Mylić się jest rzeczą ludzką, ale zarówno, gdy błąd popełni administrator odpowiedzialny za bezpieczeństwo systemu IT, jak i zwykły pracownik, może to mieć dla firmy fatalne skutki. Bo może spowodować, że przedsiębiorstwo straci ważne dane lub będzie zmuszone zawiesić na jakiś czas działalność biznesową.

Każdy popełnia różnego rodzaju błędy, które mogą być wykorzystane przez hakera. Dlatego dobrze jest mieć świadomość na co należy zwrócić uwagę, żeby nie narażać systemu IT na niebezpieczeństwo.

Zobacz również:

• Cyberobrona? Mamy w planach
• Snowflake Arctic - nowy model językowy LLM klasy korporacyjnej

Prawie wszystkie badania analizujące podatność systemów IT na włamania kończą się konkluzją, że to nie luki znajdujące się w oprogramowaniu są największym zagrożeniem, ale czynnik ludzki, czyli nie do końca przemyślane działania użytkowników. Niestety wielu z nich po prostu nie wie, że to ich nierozważne zachowania przyczyniają się do tego, że haker jest w stanie włamać się do systemu IT.

Poziom bezpieczeństwa na pewno można zwiększyć, jeśli ktoś weźmie sobie do serca opracowany przez specjalistów i zaprezentowany poniżej zestaw porad. Niektórzy Czytelnicy mogą powiedzieć, że to trywialne lub oczywiste informacje. Ale to błąd, bo jeśli ja coś wiem, to nie znaczy, że wiedzą o tym inni. A jeśli nawet odpowiednie zalecenia zostały zapisane w polityce firmy dotyczącej bezpieczeństwa, to czy są one regularnie przypominane? Trzeba zdawać sobie sprawę, iż przedstawione niżej porady wynikają z praktycznych doświadczeń i realnych praktyk obserwowanych w wielu firmach.

1. Nie daj się złapać na phishing

Jest to jeden z najczęściej popełnianych błędów. Ile to razy zdarza się kliknąć na nieznany link, otworzyć wiadomość e-mail nadesłaną przez nieznanego nadawcę, a następnie dołączony do niej załącznik, żeby już nie wspomnieć o otwieraniu różnego rodzaju reklam czy ogłoszeń. Na pierwszy rzut oka, takie załączniki czy reklamy wydają się być niegroźne, a jednak kryją często poważne niebezpieczeństwo. Bo cyberprzestępcy dbają o to, aby phishing nie wzbudzał podejrzeń dołączając na przykład odpowiednią grafikę czy zachęcając odbiorców by przeczytali wiadomość, gdyż jest to niepowtarzalna okazja nabycia jakiegoś produktu po niezwykle atrakcyjnej cenie. Metod złapania internauty na ten haczyk jest wiele i nie sposób ich wszystkich wymienić. Trzeba być czujnym i nie otwierać bez zastanowienia każdej wiadomości e-mail.

Rady:

Należy regularnie szkolić pracowników i przypominać im – nie otwieramy żadnych wiadomości, ani nie klikamy linków, które nie pochodzą od znanych osób, instytucji lub wzbudzają podejrzenia. Firmy mogą też monitorować pracowników i badać, czy są podatni na ataki typu phishing, a następnie uświadamiać im, że powinni przestrzegać określonych reguł, tak aby nie dać się złapać na taki haczyk.

Powinna tu obowiązywać żelazna reguła – jeśli nie ktoś nie jest pewny, że dana wiadomość pochodzi od znanego i godnego zaufania nadawcy, nawet jeśli na pierwszy rzut oka na taką wygląda, nie należy jej otwierać.

Szczególnie podejrzane są zawsze te wiadomości, które chcą zweryfikować naszą tożsamość i proszą nas o podanie ID czy innych poufnych danych. W takim przypadku w głowie użytkownika zawsze powinna się zapalić czerwona, ostrzegawcza lampka. Nigdy nie należy odpowiadać na takie prośby lub ewentualnie zweryfikować autentyczność wiadomości wykorzystując inne kanały komunikacji, na przykład dzwoniąc osobiście do instytucji, która miała wygenerować taką wiadomość.

2. Niebezpieczne Shadow IT

Pod terminem Shadow IT należy rozumieć aplikacje uruchamiane przez pracowników w ramach firmowego systemu informatycznego lub chmury, pozostające poza kontrolą administratora zarządzającego systemem.

Jest to samowolne wykorzystywanie przez pracownika firmowych zasobów informatycznych obsługiwanych przez centrum danych czy chmurę. Pracownik uruchamiający aplikację Shadow IT musi oczywiście mieć dostęp do określonych, firmowych zasobów informatycznych oraz dysponować odpowiednią wiedzą, jak to zrobić. Pracownicy tacy często nie zdają sobie sprawy z tego, że ich poczynania narażają firmowy system IT na poważne niebezpieczeństwo.

Rady:

Tu potrzebne są rozwiązania polegające na zapewnieniu pracownikowi firmy dostępu tylko do tych zasobów IT, które pozwolą mu realizować wyznaczone zadania. Można też wykorzystać narzędzia pozwalające na kontrolowanie aktywności pracowników i sprawdzania czy nie uruchamiają aplikacji Shadow IT.

3. Słabe lub złe hasła

Nie trzeba być ekspertem aby dojść do wniosku, że słabe hasła stanowią dla systemu informatycznego śmiertelne zagrożenie. To tak jakbyśmy wyszli z domu i nie zamknęli drzwi na klucz, albo zabezpieczyli je tylko niewielka zasuwką. Pracownicy popełniają tu ciągle te same błędy. Wymyślają jedno hasło i następnie używają go do uwierzytelniania na różnych witrynach, a czasami udostępniają to hasło innym użytkownikom, którzy też logują się do tych witryn.

Są to niedopuszczalne praktyki, które hakerzy skrzętnie wykorzystują do swoich celów. Często zdarza się bowiem tak, że haker identyfikuje hasło, które służy do zalogowania się na serwerze pocztowym, a następnie sprawdza czy nie można go wykorzystać do zalogowania się na przykład w banku. A wtedy wiadomo – nieszczęście gotowe. Dlatego rada jest prosta – należy używać tylko silnych haseł, nie powielać ich, ani nie udostępniać innym osobom.

Rady:

Eksperci radzą: najlepiej jest tworzyć hasła używając kilku pierwszych liter całego łatwego do zapamiętania wyrażenia, a następnie doklejać do nich kilka liczb czy znaków. Można też oczywiście posłużyć się menedżerem haseł. W sieci znajdziemy setki takich aplikacji.

Kolejny sposób to skorzystanie z dwuskładnikowego systemu uwierzytelniania, dostępnego na przykład przy logowaniu się do takich witryn, jak Google Gmail czy Facebook. Użytkownik chcący skorzystać z usług takich witryn musi podać oprócz hasła dodatkową informację, bez której operacja logowania nie powiedzie się. Daje do pewność, że nawet w przypadku przechwycenia hasła przez inną osobę, nie będzie ona w stanie zalogować się do konta. No i wreszcie rzecz, o której pisaliśmy wcześniej, a która często prowadzi do katastrofy – nie udostępniamy naszych haseł absolutnie nikomu.

4. Zdalne zagrożenia

Często niestety zdarza się tak, że użytkownik siada w domu przed komputerem, łączy się zdalnie z firmowym serwerem i transferuje z niego pliki, takie jak np. biznesowe dokumenty, na lokalny dysk. Niekiedy pracownicy potrafią też udostępnić w domu swój służbowy komputer komuś z rodziny. Zdarza się też i tak, że pracownik wykonuje backup korporacyjnych danych, wysyłając je gdzieś w chmurę przy wykorzystaniu usług świadczonych przez zewnętrznych dostawców tego typu rozwiązań.

Są to niedopuszczalne praktyki, ponieważ biznesowe dane mogą zostać wtedy przejęte przez osoby trzecie. I nie ważne jest wtedy tłumaczenie, że dane takie zostały w pewnym momencie usunięte. Hakerzy dysponują bowiem odpowiednimi narzędziami, które pozwalają im odzyskiwać takie dane. A wtedy firma może się znaleźć w nie lada kłopocie.

Rady:

Każda firma powinna określić jasne reguły postępowania dotyczące tego, jakie korporacyjne dane czy aplikacje wolno każdemu pracownikowi przenosić na swoje prywatne urządzenia, a pracownicy powinni ich bezwzględnie przestrzegać. Można tu też wprowadzić zasadę, że dane biznesowe, które pracownik może zapisywać na swoim notebooku czy smartfonie powinny być zaszyfrowane.