Az emberi tényező szerepe a kiberbiztonságban

Bodrogi Levente (2025) Az emberi tényező szerepe a kiberbiztonságban. Pénzügyi és Számviteli Kar.

[thumbnail of Bodrogi Levente_Szakdolgozat.pdf] PDF
Bodrogi Levente_Szakdolgozat.pdf
Hozzáférés joga: Csak nyilvántartásba vett egyetemi IP címekről nyitható meg

Download (574kB)
[thumbnail of Bírálat_Bodrogi_Levente.pdf] PDF
Bírálat_Bodrogi_Levente.pdf
Hozzáférés joga: Bizalmas dokumentum (bírálat)

Download (249kB)

Absztrakt (kivonat)

A szakdolgozat elsődleges célja az volt, hogy feltárja az emberi tényező szerepét a kiberbiztonságban, mind a vállalati mind a közszférás környezetekben, valamint vizsgálva azt is, hogyan befolyásolják a dolgozói magatartásminták és a biztonságtudatosság a szervezetek információvédelmi szintjét. A dolgozat központi kérdései arra irányultak, hogy milyen típusú emberi hibák vezetnek leggyakrabban biztonsági incidensekhez, milyen módszerekkel növelhető hatékonyan a biztonságtudatosság, illetve mennyire hatékonyak a képzések a megfelelő információbiztonsági magatartás elérésében. A bevezető fejezetben áttekintettem a kiberbiztonság gazdasági és társadalmi jelentőségét. Bemutattam, hogy a digitalizáció előrehaladtával az információs rendszerek védelme már nem pusztán technikai feladat, hanem stratégiai kérdés, amely közvetlen hatással van a pénzügyi stabilitásra, az ügyfélbizalomra és a szervezetek reputációjára. Külön kitértem a pénzügyi szektor sajátosságaira, ahol a digitális szolgáltatások biztonsága alapvető üzleti feltétel, és már kisebb információbiztonsági incidensek is komoly bizalomvesztéshez vezethetnek. A szakirodalmi áttekintésben először a kiberbiztonság fogalmát, célját és fejlődését vizsgáltam, történeti kontextusba helyezve a bankbiztonság és a kiberbűnözés alakulását. Rámutattam, hogy a hagyományos fizikai támadások (pl. bankrablás, bankjegyhamisítás) fokozatosan kiegészültek, majd részben felváltódtak digitális fenyegetésekkel: rosszindulatú programokkal, zsarolóvírusokkal, botnetekkel, DDoS támadásokkal. Bár ezek a fenyegetéstípusok technikai jellegűek, a szakirodalom egyértelműen hangsúlyozza, hogy sikerességükben döntő szerepet játszik az emberi tényező például egy gyanútlanul megnyitott csatolmány, egy rosszul megválasztott jelszó vagy egy figyelmetlen kattintás. A dolgozatban részletesen bemutattam az információk osztályozásának szerepét is, amely kulcsfontosságú az érzékeny adatok megfelelő védelmének kialakításában. Az információk kategorizálása (belső, bizalmas, szigorúan bizalmas) segít abban, hogy a biztonsági intézkedések arányosak legyenek az adatok értékével és sérülékenységével, és hozzájárulnak a jogszabályi követelményeknek való megfeleléshez is. A szakirodalom egyik központi eleme az emberi tényező és a pszichológiai manipuláció (social engineering) részletes bemutatása volt. A hivatkozott források és esettanulmányok alapján megállapítható, hogy a sikeres kibertámadások jelentős hányada nem technikai sebezhetőségeken, hanem az emberi magatartás gyengeségein alapul. A social engineering technikák legyenek humán alapúak (telefonos megkeresés, szerepjátszás) vagy digitálisak (phishing, hamis bejelentkező oldalak, AI generált üzenetek) egyaránt azt célozzák, hogy a felhasználó maga adja ki azokat az információkat, amelyeket hagyományos technikai támadással lényegesen nehezebb lenne megszerezni. A modern tendenciák közül kiemeltem a mesterséges intelligencia használatát a megtévesztésben, amely személyre szabottabb és nyelvileg kifinomultabb támadásokhoz vezet, ezáltal tovább nehezíti a felhasználói felismerést. A módszertani fejezetben bemutattam a saját kutatás felépítését. A vizsgálat kvantitatív és kvalitatív elemeket egyaránt tartalmazott: egyrészt egy 101 fős online kérdőíves felmérésen alapult, másrészt két félig strukturált szakmai interjún, amelyek egy banki és egy közszférás környezet gyakorlati tapasztalatait hozták be a dolgozatba. A kérdőív célja a felhasználók információbiztonsági tudatosságának és viselkedésének feltérképezése volt, különös tekintettel a jelszóhasználatra, az incidenskezelésre, a képzési tapasztalatokra és az önértékelt tudatosságra. Az interjúk a szervezeti oldal mélyebb megértését szolgálták: a hivatal információbiztonsági vezetőjével, illetve egy banki L1 SOC vezetővel készített beszélgetések során a védelmi rendszerek működéséről, az incidenskezelési gyakorlatokról és a dolgozói hibák kezeléséről szereztem részletes információkat. A kérdőíves vizsgálat eredményei azt mutatták, hogy a válaszadók jelentős többsége napi szinten használ számítógépet munkájához, tehát folyamatosan érintkezik potenciális kiberfenyegetésekkel. A jelszókezelési szokások ugyanakkor nem minden esetben felelnek meg az elvártaknak: a résztvevők több mint 70%-a ugyanazt a jelszót használja több online felületen, és sokan ritkán vagy egyáltalán nem változtatják meg belépési adataikat. A kétlépcsős azonosítás viszont viszonylag elterjedt, ami pozitív jel a tudatosság és a technikai védekezés szempontjából. A szervezeti információbiztonsági szabályzat ismertsége vegyes képet mutatott: bár sokan tisztában vannak a létezésével, a részletes ismeret gyakran hiányzik, ami arra utal, hogy a szabályzatok kommunikációja nem mindig elég hatékony. A kiberbiztonsági incidensekkel kapcsolatos tapasztalatok alapján megállapítható, hogy a válaszadók jelentős része találkozott már valamilyen formában adathalászattal vagy gyanús digitális eseménnyel, akár munkahelyi, akár privát környezetben. Ez megerősíti azt a hipotézist, hogy a felhasználók többsége nemcsak elméletben, hanem a gyakorlatban is szembesül a kiberfenyegetésekkel. Ugyanakkor a válaszokból az is kiderült, hogy az incidensek kezelésének módja és a belső kommunikáció színvonala szervezetenként eltérő: vannak olyan munkahelyek, ahol átlátható, dokumentált eljárásrend működik, máshol az IT csapat „házon belül” kezeli az eseményeket, a dolgozók felé kevés visszacsatolással. A képzési tapasztalatok vizsgálata alátámasztotta azt a feltételezést, hogy a kiberbiztonsági tréningekben résztvevők általában magasabb önértékelt tudatossággal rendelkeznek. Ugyanakkor a válaszok azt is jelzik, hogy a szervezetek közel fele nem tart rendszeres biztonságtudatossági képzéseket, illetve az oktatások minősége és hasznossága is változó megítélés alá esik. Több válaszadó jelezte, hogy a tréningek inkább formális, „kipipálandó” kötelezettségként jelennek meg, mintsem valódi gyakorlati segítségként. A kvalitatív interjúk fontos kiegészítő perspektívát adtak. A hivatal példája rámutatott arra, hogy egy állami hivatal milyen komplex, többrétegű védelmi rendszert működtet – a WAF, tűzfalak, NAC, PAM, XDR, központi naplóelemzés, Shadow IT felügyelet és mobileszköz kezelés kombinációja biztosítja, hogy az informatikai rendszer ellenálló legyen a külső és belső fenyegetésekkel szemben. A kibertörvény és az ISO 27001 szabvány követelményei olyan keretrendszert adnak, amelyben a technikai és szervezeti intézkedések mellett a munkavállalók képzése is kiemelt szerepet kap. A banki interjú pedig azt emelte ki, hogy a magas szintű technikai védelem mellett is kulcsfontosságú a SOC és a felhasználók közötti hatékony kommunikáció, az incidensek gyors jelentése, valamint a „least privilege” és „zero trust” elvek következetes alkalmazása. A dolgozat eredményei alapján összességében megállapítható, hogy a kiberbiztonság szintje nem kizárólag a technikai megoldások fejlettségétől függ. A legerősebb védelmi rendszerek is sérülékennyé válnak, ha a felhasználók nem ismerik, vagy nem tartják be a biztonsági előírásokat, ha az incidenseket nem jelentik időben, vagy ha a szervezet nem fordít kellő hangsúlyt a tudatosság folyamatos fejlesztésére. A kérdőív és az interjúk is azt mutatják, hogy a munkavállalók jelentős része motiválható lenne a biztonságtudatos viselkedésre különösen akkor, ha az oktatások gyakorlatorientáltak, könnyen érthetők, és egyértelműen láthatóvá teszik, hogyan kapcsolódik a biztonság a mindennapi munkavégzéshez. A kutatás korlátai közé tartozik, hogy a kérdőív kényelmi mintavételen alapult, elsősorban az ismeretségi körömből tevődött össze, így az eredmények nem általánosíthatók a teljes magyar munkavállalói körre. Emellett a vizsgálat elsősorban önbevalláson alapul, ami torzíthatja a tudatosság mértékét. A kvalitatív, fél strukturált interjúk két szervezet tapasztalatait mutatják be, amelyek ugyan relevánsak és tanulságosak, de nem fedik le a teljes szervezeti egységet. Mindezek ellenére a dolgozat hozzájárulhat ahhoz, hogy jobban megértsük az emberi tényező szerepét a kiberbiztonságban, és konkrét javaslatokkal szolgálhat a szervezetek számára. A rendszeres célzott oktatások, a világos és érthető szabályzatok, a vezetői példamutatás, a tudatos jelszókezelés, az incidensek gyors jelentése és a mesterséges intelligencia alapú fenyegetésekre való felkészülés együttesen képesek csökkenteni a kockázatot. A kiberbiztonság nem egyszeri, megoldandó feladat, hanem folyamatos, szervezeti szintű tanulási és alkalmazkodási folyamat, amelynek középpontjában az ember egyszerre gyenge láncszemként, egyszerre pedig a védekezés legfontosabb tényezőjeként.

Intézmény

Budapesti Gazdasági Egyetem

Kar

Pénzügyi és Számviteli Kar

Tudományterület/tudományág

NEM RÉSZLETEZETT

Szak

Gazdaságinformatikus

Mű típusa: diplomadolgozat (NEM RÉSZLETEZETT)
Kulcsszavak: adatbiztonság, adatvédelem, adatvédelem magyarország, felhasználói tevékenység, információbiztonság
SWORD Depositor: User Archive
Felhasználói azonosító szám (ID): User Archive
Rekord készítés dátuma: 2026. Júl. 09. 11:15
Utolsó módosítás: 2026. Júl. 09. 11:15

Actions (login required)

Tétel nézet Tétel nézet