Bezpieczeństwo IT w życiu pracownika

Ze względu na zaniedbania w zakresie bezpieczeństwa informacji popełniane przez pracowników, firmy tracą rocznie setki tysięcy złotych. Pracownik, który się go dopuścił, może ponieść poważne konsekwencje. Ilość zagrożeń (cyberincydentów) rośnie z roku na rok.  Jak dbać o bezpieczeństwo danych na swoim firmowym sprzęcie?

Hasła  – pięta achillesowa pracowników

Czy wiesz, że hasło 123456 to od kilku lat niezmiennie najczęściej stosowane hasło na świecie? W 2016 roku tego hasła używało aż 20.000 spośród 3,3 mln przebadanych przez Splash Data użytkowników. W tym samym roku, w masowym ataku na Twittera, włamano się do ponad 100.000 kont właśnie dzięki temu jakże finezyjnemu hasłu. Przyznaj się – stosujesz je nadal? A może używasz równie popularnego qwerty?

Według Krzysztofa Wróbla, Konsultanta ds. Bezpieczeństwa IT Si-Consulting, hasło to najbardziej wrażliwy element bezpieczeństwa. „Pracownicy używają haseł prostych, łatwych do zapamiętania, ale jednocześnie łatwych do złamania. Nie stosują znaków specjalnych oraz często używają tego samego hasła w wielu aplikacjach. Częstym błędem jest tez wykorzystywanie danych osobistych – imion, nazwisk czy dat. Przykładowo, dość popularnym błędem działów HR jest szyfrowanie danych pracowników datą urodzenia. Takie zabezpieczenie bardzo łatwo złamać”.

No dobrze, ale jak zapamiętać wiele trudnych haseł? Konsultant bezpieczeństwa IT ma tu kilka rozwiązań:

  • Można stosować programy, które są managerami haseł i pozwalają je bezpiecznie przechowywać. Takich programów jest kilkanaście. Mają różne funkcjonalności, mogą być bezpłatne bądź płatne. Ja stosuje KeyPass, ale warto dopytać swojego administratora bezpieczeństwa o polecany program,
  • Dobrym sposobem na stworzenie hasła łatwiejszego do zapamiętania, a bezpiecznego jest metoda Bruce’a Schneiera. Tworzymy zdanie (może to być np. cytat lub inne zdanie, które jest dla nas łatwe do zapamiętania – np. radosny cytat z Terry’ego Pratchetta: „Kto wcześnie się z łóżka zbiera, ten wcześnie umiera.” I bierzemy pod uwagę tylko pierwsze litery każdego wyrazu. Następnie ustalamy, że wszystkie krótkie wyrazy (zaimki i spójniki) będą dużymi literami, a pozostałe małymi. Polski znak, będzie zaś znakiem specjalnym „%” W efekcie mamy: KwSZ%zTwu. Hasło bardzo trudne do złamania, a proste do zapamiętania!

Jakie stosować zabezpieczenia w komputerze i telefonie ?

Konieczny jest program antywirusowy, który skutecznie zabezpieczy nasz system przez atakami i włamaniami. Na firmowym sprzęcie, za instalację oprogramowania antywirusowego odpowiada pracodawca, ale to pracownik musi dbać o to, by program był aktualizowany, a system regularnie monitorowany. „Nie zaleca się, a w wielu firmach jest to nawet zabronione, instalowanie oprogramowania antywirusowego na własną rękę” – wyjaśnia Krzysztof Wróbel. „Wynika to z możliwych konfliktów między dwoma programami. Administratorzy sprzętu wiedzą, jaki program sprawdzi się u nas najlepiej i będzie najlepszym zabezpieczeniem firmowego mienia. Ja ze swojej strony polecam dla prywatnego użytku Windows Defender. Jest bezpłatny, dobrze zintegrowany z systemem operacyjnym  w zupełności wystarczający. Oprogramowanie innych wiodących producentów – np. McAffe, Symantec, jest również skuteczne i godne polecenia” – dodaje ekspert.

Poza programem antywirusowym, konieczne jest też zabezpieczenie danych.

Wycieki danych firmowych są obecnie na porządku dziennym.

Wycieki danych firmowych są obecnie na porządku dziennym. Niekiedy to efekt działania wyspecjalizowanej grupy hackerów, ale często zwykły błąd użytkownika. Wystarczy, by nasz laptop z niezaszyfrowanymi danymi został skradziony, by osoba z zewnątrz otrzymała dostęp do wielu istotnych, firmowych informacji. Do szyfrowania dysku służy specjalne oprogramowanie. Można o polecenie takiego programu poprosić swojego administratora, bądź skorzystać z gotowego rozwiązania (np. TrueCrypt, VeraCrypt).

Kolejnym elementem bezpieczeństwa jest zwracanie uwagi na adresy URL, w które klikamy. Naczelna zasada, to brak klikania w elementy nieznane – załączniki niewiadomego pochodzenia, dziwne linki. „Zawsze warto dokładnie przyjrzeć się adresowy, a który chcemy kliknąć. Sprawdzić czy nie zawiera kropek, kresek, dziwnych znaków. Jeśli to strona banku, wchodźmy na nią z zakładki bądź wpisując adres ręcznie (a nie poprzez wynik wyszukiwania). Sprawdzajmy certyfikaty bezpieczeństwa (czyli słynną zieloną kłódkę).” – wyjaśnia Krzysztof Wróbel.

Czasem zdarza się, że dostajemy maila, który naprawdę do złudzenia przypomina wiadomość od poważnej, szanowanej instytucji. Nie tak dawno głośną sprawą tego typu były maile z wirusem wysłane w wiadomości bardzo mocno przypominającej wiadomość o przesyłce kurierskiej od Poczty Polskiej.  Po otwarciu, program szyfrował dane na dysku, a za udostępnienie danych żądano okupu w bitcoinach.

Bezpieczeństwo nie tylko online

Warto pamiętać o tym, że zasady bezpieczeństwa dotyczą nie tylko zachowania online. Krzysztof Wróbel zwraca uwagę na to, by uważać również na to, jakie informacje przekazujemy przez telefon lub email, bo mogą posłużyć do pozyskania hasła bądź nakłonienia do kliknięcia w link z otrzymanej wiadomości. Niektóre metody hakerów bywają bowiem naprawdę są sprytne. Ekspert bezpieczeństwa IT przytacza następującą historię: „W rozmowie z help deskiem, haker poprosił o rozmowę z kierownikiem zmiany. „Cześć, macie zły dzień?”, „Nie, dlaczego?” „Wasze systemy nie działają” „Mój system działa w porządku” „Lepiej będzie, jeżeli spróbujesz się wylogować i zalogować ponownie”. Konsultant przelogował się i usłyszał: „Nic to nie dało, wasze systemy dalej raportują się jako wyłączone, spróbuj zalogować się jeszcze raz” po ponownym przelogowaniu „Dalej nic. Będę musiał przelogować Cię ręcznie, podaj mi proszę swoje dane logowania.” Jak nietrudno się domyśleć, po kilku minutach rozmowy, haker dysponował już możliwością zalogowania się do systemu.

„Dla każdego hakera, pierwszą linią ataku jest użytkownik. To od niego najłatwiej uzyskać informacje, które mogą posłużyć do dostania się do wnętrza systemu. Czasem są to informacje, które wydają się nam zupełnie neutralne, ale hakerzy wiedzą jak najczęściej tworzone są hasła i takie informacje ułatwiają im zadanie. Zdarza się zatem, że dzwoni do nas ktoś i prosi o podanie jakichś danych – np. adresu, danych firmy czy nawet naszego numeru telefonu bądź daty urodzenia. Takich danych nie powinniśmy podawać bez sprawdzenia kto do nas dzwoni. Lepiej być nawet odrobinę nieuprzejmym niż dać się „złapać” – wyjaśnia ekspert.

Krzysztof Wróbel zaleca pracownikom by zarówno w pracy jak i w domu stosowali następujące zasady bezpieczeństwa:

  • Zapoznaj się z polityką bezpieczeństwa IT w twojej firmie i stosuj do jej wymagań i zaleceń,
  • Nie zostawiaj telefonu, tabletu czy stacji roboczej bez blokowania ekranu i dostępu (nawet na terenie biura „na chwilkę”),
  • Nie stosuj nośników niewiadomego pochodzenia (np. znalezione gdzieś bądź pobawione kontroli pendrive’y),
  • Nie używaj prostych, łatwych do złamania haseł bazujących na danych osobowych czy nazwie firmy,
  • Używaj managera haseł,
  • Zmieniaj hasła regularnie, minimum co 90 -180 dni,
  • Stosuj szyfrowanie dysku, zwłaszcza przy pracy w terenie,
  • Zwracaj uwagę w co klikasz,
  • Aktualizuj systemy operacyjne w swoich urządzeniach (również mobilnych).

SI-Consulting – firma zajmująca się wdrażaniem i utrzymywaniem systemów SAP. Złoty Partner SAP.Zespół SI-Consulting to 170 wysoko wykwalifikowanych osób. SI-Consulting to zdobywca Gazel Biznesu w 2015 i 2016 roku. Firma uhonorowana została również tytułem „Przedsiębiorstwo Fair Play”, który nadawany jest jej nieprzerwanie od 2008 roku. SI-Consulting od 2014 roku stanowi część Grupy Impel.

 

 

 
Komentarze

Brak komentarzy.

Zostaw odpowiedź