It biztonság tudatosság képzés felhasználóknak

Security-all

Sziasztok,

 

Olyan szolgáltatás(oka)t keresek, amik felhasználók számára nyújtanak előfizetéses IT biztonság tudatossági képzéseket.

- Online oktató anyagok, tesztek.

- Felhasználók mérése szimulált pishing tesztekkel, riportolás.

 

Preferált lenne a magyar nyelv, illetve a német és az angol. (ebben a sorrendben.)

Főleg a tapasztalatok érdekelnének.

  • 971 megtekintés

( YleGreg | 2025. 04. 22., k – 18:04 )

Szerkesztve: 2025. 04. 22., k – 18:07

Ha száraz az anyag, akkor ez is csak egy lesz a sok céges nemszeretem évenkénti képzés/vizsga közül, aminek pont nulla a használhatósága, és nagyjából két nap múlva felejtek el belőle mindent.

A legjobb IT security szokásunk az volt, hogy ha találtunk egy unlocked desktopot, akkor zokszó nélkül küldtünk a tulaj nevében egy kör emailt, amiben mindenkit meghívtunk az osztályon egy közös sörözésre, természetesen felajánlva, hogy mi fizetünk... Korábbi munkahelyen a háttérképet cseréltük le egy buzis képre, ezt a jelenlegi helyen már nem merném megcsinálni, azóta felnőttünk... De a sör meghívó küldése még játszik, én is csak ezért zárom le a gépemet, mert ez valódi veszély, az IT security-s érzékenyítés már rég a múlt ködébe vész...

Phising levelet találjatok ti magatok, olyat ami beleillik a céges szokásokba, levelekbe. Legyen benne egy olyan link, ami látszatra valid, de hozzon be egy durva képet, piros-szürkén villogó "Most kapott be egy ransomware férget a cég miattad, holnap jelentkezz az igazgatónál, vagy hozz egy tálca alkoholmentes sört a kollégáidnak!" gifet, vagy valami hasonlót.

Ha lesz egy kis botrány a dologból, az külön jó, mert amiatt fogják fejben tartani a dolgot a kollégák, és emiatt lesznek kritikusak egy bejött telefonnal, e-maillel, vagy egy talált ismeretlen USB kulccsal kapcsolatban.

Ilyen emailküldést mi is csináltunk, nem feltétlen sörrel, hanem csokoládéval, de a lényeg ugyanaz. Volt egy kolléga, az nagyon szerette fejreállítani a monitor képét (van rá egy hotkey, de aki nem tudja, mi az, elég sokat nyűglődik, mire a fejreállított képernyőt visszaállítja). Elég hamar rászokott mindenki, hogy Win+L-t nyomjon mindig, amikor feláll a géptől.

Amúgy van arra kimutatás h. az ilyen le-lockolatlan gépeken mennyi visszaélés vagy bűncselekmény / károkozás történt régebben? Mondjuk 2000-es években, nem banki vagy high-szekuriti munkahelyen, ahol valami tényleg értékeset lehetett ellopni? Vagy pl. a HR-es fődíszpicsa gépe elé ki mert volna odaülni ha kiment 1 kávéra, h. a bérszámfejtésbe v. a kirúgásos / jogi szennyeses szerverre belépjen vele.

Tényleg érdekel, mert ez ilyen jó játék volt IT-fejűek között, közben meg általában (hasraütés statisztika 100-ból 99 esetben) valami külső hekker nyomta fel a peccseletlen IIS webszervert. Nem a lockolatlan kolléga gépén keresztül támadták szét a ... mit is? Adott ember ha nem is fért hozzà semmihez, mert csak mezei endjúzer volt.

Én láttam már olyat, aki hallott már olyanról, hogy egy nagy multi cégben ipari kémet kergetnek, aki ugyan valószínűleg a saját gépéről is erősen kutakodott, de biztos lehetsz benne, hogy ha volt rá lehetősége, letette a fenekét a főnöke székébe, ha úgy maradt.

És olyanról is hallottam már, hogy volt manager, aki simán elment ebédelni, a fizuemeléses excel meg megnyitva ott virított a gépén az openofficeban. Az volt a szerencséje, hogy megfelelő szám volt a nevem mellett nem akartam vele kibaszni.

Aztán vannak izgalmasabb esetek, amikor a kolléga nyitva hagyta a gépet (ejnyebejnye), a másik, vicces kolléga pedig küldött valami emailt valahova. Aztán amikor ment a feljelentés a HR-re, akkor az egyes számú versenyző kapott egy félórás secu elearninget, a kettes számú pedig valamilyen írásos megrovást, ami talán az éves bónuszát úgy ahogy van, elvitte.

És nem mondom, hogy valahol nem szimpatizálok az egyes számú kollégával. Az én gépemben se turkáljon senki.

Imho ez sem annyira vicces, de amikor mondjuk emailt küld valaki a nevedben, olyan kollégának, aki nincs beavatva, az még annyira sem. Kollégával történt, "meghívta" az (amúgy házas) recepcióst randizni. Valaki szerint oké ez? Miközben ennél sokkal kevesebbért is beindul manapság a cancel culture.

Az egyértelműen nem. Ami ilyesmit én láttam működésben, az helyi "népszokás" volt, és ha nem volt a people manager teljesen alkalmatlan a posztjára, akkor el is lett mondva az intró körben, hogy "ha nem zárod le a gépedet, csoki meetingre fogod hívni a kollégákat másnapra".

Értem, hogy ez nem vicces, de még mindig sokkal jobban működik, mint az, hogy megyünk a HR-re és írásbelit kapsz, aztán mindenki köcsög, hiába mondják el, plakátolják ki a faliújságra, írják bele a policyba, csináltatnak minden évben traininget róla kötelezően, mert azok is faszságok, és tényleg a köcsögök egy ilyen szar miatt fegyelmit adnak, hát milyen fos egy hely ez. Na, ennél sokkal jobb, ha a helyi önszabályozott kultúra része az, hogy az ilyen mindennapi apróságokat a felszínen tartsa.

Mi zokszó nélkül küldtünk egymás outlookjából sörözésre meghívót, de ezt helyén kezeltük, frocliztuk utána a kollégát, hogy na mikor megyünk, ha már hívtál, de ezt soha senki nem vette komolyan, nem volt belőle sértődés.

Olyan eszünkbe sem jutott, hogy valóban visszaéljünk a dologgal, hogy hihető levelet küldjünk akárkinek a nevében. Ha bárki ilyet csinálna velem, abban nem tudnék megbízni többet.

Itt nem is a kollégák a probléma forrásai, hanem a külsősök. Ha nem vagy a gépednél, és éppen valami szenzitív anyag van a monitorodon, azt látni fogja a takarítónő / klímás / igazgató unokaöccse / üzemlátogatáson járó oviscsoport óvónénistől.

Szóval nem a kollégák ellen kell védeni, egyszerűen nem szabad olyan helyzetnek előállnia, ahol nincs kontrollod a dolgaid fölött.

Debian - The "What?!" starts not!
http://nyizsa.blogspot.com

én is csak ezért zárom le a gépemet, mert ez valódi veszély, az IT security-s érzékenyítés már rég a múlt ködébe vész...

Szóval te is felismerted, h. a géplockolás a vicceskedő infantil kollégáktól védett meg, nem pedig a céget az ördögi alkalmazott fékevesztett ámokfutásától.

Persze. Ami nem reflexből jön, hanem gondolkozni kell rajta, az nem hasznos, hiszen egy levélnél, vagy egy gép lezárásnál az ember nem gondolkozik el azon, hogy mit csináljon, hanem vagy automatikusan nézi, hogy a link hova mutat, vagy megette a fene az egészet. Gép lezárás dettó.

Nagy szívás ez az egész, mert az exceltologató átlagbözsi simán rákattint a microsoft.me -os URL -re, mert hát a windows kérte őt levélben, hogy töltse le a frissítést, hol itt a probléma? Az, hogy fél éve elhangzott, miszerint központi frissítés, wsus, gpo, az nem számít, hiszen már akkor sem értette, hogy miről beszéltek. A vizsgán 95% -al ment át, mert ott nagyon figyelt, hiszen vizsgadrukk miatt nem a feladatával foglalkozott (nyisd meg a doksit, írd át, küld vissza) hanem azzal, hogy ki küldte, márpedig ezzel a való életben nem foglalkozik, hogy a főnöke, vagy a munkatársa miért a gmail -es címéről küldi a cuccost.

Az IT security már rég nem arról szól, hogy perimeter tűzfal (rosszabb esetben szappantartó NAT) védi a belső hálót, meg a felhasználók által kezelt adatokat, hanem arról, hogy a felhasználóktól kell megvédeni a cég adatait, mert az AI már ott tart, hogy fake telefonálással a főnököd hangját hallod, hogy kurva gyorsan küld át a gmail -es címére az ügyféladatbázis exceljét, mert baszogatja a nagyfőnök, szóval ne dumálj vissza, hanem dobj el mindent gizike, és küld a cuccost, vagy miattad lesz kirúgva a fél társaság, ezt akarod?

A security képzés maximum a söréttel lövünk féle phising támadások ellen jó, de még ott se mindig. Ami eddig jó volt, hogy olyan siralmas magyar nyelvű levél jött, hogy az ember besírt tőle, hogy mivel akarják átverni, az már a múlté, mert az AI már a phising levélből is képes akárhány nyelven anyanyelvi szintű szöveget generálni. Úgy fél éve belefutottam egybe, teljesen emberinek tűnt, egyetlen kicsi magázás/tegezés eltérés volt benne, minden más tökéletes volt.

Nem tudom, hogy van-e olyan képzés, ami hatékony, mert szerintem ez hozzáállás kérdése, nem pedig tanult dolog. Paranoiások előnyből, teréz anyák hátrányból indulnak ezen a téren. 

Nekem túl sok érzékeny rendszerhez volt hozzáférésem, egy-két jól irányzott paranccsal komoly károkat lehetett volna okozni - még véletlenül is, szándékosan meg főleg. Tehát nem, a géplockolás nem elsősorban a kollégák vicceskedéseitől védett, az csak segített abban, hogy ez reflexszé váljon. Mellesleg én sosem váltam vicceskedés áldozatává.

( strogg v | 2025. 04. 22., k – 18:12 )

Szerkesztve: 2025. 04. 22., k – 18:12

A tapasztalás az, hogy nálunk is van évenkénti it sec képzés a usereknek, és nem sokat ér. Persze azt is nevezhetjük mérésnek, hogy a userek körbe vannak bástyázva policy-val, nem tudni mennyi a policy védelme és a userek tudatossága. Az biztos, hogy ha nincsen tétje (pl 200 sör ára) akkor nem fognak vele foglalkozni. Amúgy is te vagy a bunkó, hogy nem megy az izéhozé.com weboldal :)

-42-

nálunk az agyalágyult mikroszoft defender blokkolja pl. a  seagate.com-ot is. Wtf? (igen, a hdd/ssd gyártó vendor hivatalos oldala). Exceptiön-t meg nem engednek nyitni, csak azokra a blokkolt oldalakra, amiket az IT előre felvett listárqa (mondjuk akkor azokat mi a 'szért blokkolják eleve, ha egyedi kérvényes linemenedzseres pecsétes papírral pár hétre lehet unblokkoltatni)

( zeller | 2025. 04. 22., k – 19:09 )

Van ilyen társasjáték is - legutóbb kb. egy éve vettem elő, frissíteni az instruktori tudásomat - lassan ideje ismét átnézni a füzetet :-)

( zwei | 2025. 04. 22., k – 19:30 )

Bármi használható info a kérdésemre válaszolva?

Nem nekem kell, megbízásra keresek, és nem, nem szeretne senki saját gyártású dolgokkal bíbelődni, mert nem éri meg.
Volt hasonló szolgáltatásra előfizetve az illető, az jó volt, csak német&angol nyelvű, és gondoltam hátha van magyarul, illetve az sem hátrány, ha több ilyet is megnéz az ember.

Ne feltétlen a képzés a lényeg, hanem a tesztelés és riportolás is fontos.

Az IT nyelve sajnos az angol, magyar tananyag, főleg ha nem übergagyi dedós ostoba 20 évvel ezelőtti aktualitású, senki nem csinál már a mai világban. 20 éve voltak jó magyar nyelvű IT-s szakkönyvek. Csak azóta felnőtt 1 generáció, aki az angolt már gyerekkorától fogva napi szinte látta-hallotta, és így megtanulta. Miattuk már nem kell a magyar nyelvű tananyag, mert az angolt is teljesen jól megértik.

Arcom arcom, széles... vállam ugye... Aztán ha jön a sz@rvihar, akkor a hozzád hasonló nagyarcú tökikék néznek ki az üres fejükből, miközben a vén rókák megoldják a problémákat... Remélem, 50 fölött te is le leszel építve - bár az arcod és a stílusod miatt jobb helyen nem nagyon volna maradásod - kivéve, ha a bölcsek kövének a birtokosa vagy...

IT biztonságtudatosság képzés nem (csak) az IT emberek számára szükséges, hanem gyakorlatilag bármely felhasználóra, nem mondhatod minden szakmára, hogy ha számítógép elé ül, akkor tanuljon meg angolul. Az angolul - jól - tudó felnőtt generációnak szerintem kevesebb, mint fele tud akár elfogadható szinten angolt. Rossz esetben magyart se tud rendesen írni-olvasni.

Ja, csakhogy ez nem IT nyelv, hanem  irodai dolgozóknak szóló felhasználói szintű oktatás. (Nem nyitjuk meg a "nyertél 10 csilliárd ájrót" linket,  a netflix nem fogja zárolni a fiókod, ha most rögtön nem fizetsz a nigériai hercegnek 2 dollárt... nem dugjuk be a gépbe a parkban talált USB sticket, stb.

)

( zrubi v | 2025. 04. 22., k – 20:52 )

Szerkesztve: 2025. 04. 22., k – 20:52

Ha 'dobozos'  megoldást keresel, abban nem tudok segíteni, én még nem láttam igazán jót, főleg magyarul nem.

 

Én pl. magam tartottam/tartok ilyeneket, (de persze ezek belsős oktatások), személyes jelenléttel kis (10-15 fő) csoportoknak.

Csak így lehet a csoport felkészültségéhez, és megértési képességéihez igazodni. - szerintem.

 

Ha csak meg kell feleni az előírásoknak, akkor szerintem bármelyik multinál ezt kötelező is évente újra meghallgatni, tesztet írni. 

Kicsit bugyuta, biztosan nem ad valós tudást, mindeki utálja, de ki tudják pipálni hogy van ilyen.

zrubi.hu

Dolgozom multicégnek, compliance miatt évente csinálok ilyen tesztet (angol nyelven), mert ha nincs pipa, akkor az admin accountok automatikusan (automatizálva) visszavonásra kerülnek. Mindenki rühelli, de a compliance az compliance.

 

De most nem erről van szó.

Kis cég, biztonságtudatos tulajdonos, és fejleszteni szeretné a kollégái "éberségét", mert az utóbbi időben nagyon megszaporodtak a pishing jellegű próbálkozások, és egyre profibbak.

Köszönöm, köszönöm, köszönöm. Pont ezt kerestem, mert rémlett, hogy másik threadben is említve volt, de nem találtam sehol. (Így hogy leírtad már a másik topicban is megtaláltam.)

 

Korábban egyébként a https://cyber-samurai.net/   -net -et használták, ez leginkább német, Mivel erős német kötődése van a cégnek ezért ez nem volt gond, de a dolgozók jelentős része magyar anyanyelvű

ezért gondoltam, hogy alternatívaként egy magyarul is tudó szolgáltatást keresek.

( djsmiley v | 2025. 04. 23., sze – 09:47 )

Subs, ez hasznos lehet ha van ilyesmi. Abban egyet tudok érteni h. sajnos muszáj h. magyarul legyen, mert jellemzően pont nem a hardcore üzemeltető a target (bár meglepő h. ott is milyen hiányosságok és legyintések vannak néha)

( Zahy v | 2025. 04. 23., sze – 19:29 )

Én most rálátok egy ilyenre, ahol egy ír cég ad hozzáférést kismillió (1000 környéki) pár perces - pár 10 perces videócskára, tesztecskével, miegyébbel. Eredetileg angol, de van egy csomó nyelven (erősen gyanús, hogy gépi fordítással, legalábbis a magyaron azért érződik). Nálunk Moodle alá lesz betéve SCORM-csomagokban, lehet az írek saját LMS-ét is használni ha kell. Hááát, nem vagyok meggyőződve, hogy lesz érdemi haszna.

tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Ezek egyikének sincs haszna. Nem azért, mert maga az oktatóanyag ne lenne hasznos, hanem a felhasználón bukik. Amelyik felhasználó élelmes, meg adattudatos, az az évek folyamán rég megtanulta már ezeket, hogy a nigériai hercegnek nem fektetünk az örökségébe, meg ha valami szolgáltató, bank, szervezet keres meg, valami személyes adatot követelve, akkor előbb meg kell győződni, hogy az valóban legitim forrás, ha linket nyit meg, akkor nézni kell, hogy https legyen, és a tanúsítványt is ellenőrizni, hogy nehogy pishing oldal legyen. Meg nem kattintunk ész nélkül mindenféle mellékletre megnyitogatni, főleg, ha olyantól kaptuk, akiről nem tudjuk kicsoda, meg olyan fos, biztonsági lyukas a levelezőnk, mint az Outlook és társai, amik kérdezés nélkül futtatnak le bármilyen rejtett kiterjesztést meg gyávaszkriptet.

A legtöbb felhasználót ez csak nem érdekli, nem adattudatos, azokat lehet akármilyen tanfolyásra, meg tananyagra ráállítani, időpazarlás lesz, utána is le fogják ×4rni. Csak akkor nem, ha már megvan a baj, de akkor már késő.

The world runs on Excel spreadsheets. (Dylan Beattie)

"Amelyik felhasználó élelmes, meg adattudatos, az az évek folyamán rég megtanulta már ezeket..."

hát persze...

https://xkcd.com/2501/

 

Pont tegnap beszélgettem egy kisebb irodával, akik NIS2 kötelezettek.  A könyvelő/bérszámfejtő/ügyintéző hölgyek, akik nagyon jól be lettek idomítva, hogy netről nem töltünk le semmi vackot, és nem kattintunk semmilyen email-es ajánlatra, és lazán csuklóból hárítják az átlagos pishing próbálkozásokat,  egyszerűen nem értették, hogy pl. miért nem adhatják meg bármelyik kollégának a saját jelszavukat, meg mi az, hogy 15 perc múlva zárolja a képernyővédő a gépüket.

Ilyenekkel jöttek, hogy:

- "de hát, ha szabadságon vagyok, akkor ki fog válaszolni pl. az ügyvédnek, ha csak én léphetek be a gépembe."

-  "most tényleg, ha kimegyek a boltba, és ez az izé lezárja a gépem , akkor most tényleg írhatom be a jelszót újra? De hát így nem lehet dolgozni..."

"miért nem adhatják meg bármelyik kollégának a saját jelszavukat"

Vissza kell kérdezni, hogy átadna-e a kollégájának egy paksaméta aláírt üres A4-es lapot, amit ő tetszőleges tartalommal tölthet meg? Mert a jelszó átadása a "papíros" világban ennek felel meg. A nem zárolt gép meg annak, hogy ugyanezt a paksaméta üres, de általa aláírt lapot ott hagyja az asztalán úgy, hogy nem tudja, hány darab van a kupacban.

nem, ez már bonyolult az ilyen embereknek.

Az a gond, hogy ha kicsi a szervezet (<10 ember) és régóta együtt dolgoznak, akkor fel sem merül, hogy probléma lehet abból, ha a jelszavak közkézen forognak, és mindenki mindenhez hozzáfér, mindenkinek mindenhez joga van, stb. Teljesen más világkép. Alkalmazkodni fognak, mert kénytelenek, de megérteni nem fogják.

A magyarázatot megérti, de az nem fér a fejébe, hogy az hogyan lehet, hogy bármelyik kolléga az ő nevében képes kárt okozni a cégnek, és ezért ő lehet a felelős.

Könyvelni tud, bérszámfejtéshez ért, de amikor előkerülnek olyan bonyolult IT szakkifejezések, hogy pl. kötelező jelszó csere, akkor az neki hirtelen kínaiul lesz, és  szerinte az egész csak arra jó, hogy hátráltassák a munkában.

Itt jön az, hogy a főnök azt mondja, hogy azért van így, mert ez a szabály, és akkor nem kell erősködni, hogy ez miért jó, mindenki fintorog, és elfogadja, hogy ez van.

 

Azért nem feltétlen általánosítanék, mert vannak olyanok is akik megértik a dolgot, de jelentős részük azért így működik.

Gizi és Zsike két jó barát együtt húzzák ők az igát, de az egyik "rendszerváltás" után kibasszák Gizit mert nem volt pártkompatibilis, nem sokra rá megjelenik egy újságban egy cikk, hogy valami beruházás baromi sokba került. Gizi tudta Zsike email jelszavát és mit ad isten Zsike emailjében voltak a számok. 

Megtörtént eset. :D 

( zwei | 2025. 04. 24., cs – 16:33 )

Szerkesztve: 2025. 04. 24., cs – 16:34

.