Ugrás a tartalomhoz
  • MAGAZIN
  • BLOGTÉR
  • PODCAST
  • TV
  • GYŰJTEMÉNY
  • WEBSHOP
  • FOLYÓIRATOK
  • KIADÓ
Menü
  • MAGAZIN
  • BLOGTÉR
  • PODCAST
  • TV
  • GYŰJTEMÉNY
  • WEBSHOP
  • FOLYÓIRATOK
  • KIADÓ
  • MAGAZIN
  • BLOGTÉR
  • PODCAST
  • TV
  • GYŰJTEMÉNY
  • WEBSHOP
  • FOLYÓIRATOK
  • KIADÓ
Menü
  • MAGAZIN
  • BLOGTÉR
  • PODCAST
  • TV
  • GYŰJTEMÉNY
  • WEBSHOP
  • FOLYÓIRATOK
  • KIADÓ
Kalas Vivien

Bizalmatlansági szavazás az Európai Bizottsággal szemben

Az ügynek gyakorlati következmények nélkül is lehet politikai hatása.

Kalas Vivien 2025.07.09.
Szűcs Petra

Hogyan hatott a Covid a munkaerőpiaci folyamatokra és az elbocsátások alakulására?  

Az üzleti szektor számos ága és iparág érintett volt. Elemzés.

Szűcs Petra 2024.09.06.
Veszelszki Ágnes

Valóban a testükből élnek az influencerek?

A szelfi szexualizálódása.

Veszelszki Ágnes 2024.05.02.
Veszelszki Ágnes

Véleményvezérek, influencerek, tartalomalkotók

Mit kínálnak az influencerek követőiknek?

Veszelszki Ágnes 2024.03.25.
Sorbán Kinga

Védelemből elégtelen

Egyre nagyobb mértéket ölt a gyermekek kizsákmányolása az online platformokon.

Sorbán Kinga 2024.03.05.
CYBERBLOG
Bányász Péter
Bányász Péter
NKE Kiberbiztonsági Kutatóintézet
  • 2020.11.23.
  • 2020.11.23.

A távoli munkavégzés kiberbiztonsági kockázatai

Bányász Péter – Katona Gergő

A koronavírus második hulláma szigorú korlátozások bevezetését tette indokolttá a világ számos országában, köztük Magyarországon is, aminek következtében a távoli munkavégzés, illetve annak biztonságos feltételrendszere ismét előtérbe került. Jelen bejegyzésben arra keressük a választ, milyen kockázatok fenyegetik a munkavállalókat a kibertérből, valamint milyen védelmi megoldások alkalmazásával csökkenthető a kockázatok száma.

Első lépésként fontos magának a fogalmaknak az értelmezése, ugyanis a közbeszédben gyakran keveredik a távoli munkavégzés és a home office fogalma. A távoli munkavégzés az atipikus munkavégzési formák (mint például részmunka, határozott idejű szerződésen alapuló munkavégzés, munkakör megosztás, munka-végzés behívás alapján, bedolgozás stb.) egyik fajtája, ami az infokommunkációs technológiák (IKT) elterjedésének következtében jelent meg. Ehhez hozzájárult a globalizáció, a földrajzi távolságok áthidalásának, a leszakadó régiók felzárkóztatásának igénye.

A hazai jogi szabályozás szerint a távmunka a munkáltató telephelyétől elkülönült helyen rendszeresen folytatott olyan tevékenység, amelyet számítástechnikai eszközzel végeznek, és eredményét elektronikusan továbbítják (Munka törvénykönyve 196-197.§). A távmunkavégzést munkaszerződésben kell rögzíteni, míg az otthoni munkavégzést (home office) a munkáltató engedélyezi vagy belső szabályzatban rögzíti. Utóbbi hosszabb időszakra is engedélyezhető, megvalósulhat a rotálódás elvét követve (például A és B hét), azonban fontos szempont, hogy meghatározott időszakra érvényes, nem ez a munkavégzés fő formája. A home office esetében a munkáltató átengedheti a munkavállalónak, hogy ő határozza meg a munkaidő beosztásának idejét, de előírhatja azt is, hogy milyen időintervallumban kell elérhetőnek lennie. A munkavállaló digitális megfigyelése IKT eszközök segítségével kizárólag a munkaviszonnyal összefüggő magatartás kapcsán alkalmazható. Mindebből következik, hogy a kiberbiztonsági kockázatok mellett az adatvédelmi garanciákat is biztosítani szükséges, amely az ellenőrzés jogából sérülhet.

A koronavírus első hullámában, amikor állami és piaci szervezetek nagy része kényszerült arra, hogy az otthoni munkavégzést engedélyezzék, a várakozásoknak megfelelően megnövekedett a kibertámadások száma (Interpol 2020). Ennek oka, hogy a szervezeteket felkészületlenül érte az otthoni munkavégzésre történő átállás, többségük egyáltalán nem, vagy csak nem megfelelő üzletmenet-folytonosság tervvel rendelkezett. Az Interpol jelentés alapján a leggyakoribb támadástípusok az adathalászat, online család (59%), zsarolóvírusok, kártékonykódok (36%), kártékonykódot tartalmazó weboldalak (22%), álhírek (14%).

A (távoli) munkavégzés során az elektronikus információs rendszerben tárolt adatok bizalmasságát, sértetlenségét, rendelkezésre állását mint az információbiztonság alapját biztosítani kell. Mivel a szervezetek nem voltak felkészülve a távoli munkavégzés tömegessé válására, így sok esetben jelentett kockázatot az informatikai eszközök gyenge védelme, illetve a munkavállalók nem megfelelő szintű adat- és információbiztonsági tudatossága, amihez gyakran a digitális írástudás hiánya társul. Ebből következik, egy olyan munkavállaló, aki gyakorlatilag „betanított munkásként” az általa kezelni szükséges információs rendszerben a munkavégzésként meghatározott helyekre kattint, de nem ismeri, nem érti a folyamatot, milyen magas fokú kockázatot jelent információbiztonsági szempontból. Oktatóként, aki a kiberbiztonság mellett információs rendszerek használatát is tanítja, gyakran tapasztaltam a fenti problémát, aminek talán két legillusztrisabb példája két a közigazgatásban évtizedek óta dolgozó hallgató volt. Az egyik esetben egy file más néven történő elmentése okozott már-már leküzdhetetlen problémát, míg a másik esetben a számítógép bekapcsolása, ugyanis a hivatalban más típusú volt a gépház, és nem ott van a bekapcsoló gomb, ahol megszokta.

Egy biztonsági esemény bekövetkezésekor, még ha nagyon alacsony fokúról is legyen szó, gyakran a pánik uralkodik el a fentiek által jellemezhető felhasználóknál. Személyes beszélgetések során, hogy miért olyan döntések sorozatát hozták meg, ami biztonsági incidens bekövetkezéséhez vezetett, visszatérő válasz szokott lenni: minden olyan gyorsan történt, fel sem fogtam, mire kattintottam. Nem nehéz belátni, egy ilyen munkavállaló esetén az otthoni munkavégzés, ahol nincs meg az az esetleges védőháló, amit a munkahelyen a rendszergazda, az információbiztonsági felelős nyújt, tovább növeli a kockázatokat.

Mindezek után jogosan merül fel a kérdés, mit tehetünk, hogy csökkentsük a szervezetünkre leselkedő kockázatokat? Az első és legfontosabb egy kockázatelemzés készítése, amelyhez számos létező módszertant hívhatunk segítségül, mint például a Consultative, Objective & Bifunctional Risk Analysis (COBRA), Cost-of-Risk Analysis (CORA), Central Computer and Telecommunications Agency (CCTA), Risk Analysis and Management Methodology (CRAMM), Information Security Risk Analysis Method (ISRAM), ISO 3100 stb.

 A kockázatelemzés eredményeképpen meghatározzuk azokat a területeket, amelyek beavatkozást igényelnek, és kidolgozzuk azokat a kockázatkezelési eljárásokat, amelyekkel csökkentjük a kockázat bekövetkezésének valószínűségét. A kockázatelemzés fontos részét képezi (egyéb tevékenységekkel kiegészülve, mint például üzleti hatáselemzés) az üzletmenet-folytonosság terv (BCP) elkészítésének, aminek relevanciájára az első hullám hangsúlyosan felhívta a figyelmet. Az üzletmenet-folytonosság terv célja, hogy az esetlegesen bekövetkező rendkívüli eseményeket, amelyek szervezetünket fenyegetik, hogyan, milyen módon kezeljük. Azok a szervezetek, amik rendelkeztek BCP-vel, óriási helyzetelőnybe kerültek az első hullám idején versenytársaikkal szemben.

A blog terjedelmi korlátai nem teszik lehetővé, hogy részletes és mindenre kiterjedő tanácsokat fogalmazzunk meg az otthoni munkavégzés kiberbiztonsági kockázatainak csökkentésére, így csupán néhány területet említünk:

  • Használjunk többfaktoros azonosítást.
  • Használjunk jelszómenedzser alkalmazást, hogy biztonságos jelszavakat használjunk az egyes fiókjainknál.
  • Csak megbízható WiFi hálózatot használjunk.
  • Változtassuk meg az otthoni routerünk alapértelmezett felhasználó nevét és jelszavát.
  • Tisztázandó, hogy a munkavégzés saját vagy a munkáltató által biztosított eszközzel történik-e, illetve ebből következően milyen biztonsági eljárásokat szükséges követni. A saját eszközök gyakran más védelmi megoldásokat alkalmaznak, hiszen míg a munkáltató által biztosított eszközön korlátozva lehet például a külső adathordozók csatlakoztatása, a biztonsági frissítések automatizáltan történhetnek, addig saját eszközön ezek nem feltétlenül valósulnak meg.
  • Amennyiben a felhasználó a saját eszközét nem védi megfelelően, és a munkavégzés ezen keresztül történik, magában hordozza annak a veszélyét, hogy rajta keresztül a szervezet elektronikus információs rendszeréhez is hozzáférhetnek a támadók. Éppen ezért létfontosságú, hogy a használt eszközökön (legyen szó számítógépről, okos mobil eszközről) a legfrissebb szoftverfrissítések legyenek telepítve.
  • Csak jogtiszta szoftvereket használjunk, ugyanis az illegális csatornákról letöltött, tört szoftverek tartalmazhatnak kártékony kódokat (például kémprogramokat, zsaroló vírusokat).
  • Használjunk vírusirtót.
  • Telepítsünk a böngészőnkbe különböző privát szférát erősítő technológiákat, amelyek csökkentik az internetezés kockázatait, például azáltal, hogy jelzik a nem biztonságos oldalakat, letiltják az oldalak által esetlegesen futtatott kémprogramokat vagy egyéb kártékony kódokat. Ezzel kapcsolatban a www.maganelet.hu oldal számos hasznos tanácsot nyújt.
  • A korábban említett kockázatelemzésnek értelemszerűen a munkavállaló által kezelt adatokra is ki kell térnie, hiszen az adatok esetleges kiszivárgása szervezetenként eltérő kockázatot jelent, így olyan korlátozó megoldások alkalmazása is szükséges lehet, amik például a file-ok titkosítását követelheti meg.
  • Figyeljünk a jogosultságkezelésre, különösen saját eszközről való hozzáférés esetében.
  • Képezzük folyamatosan a munkavállalókat az adat- és információbiztonsággal kapcsolatban, ugyanis folyamatosan új típusú kihívások jelennek meg, amelyek felülírhatják adott esetben a korábbi tudásunkat.

Természetesen a felsoroltakon felül rengeteg egyéb védelmi megoldásra kell tekintettel lennünk, amire a kockázatkezeléshez hasonlóan számos módszertant vehetünk alapul. Ilyen például az Ausztráliai Kiberbiztonsági Központ által kidolgozott ajánlás, amely enyhítési stratégiákkal szolgál a távoli munkavégzés kiberbiztonsági kockázataival kapcsolatban. Az ajánlás az egyes stratégiákat három szempont alapján értékeli:  

  • felhasználói ellenállás a stratégiával szemben,
  • előzetes költségek mértéke (személyzet, szoftver és hardver),
  • folyamatos karbantartási költség mértéke.

Fontos tisztában lenni azzal, hogy 100%-os védelem nem létezik. Ennek ellenére jelentősen csökkenthetők a kibertérből származó kockázatok, amennyiben megfelelő védelmi megoldásokat alkalmazunk. Remélhetőleg, e blogposzt hozzájárult utóbbi sikeréhez.


Források:
2012. évi I. törvény a munka törvénykönyvéről
Australian Cyber Security Centre Strategies to Mitigate Cyber Security Incidents, https://www.cyber.gov.au/acsc/view-all-content/publications/strategies-mitigate-cyber-security-incidents
„INTERPOL Report Shows Alarming Rate of Cyberattacks during COVID-19”, https://www.interpol.int/News-and-Events/News/2020/INTERPOL-report-shows-alarming-rate-of-cyberattacks-during-COVID-19

Témakörök: home office, kiberbiztonság, kibertámadás, kockázatelemzés, koronavírus
nke-cimer

LUDOVIKA.hu

KAPCSOLAT

1083 Budapest, Ludovika tér 2.
E-mail:
Kéziratokkal, könyv- és folyóirat-kiadással kapcsolatos ügyek: kiadvanyok@uni-nke.hu
Blogokkal és a magazinnal kapcsolatos ügyek: szerkesztoseg@uni-nke.hu

IMPRESSZUM

Ez a weboldal sütiket használ. Ha Ön ezzel egyetért, kérjük fogadja el az adatkezelési szabályzatunkat. Süti beállításokElfogad
Adatvédemi és süti beállítások

Adatvédelmi áttekintés

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary
Always Enabled
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Non-necessary
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
SAVE & ACCEPT