Öryggismenning Hjörtur Árnason skrifar 3. maí 2023 13:30 Fundur Leiðtogaráðs Evrópu er framundan og gera má ráð fyrir auknum netárásum daganna fyrir og meðan á fundinum stendur. Þetta er það stór viðburður að illgjarnir aðilar láta þennan viðburð vart framhjá sér fara og eru tilbúnir að valda eins miklum usla og vandræðum með margskonar netárásum eins og hægt er. Það er samdóma álit þeirra aðila sem þekkja vel til í þessum málum að umtalsverðar líkur séu fyrir hendi á álagsárásum s.s. DDoS til að valda rofi á þjónustum. Einnig má búast við aukningu á varasömum tölvupóstum sem geta valdið vírussýkingum og gagna-gíslatöku (Randsomware). Það þarf oft ekki mikið til, hver man ekki eftir því þegar tyrkneskur hakkarahópur beindi spjótum sínum að íslenskum vefsíðum til að hefna fyrir slæma móttöku Íslendinga á tyrkneska landsliðinu og settu í gang DDoS árás á litla Ísland eftir landsleik Íslands og Tyrklands í fótbolta í júní 2019. Og svo reyndist þetta allt saman einn stór misskilningur hjá þeim. Sjálfsánægja með góða stöðu öryggismála getur verið varasöm. Hvað er öryggismenning og kúltúr og hvernig tryggjum við heildar öryggisstöðu fyrirtækisins? „Öryggismenning er mengi viðhorfa og gilda sem eru rótgróin í fyrirtækinu sem leiða oftast til þess að starfsmenn haga sér og starfa á þann hátt sem stuðlar að netöryggi.“ „Rétt eins og heilbrigð fyrirtækjamenning mun stuðla að framleiðni starfsmanna, vexti og varðveislu, bætir vel mótuð öryggismenning heildaröryggisstöðu fyrirtækisins.“ Það eru nokkrar leiðir til að byggja upp ígrundaða öryggismenningu. Almennt er kominn tími til að fyrirtæki hugi betur að öryggismenningu sinni og vinni að því að byggja upp árangursríka öryggisvitundaráætlun sem allir geta skilið og staðið að baki. Öryggisvitundar-þjálfun fær slæmt rapp. Starfsmenn óttast það ekki aðeins, heldur gera stjórnendur það líka. Öryggisvitund starfsmanna og stjórnenda eru oft lykilatriði í vörnum fyrirtækisins gegn net-glæpum. Kostnaður við netöryggis-brot er verulegur. Netglæpamenn miða á fyrirtæki með lélega öryggisstöðu og ómenntaðir notendur gætu verið hvati skaðlegrar netárásar. Fyrstu árásir byrja oft með því að notandi smellir á grunsamlegan hlekk eða viðhengi og eykst oft í stórt brot síðar. Að samþætta öryggisvitund í fyrirtækjamenningu mun byggja upp heildar öryggisþroska og uppskera jákvæðan árangur. Rétt eins og heilbrigð fyrirtækjamenning mun stuðla að framleiðni starfsmanna, vexti og varðveislu, bætir vel mótuð öryggismenning heildaröryggisstöðu fyrirtækisins. Mikilvægast er að það hvetur upplýsingatækni og notendur til að vinna saman að því að greina skaðlega virkni sem getur leitt til öryggisatviks. Hvað er öryggismenning? Öryggismenning er mengi viðhorfa og gilda sem eru rótgróin í fyrirtækinu sem leiða oftast til þess að starfsmenn haga sér og starfa á þann hátt sem stuðlar að netöryggi. Sterk öryggismenning viðurkennir að öryggi er starf allra - ekki bara upplýsingatækni. Fyrirtæki með góða öryggismenningu: samræma heildarmarkmið viðskipta við öryggi. stuðla að mikilvægi öryggis frekar en að líta á það sem byrði eða skyldu. innleiða bestu starfsvenjur í öryggismálum ofan frá hvetja til gagnrýninnar hugsunar, ekki ásakana og refsinga, þegar vandamál koma upp. Að byggja upp sterka öryggismenningu krefst átaks. Góð öryggismenning er ekki búin til úr einum atburði; það á sér djúpar rætur í stofnun og krefst þess vegna langtímaskuldbindingar og viðhalds. Hér eru nokkrar leiðir til að taka yfirvegaða, jákvæða nálgun á öryggismenningu og byggja upp öryggisþroska innan fyrirtækisins. Forðastu sjálfsánægju og hagræðingar til að ná árangri Því miður líta mörg fyrirtæki á öryggi sem bölvun og taka þá nálgun „við skulum bara komast í gegnum þetta, við erum í góðum málum“. Það leiðir aldrei til fyrirtækis sem er öruggt eða hamingjusamt og gefur venjulega til kynna að það séu einhver menningarleg vandamál utan upplýsingatækninnar og öryggis líka. Þegar þú tekur nálgun á öryggi sem sjálfsögðum hlut, án þess að velta þér mikið upp úr því, þá þýðir það venjulega að þú sért ekki einbeittur í því að gera stöðugar umbætur. Og almennt séð eru góðar líkur á því að brotið verði gegn fyrirtækinu á einhverjum tímapunkti. Gott netöryggi krefst þess að vera fyrirbyggjandi og mynda samfellda endurgjöf þar sem öryggisteymi mæla gögn, miðla gögnunum á áhrifaríkan hátt og finna lausn sem tekur mið af þeim upplýsingum. Fræða og hvetja notendur Mannleg mistök eru upphafið að mörgum netárásum. Auðvitað vilja notendur ekki vera ástæðan fyrir öryggisatviki - þeir gera venjulega mistök vegna skorts á menntun og þjálfun. Notendur smella á grunsamlega hlekki og viðhengi, þeir tengjast almennu þráðlausu interneti án VPN, eða þeir velja veik lykilorð eða geyma lykilorð sín á óöruggan hátt, venjulega vegna þess að fyrirtækið hefur ekki gefið þeim raunhæf ráð um hvað eigi að gera öðruvísi. Gefðu notendum skýrar leiðbeiningar um hvað á að gera - og hvað ekki - og hvers vegna. Það er mikilvægt að fylgja þessum leiðbeiningum. Að vera óljós um netöryggi eða að styðja ekki notendur með fræðslu og upplýsingatækni eða öryggisverkfærum sem þeir þurfa mun ekki stuðla að þroska í öryggisáætlun. Notendur ættu að vita afleiðingar ákveðinna aðgerða. Þú ættir að hjálpa notendum að skilja hvernig og hvers vegna „öryggi“, frekar en að gefa þeim tilskipanir án samhengis. Skilvirkt öryggisþjálfunarkerfi tryggir að starfsmenn hafi úrræði og þekkingu til að þekkja grunsamlega hegðun frá árásarmönnum. Þjálfun getur verið í formi þess sem passar best inn í fyrirtækjamenningu þína, hvort sem það er vikulegt fréttabréf, hópfundir eða gagnvirkar spurningakeppnir - því skemmtilegra og grípandi, því betra. Microsoft og fleiri aðilar bjóða upp á skilvirk öryggisþjálfunarkerfi. Verðlaunaðu góða öryggishegðun Öryggismenning er ekki byggð á einni nóttu. Bættu vitund inn í fyrirtækjamenningu og farðu lengra en hefðbundin þjálfunaráætlun til að hafa raunveruleg áhrif. Einn mikilvægur þáttur í þessu er að viðurkenna og umbuna notendum sem ástunda góða öryggishegðun. Hvað gerist til dæmis þegar notandi smellir á vef veiðar tengil? Er þeim refsað eða verðlaunað fyrir að taka eftir því? Fólk tekur mið af þessum blæbrigðum og þessir þættir stuðla að öryggisþroska og velgengni á stóran hátt. Metið öryggisverkfæri með þroska í huga Flestir framleiðendur öryggishugbúnaðar segja þér þetta ekki, en innleiðing öryggisvarna mun ekki sjálfkrafa byggja upp þroska inn í fyrirtæki þitt. Öryggisverkfæri eru oft bara þessi – „verkfæri“. Að innleiða öryggisvörn í blindni í þeirri von að fleiri viðvaranir gefi meiri vernd gegn netárásum mun sjaldan leiða til farsællar öryggismenningu. Hávær viðvaranir eða skýrslur stjórnenda leysa venjulega ekki öryggisforrit; þeir gefa þér oft takmarkaða sýn á heildar öryggisinnviði. Þess í stað munu leiðbeinandi úrbætur sem þú getur brugðist rétt við og lært af skila meiri árangri. Höfundur er formaður Félags rafeindatæknifyrirtækja og rekur eigið tölvuþjónustufyrirtæki H. Árnason ehf. Heimildir: Greinar frá Techtarget.com, InfosecIQ, Makeuseof.com og fleiri internet vefsíðum. Viltu birta grein á Vísi? Sendu okkur póst. Senda grein Netöryggi Mest lesið Halldór 29.03.2025 Halldór Forsjárhyggja Sjálfstæðis- og Framsóknarfólks í Hafnarfirði í garð fólks með fötlun Stefán Már Gunnlaugsson Skoðun Hugtakastríðið mikla Sigmar Guðmundsson Skoðun Falsfréttastjóri RÚV dýpkar holuna sína Einar Steingrímsson Skoðun Ákall um breytingar Gissur Freyr Gissurarson Skoðun Ekki er allt sem sýnist Ólafur Helgi Marteinsson Skoðun Skóli án aðgreiningar: Hentar ýktasta mynd skólastefnunnar öllum börnum? Jóna Sigríður Valbergsdóttir Skoðun Hrynur sjávarútvegur? Stefán Ólafsson Skoðun Laun kvenna og karla Sigríður Ingibjörg Ingadóttir,Steinunn Bragadóttir Skoðun Vanfjármögnun vísindanna Magnús Hallsson,Styrmir Hallsson Skoðun Skoðun Skoðun Hugtakastríðið mikla Sigmar Guðmundsson skrifar Skoðun Forsjárhyggja Sjálfstæðis- og Framsóknarfólks í Hafnarfirði í garð fólks með fötlun Stefán Már Gunnlaugsson skrifar Skoðun Ekki er allt sem sýnist Ólafur Helgi Marteinsson skrifar Skoðun Skóli án aðgreiningar: Hentar ýktasta mynd skólastefnunnar öllum börnum? Jóna Sigríður Valbergsdóttir skrifar Skoðun Vilji til að rjúfa kyrrstöðu í húsnæðiskreppunni Finnbjörn A. Hermannsson skrifar Skoðun Grænt ál frá Íslandi er mikilvægt fyrir sjálfstæða Evrópu Guðríður Eldey Arnardóttir skrifar Skoðun Þegar barn óttast önnur börn Kolbrún Áslaugar Baldursdóttir skrifar Skoðun Falsfréttastjóri RÚV dýpkar holuna sína Einar Steingrímsson skrifar Skoðun Ákall um breytingar Gissur Freyr Gissurarson skrifar Skoðun Veit sem sagt Grímur betur? Hjörtur J. Guðmundsson skrifar Skoðun Hvernig talar maður við tölvur og hafa vélar rökhugsun? Henning Arnór Úlfarsson skrifar Skoðun Laun kvenna og karla Sigríður Ingibjörg Ingadóttir,Steinunn Bragadóttir skrifar Skoðun Verkin sem ríkisstjórnin verður dæmd af Diljá Mist Einarsdóttir skrifar Skoðun Open Letter to new HÍ Rector re Disability Support Hópur starfsfólks og nemenda við HÍ skrifar Skoðun Vanfjármögnun vísindanna Magnús Hallsson,Styrmir Hallsson skrifar Skoðun Kárhóll og Kína: Þegar vísindi verða pólitísk tól Davíð Michelsen skrifar Skoðun Mál Ásthildar Lóu Þórsdóttur – Hvernig manneskjur viljum við vera? Hulda Steingrímsdóttir skrifar Skoðun Ríkisstjórn gegn fjölskyldusameiningum? Þorbjörg Þorvaldsdóttir skrifar Skoðun Lýðræðið deyr í myrkrinu Heiðar Örn Sigurfinnsson skrifar Skoðun Færni til framtíðar Álfheiður Ingólfsdóttir skrifar Skoðun Ofbeldi Bjarni Karlsson skrifar Skoðun Lestu Gaza Móheiður Hlíf Geirlaugsdóttir skrifar Skoðun Ný fjármálaáætlun - tækifæri til að efna loforðin um bætt geðheilbrigði Sandra B. Franks skrifar Skoðun 10 ár og bull í lokin Jón Pétur Zimsen skrifar Skoðun Opið bréf til atvinnuvegaráðherra: 48 daga, nei takk Gísli Gunnar Marteinsson skrifar Skoðun Á nú að opinbera það að ég veit í rauninni ekki neitt? Kristín Hrefna Halldórsdóttir skrifar Skoðun Háskóli Höfuðborgarinnar, ekki Íslands Arent Orri Claessen,Gunnar Ásgrímsson skrifar Skoðun Hrynur sjávarútvegur? Stefán Ólafsson skrifar Skoðun Iftar, agape og Eid: Kristnir og múslimar við sama borð Hilal Kücükakin Kizilkaya,Sigurvin Lárus Jónsson skrifar Skoðun Bætt skipulag fyrir stúdenta Aðalsteinn Haukur Sverrisson ,Magnea Gná Jóhannsdóttir skrifar Sjá meira
Fundur Leiðtogaráðs Evrópu er framundan og gera má ráð fyrir auknum netárásum daganna fyrir og meðan á fundinum stendur. Þetta er það stór viðburður að illgjarnir aðilar láta þennan viðburð vart framhjá sér fara og eru tilbúnir að valda eins miklum usla og vandræðum með margskonar netárásum eins og hægt er. Það er samdóma álit þeirra aðila sem þekkja vel til í þessum málum að umtalsverðar líkur séu fyrir hendi á álagsárásum s.s. DDoS til að valda rofi á þjónustum. Einnig má búast við aukningu á varasömum tölvupóstum sem geta valdið vírussýkingum og gagna-gíslatöku (Randsomware). Það þarf oft ekki mikið til, hver man ekki eftir því þegar tyrkneskur hakkarahópur beindi spjótum sínum að íslenskum vefsíðum til að hefna fyrir slæma móttöku Íslendinga á tyrkneska landsliðinu og settu í gang DDoS árás á litla Ísland eftir landsleik Íslands og Tyrklands í fótbolta í júní 2019. Og svo reyndist þetta allt saman einn stór misskilningur hjá þeim. Sjálfsánægja með góða stöðu öryggismála getur verið varasöm. Hvað er öryggismenning og kúltúr og hvernig tryggjum við heildar öryggisstöðu fyrirtækisins? „Öryggismenning er mengi viðhorfa og gilda sem eru rótgróin í fyrirtækinu sem leiða oftast til þess að starfsmenn haga sér og starfa á þann hátt sem stuðlar að netöryggi.“ „Rétt eins og heilbrigð fyrirtækjamenning mun stuðla að framleiðni starfsmanna, vexti og varðveislu, bætir vel mótuð öryggismenning heildaröryggisstöðu fyrirtækisins.“ Það eru nokkrar leiðir til að byggja upp ígrundaða öryggismenningu. Almennt er kominn tími til að fyrirtæki hugi betur að öryggismenningu sinni og vinni að því að byggja upp árangursríka öryggisvitundaráætlun sem allir geta skilið og staðið að baki. Öryggisvitundar-þjálfun fær slæmt rapp. Starfsmenn óttast það ekki aðeins, heldur gera stjórnendur það líka. Öryggisvitund starfsmanna og stjórnenda eru oft lykilatriði í vörnum fyrirtækisins gegn net-glæpum. Kostnaður við netöryggis-brot er verulegur. Netglæpamenn miða á fyrirtæki með lélega öryggisstöðu og ómenntaðir notendur gætu verið hvati skaðlegrar netárásar. Fyrstu árásir byrja oft með því að notandi smellir á grunsamlegan hlekk eða viðhengi og eykst oft í stórt brot síðar. Að samþætta öryggisvitund í fyrirtækjamenningu mun byggja upp heildar öryggisþroska og uppskera jákvæðan árangur. Rétt eins og heilbrigð fyrirtækjamenning mun stuðla að framleiðni starfsmanna, vexti og varðveislu, bætir vel mótuð öryggismenning heildaröryggisstöðu fyrirtækisins. Mikilvægast er að það hvetur upplýsingatækni og notendur til að vinna saman að því að greina skaðlega virkni sem getur leitt til öryggisatviks. Hvað er öryggismenning? Öryggismenning er mengi viðhorfa og gilda sem eru rótgróin í fyrirtækinu sem leiða oftast til þess að starfsmenn haga sér og starfa á þann hátt sem stuðlar að netöryggi. Sterk öryggismenning viðurkennir að öryggi er starf allra - ekki bara upplýsingatækni. Fyrirtæki með góða öryggismenningu: samræma heildarmarkmið viðskipta við öryggi. stuðla að mikilvægi öryggis frekar en að líta á það sem byrði eða skyldu. innleiða bestu starfsvenjur í öryggismálum ofan frá hvetja til gagnrýninnar hugsunar, ekki ásakana og refsinga, þegar vandamál koma upp. Að byggja upp sterka öryggismenningu krefst átaks. Góð öryggismenning er ekki búin til úr einum atburði; það á sér djúpar rætur í stofnun og krefst þess vegna langtímaskuldbindingar og viðhalds. Hér eru nokkrar leiðir til að taka yfirvegaða, jákvæða nálgun á öryggismenningu og byggja upp öryggisþroska innan fyrirtækisins. Forðastu sjálfsánægju og hagræðingar til að ná árangri Því miður líta mörg fyrirtæki á öryggi sem bölvun og taka þá nálgun „við skulum bara komast í gegnum þetta, við erum í góðum málum“. Það leiðir aldrei til fyrirtækis sem er öruggt eða hamingjusamt og gefur venjulega til kynna að það séu einhver menningarleg vandamál utan upplýsingatækninnar og öryggis líka. Þegar þú tekur nálgun á öryggi sem sjálfsögðum hlut, án þess að velta þér mikið upp úr því, þá þýðir það venjulega að þú sért ekki einbeittur í því að gera stöðugar umbætur. Og almennt séð eru góðar líkur á því að brotið verði gegn fyrirtækinu á einhverjum tímapunkti. Gott netöryggi krefst þess að vera fyrirbyggjandi og mynda samfellda endurgjöf þar sem öryggisteymi mæla gögn, miðla gögnunum á áhrifaríkan hátt og finna lausn sem tekur mið af þeim upplýsingum. Fræða og hvetja notendur Mannleg mistök eru upphafið að mörgum netárásum. Auðvitað vilja notendur ekki vera ástæðan fyrir öryggisatviki - þeir gera venjulega mistök vegna skorts á menntun og þjálfun. Notendur smella á grunsamlega hlekki og viðhengi, þeir tengjast almennu þráðlausu interneti án VPN, eða þeir velja veik lykilorð eða geyma lykilorð sín á óöruggan hátt, venjulega vegna þess að fyrirtækið hefur ekki gefið þeim raunhæf ráð um hvað eigi að gera öðruvísi. Gefðu notendum skýrar leiðbeiningar um hvað á að gera - og hvað ekki - og hvers vegna. Það er mikilvægt að fylgja þessum leiðbeiningum. Að vera óljós um netöryggi eða að styðja ekki notendur með fræðslu og upplýsingatækni eða öryggisverkfærum sem þeir þurfa mun ekki stuðla að þroska í öryggisáætlun. Notendur ættu að vita afleiðingar ákveðinna aðgerða. Þú ættir að hjálpa notendum að skilja hvernig og hvers vegna „öryggi“, frekar en að gefa þeim tilskipanir án samhengis. Skilvirkt öryggisþjálfunarkerfi tryggir að starfsmenn hafi úrræði og þekkingu til að þekkja grunsamlega hegðun frá árásarmönnum. Þjálfun getur verið í formi þess sem passar best inn í fyrirtækjamenningu þína, hvort sem það er vikulegt fréttabréf, hópfundir eða gagnvirkar spurningakeppnir - því skemmtilegra og grípandi, því betra. Microsoft og fleiri aðilar bjóða upp á skilvirk öryggisþjálfunarkerfi. Verðlaunaðu góða öryggishegðun Öryggismenning er ekki byggð á einni nóttu. Bættu vitund inn í fyrirtækjamenningu og farðu lengra en hefðbundin þjálfunaráætlun til að hafa raunveruleg áhrif. Einn mikilvægur þáttur í þessu er að viðurkenna og umbuna notendum sem ástunda góða öryggishegðun. Hvað gerist til dæmis þegar notandi smellir á vef veiðar tengil? Er þeim refsað eða verðlaunað fyrir að taka eftir því? Fólk tekur mið af þessum blæbrigðum og þessir þættir stuðla að öryggisþroska og velgengni á stóran hátt. Metið öryggisverkfæri með þroska í huga Flestir framleiðendur öryggishugbúnaðar segja þér þetta ekki, en innleiðing öryggisvarna mun ekki sjálfkrafa byggja upp þroska inn í fyrirtæki þitt. Öryggisverkfæri eru oft bara þessi – „verkfæri“. Að innleiða öryggisvörn í blindni í þeirri von að fleiri viðvaranir gefi meiri vernd gegn netárásum mun sjaldan leiða til farsællar öryggismenningu. Hávær viðvaranir eða skýrslur stjórnenda leysa venjulega ekki öryggisforrit; þeir gefa þér oft takmarkaða sýn á heildar öryggisinnviði. Þess í stað munu leiðbeinandi úrbætur sem þú getur brugðist rétt við og lært af skila meiri árangri. Höfundur er formaður Félags rafeindatæknifyrirtækja og rekur eigið tölvuþjónustufyrirtæki H. Árnason ehf. Heimildir: Greinar frá Techtarget.com, InfosecIQ, Makeuseof.com og fleiri internet vefsíðum.
Forsjárhyggja Sjálfstæðis- og Framsóknarfólks í Hafnarfirði í garð fólks með fötlun Stefán Már Gunnlaugsson Skoðun
Skóli án aðgreiningar: Hentar ýktasta mynd skólastefnunnar öllum börnum? Jóna Sigríður Valbergsdóttir Skoðun
Skoðun Forsjárhyggja Sjálfstæðis- og Framsóknarfólks í Hafnarfirði í garð fólks með fötlun Stefán Már Gunnlaugsson skrifar
Skoðun Skóli án aðgreiningar: Hentar ýktasta mynd skólastefnunnar öllum börnum? Jóna Sigríður Valbergsdóttir skrifar
Skoðun Grænt ál frá Íslandi er mikilvægt fyrir sjálfstæða Evrópu Guðríður Eldey Arnardóttir skrifar
Skoðun Open Letter to new HÍ Rector re Disability Support Hópur starfsfólks og nemenda við HÍ skrifar
Skoðun Mál Ásthildar Lóu Þórsdóttur – Hvernig manneskjur viljum við vera? Hulda Steingrímsdóttir skrifar
Skoðun Ný fjármálaáætlun - tækifæri til að efna loforðin um bætt geðheilbrigði Sandra B. Franks skrifar
Skoðun Iftar, agape og Eid: Kristnir og múslimar við sama borð Hilal Kücükakin Kizilkaya,Sigurvin Lárus Jónsson skrifar
Forsjárhyggja Sjálfstæðis- og Framsóknarfólks í Hafnarfirði í garð fólks með fötlun Stefán Már Gunnlaugsson Skoðun
Skóli án aðgreiningar: Hentar ýktasta mynd skólastefnunnar öllum börnum? Jóna Sigríður Valbergsdóttir Skoðun