Jázmin 13 éves, egy kollégám kislánya, aki már néhány éve a TikTokon a Roblox online játékplatformon játszik. Mi is ez, ahol havonta több mint 164 millió felhasználó játszik világszerte? A Roblox egy sokoldalú virtuális univerzum, amely lehetővé teszi, hogy minden elképzelhető módon játszhass, alkothass és bármilyen formát ölthess. Lehetővé teszi a játékosok számára, hogy virtuális tárgyakat vásároljanak, adjanak el és hozzanak létre, amelyeket a platformon avatárként szolgáló virtuális karakterük díszítésére használhatnak. Jázmin a zsebpénzét rendszeresen kisebb tárgyak vásárlására költötte a játékban, hogy saját kis virtuális világát fejlessze.
Az édesapa felvilágosította őt, hogy az online térben semmiféle személyes adatot senkinek nem szabad kiadnia magáról. A közelmúltban jelentkezett a platformon egy „gyerek”, aki – elmondása szerint – ki fog lépni a játékból, és el szeretné ajándékozni az addig a játékban felhalmozott javakat. Felajánlotta Jázminnak, hogy kinyitja neki a saját felületét, és nyugodtan válassza ki azokat tárgyakat, amelyeket szeretné, hogy az övé legyen.
A kislány nagyon megörült, mert akkor nem kell a zsebpénzét a tárgyak vásárlása költenie és fejlesztheti tovább saját világát a játékban. Mivel nem kellett semmilyen személyes adatot megadnia, „csak” egy checkboxon keresztül belépni a „játékostárs” felületére, gyorsan és boldogan rálépett a boxra. Abban a pillanatban átadta az összes adatát a „jótevőnek”, aki teljesen átvette felette a hatalmat az online közösségi térben, mindentől megfosztva őt. Meglopta, becsapta Jázmint, aki elveszítette az összes zsebpénzét, amit elköltött ebben a játékban.
Miért is kell kiemelten kezelni az kibervédelmi oktatásokat? Mert a folyamatosan fejlődő és fejlesztő oktatás lecsorog a családi életbe is. Ezáltal a gyerekeket is felkészíti a tudatosságra és a rájuk leselkedő veszélyekre az online térben.
Hogy lehet kivédeni az emberi munkaerővel járó kockázatot?
A céges kibertámadások esetében a legnagyobb veszélynek mindig az egyén, a humán faktor van kitéve. Több támadási technika is ezt célozza meg, de nézzük az ENISA adatait arról, hogy mik voltak a legtöbbet használt támadási technikák, a legnagyobb veszélyforrások 2022 és 2023 között.
A kibertudatosság, a megfelelő edukáció a vállalatoknál mind a munkahelyi, mind a magánéletbeli magatartásra nagyon nagy hatással van.
Vegyünk egy gyakori példát; egy dolgozó a munkahelyétől kapott laptopot vagy mobilt céges és magáncélra is használja. Céges és magán e-mailt, felhőtárhelyet használ rajta, különböző weboldalakat látogat meg. Sok esetben a gyerekeinek is megengedi használni azt.
Mi történik, ha Jázmin azon a gépen játszik, amin az édesapja a munkáját végzi? Mi a munkáltató felelőssége, mi a munkavállalóé, ha már megtörtént az incidens? Kilencvenkilenc százalékban akármilyen furcsán is hangzik, de szinte mindegy, hiszen már rég rossz, ha megtörtént a baj.
A kockázat viszont arra, hogy a vállalat adatait egy célzott, személyre szóló „social engineering” támadással megpróbálják ellopni, rendkívül magas. Láttuk ezt az előző példán is. Az ENISA következő kimutatása kimondottan erre a típusú támadásra fokuszál. Jól mutatja az arányokat, hogy milyen mértékben vannak kitéve a magánszemélyek és a különböző szektorok.
A social engineering támadás lehetséges sikere a kibertudatosság szintjével egyenes arányban van. Ha ez alacsony, akár egy nem szofisztikáltan megfogalmazott SMS vagy egy láthatóan gyanús e-mail-címről küldött üzenet is könnyen megtévesztheti a felhasználót. Azonban ahogy a tudatosság növekszik, úgy lesz sokkal nehezebb megtéveszteni valakit, és ez sokkal komolyabb munkát igényel ez a támadóktól.
Az adatok, a számok és a mindennapi tapasztalatok azt mutatják, hogy nagyon sok feladatunk van még a megfelelő tudatosság kialakításában, és ez egy folyamatos, soha meg nem szűnő feladat. Szünet nélkül tartani kell a lépést az újabb veszélyekkel, a sötét oldallal, amely naponta meghökkentőbb és zseniálisabb ötletekkel támad.
Mit tehetünk tehát?
Edukáljunk, kommunikáljunk, ismételjünk, újra meg újra, folyamatosan és mindig a lehető legjobban naprakészen felkészítve a munkavállalót. Legyünk proaktívak a kiberbiztonság terén.
Mindezek, az edukáció és kibertudatosság megteremtése, a proaktív kiberbiztonság és reziliencia a NIS2 legkimagaslóbb irányelvei. Nem véletlenül ezek azok, amiket szigorúan előír és megkövetel a vállatoktól. Az ok, egyértelmű: a folyamatosan erősödő kiberháború, az EU területén működő vállalatok világpiaci megerősítése.
A kis Jázmin remélhetőleg egy életre megtanulta ezt a leckét. Szerencse, hogy nagyobb baj nem lett belőle, de a tanulópénzt – zsebpénze kárára – bizony megfizette.
