A legtöbb biztonsági incidensnek kevesebb fájó következménye lenne, ha az érdekelt és érintett szervezet minden munkatársa tudná, hogy mit kell tennie vészhelyzet esetén. Például olyankor, amikor a számítógépét zsarolóvírus fertőzi meg.
Kovács úr egy közepes nagyságú, 96 alkalmazottat foglalkoztató műszaki vállalat könyvelési osztályán dolgozik. Péntek délután van, és a legtöbb munkatársához hasonlóan ő is szeretné idejében befejezni a munkáját, hogy jól megérdemelt, hétvégi pihenésre indulhasson. Egy e-mail formájában azonban váratlan akadállyal találkozik. „Nagyszerű, egy újabb beszállító, aki pillanatokkal a határidő előtt adja le számláját!”
Kicsit bosszankodva ugyan, de Kovács úr kinyitja a levelet, nem szeretne dolga végezetlenül hazamenni. Rákattint a csatolmányra, és már nyomtatná is ki, amikor számítógépe hirtelen lefagy. Szeme sarkából még látja, hogy egy pár fájl az Intézőben hirtelen módosul, majd hirtelen megjelenik egy felirat: „Your files have been encrypted”. Egy gyors Google keresés, és már biztos abban, hogy zsarolóvírus fertőzte meg a gépét.
Kovács úr a problémát sikeresen azonosította, így gyorsan riasztja a rendszergazdákat. Csakhogy az informatikusok szobája már, a szakemberek elmentek – engedéllyel, már egy órával a munkaidő vége előtt. Kovács úr riadtan tárcsázza a céges mobiltelefonokat, de senki sem veszi fel. Magára maradt a súlyos problémájával.
Ezen idő alatt a zsarolóvírus viszont megtalálta az útját a hálózatra csatlakoztatott többi számítógép felé, és minden adatot titkosított.
Pedig a legelső teendő ebben az esetben a fertőzött számítógép minden hálózati csatlakozását megszüntetni, hogy a zsarolóvírus ne tudjon tovább terjedni. Ezzel a legtöbb kártevő esetében hatékonyan csökkenthető a fertőzés terjedésének kockázatát. Hiszen a zsarolóvírushoz hasonló kártevők a maximális profitot tartják szem előtt, így gyorsan tovább terjednek a hálózatra csatlakoztatott gépekre. Ha idejében észbe kapunk és hamar cselekszünk, akkor a hálózati kapcsolat megszüntetésével megelőzhető a nagy bajt.
Tanulság: az alkalmazottaknak meg kell tanítani az IT-biztonság alapjait – ahogy feltételezett forgatókönyvünk esetében ez meg is történt. Csakhogy: nem határozták meg, hogy kiberbiztonsági esemény bekövetkeztekor kit és hogyan lehet riasztani. Ha a kollégák tisztában vannak az IT-biztonság alapjaival, biztos, hogy csak indokolt esetben riasztják informatikusokat. De lássuk be, még mindig jobb több hamis riasztást kezelni, mint egy valós támadásnak áldozatul esni.
A vállalatvezető felelőssége a beosztottak felkészítése arra, hogy felismerjék az IT-biztonsági eseményeket és jelentsék is őket. Ha a kollégák attól félnek, hogy őket vonják felelősségre egy adott incidensért, akkor inkább szóba sem hozzák a rendkívüli IT-s eseményeket. Így eshet meg, hogy egy hacker éveken keresztül szabadon garázdálkodhat az IT-rendszereinkben.
A vállalati irodákat már felkészítették arra, hogy tűz esetén mi a teendő, kit kell riasztani, hol találhatóak a tűz eloltásához szükséges eszközök, merre vannak a menekülési útvonalak. Ennek példájára érdemes lenne a látogatók számára nem elérhető, de központi helyre kihelyezni az IT-biztonsági információkat. Így mindenki számára nyilvánvaló lenne: ha kifogy a festék a nyomtatóból vagy a jelszócseréjére szólít fel a rendszer, az nem IT-biztonsági incidens. Tájékoztatást kaphatnak a munkatársaink arról, hogy mi a teendő IT-biztonsági esemény bekövetkezésekor. A hálózati kapcsolat vagy a gép áramellátásának megszüntetése például megakadályozhatja a veszély tovább terjedését.