Czytasz właśnie czwartą część cyklu poświęconego cyfrowemu bezpieczeństwu w startupach i małych firmach. Jeśli jeszcze nie miałeś okazji przeczytać trzeciej, drugiej lub pierwszej części, koniecznie kliknij w zielone pola.
fot. unsplash.com
O cyberbezpieczeństwie napisano już chyba wszystko. W sieci bez trudu znajdziesz liczne poradniki opisujące najnowsze metody ochrony przed atakami hackerskimi, wirusami oraz sposoby na zabezpieczenie administrowanych przez Twoją firmę danych. Doskonale zdajesz sobie sprawę jak ważne tworzenie backupu, korzystanie z programów antywirusowych i zapór sieciowych. Teoria, teorią. A jak wygląda praktyka? Czy wiesz jakie działania Ty i Twoi pracownicy powinniście podejmować każdego dnia a jakich czynności bezwzględnie unikać, aby chronić siebie i swoją organizację w Internecie?
Bezpieczeństwo haseł, czyli przekleństwo żółtych karteczek
Pamiętasz, aby regularnie zmieniać hasła? Zarówno te do skrzynek pocztowych, komputerów, jak również sieci WI-FI lub VPS? To świetnie! Jednak rób to z głową. Hasło typu 1234 lub qwerty nie jest dla hackera żadną przeszkodą. Dlatego zadbaj o to, aby było ono dostatecznie silne i składało się z przynajmniej 8 znaków, zawierających duże i małe litery, cyfry oraz znaki specjalne.
Nie używaj tych samych haseł do różnych kont. Konieczność zapamiętania kolejnych danych dostępowych często popycha nas do nieprzemyślanych decyzji, jak na przykład zapisanie hasła na karteczce samoprzylepnej i przyczepienie jej do ekranu monitora. Sam przyznasz, że to działanie trochę podobne do pozostawienia w miejscu publicznym karty bankomatowej z zapisanym na niej numerem PIN. Zamiast tego wypróbuj menedżera haseł, który generuje bezpieczne hasła i zapamiętuje je dla Ciebie.
Zmieniasz właśnie dane dostępowe? Zastanów się czy nie warto wprowadzić uwierzytelniania dwuetapowego (ang. Two-Factor Authentication). Oprócz podania loginu i hasła może to być na przykład odpowiedź na pytanie bezpieczeństwa.
Pamiętaj też, że oprogramowanie do łamania haseł jest w stanie odgadnąć Twoje dane w ciągu kilku minut. Musisz więc ograniczyć liczbę prób logowania na wszystkich etapach procesu uwierzytelniania. Ten punkt jest równie przydatny jak tworzenie silnego hasła.
Phishing – otwierać czy nie otwierać
Niezależnie od tego w jak dużej firmie i na jakim stanowisku pracujesz, z pewnością do Twojej skrzynki każdego dnia spływa wiele maili. Fakt ten wykorzystują hackerzy, próbując wyłudzić dane za pomocą phishingu. Jest to forma cyberataku, polegająca na wysłaniu fałszywej wiadomości, która przekierowuje do stron łudząco podobnych np. do serwisów banków lub operatorów komórkowych. Takie e-maile często zawierają prośbę o zapłacenie zaległej faktury lub aktualizację danych.
O czym zatem powinieneś pamiętać przeglądając codziennie swoją skrzynkę odbiorczą?
Czy link podany w wiadomości jest prawidłowy? Zawsze sprawdzaj każdy odnośnik przed jego kliknięciem. Najedź na niego myszką, by wyświetlić podgląd adresu URL i zwróć uwagę na wszystkie błędy w pisowni lub inne nieprawidłowości. Jeśli nie masz pewności, po prostu otwórz nową kartę przeglądarki i wprowadź ręcznie główny adres strony. Pamiętaj, że adres serwisu zabezpieczonego certyfikatem SSL zawsze zaczyna się od https:// a na jego początku widnieje znaczek kłódki. Jeśli nie widzisz takich symboli nie podejmuj żadnych działań na wyświetlanej stronie.
Czy wiadomość zawiera załącznik? Po pobraniu pliku na dysk, przed otwarciem koniecznie przeskanuj go programem antywirusowym.
Czy wysłanie takiej wiadomości może być uzasadnione? Odbierając podejrzane e-maile kieruj się logiką. Jeśli dostałeś prośbę o zapłacenie faktury, którą niedawno uregulowałeś, powinna zapalić Ci się czerwona lampka.
Oprogramowanie – czy jesteś na bieżąco?
Wyskakujące okienka informujące o aktualizacji oprogramowania, maile przypominające o wygaśnięciu licencji – tego typu komunikaty raz po raz pojawiają się na ekranie Twojego monitora. Sam przyznaj, jak często je ignorujesz i po prostu zamykasz lub wyrzucasz do kosza? Takie zachowanie to błąd. Pamiętaj, że zezwalanie na aktualizacje oprogramowania to jedna z najważniejszych rzeczy, jaką możesz zrobić w celu zachowania bezpieczeństwa w sieci.
Szczególnie w przypadku programów antywirusowych zwracaj uwagę na to, aby zainstalowana wersja była tą najnowszą i zawierała aktualną bazę potencjalnych zagrożeń. Idealnym rozwiązaniem jest uruchomienie automatycznych aktualizacji programów i aplikacji. Na co dzień korzystaj z popularnych przeglądarek takich jak Chrome lub Firefox, które oferują częste, automatyczne aktualizacje zabezpieczeń. Upewnij się również, że posiadasz najnowsze wersje wtyczek do przeglądarek (Flash, Java itp.). Jeśli administrujesz serwisy oparte na CMS np. WordPress pamiętaj, aby na bieżąco aktualizować ich wersje a także wszystkie zainstalowane pluginy i motywy.
Dyski, pendrive’y. Uważaj co podłączasz
Poniedziałkowy poranek. Wysiadasz z samochodu, a na parkingu znajdujesz pendrive. Oho! To będzie dobry tydzień. Właśnie zaoszczędziłeś 10 zł. Zadowolony idziesz do biura i podłączasz znalezisko do komputera. To nie jest dobry pomysł. Nigdy nie wiesz, co znajduje się na takim urządzeniu.
Złośliwe oprogramowanie, które spowoduje poważne uszkodzenie sprzętu lub utratę danych może być łatwo rozprzestrzenione za pośrednictwem zainfekowanych dysków flash, zewnętrznych dysków twardych, a nawet smartfonów. Nigdy nie korzystaj z przenośnych urządzeń niewiadomego pochodzenia. Nawet jeśli kolega z pracy prosi Cię o zapisanie plików na jego prywatnym dysku. Nie wiesz przecież czy z takiego sprzętu nie korzystał ktoś inny, np. dziecko które przechowuje na nim zawirusowaną grę. Jeśli koniecznie musisz podłączyć takie urządzenie do swojego komputera koniecznie przeskanuj je na obecność wirusów.
Urządzenia mobilne otwartą furtka dla hackerów
Urządzenia mobilne mogą stwarzać poważne problemy związane z bezpieczeństwem. Szczególnie jeśli Ty lub Twoi pracownicy korzystacie z nich poza biurem. Telefony lub tablety firmowe zawierają nie tylko poufne dane, ale także często są połączone z wewnętrzną siecią firmy za pośrednictwem sieci VPN, co w przypadku kradzieży zapewnia atakującemu bezpośredni dostęp do danych organizacji.
Dlatego pamiętaj, aby nigdy nie pozostawiać swojego urządzenia bez nadzoru w miejscu publicznym. Dodatkowo zawsze blokuj je za pomocą kodu PIN lub hasła. Podobnie jak w przypadku komputerów i laptopów na telefonie zainstaluj program antywirusowy. Pamiętaj również o regularnych aktualizacjach systemu. W przypadku kradzieży niezwłocznie poinformuj o tym przełożonego lub producenta w celu założenia blokady.
Don’t leave me alone
Fizyczne bezpieczeństwo twoich urządzeń jest tak samo ważne, jak ich bezpieczeństwo techniczne, dlatego nigdy nie pozostawiaj ich bez nadzoru. Jeśli opuszczasz swoje miejsce pracy na dłuższy czas, zabierz ze sobą telefon a laptop wyłącz lub zablokuj, aby nikt inny nie miał do niego dostępu. Jeśli przechowujesz poufne informacje na dysku zewnętrznym, oprócz zaszyfrowania warto pomyśleć o jego schowaniu np. w szufladzie biurka zamykanej na klucz.
Nie pozwalaj także innym osobom korzystać ze swojego komputera. Oczywiście nie zakładaj, że każdy z premedytacją będzie chciał Ci zawirusować sprzęt, albo wykraść hasła, jednak nigdy nie możesz wykluczyć przypadkowego usunięcia danych lub chociażby zalania sprzętu poranną kawą.
Wi-Fi czyli łącz się z głową
Zabrałeś swój telefon na spotkanie poza biurem. Nie spuszczasz go z oczu, pamiętasz o blokadzie. Świetnie! Ale czekając na spóźniającego się kontrahenta postanawiasz sprawdzić czy otrzymałeś zaległy przelew. Łączysz się zatem z pierwszą lepszą siecią WI-Fi. To błąd! Coraz większa dostępność hotspotów zachęca nas do beztroskiego surfowania w sieci.
Pamiętaj, aby zawsze korzystać ze sprawdzonych źródeł. Chcąc łączyć się z Internetem w kawiarni lub restauracji zasięgnij informacji od obsługi, czy dostępna sieć na pewno należy do nich. Jeśli możesz ogranicz swoją aktywność online do przeglądania ulubionych stron. Korzystając z hotspotów nie dokonuj płatności i nie przesyłaj poufnych informacji.
Pamiętaj również o odpowiednim korzystaniu i zarządzaniu siecią WI-FI w swoim biurze. Upewnij się, że jest ona zabezpieczona i ukryta. Dodatkowo koniecznie skonfiguruj osobną sieć dla gości i ogranicz jej dostęp do głównej infrastruktury.
BYOD
Projektujesz grafikę na prywatnym komputerze albo piszesz najnowszy raport na tablecie żony? Nie jesteś osamotniony. Coraz więcej firm umożliwia swoim pracownikom korzystanie w pracy z prywatnych urządzeń. Trend BYOD (ang. Bring Your Own Devic) wpływa pozytywnie na produktywność i wydajność, jednak zwiększa również ryzyko ataku hackerskiego lub utraty danych.
Zatem jeśli przyniosłeś właśnie swój sprzęt do biura niezwłocznie poinformuj o tym specjalistów ds. IT, którzy zabezpieczą go tak, aby był chroniony w identyczny sposób jak urządzenia firmowe.
Podsumowanie
Pamiętaj, że każda Twoja aktywność w sieci może narazić Cię na ryzyko utraty danych i atak hakerów. Dlatego nie ułatwiaj im życia i korzystaj z internetu z głową. Co prawda nigdy ani Ty ani Twoje dane nie jesteście w 100% bezpieczni, jednak codzienne stosowanie się do podstawowych zasad odpowiedzialnego korzystania z internetu znacząco zmniejsza zagrożenie cyberatakiem.
–
Autor:
Sebastian Matera
Prezes Zarządu/Udziałowiec ZdalnyAdmin.com.pl
Doświadczenie zawodowe zaczął zbierać już w wieku 18 lat, gdy odpowiadał za sprzedaż usług w zakresie wytwarzania dedykowanego oprogramowania, dostaw i wdrożeń oprogramowania firmy Comarch. Pracował jako dyrektor handlowy w Kolibro i tam obsługiwał m.in. Ferrero Polska. Obecnie jest liderem w Zdalny Admin, gdzie pomaga klientom wdrażać procedury związane z RODO, dba o ciągłość działania serwerów i przeprowadza skuteczne testy penetracyjne.