Cyberbezpieczeństwo w firmie

Stosowanie odpowiednich haseł i dwuskładnikowego logowania

Bardzo ważne jest stosowanie odpowiednich haseł służących do zalogowania się w usługach online. Hasło powinno być przede wszystkim długie i zawierać minimum 15 znaków, w tym także litery, cyfry i znaki specjalne. Takie hasło może być np. fragmentem cytatu czy piosenki — ważne, żeby nie zawierało naszych danych osobowych. Nie wolno korzystać z tych samych haseł w różnych serwisach internetowych. W przypadku wycieku danych z jednego z portali, umożliwiłoby to zalogowanie się przez osobę do tego nie powołaną do innej usługi w imieniu konkretnego użytkownika.

Pomocne w utrzymywaniu odpowiedniej polityki haseł są narzędzia — Managery haseł, które mogą np. działać jako wtyczki w przeglądarce — przykłady to: BitWarden, LastPass i inne. Pozwalają one na generowanie odpowiednio trudnych haseł i zapisywanie ich w bezpieczny sposób. Oczywiście — poziom tego bezpieczeństwa zależy od tego, jakiego hasła i sposobu logowania do tego narzędzia użyjemy. W przypadku stosowania managera haseł obowiązkowe jest skorzystanie z dwuskładnikowego uwierzytelniania — czyli mechanizmu pozwalającego na przekazywanie dodatkowej informacji (tokenu), który może być przesłany na podany przez nas adres email, nr telefonu czy też wygenerowany w odpowiednio do tego przygotowanej aplikacji takiej jak Google Authenticator.

Przy użyciu tego rozwiązania, nawet jeżeli ktoś odgadnie nasz login i hasło — nie będzie mógł się zalogować bez podania tokenu, który powinien być wyłącznie w naszej dyspozycji. Dwuskładnikowe uwierzytelnianie powinniśmy stosować nie tylko w naszej poczcie elektronicznej, ale także korzystając z mediów społecznościowych czy wszelkich innych możliwych serwisów czy usług, budując sobie dobry nawyk, który ma ogromny wpływ na nasze bezpieczeństwo w sieci. Tak samo powinniśmy stosować dwuskładnikowe uwierzytelnianie w naszej poczcie elektronicznej, kontach w mediach społecznościowych i w każdym możliwym serwisie i usłudze, które taką funkcjonalność udostępniają.

Wykonywanie regularnych aktualizacji

Kolejną możliwością zwiększenia poziomu bezpieczeństwa jest regularne aktualizowanie systemów operacyjnych, oprogramowania oraz aplikacji, z których korzystamy na komputerach i urządzeniach mobilnych.

Aktualizacje często zawierają poprawki usuwające błędy i zabezpieczające przed nowymi zagrożeniami. Ich brak otwiera „furtkę" dla cyberprzestępców, którzy mogą wykorzystać podatności w nieaktualnym oprogramowaniu, aby przejąć kontrolę nad urządzeniami, wykradać dane lub zaszyfrować je dla okupu.

Ważne jest, aby regularnie sprawdzać i instalować aktualizacje nie tylko na komputerach stacjonarnych i laptopach, ale także na smartfonach i tabletach. Aby ułatwić sobie to zadanie, warto włączyć automatyczne aktualizacje tam, gdzie jest to możliwe. Dzięki temu systemy i aplikacje będą na bieżąco zabezpieczone bez konieczności ręcznej ingerencji użytkownika. Tę kwestię należy koniecznie rozszerzyć także na urządzenia sieciowe — takie jak np. routery, switche czy np. kamery, a także inne elementy infrastruktury IT jak drukarki.

Wiele firm korzysta od lat z tych samych wersji systemów operacyjnych lub oprogramowania, które może już nie być w ogóle wspierane i rozwijane. Przejście na nowsze wersje wiąże się oczywiście z określonym kosztem — jest jednak pytanie, które trzeba sobie zadać — czy ryzyko jakie się z tym wiąże nie spowoduje większych kosztów i strat wizerunków w przypadku kiedy te narzędzia umożliwią przeprowadzenie ataku na taką firmę?

Podnoszenie świadomości wśród zespołu

Kluczowym elementem bezpieczeństwa w każdej instytucji są ludzie. Nawet najwyższej klasy sprzęt i najlepsze oprogramowanie czy zabezpieczenia nie spełnią należycie swojej funkcji, jeśli jego użytkownik nie będzie potrafił w odpowiedni sposób wykorzystać ich potencjału. Jeżeli poszczególne osoby będą miały świadomość jakie zagrożenia są możliwe, jakich informacji i danych powinni chronić i jak to robić — poziom bezpieczeństwa w organizacji znacznie wzrośnie.

Bardzo dobrym rozwiązaniem jest regularne organizowanie szkoleń dla pracowników firmy, pozwalających im zapoznać się z najnowszymi wyzwaniami w tym obszarze, metod przeciwdziałania atakom. W ramach takich szkoleń prezentowane są m.in. podstawowe zasady bezpieczeństwa podczas codziennej pracy. Mogą to być na przykład:

• nie klikanie w załącznik w mailu, który może się wydawać podejrzany
• sprawdzanie, czy wiadomość rzeczywiście została wysłana przez prawidłowego adresata
• czy osoba z którą rozmawiamy przez telefon jest tą, za którą się podaje
• nie podawanie danych, o które jesteśmy proszeni — jeżeli nie mamy pewności że jest to konieczne, dozwolone i że przekazujemy je odpowiedniej osobie
• sprawdzanie, do jakiej strony prowadzi link wyświetlany np. w wiadomości email
• nie pozostawianie komputera lub telefonu odblokowanego
• nie wpinanie do komputera nieznanych urządzeń

Najbardziej efektywne są szkolenia polegające na rzeczywistym "przetestowaniu" zespołu na odporność na ataki socjotechniczne. Jeżeli ktoś w ramach takich testów popełni błąd, na pewno bardzo dobrze to zapamięta. Najtrudniejsze jest natomiast zachowanie "chłodnej głowy", nie poddawanie się emocjom — szczególnie w momencie, kiedy jesteśmy pod presją, czy też w momencie zagrożenia. Wiadomość "Pilne", która jest przesłana rzekomo od naszego przełożonego — w bardzo ważnej sprawie, może spowodować że staniemy się mniej czujni i nie zauważymy, że prawdziwy nadawca wiadomości jest inny niż zakładaliśmy.

Warto też zwrócić uwagę na to, że dane, czy to nasze osobiste, czy te powierzone nam przez inne osoby, są materią wrażliwą, nad którą sprawować powinniśmy szczególny nadzór. Nie zapominajmy o tym w ferworze codziennych obowiązków, pośpiechu czy wybierając prostsze rozwiązania kosztem bezpieczeństwa. Jako przykład posłużyć może tutaj korzystanie z urządzeń elektronicznych, na których wyświetlamy dane, które zdecydowanie nie powinny być widoczne dla osób trzecich, np. korzystając ze środków komunikacji publicznej czy też wypowiadanie na głos swojego numeru PESEL w trakcie zakupu leków na receptę w aptece.

Budowanie kultury bezpieczeństwa w firmie to proces, który wymaga zaangażowania nie tylko działu IT, ale całego zespołu, wraz z kierownictwem. Kultura bezpieczeństwa oznacza, że ochrona danych i systemów staje się naturalnym elementem codziennej pracy, a każdy pracownik rozumie, jakie zagrożenia czyhają na firmę i jak się przed nimi chronić.

Dlaczego to takie ważne? Nawet najlepsze zabezpieczenia techniczne nie pomogą, jeśli pracownicy nie będą stosować się do podstawowych zasad bezpieczeństwa. Kliknięcie w podejrzany link, użycie słabego hasła czy pozostawienie komputera bez nadzoru może narazić firmę na poważne konsekwencje.

Kopie zapasowe (backupy)

Regularne tworzenie kopii zapasowych to jeden z najważniejszych elementów ochrony danych w każdej firmie. Niezależnie od tego, jak dobrze zabezpieczone są systemy, awarie sprzętu, ataki ransomware czy błędy użytkowników mogą spowodować utratę kluczowych informacji. Backupy pozwalają szybko przywrócić dane i kontynuować pracę bez większych strat.

Warto wykonać analizy systemów i danych krytycznych dla działalności firmy i zapewnić, że dla nich będą wykonywane regularnie kopie zapasowe. Taka ocena pozwala na określenie częstotliwości i sposobu wykonywania kopii zapasowych. Dodatkowo należy przeprowadzać testy sprawdzające, czy w przypadku takiej konieczności kopie zapasowe będą mogły być prawidłowo użyte do przywrócenia funkcjonowania systemu. Bez wykonania takich testów może się okazać, że dane zgromadzone jako zapasowe są bezużyteczne. Oczywiście, kopie zapasowe nie mogą być przechowywane na tych samych nośnikach co dane oryginalne. Ciekawą możliwością jest tutaj wykorzystanie infrastruktury chmurowej — ale w takim przypadku dodatkowo należy zadbać o bezpieczeństwo danych i ich odpowiednie szyfrowanie.

Bezpieczeństwo sieciowe

Sieć Wi-Fi funkcjonująca w firmie może być także punktem wejścia dla cyberataków. Aby zminimalizować takie ryzyko, warto wdrożyć kilka elementów:

• przede wszystkim na urządzeniach sieciowych (takich jak routery, switche ale i kamery sieciowe) koniecznie należy zmienić domyślne hasła
• powinno być także zabronione wpinanie do sieci niezweryfikowanych i niezabezpieczonych urządzeń
• dobrą praktyką jest wydzielenie sieci dla gości
• konieczna jest także odpowiednia konfiguracja sieci — m.in. rekomendowane jest wykorzystanie szyfrowania WPA3

Zasada ograniczonego dostępu

Wielokrotnie obserwujemy, że użytkownicy w firmach mają dostęp do większej liczby systemów i danych, niż jest to im faktycznie potrzebne do wykonywania obowiązków. Takie sytuacje zwiększają ryzyko wycieku danych i nieautoryzowanych działań — zarówno z przyczyn przypadkowych, jak i celowych.

Zasada ograniczonego dostępu (ang. least privilege) polega na przyznawaniu pracownikom minimalnego niezbędnego poziomu uprawnień do systemów i zasobów. Oznacza to, że użytkownik powinien mieć dostęp tylko do tych danych i aplikacji, które są mu konieczne do pracy.

Ważne jest także regularne przeglądanie przyznanych uprawnień i ich aktualizacja — zwłaszcza w sytuacji zmiany stanowiska, odejścia pracownika lub zakończenia projektu. Wdrożenie takiej polityki znacząco ogranicza ryzyko wewnętrznych zagrożeń oraz pozwala szybciej wykrywać nieprawidłowe działania w systemie.

Podsumowanie

Tematy związane z cyberbezpieczeństwem powinny być traktowane jako inwestycja, a nie jako koszt. Ignorowanie ryzyk związanych z możliwością cyberataku to ryzyko utraty danych, reputacji, i poniesienia znacznych strat finansowych. Dla wielu firm cyberatak oznacza paraliż na dni lub tygodnie — a czasem koniec działalności.

Warto zacząć od podstaw i wdrażać kolejne elementy krok po kroku. Warto skorzystać z pomocy firm zewnętrznych lub bezpłatnych materiałów edukacyjnych dostępnych online.