Egy rendszeren belül a legnagyobb veszélyforrást általában a belülről érkező támadások jelentik. Egy szervezeten belül az ilyen támadásokat jellemzően belső munkatársak vagy azok segítségével hajtják végre, ezért rendkívül fontosak azok a technikai védelmeken túlmutató intézkedések, amelyek az úgynevezett humán biztonság megteremtésére irányulnak. Sok esetben ezek egyszerű alapelvek, amelyek betartása adott esetben kényelmetlennek tűnik, de hosszú távon egyértelműen meghozza gyümölcsét.
Kölcsönösen kizáró feladatkörök
A tapasztalat szerint komoly veszélyt jelent, ha egy személynek olyan jogosultságai vannak, amellyel mások engedélye, illetve tudta nélkül végrehajthat visszaéléseket. Ilyenkor aztán akár hosszabb időn keresztül folytatólagosan is elkövethetőek olyan mértékű visszaélések, amelyek sokáig rejtve maradhatnak. Tipikus összeférhetetlen jogkör például egy rendszer fejlesztője – aki módosításokat eszközölhet egy programban – illetve annak üzemeltetője – aki használja az adott rendszert –, ugyanis a program módosításával szinte bármit megtehet a rendszerfejlesztő, bármilyen visszaélés nyomait leplezni képes, ha a működtetést is ő figyeli. Ilyen összeférhetetlen jogkörök továbbá:
pénzügyi utalványozást előkészítő és azt jóváhagyó;
hozzáférési jogosultságokat állító adminisztrátor és a rendszer felhasználója;
adatbázis adminisztrátor és az adatfeltöltő;
illetve általában egy kritikus műveletet elvégző és az azt jóváhagyó, engedélyező szerepköre.
Bár sok esetben jóval egyszerűbbnek, kényelmesebbnek tűnik, hogy ugyanaz a személy oldjon meg egymásra épülő feladatokat, nem szabad ezt a kompromisszumot megkötni, hanem biztosítani kell, hogy összeférhetetlen szerepköröket különböző személyek lássanak el.
Kötelező szabadságolás, szerepkörök rotálása
Komoly veszélyt jelenthet a szervezetre, ha adott feladatokat csak egy személy képes elvégezni. Ez növeli egyrészt a szervezet sebezhetőségét (munkahelyváltás, baleset stb. esetén komoly kompetencia-hiány alakulhat ki), másrészt megnöveli a visszaélések, csalás valószínűségét. Az ilyen szituációk elkerülésére érdemes rotálni a feladatköröket a megfelelő személyek között, más személlyel helyettesíteni az adott feladatot elvégző személyt, vagy – kritikus esetben – élni a kötelező szabadságolás megoldásával, amely tapasztalatok alapján már sok esetben leplezett le folytatólagosan elkövetett és leplezett visszaéléseket.
Üresíróasztal politika
Az üresíróasztal politika elnevezése arra az alapvető biztonságpolitikai követelményre utal, hogy minden dolgozó pakoljon el az íróasztaláról – a munkavégzés helyéről – a munka befejeztével minden dokumentumot és eszközt a tárolási helyére, ami az adott feladat elvégzéséhez szükséges volt. A munka befejezése itt egyenértékű fogalom a munka felfüggesztésével, szüneteltetésével is, tehát nem csak a munka tényleges befejezését értjük alatta. Az elpakolásba beleértendő a számítógép, fiók le- illetve bezárása, a helység elhagyása esetén a bejárati ajtó bezárása, esetleg riasztó élesítése stb.
Az elnevezésen túl azonban az üresíróasztal (így, egybeírva) politika egy mélyebb filozófiát takar, nevezetesen azt az elvet, hogy a munka során előkerült és használt információk biztonságáért a munkavégző személy felelős és ezt a felelősséget nem hagyhatja figyelmen kívül, amikor – akár csak öt percre – magára hagyja a munkakörnyezetet.
Az üresíróasztal politika a gyakorlatban egyszerű és hatásos védelemnek bizonyul a „betekintés” jellegű támadások ellen (például amikor illetéktelen személy hozzáfér egy előhagyott dokumentumhoz), illetve a rendre nevelés révén további jótékony hatása is van. Ezért alkalmazását minden területen javasoljuk. |
