Vasvári György
CISM[1]
c. egyetemi docens
A HUMÁN TÉNYEZŐ az eVilági
BANKBIZTONSÁGBAN
Az eVilágban, a modern technológia, és a
modern információs rendszer átjárja az élet, a kultúra minden területét. Az
elektronikus globalizáció kialakítja az egyetemes kultúrán belül az
elektronikus kultúrát. Ugyanakkor az informatikai technológia, hatással van az
üzleti, és a magán életre egyaránt. Az informatika terjeszti az adott kultúra
hitbeli, és értékbeli alapjait, a magatartás, és a viselkedés kultúrát,
zsugorítja a kultúra megteremtésének, és elsajátításának idejét, míg a tér
tényezőit kiterjeszti. A bankok számára új helyzet teremtődött, teremtődik,
biztonságukat fenyegető, új kockázatok léptek, lépnek fel. Ezek közül a
jelentősebbek a következők:
ˇ
folyamatosan
növekvő értékek, és információk (adatok) halmozódtak, halmozódnak fel a
bankokban, amelyek motiválják a támadókat,
ˇ
a
papíralapú iroda szerepét, egyre nagyobb mértékben veszi át az elektronikus
iroda, kiterjednek az informatikai kockázatok,
ˇ
létrejöttek
a bankok belső bizalmas hálózatai, és a nem bizalmas külső hálózatok közötti
kapcsolatok. (pl. Internet), lehetővé vált a bankok jogosulatlan elérése nem
fizikai úton,
ˇ
a pénzügyi
szervezetek közötti üzenetek döntően pénzmozgást közvetítenek, amely lehetővé
tetet a pénzforgalmi hálózatok támadásával, jogosulatlan információ és/vagy
pénzszerzését,
ˇ
folyamatosan
növekszik a bankfiókok száma, és ezzel a vagyonbiztonsági fenyegetettség.
Ebben a helyzetben célszerű vizsgálni, az
emberi tényező szerepét, amely fontos feladatokat lát el a bankok üzleti, és
számítástechnikai üzemeltetésében, a folyamatokban, alkalmazásokban, mind
belülről, mind kívülről eredő, növekvő kockázatokat képezve a bankok
biztonságára nézve.
A humán tényező a bank, mint rendszer,
illetve azon belül az üzleti, és információ rendszerek erőforrásai közé
tartozik. Az erőforrásokat felhasználva a banknak az üzleti, és az informatikai
folyamatai (alkalmazások) realizálják az üzleti követelményeket, célokat. Az erőforrások a bankban:
ˇ
az ember,
ˇ
az adatok,
a pénz, az érmék, értéktárgyak,
ˇ
az
infrastruktúra [a technológia, a támogatások (áramellátás, légkondicionálás,
papírfeldolgozás, létesítmények)],
ˇ
folyamatok,
támogató folyamatok (üzleti, informatikai).
A
bankot fenyegető veszélyforrások, az erőforrások biztonságát fenyegetik. A
humán tényező esetében, ez annyit jelent, hogy a humán erőforrások, egyszer
fenyegetettek, de ugyanakkor fenn áll annak a lehetősége, hogy humán erőforrás
fenyegesse a bank erőforrásait.
A humán szereplők a bankbiztonságban,
akik egyrészt fenyegetettek, másrészt maguk fenyegethetnek erőforrásokat:
ˇ
bankalkalmazottak,
ˇ
élőerős
védelem munkatársai,
ˇ
ügyfelek,
partnerek,
ˇ
a
lehetséges, és a tényleges támadók (szélesebb kör az előzőeknél).
Ehhez hozzá kell tennünk, hogy az ember
nagyobb fenyegetést jelent a bank biztonságára nézve, mint a technológia. Ez
azonban például nem jelenti azt, hogy az ember, a bank alkalmazott
megbízhatatlan, hanem azt jelenti, hogy mindent meg kell tenni, hogy ne váljon
megbízhatatlanná. Ki kell emelnünk, hogy a biztonságtechnika egyik alapelve: a biztonságban egy 100%-os van, hogy
semmi nem 100%-os. Azaz nincs 100%-os biztonság, nincs 100%-os védelem.
Ez az, amit, a bankokat ért támadások esetében nem szabadna a történteket
véleményezőknek elfelejteni.
A
továbbiakban a humán erőforrásokat fenyegető veszélyforrásokkal foglalkozunk.
Kiemelünk néhány jellegzetes példát:
ˇ
Egy
biztonsági esemény súlyos stresszhatással járhat, amely pánik rohamot válthat
ki a jelenlévőkből.
Például
a bank elleni fegyveres támadáskor a bankalkalmazottak erős stresszhatásnak
vannak kitéve, amely az alkalmazottak személyi adottságai függvényében
különböző következménnyel járhat. Így például a félelem, a pánik hatás
lemerevítheti, időlegesen megakadályozhatja, a támadók leküzdésére hivatott
fegyveres szervezet értesítését, az átjelzést (riasztást) adó gomb megnyomását,
amely késedelem elegendő lehet a támadó(-k) elmeneküléséhez. Talán itt kell keresni a választ arra az esetre,
mikor bankrabláskor a fiók alkalmazottai, és az ügyfelek több mint 40-en voltak
a fiókban a néhány fegyveres támadóval szemben (tehát jelentős többség), és
mégse akadt alkalmazott, aki időben leadta volna a riasztó átjelzést.
ˇ
A humán
erőforrás megtévesztése.
Kevin
D. MitNick, 2003-ban megjelent könyvében (A megtévesztés művészete) azt
írja, hogy ez a művészet (e cikk szerzője szerint valójában bűncselekmény) az
emberek megtévesztése, manipulálása, azért, hogy elhiggyék, az illető személy,
szervezet az, akinek mondja magát. Jó példa erre, a közelmúltban az Interneten,
e-mailekkel lezajlott támadás a hazai bankok, illetve ügyfeleik ellen. Adat
egyeztetés címén a Bankot megszemélyesítve, kérték a bank egyes ügyfeleitől a
bankkártya adataik megküldését a bank, valójában a támadók e-mail címére (ez az
adathalászat). Ez esetben nemcsak megtévesztésről van szó, hanem jogosulatlanul
megszerzett ügyféladatokról, e-mail címekről, ami adatok jogosulatlan
kijuttatásával, adatszivárgással valósul meg.
ˇ
A bank
alkalmazottak által véletlenül elkövetett hibák.
A
bank munkatársai különböző személyes okokból (pl. fáradtság, dekoncentráltság)
eszközök, adatok nem rendeltetésszerű kezelésével követhetnek el véletlen
hibákat.
A
fenyegetések támadás útján valósulnak meg, amelyeket a humán erőforrások
esetében támadók (külső vagy belső humán erők) követnek el. Felmerül a kérdés, hogy miért követik el a
támadást? Általában a támadás célja vagyonszerzés, amely irányulhat a pénz
megszerzésére vagy adatok megszerzésére, amely szintén pénzszerzést
eredményezhet a támadó számára.
A támadók annak a függvényében, hogy
ˇ
kezdő,
ˇ
amatőr,
ˇ
fejlett
tudású vagy
ˇ
profi
támadóról, van szó, másképpen motiváltak.
A
támadás elhatározásában a motiváló tényezők:
ˇ
A támadási
cél értéke,
ˇ
A sikeres
támadáshoz szükséges szakértelem, eszközök,
ˇ
A védelem
(a támadó által megismert) gyengeségei,
ˇ
A
végrehajtáshoz szükséges idő.
A
támadás, amennyiben sikeres, a bank számára kárkövetkezményekkel jár. Ezért
szükséges a humán kockázatok csökkentésére védelmi intézkedéseket tenni,
amelyeket a támadási módszerek, célok változásait folyamatosan követve, karban
kell tartani. A humán fenyegetések elleni védelmi intézkedések közül, hármat
emelünk ki, példaképen:
ˇ
Humán
biztonsági követelmények következetes érvényesítése a munkaviszony teljes
életciklusa alatt.
A
munkaerő felvételekor, az alkalmazás alatt, a munkaviszony megszüntetésekor, és
végül a munkaviszony megszüntetése után (titoktartási kötelezettség), a
biztonsági követelményeket, a sikeres támadások tapasztalatait, az új védelmi
intézkedéseket oktatni, rendeltetésszerű végrehajtásukat ellenőrizni kell.
ˇ
Biztonsági
esemény (támadás) esetén a bank videó rendszerét a veszélyhelyzet átjelzésére,
a rendőrség átkapcsolja magához is.
A
videó rendszer átkapcsolása a rendőrséghez az események folyamatos követését, a
szükséges intézkedések megtételét teszi lehetővé. Jelenleg 200 bankfiókban
folynak ilyen kísérletek.
ˇ
A
biztonsági kultúra erősítése, fenntartása.
A
biztonsági kultúra, amikor az emberek tudják jogaikat, kötelezettségeiket, és
ami a legfontosabb, érvényesítik azokat, és akik egy biztonsági kultúrához
tartoznak, tudják, mi kompromittálja a biztonságot, és oktatják, elmarasztalják
azokat az embereket, akik tudatlanságból, feledékenységből vagy személyes
gyengeségből a biztonságot, sértő magatartást tanúsítanak.
Ebből egyértelműen következik, hogy ahol
a szervezeti kultúrán belül a biztonsági kultúra erős, ott a humán fenyegetések
kockázata jelentősen csökken. A bank biztonsági kultúrájának alkotó eleme, hogy
a humán erőforrások biztonsági ismereteinek részét képezik az alábbiak:
ˇ
az emberek
nem automatikusan érdekeltek abban, hogy a biztonság érzékeny információkat nem
szükséges tudniuk,
ˇ
a
biztonsági kultúra az etikett egy formája, egy út a fölösleges félreértések és
a lehetséges konfliktusok elkerülésére;
ˇ
a
kockázatok csökkentésével a biztonsági kultúra nem intézményesített gyanakvás,
hanem az egészségtelen gyanakvás elkerülése;
ˇ
a
biztonsági kultúra tartalmazza a hallgatás szabályait, de nem a némaság
szabályait.
A
biztonsági kultúra elemei a Mc Kinsey 7S modellje alapján:
Þ
kemény elemek: a biztonságirányítás struktúrája, és módszerei, a biztonsági stratégia,
a biztonsági alrendszerek (vagyon, és informatikai biztonsági alrendszer),
Þ
lágy elemek: a biztonsági tudatosság színvonala a
szervezet és az egyének szintjén, az alkalmazottak elkötelezettsége,
képzettsége, biztonsági szakképzettsége és biztonsági ismeretei, a biztonsági
értékrend, a környezet.
A
bankban a biztonsági kultúra nem teremtődik meg utasításra, azt oktatással,
belső reklámokkal, és a sikeres támadások, biztonsági események feltáró, és
számon kérő értékelésével, és a bank iránti hűség célirányos erősítésével kell,
illetve lehet fenntartani,
Az eVilág új, a bankbiztonságban
jelentkező humán kockázatait, tehát folyamatosan azonosítani kell, és az
erőforrások védelmére intézkedéseket kell tenni.