TIGÁZ, ITB tréning A tudatos felhasználó
Tartalom Bevezető .................................................................................................................................................. 1 Informatikai eszközök védelme ............................................................................................................... 1 Vállalati szoftverhasználat ....................................................................................................................... 2 Felhasználói jelszókezelés ....................................................................................................................... 2 Megosztott mappák használata .............................................................................................................. 2 Biztonsági szabályok az Internet használatához ..................................................................................... 3 Tudatos társasági Internet használat ..................................................................................................... 3 Belső elektronikus levelezés szabályai .................................................................................................... 4 Biztonsági szabályok telefon vagy fax útján történő kommunikációhoz ................................................ 5 Záró gondolatok ...................................................................................................................................... 6
Bevezető Az információbiztonság lényegesen összetettebb problémakör, mint az informatikai biztonság. Ma már nem elég vírusirtókban, tűzfalakban, megbízhatóan működő hardverben, rendszerekben gondolkodni. A technológiai háttér tudatos kialakítása nem elégséges. Az információ sértetlenségét, rendelkezésre állását és bizalmas kezelését első sorban a belső munkatársak információbiztonsági tudatossága biztosíthatja.
Informatikai eszközök védelme Minden informatikai eszköz kizárólag a vállalati munkavégzéshez kapcsolódó tevékenységek ellátása érdekében kerül rendelkezésre bocsátásra és felhasználója felelős ezek biztonságos használatáért. A felhasználónak a munkavégzés helyét elhagyva is biztosítania kell, hogy a rendelkezésére bocsátott informatikai eszközök biztonságos körülmények között legyenek. A kliens informatikai eszközök használata során alkalmazandó biztonsági szabályok: 1. A számítógép képernyőjén soha ne hagyjunk megjelenítve bizalmas vállalati információkat. 2. Ha egy informatikai rendszerben befejeztük a munkavégzést, akkor le kell zárni a munkafolyamatot és ki kell jelentkezni a rendszerből. 3. A számítógépen történő munkavégzést befejezve minden esetben jelentkezzünk ki a számítógépről vagy zároljuk azt CTRL+ALT+DEL, illetve Win+L billentyűkombinációval. 4. A munkavégzés befejeztével a számítógépeket ki kell kapcsolni, kivéve, ha az éjszaka folyamán feldolgozásokat kell végezni. 5. Az üzleti adatokat és információkat tartalmazó adathordozókat (pl. CD, pendrive) biztonságos helyen és módon kell tárolni.
1
6. A hordozható informatikai eszközöket zárt helyen (pl. zárható szekrényben) kell tárolni, nem szabad gépkocsiban hagyni. Hordozható számítógép esetében, irodai környezetben elfogadott megoldás a notebook zár alkalmazása. 7. Repülőn a hordozható számítógépet mindig kézi poggyászként kell szállítani. 8. Ha a hordozható számítógépet szállodában hagyjuk, akkor az értékmegőrzőbe kell leadni, vagy legalább kulcsra zárható bőröndben, ill. szekrényben kell elhelyezni. 9. Ha harmadik fél irodájában dolgozunk, akkor a biztonsági intézkedéseket még nagyobb figyelemmel kell betartani, különösen a lehetséges konkurensek jelenléte esetén. 10. Üzleti adatokat csak BitLocker titkosítással ellátott hordozható eszközön (Pendrive, HDD) lehet tárolni. Informatikai eszköz elvesztése, ellopása vagy sérülése esetén azonnal be kell jelenteni az eseményt az ICT Service Desk rendszerbe. A felhasználók rendelkezésére álló informatikai eszközök áthelyezését – a hordozható számítógépek és a hozzá tartozó nyomtató kivételével – szintén az ICT Service Desk rendszerbe kell bejelenteni. Az informatikai eszközöket más dolgozónak átadni csak az eszköz átadás-átvételre szolgáló nyomtatványok kitöltésével és az informatikai munkatárs bevonásával szabad. Az informatikai munkatárs biztosítja az adatok elmentését, ill. törlését az informatikai eszközökről, és minden esetben újratelepíti azt.
Vállalati szoftverhasználat Társaságunk minden felhasználó számára biztosítja a munkavégzéshez szükséges jogtiszta szoftvereket. A felhasználók saját gépükön nem rendelkeznek rendszergazda jogokkal, így nincs jogosultságuk szoftverek telepítésére. A Társaság által biztosított alapkonfiguráción kívüli szoftver telepítését az ICT Service Desk rendszer Szoftver igénylése menüpontjában lehet kérni. Az Alkalmazás üzemeltetés és fejlesztés szervezet megvizsgálja a telepítés feltételeit, a licence rendelkezésre állását, vagy a szoftver szabad felhasználhatóságát, ill. szükség esetén beszerzi a szoftvert. A felhasználók nem engedhetik meg, hogy a társasági tulajdonú szoftvereket bárki lemásolja. Minden olyan anyag (pl. programok, fájlok, adatok, képek, videók stb.), amelyek használata, tárolása szerzői jogot sért, illetve nem a munkavégzéssel kapcsolatos, az nem használható, nem telepíthető és nem tárolható egyetlen vállalati informatikai eszközön sem!
Felhasználói jelszókezelés Az informatikai rendszerek felhasználói felelnek a saját jelszavuk megőrzéséért. A kezdetben megadott jelszavakat az első hozzáférés alkalmával meg kell változtatni, valamint a jelszót módosítani kell minden olyan alkalommal, amikor feltételezik, hogy más hozzáfért. Nem szabad úgy kialakítani a jelszót, hogy az könnyen azonosítható legyen, pl. személyes adatok, nyilvánvaló dátumok, általános szöveg, vagy értelmező szótárból vett kifejezések. Az informatikai rendszerekhez történő hozzáférések és jogosultságok kezelését a 1501_10_F Informatikai jogosultságok kezelése dokumentum szabályozza.
Megosztott mappák használata A megosztott könyvtárak használatát a munka által megkövetelt tényleges szükségletekre kell korlátozni. A kicserélt információknak a munkára kell vonatkozniuk, és nem lehetnek ellentétesek a hatályos jogszabályokkal.
2
Nem megengedhető, hogy munkacsoportok, szervezetek – a munkát és kommunikációt segítendő – publikus mappákat használjanak munkaállományaik megosztására, tárolására, különösen, ha az így kezelt anyagok közt szerződések, bizalmas ügyfél-, partner vagy üzleti adatok is előfordulhatnak. Korlátozott elérésű mappa és a hozzátartozó jogosultsági csoport létrehozását kezdeményezheti az Informatika szervezetnél a Service Desk felületén keresztül.
mindenki
Biztonsági szabályok az Internet használatához Az Internetet használó munkavállalónak tudatában kell lennie annak, hogy ezzel a szolgáltatással való visszaélés súlyos következményekkel jár. Az Internethez való hozzáférés célja a vállalat számára hasznos információk beszerzése. Minden más felhasználás, amelyet Internetes honlapról letölthető alkalmazások vagy programok tesznek lehetővé (például játékok, áru és szolgáltatás személyes célra történő beszerzése) nem tartozik a rendelkezésre bocsátott szolgáltatás céljai közé, tehát nem engedélyezett. Továbbá az internetről tilos letölteni minden olyan tartalmat, amely szerzői jogi védelem alá esik és a Társaság nem rendelkezik jogosultsággal a tartalom letöltésére és felhasználására. Az Informatikai szervezetnek lehetősége van azon internetes honlapokhoz való hozzáférés megakadályozására, amelyek nem kapcsolódnak a munkavégzéshez.
Tudatos társasági Internet használat Napjainkban a legtöbb internet felöl érező támadást, a legnagyobb károkat nem a hagyományos vírusok intézik vállalati rendszereink és a magánszféránk ellen, hanem a malware programok. Míg a vírusok többnyire egy hordozó alkalmazás kódjába telepedve, akkor fertőznek, illetve pusztítanak, amikor a fertőzött, többnyire futtatható állományt elindítjuk, addig a malware egy külön álló program, melynek nincs szüksége hordozóra. Több alapvető típusával találkozhattunk már. A spyware jellemzően arra törekszik, hogy az adatainkat szerezze meg, a trójaiak többsége levélszemetet küld, az adware-ek pedig minduntalan hirdetéseket jelenítenek meg a gépen. Általában nem a károkozás a cél, hanem a gép erőforrásainak (illetve a felhasználó) minél tovább tartó ki- és felhasználása. Persze nem minden malware kártevő áll meg ennyinél. A trójaiak egy csoportja azzal a céllal működik gépükön, hogy ott „kaput” nyitva (back door), gépünket kiszolgáltassa egy rosszindulatú felhasználó számára. A spyware-ek sem érik be minden alkalommal pusztán vásárlási szokásainkra vonatkozó adatok továbbításánál, sokukat kifejezetten jelszavaink ellopására fejlesztették. A keyloggerek ugyanezen feladatuknak a billentyűleütéseink továbbításával tesznek eleget. A zsarolóvírusok, angol nevükön ransomware-ek, régi motorosok a digitális kártevők között, de az utóbbi időben minden korábbinál elterjedtebbek és nagyobb figyelmet is kapnak. Olyan kártékony programokról van szó, amelyek egy számítógépre jutva elérhetetlenné tesznek, titkosítanak bizonyos fájlokat vagy akár az egész rendszert, és váltságdíjat követelnek azért, hogy a tulajdonos újra hozzájuk férhessen. De honnan tudjuk, hogy a gépünk "bekapott" valamilyen fertőzést?
Alapvető jel a gép lelassulása, a szoftverek kiszámíthatatlan viselkedése, amit a háttérben futó kéretlen szoftverek okoznak azzal, hogy lekötik az operációs rendszer erőforrásait. Ez azonban, mint tudjuk, a Windows esetében nem feltétlenül a fertőzés jele: lehet, hogy csak "elfáradt" az operációs rendszer, esetleg azért, mert nem optimálisak a rendszerbeállítások. A fertőzés legbiztosabb jele az, ha megváltozik a web-böngészőnk kezdőlapja, vagy böngészés közben folyton kamu biztonsági figyelmeztetések, reklámok ugranak elő. Ha online fizetésre is alkalmas hitelkártyát, bankkártyát használunk, akkor árulkodó jel lehet, ha ismeretlen okból kezd csökkenni a rajta tárolt pénz mennyisége, mivel a kémprogramok, vagy az adathalászatra irányuló támadások célpontja a bankkártya adat, ill. netbanki információk megszerzése. Ennek egyik módja az, hogy a PC-re fészkeli be magát egy
3
kémprogram, ám ha ilyesmiről értesülünk, természetesen először a kártya letiltása felől célszerű intézkedni. Hogyan védekezzek? Legyünk folyamatosan résen! Néhány tipikus veszélyforrás:
E-mailben, chatprogramon vagy akár Skype szöveges üzenetben, üdvözlőlapon érkező link, ami fertőzött webhelyre mutat. Ismeretlen oldalakon bóklászva, tudtunkon kívül fertőzött weblapra látogatunk, és ott automatikusan felmegy az Internet Explorerre a kártevő. Ez az úgynevezett "drive-by download" szituáció. Milliószámra vannak ilyen lapok a weben. Rosszindulatú hirdetésre kattintunk egy weblapon, és hamis biztonsági programot töltünk le a gépre (úgynevezett "rogue software"). Ez a fajta csalás a nagy, jó nevű portálokat is fenyegeti, amelyeket előszeretettel hamisítanak meg, illetve törnek fel ilyen céllal. Olyan ingyenes programot töltünk le és telepítünk, amihez reklámprogramot is mellékeltek, azért ingyenes (úgynevezett ad-supported freeware vagy shareware). Gyakoriak ebben a műfajban a különböző böngészőkhöz készült eszköztárak (toolbar). Különféle csábító témájú film klipek megtekintéséhez felajánlott hamis videó-kodeket (valójában trójait) töltünk le. Talált vagy vásárolt USB-kulcstartók is lehetnek fertőzöttek. Az utóbbi időben több gyártó új flash-meghajtóira kerültek kártékony programok, a rendszerbetörést tervező hackerek pedig előszeretettel "szórnak szét" fertőzött pendrive-okat csaliként.
Mint az a fentiekből is látható, rendszerint a felhasználó valamilyen cselekvésére is szükség van a fertőzés begyűjtéséhez, ezért fontos észben tartani a fenti kockázatokat - és készülni a bajra.
Belső elektronikus levelezés szabályai A TIGÁZ Csoportnál az elektronikus levelezés tárgyi (hardver, szoftver) feltételeinek megteremtéséért az Informatikai infrastruktúra a felelős - a vonatkozó előírások betartásával - továbbá az elektronikus levélcímek rendszerbe állításáért, karbantartásáért, a levelezés optimalizált használatának segítéséért. Az elektronikus levelezésbe bevont minden munkavállaló köteles a saját elektronikus postaládáját rendszeresen karbantartani, a hozzá beérkező és az általa elküldött elektronikus levelek megőrzéséről és rendezett tárolásáról, visszakereshetőségéről gondoskodni. A levelek archiválásában a TIGÁZ Zrt. ICT szervezete nyújt támogatást. Az üzletileg kritikus tartalmak megőrzésére az ELO rendszer használatát javasoljuk. Az üzletileg fontos anyagok törlése a levelező rendszerből, engedély nélküli kimásolása, magán célra való lementése munkajogi konzekvenciákkal járhat. A felhasználók számára biztosított online postafiók mérete 1 – 6 Gbyte között lehet a felhasználó levelezési szokásaihoz és feladataihoz igazodva. Ha a fiók mérete megközelíti a beállított limitet, a rendszer automatikus üzenetet küld a felhasználónak, figyelmeztetve a limit elérésére. Archív postafiók: •
A felhasználók számára biztosított archív postafiók maximális mérete 50 Gbyte.
•
Az archív mappában található elemek esetén biztosított a legalább 7 éves megőrzési idő.
•
A felhasználó kérheti az online postafiók 6 hónapnál, 1 évnél vagy 2 évnél régebbi elemeinek automatikus archiválását vagy manuálisan kell az elévült elemeket archiválnia.
A felhasználóknak alkalmazniuk kell a saját társaságára vonatkozó aláírás mintát. Erre vonatkozó előírást a társasági intraneten, a Kommunikáció és imázs szervezeti lapján találunk.
4
Az adatgazda engedélye nélkül nem küldhetőek olyan e-mailek, amelyek bizalmas, kritikus, titkos információkat tartalmaznak, vagy amelyek a Társaság számára szerződéses, jogi vagy bármilyen hátrányos következményekkel járhatnak. Nem küldhetők továbbá olyan e-mailek, melyek… •
károsíthatják a Társaság hírnevét és arculatát, vagy tönkretehetik az ügyfelekkel, szállítókkal, harmadik féllel fennálló kapcsolatot;
•
rágalmazó, obszcén, pornográf, sértő jellegűek, vagy mások azokat molesztálásnak, vallási, szexuális, faji, politikai és szakszervezeti megkülönböztetésnek vélhetik;
•
megsérthetik a hatályos jogszabályokat, különösen a szerzői jogokra vonatkozókat;
•
vírussal fertőzik meg a Társaság hálózatát;
•
spamek vagy lánclevelek.
Azok a felhasználók, akik bizalmas információkat kezelnek, kötelesek az Informatika által biztosított titkosító eszközt vagy megfelelő jelszóval védett állományokat használni. A bizalmas üzenetek esetén az alábbiakat kell követni, amennyiben az technikailag lehetséges: •
Vállalati titkosító eszközöket vagy jelszóvédett állományt kell használni.
•
A prioritás szintet magasra, a bizalmasság szintet bizalmasra kell állítani.
•
Az üzenetet csak az érintetteknek címezzük.
A fontos üzleti e-mail-ek megőrzése és archiválása az ELO dokumentum management rendszerben lehetséges. Megadható az elektronikus irat típusa, amelyhez egy beállított megőrzési idő tartozik. A megőrzéshez az iratot iktatni kell. Az e-mail-ek elektronikus iktatása és irattárba helyezése a DMS rendszer kézikönyvében van dokumentálva. Tervezett távollét esetén (szabadság vagy házon kívül végzett tevékenység esetén) aktiválni kell az automatikus házon kívüli választ, jelezve a válaszüzenetben azoknak az adott szervezeti egységek dolgozóinak elérhetőségét (céges telefonszám és/vagy céges email cím), akikkel fel lehet venni a kapcsolatot. Az arra alkalmas készülékeken (pl. mobiltelefon, tablet, PDA), lehetőség van interneten keresztül a vállalati e-mail szerverre csatlakozva, a levelező rendszerből elérhető információk lekérésére, szinkronizálására (levelek, feladatok, naptár bejegyzések). A vállalati levelező szerverrel szinkronizáló készülékeken kötelező a minimum 4 karakteres (pl. PIN) jelszó beállítása, melynek állandó használatát az IT és folyamat auditor szúrópróbaszerűen ellenőrizheti. A jelszó akadályozza az adatokhoz való illetéktelen hozzáférést. A jelszóhasználat elmulasztása munkajogi konzekvenciákkal járhat, és a felhasználó mobiltelefonon történő email elérésének letiltását vonhatja maga után. A levelezési rendszer lehetőséget biztosít a felhasználó által a saját postafiókjában véletlenszerűen törölt elemek helyreállítására a törléstől számított 14 napon belül. A törölt elemek helyreállítása abban az esetben lehetséges, ha az üzenetek kézbesítési helye a vállalati postafiók és nem egy személyes mappa.
Biztonsági szabályok telefon vagy fax útján történő kommunikációhoz Az alábbi intézkedéseket kell alkalmazni annak elkerülésére, hogy idegenek szándékosan vagy véletlenül lehallgassák a telefonbeszélgetés tartalmát, különösen akkor, ha a munka bizalmas aspektusait tárgyalják: •
A Social Engineering (pszichológiai befolyásolás), amikor a támadó nem a technológiai sebezhetőséget használja ki egy-egy támadás során, hanem az emberi befolyásolhatóságot. Ha nem tudjuk minden kétséget kizáróan, ki van a telefon másik oldalán, ne adjunk ki felhasználói névre, illetve jelszóval vonatkozó információkat.
5
•
Különösen bizalmas információk esetén meg kell fontolni titkosított e-mail üzenet alkalmazását.
•
Nagy figyelmet kell fordítani mobiltelefonok közterületen történő használatára és a kívülről bejövő hívásokra.
•
A bizalmas megbeszéléseken való részvétel esetén meg kell győződni arról, hogy minden mobiltelefon ki van kapcsolva annak elkerülése érdekében, hogy észrevétlenül információkat juttassanak el idegenekhez.
Fax útján történő kommunikáció esetén az alábbi intézkedéseket kell alkalmazni: •
Bizalmas információkat küldéséhez nem javasoljuk a fax használatát.
•
Mielőtt elküldenék a bizalmas információt tartalmazó faxot, telefonálni kell az érintett személynek, hogy gondoskodjon az érkező dokumentum személyes átvételéről.
•
Fax küldése előtt figyelmesen ellenőrizni kell a címzett adatait.
•
Szükség esetén kérjenek telefonos visszaigazolást a címzettől arról, hogy megkapta a dokumentum minden oldalát.
Záró gondolatok Amennyiben betartjuk az Informatika szervezet által javasoltakat, illetve előírtakat, nem csak a társaság üzleti, de saját személyes információink, adataink is biztonságban lesznek, hiszen ne feledjük: évek alatt szinte elkerülhetetlenül, számos személyes, bizalmas információ gyűlik össze rólunk, mind a belső levelezésben, mind gépünk, illetve a vállalati szerver tárolóin. Ha védjük a társaságanyagait, saját személyes anyagainkat is védjük vele.
6