Azt talán nagyjából mindenki sejti, hogy a céges adatok a céget illetik. De tudjuk pontosan, mik is ezek? A jelek szerint nagyon nem: úgy visszük és küldözgetjük őket, mintha magunknak faragtuk volna egy magányos szigeten.
A saját dolgaival mindenki azt csinál, amit akar, és ha bármi történik velük, csak saját magát hibáztathatja. Kissé rálegyintő jellegű bölcsesség, de valahol igaz: ha valaki trehányul kezeli bármilyen tulajdonát, majd pedig elveszíti, vagy épp más kára származik a nemtörődömségből, akkor azt ő maga okozta és csak neki fáj, legközelebb pedig remélhetőleg már tanul az esetből. Ha meg nem… akkor megint csak ő jár rosszul, senki más. Igaz ez egy elhagyott sapkával, egy buszon felejtett telefonnal vagy egy nyilvánosságra került jelszóval kapcsolatban egyaránt. De mi a helyzet ugyanezzel céges szinten?
Azt azért viszonylag sokan tudják, hogy a vállalati hálózatokat biztonságosan érdemes használni, a főnök által küldött bizalmas dokumentumot nem szabad felpakolni valamilyen bárki által elérhető felhőtárhelyre és így tovább. Na jó, még az efféle adatokkal kapcsolatban is akadnak, akik olykor megbotlanak, de tökéletesen biztonságos rendszer nincs, a humán faktor meg ilyen. Viszont van a céges adatoknak egy olyan szelete, amit nem feledékenységből vagy trehányságból kezelnek rosszul az alkalmazottak, és a jelek szerint erről igenis beszélni kell.
De hát én írtam…
Egy felmérés szerint az irodai dolgozók 72 százaléka gondolja úgy, hogy amit munka közben ők maguk hoztak létre, az az övék, vagy legalábbis teljesen saját szakállukra rendelkezhetnek vele. De érzékeltessük mindezt máshogy, játsszunk egyet! A következő kérdésekre adott válaszokat persze nem kell megosztani velünk, de pont ezért lehet, sőt kell is nagyon őszintének lenni.
Szóval: ön, kedves olvasó, készít egy dokumentumot az irodában, ami persze sok tekintetben a saját szellemi terméke, de ettől még tartalmaz a vállalat működésével, üzleti tevékenységével, belső szervezeti elrendezésével kapcsolatos adatokat, kontaktokat, számokat. Válaszolja meg magában a következő opciókat azzal kapcsolatban, mit tenne vagy tehetne meg ezzel a dokumentummal. Feltöltené egy kívülről is elérhető felhőtárhelyre? Hazavinné egy pendrive-on? Magával vinné valamilyen külső helyszínre egy jelszóval nem védett laptopon? Tárolná olyan mobil eszközön, amit időről időre magára hagy mások által is elérhető helyen?
Ha bármelyik kérdésre igen volt a válasz, akkor bizony, ön is azon 72 százalék tagja, aki szerint csak azokra az adatokra vonatkoznak a szigorú vállalati biztonsági előírások, amikre nagy, piros betűkkel (és lehetőleg Stencil betűtípussal, mert úgy igazán ijesztő) felkerült a virtuális “szigorúan bizalmas” bélyegző. A helyzetet minden bizonnyal bonyolítja az is, hogy jó ideje sokan home office-ban, vagy hibrid módon dolgoznak, tehát munkavégzésükhöz részben vagy teljesen otthoni számítógépet, saját laptopot, privát mobil eszközöket és hálózati elemeket is igénybe vesznek, és még akkor sem figyelnek a biztonsági tényezőkre, ha mondjuk a céges gépről az otthonira e-mailben küldik el a félkész doksikat, hogy aztán folytatni tudják a munkát. Csak hát, az otthoni gépet használják mások is, a privát e-mailhez sem feltétlenül csak egyvalaki fér hozzá és így tovább – és máris kész a baj, amikor egy óvatlan harmadik szereplő miatt mondjuk a fél világ számára nyilvánosságra kerülnek érzékeny belső adatok, üzleti információk, jelszavak, a konkurencia által kihasználható részletek.
Átgondolni, oktatni, betartatni
A fenti problémákkal kapcsolatban persze a felelősség a munkavállalóé, de a megelőzésben mégis a munkáltatónak kell lépnie. Már csak azért is, mert a tanulmány szerint a szervezetek 43 százalékának nincs is semmilyen szabályzata, amely megtiltja a dolgozóknak, hogy az irodából eltávozva magukkal vigyék a munkahelyi adatokat – ha pedig van, akkor is sokan nem nyújtanak segítséget arra nézve, hogyan kell és hogyan tilos kezelni ezeket az információkat az irodán kívül vagy privát eszközökön. Megint csak a kényszerű hibrid és otthoni munkavégzést kell előcibálnunk, hiszen még ha egy cég korábban egyértelműen meg is tiltotta a belső adatok kivitelét, mindez az “új normalitás” keretei között már nem lehetséges, viszont itt akkor egyrészt elméletben meg kell újítani az iroda virtuális határainak fogalmát, majd pedig be kell vezetni és az alkalmazottaknak megtanítani az ehhez alkalmazkodó új szabályokat.
A figyelmetlenség és felelőtlenség mellett sajnos érdemes beszélni a szándékos károkozásról, vagy legalábbis a “bosszú-jellegű” hanyag adatkezelésről is: a kutatás szerint ugyanis a munkavállalók majdnem fele saját eszközre ment, letölt, továbbküld vagy nyilvánosságra hoz különféle bizalmas dokumentumokat és adatokat közvetlenül azelőtt, hogy végleg elhagyná a szervezetet. Tipikus példák erre a “felmondtam, de viszem az ügyféllistát”, vagy a “kirúgtak, akkor én is rúgok egyet beléjük” jellegű viselkedés.
Jól látható tehát, hogy ugyan az adatbiztonság témakörében a hírek és sajtóközlemények tele vannak a zsarolóvírusokra, adathalászatra, hackelésekre figyelmeztető témákkal, az emberi tényező továbbra is az egyik legnagyobb veszélyforrás a vállalati információk biztonságára nézve. Ezt pedig egyrészt a fent említett szabályozási rendszer frissítésével és betartatásával lehet enyhíteni, de vannak olyan megoldások is, amelyek képesek követni a céges erőforrások felhasználóit, figyelni azt, hogy ki milyen adatokat töltött le, mozgatott vagy változtatott meg, és ezekre akár előre beállított figyelmeztetéseket is felvillantani.