Bezpieczeństwo Informatyczne w firmie i urzędzie

W przypadku zagrożeń Informatycznych błąd ludzki jest często pomijany. Jednak według wielu raportów i badań blisko 60% ataków pochodzi z wewnątrz, a jedna trzecia tych ataków pochodzi nadal od pracowników „nieumyślnych użytkowników”, którzy przypadkowo umożliwiają dostęp do wrażliwych danych osobie atakującej lub lekceważą zasady bezpieczeństwa firmy.

Powiedzmy sobie wprost,  błędu ludzkiego nigdy nie da się całkowicie wyeliminować, jednakże incydenty można znacząco ograniczyć, ustanawiając jasne reguły dotyczące bezpieczeństwa cybernetycznego i zapewniając regularne szkolenia pracowników.

Pierwszym krokiem w ograniczaniu roli błędu ludzkiego w incydentach związanych z bezpieczeństwem jest ustanowienie polityki bezpieczeństwa Informatycznego dla pracowników, która będzie określać zalecenia i sposoby postępowania dotyczące bezpieczeństwa. Aby ułatwić Wam życie i  rozpoczęcie pracy nad wdrożeniem takich reguł, przedstawię Wam listę najważniejszych zasad w tym zakresie. Zaznaczam, że lista nie stanowi wyczerpującego kompendium wiedzy. Ma stanowić dla Ciebie inspirację niezależnie czy jesteś pracownikiem firmy prywatnej, urzędnikiem czy zajmujesz stanowisko kierownicze w organizacji.

1. Znaczenie bezpieczeństwa Informatycznego.

Zacznijmy od wyjaśnienia, dlaczego cyberbezpieczeństwo jest ważne dla każdego z Nas i jakie jest potencjalne ryzyko z nim związane. Utrata lub kradzież danych klientów lub pracowników może mieć duży wpływ na zaangażowane osoby, a także może poważnie zagrozić Twojej organizacji. Jeśli systemy firmy czy urzędu zostaną zainfekowane złośliwym oprogramowaniem, może to odbić się negatywnie i zaszkodzić wydajności firmy. Poza nadszarpnięciem dobrego wizerunku organizacji może również przynieść negatywne skutki finansowe. Przykładem są tu ostatnie kary finansowe jakie nałożono na firmy prywatne czy samorządy z powodu nieprawidłowości związanych z ochroną danych osobowych. Poza tak ważnym obszarem jakim jest ochrona danych istnieje jeszcze cały katalog zagrożeń. Wymienię tu chociażby: zablokowanie dostępu do usług, włamanie do systemu informatycznego, kradzież środków finansowych,  wspomniana utrata danych, ujawnienie danych poufnych, zafałszowanie informacji, kradzież kodu oprogramowania czy ostatnio popularne w cudzysłowie żądanie okupu w zamian za dostęp do zaszyfrowanych celowo danych. 

2. Naucz się efektywnego zarządzania hasłami

Kluczowym elementem, często niedocenianym w systemach informatycznych każdej organizacji są hasła. Hasła mogą wzmacniać systemy i usługi bądź stanowić zagrożenie dla Twojej firmy. Pamiętaj zawsze o  wymaganiach dotyczących tworzenia haseł (na przykład kombinacji małych i wielkich liter oraz cyfr a najlepiej znaków specjalnych). Nie używamy też tego samego hasła w różnych usługach czy systemach. To pierwszy krok do katastrofy lub przynajmniej kradzieży Twoje tożsamości.

– Zawsze zmieniaj hasło jeśli było utworzone jako domyślne w usłudze lub urządzeniu. „Admin” i „Admin1” nie powinno być hasłem popularnym.

– Skonfiguruj swoje przeglądarki tak, aby nie pytały Cię o zgodę na zapisywanie hasła w pamięci. Przeglądarki również były pod tym kątem celem ataków.

– Nie zapisuj danych uwierzytelniających na żółtych karteczkach, chowając je w szufladzie czy pod kalendarzem na biurku.

Najlepszą metodą tworzenia hasła jest korzystanie z profesjonalnych menadżerów haseł.

Są to programy służące do zapamiętywania danych uwierzytelniających np. loginy, hasła i kody PIN.

Dzięki takim aplikacjom możliwe jest nie tylko generowanie bezpiecznych haseł, ale także przechowywanie ich w zabezpieczonej formie i automatyczne uzupełnianie pól logowania w przeglądarce internetowej. W intuicyjny sposób pozwalają na ustawienie trudnego do złamania hasła które nie stanowi problemu dla użytkownika podczas wielokrotnego logowania na konta internetowe. Z najbardziej popularnych aplikacji tego typu wymienić można:

– KeePass

– Dashlane

– LastPass

Wymienione tu aplikacje posiadają szereg funkcji bezpieczeństwa, w tym: algorytmy kryptograficzne klasy wojskowej, dwuetapową weryfikację, kontrolę duplikatów czy chociażby ostrzeganie przed zhakowaniem konta. Idealnym rozwiązaniem jest połączenie wspomnianej aplikacji, np., Dashlane z urządzeniem o nazwie YubiKey. Pisałem o nim na swoim blogu. Nie wyobrażam sobie aby profesjonalni administratorzy systemów i danych nie słyszeli o wspomnianych rozwiązaniach.

Pomimo, że są one płatne to zapewniam Cię, że po prawidłowym ich skonfigurowaniu mogą uchronić również przed ogromnym bólem głowy jaki może się pojawić w przypadku utraty danych czy pieniędzy.

Przy tym punkcie wspomnę jeszcze, że hasła, jeśli już zajdzie taka potrzeba udostępnia się wyłącznie osobiście. Nie wskazane jest korzystanie do tego z telefonu a tym bardziej wiadomości e-mail.

Ostrzeż też współpracowników, aby nie używali metody stosowania  tych samych haseł w różnych witrynach jaką stosuje wiele osób chociażby logując się do swojej poczty i kilku kont społecznościowych na to samo hasło.

A czy Ty nadal masz jedno hasło do poczty i Faceboka?

3. Twoja poczta e-mail

Większość usług, z których korzystamy opiera się na tym samym algorytmie rejestracji i uwierzytelniania oraz zarządzania. Mechanizm jest z reguły podobny. Uruchamiając konto w jakiejś usłudze zmuszeni jesteśmy do podania adresu e-mail. Jeśli sprawa dotyczy usług korporacyjnych to najczęściej korzystamy również z takiej poczty. Co innego jeśli chodzi o usługi prywatne.

Pojawia się pytanie, z jakiej poczty korzystać obecnie. Zaznaczam, że pominę w tym momencie kwestie prywatności, nie to jest tematem tego poradnika, do nich odnosiłem się niejednokrotnie w swoich artykułach. Skupię się teraz wyłącznie na kwestii jaką jest korzystna alternatywa dla bezpieczeństwa tej usługi oraz ceny za taką usługę.

Stoję na stanowisku, że obecnie najkorzystniej wpisuje się w ten przedział poczta Google czyli gmail. Nie ma obecnie na świecie tak stosunkowo bezpiecznej poczty e-mail jaka jest realizowana przez tego giganta. Zarówno pod względem technologii, bezpieczeństwa, kadry specjalistów i środków wydawanych na zabezpieczenia może się równać z nimi wyłącznie chyba Microsoft. O usłudze najlepiej może świadczyć liczba półtora miliarda kont pocztowych jakie zarejestrowano na świecie.

Wróćmy jednak do samej idei przy korzystaniu z różnych usług. Co się dzieje gdy zapomnisz hasła do jakiejś usługi? Z pewnością korzystasz z popularnej dla wielu funkcji przypomnienia bądź resetu hasła. Wtedy właśnie na Twoją skrzynkę pocztową trafia unikalny link na który należy kliknąć aby dokonać zmiany hasła.

To właśnie stopień bezpieczeństwa Twojej poczty stanowi o podstawie zabezpieczenia usług Internetowych z których obecnie korzystasz. Jeśli zawiedzie Twoja usługa pocztowa, np. ktoś zdobędzie do niej dostęp to posiada niejednokrotnie drzwi otwarte do Twoich wszelkich usług. Stąd tak ważne na początku jest bezpieczeństwo poczty a co z tym się wiąże mocne, nie standardowe hasło do niej, którego nikt poza Tobą nie zna.

Pamiętaj również! Nie loguj się do swoich usług na cudzych urządzeniach. Przecież nie używasz cudzej szczoteczki do zębów. Dlaczego miałoby to dotyczyć komputera, który może być zainfekowany?

4. Wykrywaj ataki typu „phishing” i inne oszustwa

Wypracujcie w swojej organizacji nowoczesne metody zapobiegające takim atakom. Phishing to bardzo przebiegła metoda, której używają hakerzy, aby nakłonić Cię do ujawnienia informacji osobistych, bądź korporacyjnych takich jak hasła, loginy, adresy, lub numery kart kredytowych i kont bankowych. Ma to miejsce poprzez wysyłanie fałszywych, specjalnie spreparowanych wiadomości e-maili lub przekierowywanie na fałszywe strony internetowe. Twoja organizacja powinna uświadamiać pracowników na temat rodzajów wiadomości e-mail i oszustw związanych z wyłudzaniem informacji, które mogą być prezentowane pracownikom, oraz sposobów wykrywania tych podejrzanych.

Jeśli pracownicy otrzymają wiadomość e-mail, która wygląda nietypowo, nawet jeśli wygląda na wiadomość wewnętrzną wysłaną przez innego pracownika, powinni  najpierw skontaktować się z nadawcą przed otwarciem załączników. W razie wątpliwości należy takie dane zgłaszać osobom odpowiedzialnym za bezpieczeństwo. Musisz pamiętać, że tego typu oszustwa mogą być również dokonywane przez telefon, dlatego ostrzegaj pracowników przed osobami dzwoniącymi i proszącymi o poufne informacje o Twojej firmie. Musisz mieć świadomość, że aktualnie istnieją bezpłatne rozwiązania online, pozwalające na proste preparowanie wiadomości e-mail wyglądających jakby przyszły z Twojej domeny korporacyjnej. Nic nie zastąpi w tym przypadku Twojej czujności.

5. Szyfrowanie połączeń

Jeśli w Twojej organizacji korzystacie z Wifi to jak najbardziej warto rozdzielić osobny punkt dostępowy z silnym hasłem wsparty technologią VPN dla pracowników oraz osobny punkt dla gości.

W klasycznych połączeniach sieci Wi-Fi, nie wspartych VPN-em każdy użytkownik widzi ruch pozostałych osób. Taki ruch można łatwo przechwycić i podsłuchiwać. Przed tego typu atakami zabezpieczysz się włączając usługę VPN na swoich wszystkich urządzeniach, które korzystają z Wi-Fi. VPN pozwala szyfrować ruch pomiędzy dostawcą a odbiorcą. To cenna wskazówka, która powinna być stosowana nie tylko w organizacjach ale również w Naszych domach. Takie urządzenie z usługą VPN dba także o Twoje bezpieczeństwo np. podczas korzystania z Internetu na dworcu czy w restauracji.

6. Pamiętaj o aktualizacjach i poprawkach z oficjalnych źródeł.

Bezwzględnie musisz pamiętać o regularnym aktualizowaniu systemu operacyjnego,  programów antywirusowych, przeglądarki internetowej i innych programów oraz przeprowadzaj regularnie pełne skanowanie złośliwego oprogramowania co najmniej raz w tygodniu. Oczywiście takie czynności można również wykonywać globalnie z poziomu administratora systemu bądź z góry zaplanować ich okresową realizację we wspomnianych programach.

7. Chroń dane osobowe

Dziś jak nigdy wcześniej prawdziwą wartością każdej organizacji są dane. Ich wartość niejednokrotnie stanowi kluczowy element Twojej firmy. Atakujący często szukają poufnych danych, takich jak dane kart kredytowych, bazy danych klientów, adresy e-mail i numery pesel czy strategie i plany. Wysyłając te informacje poza organizację, ważne jest, abyś rozumiał, że nie powinno po prostu wysłać się  tych informacji zwykłą pocztą e-mail. Do tego należy stosować przynajmniej bezpieczny system transferu plików, który szyfruje dane i tylko umożliwia upoważnionemu odbiorcy do niego dostęp. W kolejnych poradnikach postaram się przedstawić takie rozwiązania.

Kluczowym elementem każdej organizacji, która obecnie zbiera bądź przetwarza dane osobowe w dużych ilościach jest system ochrony danych i zgodność z aktualnymi przepisami RODO. Domyślam się, że w Twojej organizacji jest profesjonalny Inspektor Ochrony Danych i nie jest to przysłowiowy Pan Janusz, któremu szef dorzucił coś takiego do obowiązków jako dodatek specjalny.

W obecnych cyfrowych czasach dane są kradzione w ogromnych ilościach. Oby nie były to dane Twojej firmy czy urzędu.

8. Blokuj komputery i urządzenia

Opuszczając swoje miejsce pracy, blokuj każdorazowo swój komputer tak aby po powrocie wymuszał on od Ciebie autoryzowanie. To samo dotyczy pozostałych urządzeń, jak laptop,  tablet czy telefon. Najkorzystniejszym rozwiązaniem jest zabieranie ze sobą tych urządzeń bądź fizyczne blokowanie gdy nie są używane. Niejednokrotnie zdarzają się kradzieże sprzętu komputerowego w firmach czy instytucjach publicznych, do których dostęp nie jest autoryzowany. Pamiętaj, że nawet jeśli w Twoim laptopie nie ma kluczowych danych dla organizacji, to wystarczy że są takie, które w kolejnych etapach działań mogą posłużyć do włamania i kradzieży ważnych informacji czy pieniędzy.

9. Bezpieczeństwo nośników danych

Podczas korzystania z urządzeń przenośnych, takich jak telefony komórkowe i laptopy, ustaw hasła ograniczające dostęp. Podłączając nośniki przenośne, takie jak pendrive, karty pamięci czy napędy USB i DVD, przeskanuj je każdorazowo w poszukiwaniu złośliwego oprogramowania podczas podłączania do sieci. Najlepiej korzystaj wyłącznie z tych firmowych, które nie opuszczają biura. Nie podłączaj do USB dziwnych urządzeń jak lampki czy wiatraczki zakupione na bazarze. To samo dotyczy wszelkich urządzeń niewiadomego pochodzenia, które można podładowywać z gniazda USB One również mogą być np. narzędziem przechwytującym wszelkie hasła wprowadzane z klawiatury..

Warto tu wspomnieć ciekawy przypadek kilku tysięcy zainfekowanych czajników elektrycznych, które chińska firma wysłała do Rosji. Ich zadaniem miało być przechwytywanie danych dostępowych do Wi-Fi. Kto by pomyślał.

 Jedną z popularniejszych metod jaka jest stosowana przez Nas w trakcie zleconych audytów bezpieczeństwa w organizacji jest podrzucenie za zgodą zleceniodawcy specjalnie spreparowanego nośnika USB np. pod drzwi wejściowe, którymi rano wchodzą pracownicy. Nie wyobrażasz sobie ile nadal osób kierując się zwykłą, czystą ciekawością uruchamia taki pendrive w swoim komputerze służbowym tuż po jego znalezieniu. Jeśli już znajdziesz taki nośnik to zachowaj rozsądek i oddaj go osobie odpowiedzialnej za bezpieczeństwo, która wie w jaki sposób należy go bezpiecznie uruchomić.

10. Zgłoś zgubione lub skradzione urządzenia

Jeśli do biur Twojej organizacji miało miejsce włamanie z kradzieżą to poinformuj o tym pracowników. Skradzione urządzenia zawsze mogą być punktem wyjściowym dla atakujących w celu uzyskania dostępu do poufnych danych oraz że pracownicy muszą natychmiast zgłosić zgubione lub skradzione urządzenia. Często dział bezpieczeństwa IT może zdalnie wyczyścić utracone urządzenia, więc wczesne wykrycie może mieć ogromne znaczenie. Jeśli w jakichś dziwnych okolicznościach skradzione wcześniej urządzenie odnajdzie się to również musisz pamiętać o zachowaniu środków ostrożności przy jego uruchamianiu. Warto rozważyć włączenie usługi lokalizowania i czyszczenia we wszystkich urządzeniach przenośnych Twojej organizacji. To naprawdę może się Wam przydać w incydentalnych sytuacjach.

11. Przyjmij aktywną rolę

Wszyscy w Twojej organizacji muszą kierować się przede wszystkim zdrowym rozsądkiem i odgrywać aktywną rolę w budowaniu polityki bezpieczeństwa. Jeśli widzisz podejrzane działania, powinieneś zgłosić to swojemu administratorowi IT. Jeśli dowiesz się o błędzie, nawet po jego wystąpieniu, zgłoszenie tego faktu do działu IT oznacza, że ​​można jeszcze coś zrobić, aby zminimalizować ewentualne szkody. Cyberbezpieczeństwo to ciągły proces, który  dotyczy wszystkich osób w firmie, a każdy pracownik musi brać w nim czynny udział w przyczynianiu się do bezpieczeństwa Twojej organizacji. Każdy oznacza, że Pani Kasia w recepcji również, bo stanowi przysłowiowy pierwszy firewall, tylko fizyczny. Jej wysoka kultura i asertywność pomoże wyeliminować wiele potencjalnych incydentów.

12. Zastosuj ustawienia prywatności

Poinformuj wszystkich aby stosowali  maksymalne ustawienia prywatności na swoich kontach społecznościowych, takich jak Facebook, Twitter i Instagram. Dotyczy to anonimizowania posiadanych znajomych, danych osobowych, daty urodzenia czy lokalizacji.  Ograniczając ilość danych osobowych dostępnych w Internecie, można znacząco zmniejszyć podatność na ataki typu phishing i kradzież tożsamości.

Polityka bezpieczeństwa Informatycznego w Twojej organizacji powinna być uwzględniona w ramach umowy o pracę, a regularne szkolenia z bezpieczeństwa powinny być zaplanowane, aby upewnić się, że pracownicy rozumieją te wytyczne. Bezpieczeństwo jest ciągłym procesem, który podlega nieustannym zmianom.  Aby sprawdzić wiedzę w sposób zabawny przygotuj np. quiz, który przetestuje działania pracowników w przykładowych sytuacjach.

Oprócz informowania i szkolenia pracowników firmy muszą zadbać o to, aby istniał system monitorowania i zarządzania komputerami i urządzeniami , do skanowania serwerów, załączników e-mail, ruchu sieciowego i nośników przenośnych stosujący skanowanie wielokrotne w poszukiwaniu złośliwego oprogramowania.

Na koniec wspomnę jeszcze coś co z pewnością słyszałeś niejednokrotnie. Jest to jedno z moich bardziej ulubionych powiedzeń. Otóż, organizacja jest tak silna i bezpieczna jak najsłabsze jej ogniwo.

Film: https://youtu.be/rllbUobKJqU