónusta á krossgötum? Einar Magnússon,Gunnar Alexander Ólafsson Skoðun Af hverju er ekki 100 klst. málþóf á Alþingi um alvarlega stöðu barna? Grímur Atlason Skoðun „Þú verður aldrei nóg“ - Ástæður þess að kerfið bregst innflytjendum Ian McDonald Skoðun Knattspyrna kvenna í hálfa öld – þakkir til Eggerts Magnússonar Ingibjörg Hinriksdóttir Skoðun Lífeyrir skal fylgja launum Jónína Björk Óskarsdóttir Skoðun Skoðun Skoðun Með skynsemina að vopni Anton Guðmundsson skrifar Skoðun Af hverju er ekki 100 klst. málþóf á Alþingi um alvarlega stöðu barna? Grímur Atlason skrifar Skoðun Knattspyrna kvenna í hálfa öld – þakkir til Eggerts Magnússonar Ingibjörg Hinriksdóttir skrifar Skoðun 80.000 manna klóakrennsli í Dýrafjörð í boði Arctic Fish Jón Kaldal skrifar Skoðun Malað dag eftir dag eftir dag Kolbrún Áslaugar Baldursdóttir skrifar Skoðun Að velja friðinn fram yfir réttlætið Þórdís Hólm Filipsdóttir skrifar Skoðun Af nashyrningum og færni - hvernig sköpum við verðmæti til framtíðar? Guðrún Högnadóttir skrifar Skoðun Hvað er þetta græna? Karlinn er að spræna Jóhanna Jakobsdóttir skrifar Skoðun Heilbrigðisþjónusta á krossgötum? Einar Magnússon,Gunnar Alexander Ólafsson skrifar Skoðun Frestur til að skila athugasemdum við nýtt deiliskipulag Heiðmerkur að renna út Einar Sveinbjörn Guðmundsson skrifar Skoðun Stjórnarandstaðan hindrar kjarabætur Rúnar Sigurjónsson skrifar Skoðun Af hverju útiloka Ísrael frá Eurovision eins og Rússland? Stefán Jón Hafstein skrifar Skoðun Lífeyrir skal fylgja launum Jónína Björk Óskarsdóttir skrifar Skoðun Fánar, tákn og blómabreiður: „Enginn bjó á Íslandi fyrr en einhver kom“ Meyvant Þórólfsson skrifar Skoðun Hvernig er staða lesblindra á Íslandi? Guðmundur S. Johnsen skrifar Skoðun Sakar aðra um það sem hún gerir sjálf Sigurjón Þórðarson skrifar Skoðun „Þú verður aldrei nóg“ - Ástæður þess að kerfið bregst innflytjendum Ian McDonald skrifar Skoðun Rafbíllinn er ekki bara umhverfisvænn – hann er líka hagkvæmari Óskar Páll Þorgilsson skrifar Skoðun Ofurgróði sjávarútvegs? – Hættið að afvegaleiða! Elliði Vignisson skrifar Skoðun Laun kvenna og karla í aðildarfélögum ASÍ og BSRB árið 2024 Sigríður Ingibjörg Ingadóttir,Steinunn Bragadóttir skrifar Skoðun „Fáum við einkunn fyrir þetta?“ Hulda Dögg Proppé skrifar Skoðun Hrossakjöt, hroki og hleypidómar Kristján Logason skrifar Skoðun Sjávarútvegur er undirstöðuatvinnuvegur – ekki einangruð tekjulind Kristinn Karl Brynjarsson skrifar Skoðun Að byggja upp á Bakka Hjálmar Bogi Hafliðason skrifar Skoðun Fiskeldi og samfélagsábyrgð Eyjólfur Ármannsson skrifar Skoðun Pólitískt raunsæi og utanríkisstefna Íslands Ragnar Anthony Antonsson Gambrell skrifar Skoðun Vorstjarnan hans Gunnars Smára? Guðbergur Egill Eyjólfsson skrifar Skoðun Fylgið fór vegna fullveldismáls Hjörtur J. Guðmundsson skrifar Skoðun Er Ísrael ennþá útvalin þjóð Guðs? Ómar Torfason skrifar Skoðun Flokkurinn hans Gunnars Smára? Guðbergur Egill Eyjólfsson skrifar Sjá meira
Fundur Leiðtogaráðs Evrópu er framundan og gera má ráð fyrir auknum netárásum daganna fyrir og meðan á fundinum stendur. Þetta er það stór viðburður að illgjarnir aðilar láta þennan viðburð vart framhjá sér fara og eru tilbúnir að valda eins miklum usla og vandræðum með margskonar netárásum eins og hægt er. Það er samdóma álit þeirra aðila sem þekkja vel til í þessum málum að umtalsverðar líkur séu fyrir hendi á álagsárásum s.s. DDoS til að valda rofi á þjónustum. Einnig má búast við aukningu á varasömum tölvupóstum sem geta valdið vírussýkingum og gagna-gíslatöku (Randsomware). Það þarf oft ekki mikið til, hver man ekki eftir því þegar tyrkneskur hakkarahópur beindi spjótum sínum að íslenskum vefsíðum til að hefna fyrir slæma móttöku Íslendinga á tyrkneska landsliðinu og settu í gang DDoS árás á litla Ísland eftir landsleik Íslands og Tyrklands í fótbolta í júní 2019. Og svo reyndist þetta allt saman einn stór misskilningur hjá þeim. Sjálfsánægja með góða stöðu öryggismála getur verið varasöm. Hvað er öryggismenning og kúltúr og hvernig tryggjum við heildar öryggisstöðu fyrirtækisins? „Öryggismenning er mengi viðhorfa og gilda sem eru rótgróin í fyrirtækinu sem leiða oftast til þess að starfsmenn haga sér og starfa á þann hátt sem stuðlar að netöryggi.“ „Rétt eins og heilbrigð fyrirtækjamenning mun stuðla að framleiðni starfsmanna, vexti og varðveislu, bætir vel mótuð öryggismenning heildaröryggisstöðu fyrirtækisins.“ Það eru nokkrar leiðir til að byggja upp ígrundaða öryggismenningu. Almennt er kominn tími til að fyrirtæki hugi betur að öryggismenningu sinni og vinni að því að byggja upp árangursríka öryggisvitundaráætlun sem allir geta skilið og staðið að baki. Öryggisvitundar-þjálfun fær slæmt rapp. Starfsmenn óttast það ekki aðeins, heldur gera stjórnendur það líka. Öryggisvitund starfsmanna og stjórnenda eru oft lykilatriði í vörnum fyrirtækisins gegn net-glæpum. Kostnaður við netöryggis-brot er verulegur. Netglæpamenn miða á fyrirtæki með lélega öryggisstöðu og ómenntaðir notendur gætu verið hvati skaðlegrar netárásar. Fyrstu árásir byrja oft með því að notandi smellir á grunsamlegan hlekk eða viðhengi og eykst oft í stórt brot síðar. Að samþætta öryggisvitund í fyrirtækjamenningu mun byggja upp heildar öryggisþroska og uppskera jákvæðan árangur. Rétt eins og heilbrigð fyrirtækjamenning mun stuðla að framleiðni starfsmanna, vexti og varðveislu, bætir vel mótuð öryggismenning heildaröryggisstöðu fyrirtækisins. Mikilvægast er að það hvetur upplýsingatækni og notendur til að vinna saman að því að greina skaðlega virkni sem getur leitt til öryggisatviks. Hvað er öryggismenning? Öryggismenning er mengi viðhorfa og gilda sem eru rótgróin í fyrirtækinu sem leiða oftast til þess að starfsmenn haga sér og starfa á þann hátt sem stuðlar að netöryggi. Sterk öryggismenning viðurkennir að öryggi er starf allra - ekki bara upplýsingatækni. Fyrirtæki með góða öryggismenningu: samræma heildarmarkmið viðskipta við öryggi. stuðla að mikilvægi öryggis frekar en að líta á það sem byrði eða skyldu. innleiða bestu starfsvenjur í öryggismálum ofan frá hvetja til gagnrýninnar hugsunar, ekki ásakana og refsinga, þegar vandamál koma upp. Að byggja upp sterka öryggismenningu krefst átaks. Góð öryggismenning er ekki búin til úr einum atburði; það á sér djúpar rætur í stofnun og krefst þess vegna langtímaskuldbindingar og viðhalds. Hér eru nokkrar leiðir til að taka yfirvegaða, jákvæða nálgun á öryggismenningu og byggja upp öryggisþroska innan fyrirtækisins. Forðastu sjálfsánægju og hagræðingar til að ná árangri Því miður líta mörg fyrirtæki á öryggi sem bölvun og taka þá nálgun „við skulum bara komast í gegnum þetta, við erum í góðum málum“. Það leiðir aldrei til fyrirtækis sem er öruggt eða hamingjusamt og gefur venjulega til kynna að það séu einhver menningarleg vandamál utan upplýsingatækninnar og öryggis líka. Þegar þú tekur nálgun á öryggi sem sjálfsögðum hlut, án þess að velta þér mikið upp úr því, þá þýðir það venjulega að þú sért ekki einbeittur í því að gera stöðugar umbætur. Og almennt séð eru góðar líkur á því að brotið verði gegn fyrirtækinu á einhverjum tímapunkti. Gott netöryggi krefst þess að vera fyrirbyggjandi og mynda samfellda endurgjöf þar sem öryggisteymi mæla gögn, miðla gögnunum á áhrifaríkan hátt og finna lausn sem tekur mið af þeim upplýsingum. Fræða og hvetja notendur Mannleg mistök eru upphafið að mörgum netárásum. Auðvitað vilja notendur ekki vera ástæðan fyrir öryggisatviki - þeir gera venjulega mistök vegna skorts á menntun og þjálfun. Notendur smella á grunsamlega hlekki og viðhengi, þeir tengjast almennu þráðlausu interneti án VPN, eða þeir velja veik lykilorð eða geyma lykilorð sín á óöruggan hátt, venjulega vegna þess að fyrirtækið hefur ekki gefið þeim raunhæf ráð um hvað eigi að gera öðruvísi. Gefðu notendum skýrar leiðbeiningar um hvað á að gera - og hvað ekki - og hvers vegna. Það er mikilvægt að fylgja þessum leiðbeiningum. Að vera óljós um netöryggi eða að styðja ekki notendur með fræðslu og upplýsingatækni eða öryggisverkfærum sem þeir þurfa mun ekki stuðla að þroska í öryggisáætlun. Notendur ættu að vita afleiðingar ákveðinna aðgerða. Þú ættir að hjálpa notendum að skilja hvernig og hvers vegna „öryggi“, frekar en að gefa þeim tilskipanir án samhengis. Skilvirkt öryggisþjálfunarkerfi tryggir að starfsmenn hafi úrræði og þekkingu til að þekkja grunsamlega hegðun frá árásarmönnum. Þjálfun getur verið í formi þess sem passar best inn í fyrirtækjamenningu þína, hvort sem það er vikulegt fréttabréf, hópfundir eða gagnvirkar spurningakeppnir - því skemmtilegra og grípandi, því betra. Microsoft og fleiri aðilar bjóða upp á skilvirk öryggisþjálfunarkerfi. Verðlaunaðu góða öryggishegðun Öryggismenning er ekki byggð á einni nóttu. Bættu vitund inn í fyrirtækjamenningu og farðu lengra en hefðbundin þjálfunaráætlun til að hafa raunveruleg áhrif. Einn mikilvægur þáttur í þessu er að viðurkenna og umbuna notendum sem ástunda góða öryggishegðun. Hvað gerist til dæmis þegar notandi smellir á vef veiðar tengil? Er þeim refsað eða verðlaunað fyrir að taka eftir því? Fólk tekur mið af þessum blæbrigðum og þessir þættir stuðla að öryggisþroska og velgengni á stóran hátt. Metið öryggisverkfæri með þroska í huga Flestir framleiðendur öryggishugbúnaðar segja þér þetta ekki, en innleiðing öryggisvarna mun ekki sjálfkrafa byggja upp þroska inn í fyrirtæki þitt. Öryggisverkfæri eru oft bara þessi – „verkfæri“. Að innleiða öryggisvörn í blindni í þeirri von að fleiri viðvaranir gefi meiri vernd gegn netárásum mun sjaldan leiða til farsællar öryggismenningu. Hávær viðvaranir eða skýrslur stjórnenda leysa venjulega ekki öryggisforrit; þeir gefa þér oft takmarkaða sýn á heildar öryggisinnviði. Þess í stað munu leiðbeinandi úrbætur sem þú getur brugðist rétt við og lært af skila meiri árangri. Höfundur er formaður Félags rafeindatæknifyrirtækja og rekur eigið tölvuþjónustufyrirtæki H. Árnason ehf. Heimildir: Greinar frá Techtarget.com, InfosecIQ, Makeuseof.com og fleiri internet vefsíðum.
Skoðun Af hverju er ekki 100 klst. málþóf á Alþingi um alvarlega stöðu barna? Grímur Atlason skrifar
Skoðun Knattspyrna kvenna í hálfa öld – þakkir til Eggerts Magnússonar Ingibjörg Hinriksdóttir skrifar
Skoðun Af nashyrningum og færni - hvernig sköpum við verðmæti til framtíðar? Guðrún Högnadóttir skrifar
Skoðun Frestur til að skila athugasemdum við nýtt deiliskipulag Heiðmerkur að renna út Einar Sveinbjörn Guðmundsson skrifar
Skoðun Fánar, tákn og blómabreiður: „Enginn bjó á Íslandi fyrr en einhver kom“ Meyvant Þórólfsson skrifar
Skoðun Rafbíllinn er ekki bara umhverfisvænn – hann er líka hagkvæmari Óskar Páll Þorgilsson skrifar
Skoðun Laun kvenna og karla í aðildarfélögum ASÍ og BSRB árið 2024 Sigríður Ingibjörg Ingadóttir,Steinunn Bragadóttir skrifar
Skoðun Sjávarútvegur er undirstöðuatvinnuvegur – ekki einangruð tekjulind Kristinn Karl Brynjarsson skrifar