Az információbiztonság-tudatosság vizsgálata a magyar üzleti- és közszférában Dr. Sasvári Péter egyetemi docens Som Zoltán biztonsági szakértő, oktató - Budapest, 2014. szeptember 24. 1
Pár mottó A szabály semmit sem ér, ha elhatározás-szerűen viseled, ha komoran és konokul csörömpöl rajtad; a szabály akkor jó, ha érzéseidbe ivódik és finoman, hajlékonyan támogat. Weöres Sándor Amit nem tudunk mérni, azt nem is ismerjük igazán. Harrington A mérés kulcsfontosságú. Ha nem tudunk valamit mérni, akkor nem tudjuk irányítani. Robert S. Kaplan, David P. Norton 2
A kutatás ÁROP 2.2.17, Új közszolgálati életpálya Információs Társadalom Társadalomtudományi Folyóiratban megjelent (Illéssy - Nemeslaki - Som) Súlyponti területek, érdekességek kiemelése 3
Információbiztonsági szakértők mondták Nemrég volt egy felmérés, hogy hány gépterem van az állam kezében. 900-nál is nagyobb szám jött ki. Japánban ezzel szemben van 50 prefektúra, és minden prefektúrában egy alkalmazás-szolgáltatási központ, az szolgálja ki az összes állami intézményt abban a prefektúrában. Ezek redundanciában össze vannak kötve. Magyarországon a teljes védelmet végigvinni 900 géptermen szinte lehetetlen. 4
Információbiztonsági szakértők mondták - II Nem kell mindenkit rendszergazdává, fejlesztővé képezni. Olyannak kell lennie a képzésnek, hogy gondolkodásmódot tanítson, hogy meglegyen a hozzáállása, az elvárása bizonyos eszközökkel, szolgáltatásokkal szemben, igénye legyen arra, hogy ő és az adatai is biztonságban legyenek. Aztán mindenki a maga szintéjén várja ezt el és mindenki a maga szintjén tegyen érte. 5
Életkor és nem szerinti egyéni dimenziók 6
Önértékelések 7
Szabályzatok? Valóban benne van-e minden folyamatban a biztonsági koncepció? VAGY Van egy szabályzatunk amit mindenki aláírt? 8
Hogyan ne! Éves egyszeri oktatás! Biztosan elég? Gondolkodást kell kialakítani nem csak szabályrendszert propagálni! Olyan oktatás kell amire szívesen visszamenni, mint egy jó mozifilmre! ( ) 9
Dr. Sasvári Péter egyetemi docens 10
A kutatás célja Információbiztonság Információbiztonsági követelmények: fizikai védelem, logikai védelem, humánbiztonság, adminisztratív védelem. Az információbiztonság-tudatosság a szervezeti kultúrájának része, olyan gondolkodás- és magatartásmód, amely biztosítja, hogy a szervezetek alkalmazottjai elkötelezettségből elismerik a biztonsági intézkedések jogosságát, betartják azokat, és másokkal is megismertetik, illetve betartatják ezeket. Az információbiztonság-tudatosság megismerése. 11
A vizsgálat tárgya Üzleti szféra (mikro-, kis- és középvállalkozás, nagyvállalat) Közszféra (Állami intézmények, Non-profit állami szervezet, Profitorientált állami szervezet; Önkormányzat, Non-Profit önkormányzati szervezet, Profitorientált önkormányzati szervezet) Civilszféra információbiztonság-tudatosságának megismerése. 12
A vizsgálat módszere Primer kutatásunk alapjául egy nemzetközi továbbfejlesztett kérdőív szolgált. A kérdőívek kitöltése a Miskolci Egyetem hallgatói segítségével papíron és online formában történt. 14% 29% A minta nagysága: 316. 34% A kérdőív részei: 44% 17% Demográfiai kérdések Munkahely jellemzője. 12% Információbiztonság-tudatosság 15% kérdések Mikrovállalkozás Egyéb kérdések Kisvállalkozás Középvállalkozás Nagyvállalat 7% Állami intézmények 21% Non-profit állami szervezet Profitorientált állami szervezet Önkormányzat 7% Non-Profit önkormányzati szervezet Profitorientált önkormányzati szervezet 13
Minőségi kategóriák Első (tisztában vannak a biztonsági alapelvekkel és veszélyekkel, jól képzettek, mindennapi viselkedésük megfelel a munkahelyi biztonsági szabályoknak és irányelveknek.) Második (már vettek részt valamilyen információ biztonsági képzésen, tisztában vannak a veszélyekkel, de mégsem követik teljes mértékben a vonatkozó biztonsági alapelveket és szabályokat.) Harmadik (tisztában vannak a veszélyekkel és tudják, hogy bizonyos biztonsági alapelveket be kellene tartaniuk, de továbbképzésre szorulnak a témában. Itt már nem ismerik fel az informatikai incidenseket és nem tudják, mi a teendő.) Negyedik (nincsenek tisztában a biztonsági alapelvekkel és veszélyekkel) Ötödik (nincsenek tisztában a veszélyekkel és nem tartják be a biztonsági szabályzatokat) 14
Információbiztonság-tudatosság helyzete Magyarországon, 2014-ben Minősítés Sorrend Megnevezés Első Második Harmadik Fejlett Jó Átlagos 1 Profitorientált állami szervezet 40% 60% 0% 2 Állami intézmények 27% 73% 0% 3 Nagyvállalat 31% 61% 8% 4 Non-profit állami szervezet 22% 71% 7% 5 Középvállalkozás 33% 33% 34% 6 Profitorientált önkormányzati szervezet 30% 44% 26% 7 Önkormányzat 7% 71% 22% Alacsony 8 Non-Profit önkormányzati szervezet 0% 78% 22% 9 Kisvállalkozás 0% 100% 0% 10 Mikrovállalkozás 0% 67% 33% 15
Információbiztonságtudatosság részei Szervezeti dimenzió A szervezet vezetése - hogyan irányítja és szabályozza az informatikai biztonsággal foglalkozó részleget és/vagy személyt, - milyen területekre terjed ki a szabályozás, - milyen a informatikai biztonsággal foglalkozók hatékonysága. Infrastrukturális dimenzió Egyéni dimenzió Az alkalmazott: - érti a meghatározások jelentését, - felismeri hogy mi veszélyezteti az információs rendszer működését, - elősegíti a megelőzést, - tudja mi a teendő informatikai incidens bekövetkezés esetén. Az infrastruktúrát működtető alkalmazottak: - az információáramlást biztosító kommunikáció rendszerekből érkező veszély felismerésével, - valamint informatikai védelmi intézkedéssel foglalkozik. 16
Az információbiztonság-tudatosság szervezeti dimenziója Sorrend 1 Megnevezés Profitorientált állami szervezet Első Második Harmadik Negyedik 0% 100% 0% 0% 2 Nagyvállalat 15% 85% 0% 0% 3 Állami intézmények 9% 73% 18% 0% Non-Profit önkormányzati 4 szervezet Non-profit állami 5 szervezet 6 Profitorientált önkormányzati szervezet 0% 100% 0% 0% 7% 57% 36% 0% 22% 39% 26% 13% 7 Középvállalkozás 0% 67% 33% 0% 8 Kisvállalkozás 0% 50% 50% 0% 9 Önkormányzat 0% 50% 43% 7% 10 Mikrovállalkozás 0% 33% 44% 22% 17
Az információbiztonság-tudatosság egyéni dimenziója Sorrend Megnevezés Első Második Harmadik Negyedik 1 Középvállalkozás 67% 0% 33% 0% 2 Non-profit állami szervezet 29% 64% 0% 7% 3 Állami intézmények 36% 45% 18% 0% 4 Profitorientált állami szervezet 20% 60% 20% 0% 5 Nagyvállalat 38% 31% 23% 8% 6 Profitorientált önkormányzati szervezet 39% 35% 17% 0% 7 Mikrovállalkozás 0% 78% 22% 0% 8 Önkormányzat 7% 64% 29% 0% 9 Kisvállalkozás 0% 50% 50% 0% 10 Non-Profit önkormányzati szervezet 0% 67% 0% 33% 18
Az információbiztonság-tudatosság infrastrukturális dimenziója Sorrend Megnevezés Első Második Harmadik Negyedik 1 Állami intézmények 36% 64% 0% 0% 2 Profitorientált állami szervezet 20% 80% 0% 0% 3 Középvállalkozás 67% 0% 33% 0% 4 Nagyvállalat 38% 54% 8% 0% Non-profit állami 5 szervezet 6 Profitorientált önkormányzati szervezet 36% 50% 7% 7% 35% 48% 17% 0% 7 Mikrovállalkozás 22% 78% 0% 0% 8 Önkormányzat 29% 50% 21% 0% 9 Kisvállalkozás 0% 100% 0% 0% 10 Non-Profit önkormányzati szervezet 0% 100% 0% 0% 19
50 A globális kockázati kategóriák és az alkalmazottak digitális műveltsége közötti kapcsolat Üzleti szféra Kockázati kategóriák 50 Közszféra 8% 7% Első 26% 20% 75% 40 40 58% 77% 57% 83% Második 63% 52% 64% 25% 30 30 100% 42% 15% 36% 17% Harmadik 37% 22% 16% 20 0 Nagyon 10 20 30 40 50 Rossz Közepes Jó Kiváló rossz 20 0 10 20 30 40 Nagyon 50 Rossz Közepes Jó Kiváló rossz Az alkalmazottak digitális műveltségének a szintje 20
Hogyan tovább? Ladislav Siska Csehország Zbigniew Pastuszak Lengyelország Wolf Rauch Ausztria Mirjana Pejic Bach Horvátország Filomena Cerqueira Castro Lopes Portugália Massimo Ciambotti Olaszország Amila Pilav-Velić Bosznia és Hercegovina
Összefoglalás Az információbiztonság-tudatosság, a magyar üzleti szférában a nagyvállalatoknál, a közszférában az állami intézményeknél, valamint az állami tulajdonú szervezeteknél jónak mondható. A 250 főnél kevesebbet foglalkoztató középvállalkozásoknál, valamint az önkormányzati tulajdonú profitorientált szervezeteknél és az önkormányzatoknál már a szervezetek közel negyedénél az alkalmazottak továbbképzésre szorulnak ezen a területen. Az információbiztonság-tudatosság alacsony szintje miatt a mikro- és kisvállalkozások egy része szervezeti működés tekintetében azonnali változtatásra szorul, számos magyar önkormányzati tulajdonú szervezeteknél az ott dolgozó alkalmazottak ezen a területen szerzett ismeretei aggasztónak tekinthetők. Továbbá megállapítható még, hogy a magasabb informatikai műveltséggel rendelkezők információbiztonság-tudatossága magasabb, mint az üzleti-, mint a közszférában. Úgy véljük, eredményeink számos hasznos kiindulópontot jelentenek további kutatások számára! Azaz természetesen folytatni kell ezeket a kutatásokat és megfigyeléseket. Az értékes tapasztalatokat be kell építeni majd a képzési programba is! 22
Köszönöm a figyelmüket! 23