Szinte nincs olyan információbiztonsági előadás, amelyben ne hangozna el az a mondat, hogy az információbiztonság területén a legnagyobb kockázatot az emberek, egy szervezet esetében a munkatársak jelentik. A támadók rendkívül gyakran élnek az emberi tényező kihasználásával (social engineering), még akkor is, ha ez csak segítséget nyújt, az egyébként technológiai támadáshoz. Mégis, a szervezetek gyakran nem fordítanak figyelmet a HR folyamatokban a jelölt információbiztonsági kockázataira, sem a kiválasztáskor, de gyakran még az onboarding folyamat során sem.
Bizonyos területeken persze adottság és elvárás a leendő munkavállalók, közalkalmazottak, köztisztviselők nemzetbiztonsági átvilágítása, azonban én most arról a problémáról szeretnék írni néhány gondolatot, amikor a szervezet egyébként nem kötelezett ilyen szolgáltatás igénybe vételére, hanem mondjuk piaci szereplőként valamilyen szabvány (pl. ISO 27001), vagy compliance elvárás a folyamat kialakítása.
És persze még mindig ott járunk, hogy valamilyen külső szabályozási vagy normatív elvárás, nyomás alapján történik a folyamat kialakítása, nem pedig felismert és kezelni kívánt kockázatelemzés, és az azt követő, tudatos kockázatcsökkentő eljárás nyomán. De akármi is a kiindulási pont: elvárásként jelenhet meg bármely szervezet esetében, hogy alakítsa ki a leendő munkavállalók előzetes biztonsági ellenőrzését.
Az ISO 27001 szabvány, ahogy már említettem, előírja a mellékletének A7.1 pontjában, „Az emberi erőforrás biztonsága” szabványkövetelmény alatt, a munkaviszony kezdete előtti ellenőrzést. Ennek általam most elemzett egyik alpontja, az A7.1.1. „Átvizsgálás” pont alapján a munkaviszonyra jelölteknél egy olyan háttérellenőrzést kell elvégezni, amely megfelel a vonatkozó törvényeknek, szabályozásoknak és etikai elvárásoknak, valamint arányos az üzleti követelményekkel és a feltételezett kockázatokkal.
Hogy ez mennyire általános, hol jelenik meg a beléptetési folyamatban, és pontosan mire terjed ki, az nyilvánvalóan széles skálán mozoghat, onnan elkezdve, hogy a jelentkező ilyen irányú interjúkérdéseket kap, odáig, hogy dokumentált és széleskörű háttérvizsgálat történik az azt követő kockázatelemzéssel együttvéve. A véleményem szerint egyébként a beléptetéssel és kiválasztással összefüggő HR folyamat, sőt már maga az álláskeresés digitalizált rendszere – általánosságban is – jelentős kockázati tényező.
Egyfelől a munkavállalót kereső szervezet kénytelen információt adni az álláskeresők felé, ami jelenthet technológiai információt, szervezeti információt, vagy esetleg olyan tényt, ami a szervezet gyenge pontjára világít rá. Ráadásul a jelentkezők általában kapcsolatba kerülnek a szervezet informatikai rendszerével, szervezetével. Különböző elektronikus dokumentumokat küldenek a szervezetnek, adott esetben linkeket, referenciahivatkozásokat, akár komplett programokat (IT fejlesztő cégnél).
Ebből a kapcsolatból megismerhetik a szervezetnél használt email címeket, névkonvenciókat, az informatikai rendszerek bizonyos elemeit, a HR és a szakmai területeken személyes kapcsolatokra tehetnek szert, vélt vagy valós technikai problémák esetén kapcsolatba léphetnek az IT üzemeltetéssel, a kiválasztási folyamat során pedig végül fizikailag is beléphetnek valamilyen védett munkaterületre.
A másik oldalról az álláskeresők is rengeteg információt kénytelenek megosztani a korábbi munkatapasztalataikról is, amely ugyancsak kockázatot jelenthet a korábbi munkáltatóik irányába, még akkor is, ha nem közölnek harmadik féllel semmilyen üzleti titkot vagy védett ismeretet. Mindazonáltal el kell ismerni azt is, hogy elég nehéz bizonyos területeken úgy beszámolni a munkatapasztalatokról, hogy az ne hordozzon magában kockázatot.
Amikor egy ilyen eljárásrendet alakítottam ki, kifejezetten kitértem benne arra például, hogy kockázatként kell azonosítani azt, ha valaki a publikus, online tartalommegosztó felületeken, akár szakmai közösségi felületeken rendszeresen és részletesen beszámol arról, hogy pontosan milyen projektekben vett részt, ott milyen feladata volt, hol járt, kivel találkozott. Kivéve persze, ha a munkaköréből adódóan ez eleve a feladata volt. Mondanék is két példát a rossz gyakorlatokról mind a munkáltatói, mind a munkavállalói oldalról.
A munkavállaló
A honvédelem iránt érdeklődő szakmai közösség a mai napig kíváncsian várja, hogy Magyarország melyik beszállítótól vesz katonai célokra drónokat, illetve ilyen szolgáltatásokat. Nyilvánvalóan így vannak ezzel az ellenérdekelt hírszerző szolgálatok is. A találgatások, és a megjelent információmorzsák alapján sejthető, hogy egy török cég, a Lentatek (korábban: Vestel) lesz ebben a Magyar Honvédség partnere, de ez a mai napig nem került megerősítésre, és természetesen elképzelhető, hogy tévesek ezek a spekulációk.
A Lentatek egy alkalmazottja az egyik szakmai portálon felsorolta a korábbi és jelenlegi munkaköreit, megjelölve, hogy 2018 óta UAV Payload Operator, Ankarában, a Lentatek alkalmazásában. Ugyanitt leírta azt is, hogy 2020-ban EASA pilótavizsgát tett Magyarországon, ami igencsak meglepő, hiszen egy ilyen tanfolyam elvégzéséhez viszonylag hosszú időn keresztül (általában hónapokon keresztül) a képzés helyszínén praktikus tartózkodni. Azonban a szakmai életútja alapján mindeközben megszakítás nélkül, végig a Vestel alkalmazásában állt. Mindezek alapján következtetések olyan vonhatók le, adott esetben hónapok, évek óta, amely nem biztos, hogy egyezik az érintettek érdekeivel, még akkor sem, ha a korreláció pusztán véletlen.
A munkáltató
Egy tervezett magyarországi erőmű-beruházáshoz keresnek jelenleg is „IT biztonsági főszakértőt”. Az álláshirdetésben rögzítik azt is, hogy a jelölttel szemben elvárás a Splunk, Trend Micro termékek ismerete. Mindez a véleményem szerint azért probléma, mert a potenciális támadók már a projekt első pillanatától, mindenféle erőfeszítés nélkül informálódhattak a SIEM és egyéb védelmi megoldások beszállítóiról. Ezt nyilván más módon is megtehették volna, de erre akkor már nem kell erőforrást allokálniuk.
A projekt a véleményem szerint olyan komoly, hogy okkal feltételezhető, hogy beszállítói láncolat egészen távoli tagján keresztül is megéri megpróbálni sérülékenységet okozni a potenciális, későbbi támadóknak. Mivel a projekt kezdeti szakaszban van, így természetesen lehet azzal érvelni, hogy a jelenlegi, védendő elektronikus információs rendszer vélhetően semmilyen kapcsolatban nincs az erőmű majdani rendszereivel.
Ezt azonban a véleményem szerint árnyalja az a fajta tehetetlenség, hogy egy kiépült beszállítói kör csak nagyon komoly erőforrások árán és jelentős üzleti vagy egyéb érdekek mentén változik a gyakorlatban, vagyis a beszállítók jó eséllyel pályázhatnak a későbbi elektronikus információs rendszer tekintetében is. Az álláshirdetés kapcsán bőven elég lett volna azt írni, hogy a jelentkezőnek ismernie kell az elterjedtebb SIEM rendszereket, vagy más módon körülírni az elvárást.
Záró gondolatként pedig kiemelném, hogy miközben én aligha tudok érdekesebb és izgalmasabb feladatot, mintsem a leendő munkavállalók személyi biztonsági ellenőrzése (leginkább OSINT elemekkel operálva), ezt a véleményt nem biztos, hogy osztják a feladatot ténylegesen ellátó munkatársak, a HR terület, az IT szakmai vezetők és az igazgatóság, tehát minden apró lépést sikerként kell elkönyvelni egy ilyen eljárás bevezetése kapcsán.
