Problemem jest również zbyt duże zaufanie do aplikacji. Nietypowym atakiem jest Advanced Persistent Threat (APT) - zbieranie kluczowych informacji o osobach w sieciach społecznościowych, w celu wykorzystania ich w atakach związanych z socjotechniką lub przy phishingu. Atak CSRF (Cross-site Request Forgery) polega na przeprowadzeniu operacji, jakich użytkownik zwykle nie wykonuje. Atakujący jest w stanie wykonać działania za użytkownika dzięki ciągłemu zalogowaniu i spreparowanemu linkowi. Może zatem usunąć informacje, dodać link do niebezpiecznej strony itp.

Weryfikacja zabezpieczeń

Profesjonalnie przygotowana kontrola firmowego zabezpieczenia powinna być podzielona na trzy etapy: kontrola desktopa, sieci i pracowników.

Pierwsza z listy jest wielkim wyzwaniem dla każdego działu IT. Ze względu na jej szczegółowość należy wypracować kompromis, gdyż wpływa ona bezpośrednio na wydajność pracy. W przypadku aplikacji Enterprise 2.0 większość oparta jest na zwykłej przeglądarce, co w efekcie znacznie ogranicza możliwość kontroli. Wszelkie nośniki danych, takie jak płyty CD, pamięci USB, e-mail, mogą być zainfekowane. Ograniczenie dostępu do możliwości instalowania oprogramowania nie wszędzie udaje się zastosować.

Drugą formą weryfikacji zabezpieczeń jest kontrola na poziomie sieci. Dobrze skonfigurowany system jest w stanie skutecznie chronić komputer przed zagrożeniem, ale nigdy nie ma 100-proc. pewności. Podstawą są zapory ogniowe, które z grubsza filtrują ruch na łączu. Firewall dodatkowo dzieli sieć na tzw. segmenty strefy chronionej. Nie jest to idealne zabezpieczenie, gdyż weryfikacja odbywa się przy wykorzystaniu portów i protokołów. Aplikacje Web 2.0 z reguły skanują wolne porty, dopóki nie znajdą otwartego połączenia. Zaporę warto dodatkowo wzmocnić o IPS (Intrusion Prevention System), który pozwala użytkownikowi na weryfikację podzbiorów ruchu sieci czy blokadę podejrzanej aplikacji. Jednak IPS nie jest w stanie przeprowadzić wnikliwej analizy aplikacji, a sama optymalna wydajność przeglądania przepływu danych na wszystkich portach często jest niemożliwa. Z tego powodu technika ta jest ograniczana jedynie do kilku podzbiorów, by uniknąć przeciążenia samej jednostki obliczeniowej.

Kiedy infekcji ulega domowy komputer, bywa to uciążliwe, jeśli jednak nieodpowiedzialny lub nieświadomy pracownik doprowadza do zarażenia komputera w firmie, a w efekcie całego systemu, skutki mogą być poważne. Dlatego trzeci etap kontroli, choć może budzić sprzeciwy i być niepopularny wśród kadry pracowniczej, jest niezbędny. Pracodawca może blokować dostęp do niektórych stron. Firmom, które potrzebują dostępu do tego typu miejsc w sieci, by móc prowadzić biznes, pozostaje solidna edukacja.

Internetowe BHP

Każdy przedsiębiorca, który prowadzi działania w Internecie (zwłaszcza na portalach społecznościowych), powinien przeszkolić pracowników z zakresu bezpieczeństwa sieci. Dobrym rozwiązaniem jest stworzenie listy groźnych aplikacji oraz uświadomienie pracowników, że przed instalacją oprogramowania należy prosić o zgodę osobę odpowiedzialną za bezpieczeństwo IT lub tak zabiezpieczyć komputery, aby uniemożliwić samowolną instalację niepożądanego oprogramowania. Informatyk powinien dodatkowo sprawdzić stan zabezpieczeń na firmowych komputerach. Na zabezpieczeniach nie należy oszczędzać, gdyż straty poniesione w wyniku pozornych oszczędności mogą okazać się nieodwracalne.

Marcin Kopacz jest ekspertem od zabezpieczeń w IT Partner.