A Magyar Biztonsági Fórum (MBF) idei konferenciáján sok érdekes és tanulságos előadás mellett voltak olyan előadók is, akik könnyedebb hangvétellel közelítettek meg komolyabb témákat. Így tett Kovács Olivér és Tomonyiczka András is az MVM Mátra Energia Zrt – től, akik közösen tartottak előadást a biztonsági szakma eddig periférián kezelt területéről, a humánbiztonságról.
A kifejezetten tartalmas és mégis humoros előadáson a hallgatóság jól szórakozott az egyébként mókásan hangzó igaz történeteken, de érezhető volt, hogy majd mindenki tudta, ez a görbe tükör most éppen feléjük fordulhatott volna.
Az MVM Mátra Energia Zrt biztonsági területért felelős szakemberei az évek során összegyűjtött személyes tapasztalatokra alapozva mutatták be munkájukat, nehézségeiket és terveiket. A cégnél az utóbbi időszakban számos problémát sikerült már megoldaniuk, és a folyamatos fejlesztéseknek köszönhetően a vállalat biztonsági tevékenysége egyre inkább abba az irányba halad, ahogyan Ők azt három évvel ezelőtt megálmodták.
Indulásuk nem volt zökkenőmentes, mivel az erőmű nem csak a műszaki megoldások, de a dolgozók gondolkodásmódjában, biztonságtudatosságuk szintjében sem tükrözte a 2020-as sztenderdet, amikor átvették a biztonsági terület irányítását. Példaként említik, hogy Olivér már az első munkanapján „iránymutatást” kapott egy lelkes középvezetőtől arról, hogy bár jónak tartja a fejlesztési ötleteket, reméli, a vezetőket nem fogják kötni az új szabályok. Ebből a szemléletből kellett elindulni egy olyan irányba, amely gyors és innovatív módon hat pozitívan a teljes vállalatra a későbbiekben. Nagy sikerként érzékelik, hogy a vállalatnál a változások ma már a hétköznapokban is nyomonkövethetők.
Ahogy más területeken, úgy a biztonság szempontjából is a legmagasabb kockázat maga az ember. A Mátrai Erőműben a humánkockázat-kezelés korábban egyáltalán nem volt szempont, ezért az ilyen jellegű aktivitásokra fordított kiemelt figyelem igencsak meglepte a dolgozókat főleg azért, mert addig elképzelhetetlen volt, hogy munkavállalókat, pláne vezetőket ellenőrizzenek. A kapcsolt vállalkozások dolgozói pedig teljesen kívül estek a biztonsági szűrőn. Az új koncepció aprópénzre váltásának egyik hozadéka lett, hogy a szerződött külső partnerek által foglalkoztatottak között az elmúlt két évben 15 fő (!) körözött személyt azonosítottak be, és adtak át a rendőrségnek.
Érdekes kitekintésnek tűnhet a humánbiztonsági területhez beemelni a social engineering (1) kérdéskörét, az előadók mégis rávilágítottak milyen szoros a kapcsolat e két dolog között. A vállalati vagyon védelmének elválaszthatatlan része egyaránt a személyes, valamint az üzletileg szenzitív adatok kezelése, és az információbiztonság. A social engineering-en alapuló csalások folyamatos kockázatot jelentenek minden munkavállalóra és minden vállalatra nézve.
Ráadásul ezek kivédésére nagyon nehéz felkészülni, mivel a támadók az emberi gyengeségekre, hiszékenységre, jóindulatra alapozva próbálnak kicsalni, megszerezni – főként üzleti – információkat.
Érdekes kitekintésnek tűnhet a humánbiztonsági területhez beemelni a social engineering (1) kérdéskörét, az előadók mégis rávilágítottak milyen szoros a kapcsolat e két dolog között. A vállalati vagyon védelmének elválaszthatatlan része egyaránt a személyes, valamint az üzletileg szenzitív adatok kezelése, és az információbiztonság. A social engineering-en alapuló csalások folyamatos kockázatot jelentenek minden munkavállalóra és minden vállalatra nézve. Ráadásul ezek kivédésére nagyon nehéz felkészülni, mivel a támadók az emberi gyengeségekre, hiszékenységre, jóindulatra alapozva próbálnak kicsalni, megszerezni – főként üzleti – információkat.
Ez természetesen erőműre is vonatkozik, ezért a biztonsági terület kezelésének ez is fontos szempontja kell (kellett) legyen, hiszen fel kell készíteni a munkavállalókat a veszélyekre, egyúttal a követendő magatartásra is függetlenül attól, hogy a hierarchia mely pontján helyezkednek el. Egyértelmű, hogy minél több releváns információ birtokában van valaki, annál inkább válik/válhat social engineering támadás célpontjává. És ha valahol, akkor ezen a téren még inkább igaz az előadók által közvetíteni kívánt fő üzenet:
„a leggyengébb láncszem az ember!”
Természetesen erre is volt néhány frappáns személyes élménye a két szakembernek. Megtörtént, hogy egy jól álcázott e-mailre még az egyik felsővezető is ráharapott és abban a hitben, hogy a vezérigazgató kérését teljesíti, miden visszaellenőrzés nélkül, elutalt egy csalónak 8 000 eurót. A pénzt természetesen, azóta sem sikerült vissza szerezni. Vagy amikor egy másik cég ügyvezetője nagy lelkesedéssel dugta be a gépébe az otthagyott pendrive-ot és az asszisztensek nagy része, boldogan adta meg telefonon keresztül a belépési adatait egy IT kollégának hazudott személynek. A portán szolgálatot teljesítő recepciós örömmel engedte be a „takarító cégbeli kollégát”, aki aztán a server szoba, vagy a munkatársak nyitott irodáinak irányában indult el. Amikor aztán szembesítették a menedzsmentet a lesújtó eredménnyel, hogy éppen most bukott meg a cég a létező támadások mindegyikén, egy jó hírt azért tudtak mondani mégpedig azt, hogy ez nem éles helyzet volt, hanem ők szervezték. Ebből kiindulva lehetett elkezdeni az az edukációt, amely az ehhez hasonló csalások felismerését, jelzését, esetleg megakadályozását voltak hivatottak kezelni.
Helyspecifikus veszélyforrást jelent az a tény, hogy a vállalat tudatosan több generációs cégként üzemel az indulása óta. Komplett családok dolgoznak az erőműben, ezért az információáramlás nagyon gyors. Egy hír – legyen az valós vagy fals – órákon belül elterjedhet és nem csak a vállalaton belül, hanem a környező településeken is, mivel a térség kiemelt létesítményeként mindenki kíváncsi, mi történik az erőmű háza táján. Így eshetett meg, hogy egy felvételi eljárás kellős közepén, még a végleges döntés előtt a szomszédos település fodrásza már tudta, hogy kit és miért vettek fel és persze ezt meg is osztotta pont a biztonsági területen dolgozó egyik kollégával. Természetesen nem hitte el, amikor mondták neki, hogy még nincs döntés, hiszen ő „biztos forrásból” szerezte az értesüléseit. Majd a következő vendégnél már szemérmesen hallgatott a hírről, mert a biztos forrás mégsem volt annyira biztos, hiszen mást választottak.
A vállalatnál a két vezető érkezéséig nem volt megfelelően kezelve az összeférhetetlenségek vizsgálata sem. Példaként említik amikor olyan módon került kiszervezésre egy szakterület, hogy a vállalatnál lévő szakemberek saját vállalkozásuk keretében csinálták meg azokat a feladatokat, amelyeket munkaidejükben kellett volna. Ez egyrészt jó volt a társaságnak, mert nem kellett túlórát fizetni, másrészt a szakemberek helyismerettel rendelkeztek és ugyanott dolgoztak, mint a rendes munkaidejükben, ami természetesen etikai kérdéseket is felvet. (Nem is említve itt az elszámolás kérdéseit. Vajon kinek érte meg jobban a vállalatnak, vagy a munkavállalónak. Tippünk azért lenne… A szerk.)
Összefoglalva tehát elmondható, hogy volt itt teendő bőven. A két vezető, miután felmérték a helyzetet, kidolgozták a saját koncepciójukat, majd elkezdték annak megvalósítását. Megpróbáltak minden létező eszközt bevetni, hogy átformálják a gondolkodásmódot. Volt itt plakátkampánytól a személyes meggyőzésen át a belső kommunikáció minden csatornáján eljuttatott üzenetig minden. Az elhangzottak alapján nem túlzás azt állítani, napi szintű harcokat vívtak meg a sikerért. Ők is tudják, hogy korántsem járnak az útjuk végén, hiszen értik, hogy
„A biztonság nem állapot, hanem folyamat!”
(1) A Social Engineering egy, az emberi tényező kihasználható tulajdonságaira építő támadási forma, tulajdonképpen olyan technikák gyűjteménye, mely az emberek befolyásolására, manipulálására alapozva teszi lehetővé bizalmas információk megszerzését, vagy éppen egy kártékony program terjedését és működését. (Forrás: securinfo)
