Jak chronić swój biznes przed atakiem? ABC dla MŚP.

Ponad połowa zagrożeń ma miejsce w przypadku mniejszych firm i e-biznesów.

Zazwyczaj o próbach lub skutecznych atakach słyszymy, gdy dotyczą one znanych osób lub korporacji. Zainteresowanie dużymi brandami lub celebrytami powoduje, że takie informacje automatycznie stają się nośne medialnie. Tymczasem, wg Raportu z dochodzeń w sprawie naruszenia danych w 2019 r. 1, aż 58% naruszeń bezpieczeństwa dotyczyło mniejszych organizacji!

Skuteczna ochrona, to oczywiście ogromne wyzwanie, niekończący się proces i notoryczny brak pewności. Nawet, dysponując ogromnymi budżetami i sztabem specjalistów w zakresie bezpieczeństwa, pentestów i ochrony, nie można osiągnąć 100%-go poziomu bezpieczeństwa. Można jednak zminimalizować ryzyko do przyzwoitego poziomu. I, wiele tych działań, można wprowadzić samemu i/lub przy niewielkich kosztach. Pierwszym z brzegu przykładem niech będzie budowanie świadomości, że hasła w rodzaju ‘123456’, ‘qwerty’, itp., to nic innego, jak proszenie się o problemy.

Niniejszy artykuł nie zawiera wskazówek dot. ochrony przed wszystkimi rodzajami cyberataków. Może być jednak dla Ciebie praktycznym drogowskazem, w jaki sposób zmniejszyć ryzyko i poprawić ochronę swojej organizacji, przetwarzanych danych i zasobów. Lepsza bowiem jakakolwiek ochrona, niż jej całkowity brak!

Zostawisz kartę płatniczą bez nadzoru, z zapisanym PINem ‘1234’?

Mam nadzieję, że to pytanie od razu odczytałeś jako retoryczne ;). Dla większości z nas, tak lekkomyślne postępowanie, w ogóle nie wchodzi w rachubę, mamy świadomość, czym by groziło. Dokładnie tak samo powinieneś traktować, na każdym etapie i w każdej sytuacji, ochronę dostępu do wszystkich swoich dóbr.

Unikaj przewidywalnych haseł.

ochrona-hasla

Myślisz może, że to niemożliwe, aby w dzisiejszych czasach ktoś jeszcze mógł być tak naiwny, aby używać hasła w rodzaju ‘123456’? Narodowe Centrum Bezpieczeństwa Cybernetycznego w Wielkiej Brytanii dokonało analizy 2, z której wynika, że najczęściej wykorzystywanymi w atakach hasłami były: ‘123456’, ‚123456789’, ‚qwerty’, ‚hasło’,  i ‚1111111’. A użyło ich ok. 41,5 milionów (!) osób na całym świecie.

Owszem, coraz więcej organizacji wymusza złożoność hasła, wymagając kombinacji wielkich i małych liter, liczb i znaków specjalnych. Jednocześnie, stara się wymuszać okresowe zmiany haseł. Okazuje się jednak, iż te zasady mogą powodować, że użytkownicy wybierają hasła łatwiejsze do zapamiętania. A więc, również łatwiejsze do odgadnięcia. Jak sobie z tym poradzić? Coraz częściej zaleca się, aby odstępować od przymusu częstej zmiany hasła. Skuteczniejsza okazuje się zasada, aby wymuszać odpowiednią długość i złożoność hasła w przypadku zwykłych użytkowników, natomiast wygasanie ważności hasła pozostawić wyłącznie dla haseł administracyjnych. Bardzo ważne jest również, aby blokować często atakowane hasła. W Sieci można znaleźć wiele baz danych, które wyciekły z różnych systemów. Są wśród nich również najczęściej atakowane hasła 3. Powinieneś więc zadbać, aby Twój system zabraniał używania haseł z takich list.

Jedną z najskuteczniejszych metod utrzymywania odpowiedniej jakości haseł, jest nakaz używania generatorów. Oczywiście, taka polityka generuje problem braku lub utrudnionej użyteczności. Nikt przecież nie jest w stanie zapamiętać haseł w rodzaju ‘-K9Z2m^8Sn3G’, ‘s1jgO6*5DU*d’. Szczególnie, gdy musi kontrolować dostęp do dziesiątek, czy setek systemów i wie, że każde powinno być inne., Jednak i z tym można stosunkowo łatwo sobie poradzić, o czym mowa w kolejnym punkcie. Możesz też użyć podpowiedzi, zawartych w tym poradniku.

Nie udostępniaj haseł.

Wszędzie i zawsze używaj unikalnych danych uwierzytelniających, wymagaj tego również od wszystkich swoich współpracowników. Identyfikator użytkownika (login, ID, e-mail, itp. – czyli przykładowa karta) i hasło (przykładowy PIN) bezwzględnie muszą być poufne i nie mogą być nikomu udostępniane. Informacje te muszą być dobrze strzeżone, w sposób, który daje Ci pewność, że tylko Ty masz do nich dostęp. Tak, wiem – w dzisiejszych czasach, gdy wszystko wokół wymaga poświadczeń i skomplikowanych haseł, ogarnięcie tego wydaje się być niemożliwe. Jednak, aby zapanować nad tym wszystkim, wystarczy użyć odpowiedniej technologii i rozwiązań. Możesz skorzystać np. z:

  • tzw. sejfów haseł (np.: bezpłatnego KeePass, lub płatnych w rodzaju: LastPass Premium, 1Password, Password Manager Pro, Dashlane Premium, Passwort Safe 7, Password Manager, Key Premium, Password Manager 20),
  • chmurowych usług zarządzania tożsamościami i dostępem w rodzaju Azure Active Directory, która jest częścią usługi oferowanej przez Office 365 i Microsoft 365 (zapewne Twój dostawca chmury udostępnia analogiczną usługę).

Potwierdzaj, że to Ty.

Nigdy nie powinieneś zakładać, że Twoje dane uwierzytelniające nie zostały skompromitowane. Nawet, jeżeli uczciwie i każdorazowo stosujesz się do zasad z dwóch poprzednich punktów. Hasło mogło zostać odgadnięte, wyłudzone, odczytane,  skradzione przez złośliwe oprogramowanie, użyte w mniej bezpiecznych okolicznościach, itp., itd. Dlatego, bardzo ważne jest dodatkowe poświadczenie, że to właśnie Ty żądasz dostępu w danym momencie. Zaleca się stosowanie uwierzytelniania wielopoziomowego (MFA), najczęściej weryfikacji dwuetapowej (2FA). Dzięki MFA, użytkownik musi wprowadzić nie tylko hasło, ale również dodatkowy kod, np. przesłany do systemu innym kanałem komunikacji. Funkcję tę można np. zautomatyzować, aby zapewnić akceptowalny dla użytkownika poziom użyteczności (np. Google Authenticator). Może to być również kod generowany przez aplikację, SMS z PINem, klucz fizyczny, a nawet coś biometrycznego, jak odcisk palca. Rodzaj i forma są tutaj mniej ważne, więc możesz dobrać takie rozwiązanie, które będzie najlepiej sprawdzało się w Twojej sytuacji. Najważniejsza jest natomiast zasada ogólna, która mówi, że należy zapewnić dodatkową weryfikację. Hasło powinieneś traktować, jako coś, co znasz (ale może też poznać ktoś trzeci). Natomiast, Twój drugi czynnik, to coś, co masz. Takie rozdzielenie sposobu poświadczenia powoduje, że nie wystarczy już odkrycie (np. podsłuchanie) jednego z tych elementów. Jeśli więc Twoje hasło zostało np. skradzione, napastnik nadal nie będzie w stanie zalogować się bez Twojej wiedzy.

Kontroluj przechowywanie informacji i zasobów

Uważaj gdzie trzymasz dane.

Kontroluj komu zezwalasz na przechowywanie (a więc i dostęp) zasobów. Niezależnie, czy korzystasz z usług hostingu, kolokujesz własny serwer, polubiłeś cloud computing. W dzisiejszych czasach jest mnóstwo elementów każdego biznesu, które wykorzystują jakieś zewnętrzne zasoby sieciowe i sprzętowe. Outsourcing usług (np. księgowych), wykorzystanie serwerów, dostęp do Sieci (zarówno stacjonarny, np. w biurze lub domu, ale również mobilny, czyli np. wszechobecne smartfony), udostępnianie materiałów (prezentacje, szablony umów, itd.), realizacja obowiązków prawnych i podatkowych i wiele, wiele innych. Każdy z takich elementów powinieneś traktować jako potencjalna dziura w Twoim systemie bezpieczeństwa. To bardzo realne zagrożenia, bo nie dość, że multum możliwości, to jeszcze brak bezpośredniej kontroli.

Jednak, wybór partnerów, którym możesz odrobinę (nigdy całkowicie i zawsze pod kontrolą!) zaufać, to jedno. Jednocześnie musisz zadbać o własną i przestrzeganą przez wszystkich politykę dostępu do takich zasobów. Możesz to osiągnąć np. ograniczając dostęp do zasobów wyłącznie dla użytkowników, korzystających z zarządzanego przez Ciebie urządzenia. Możesz też kontrolować, czy, komu i na jakich zasadach zezwalać na udostępnianie danych. Zalecanym rozwiązaniem jest zabezpieczenie plików, z podziałem na kilka poziomów dostępu. Zawsze powinieneś wychodzić z założenia, że nagle wszystkie zabezpieczenia znikną. Człowiek jest niedoskonały, zawsze może pomylić się, o samych urządzeniach nie wspominając – wszystko i w każdej chwili może się zepsuć. Przykłady? – bardzo proszę, pierwsze z brzegu:

  • ostatnia (styczeń 2020r.) wpadka Facebooka, z powodu której przez kilka godzin możliwy był dostęp do informacji o prawdziwych administratorach profili,
  • wyciek danych, związany z nieprzestrzeganiem regulacji RODO,
  • awaria hostingu, odkrycie kodów i ujawnienie poufnych informacji.

Reasumując, przede wszystkim współpracuj wyłącznie z partnerami, którzy zapewniają wysoki poziom bezpieczeństwa, we wszystkich aspektach i elementach Twojego biznesu. Np. w przypadku dostawcy hostingu wybierz takiego, który realizuje obowiązki RODO, z nawiązką.

Uruchom własną mini ‘drukarnię awaryjnych pieniędzy’.

Ludzie dzielą się na tych, którzy wykonują kopie zapasowe i na tych, którzy dopiero będą to robić. Banał, znany już chyba każdemu? W takim razie, poświęć proszę chwilę i zastanów się, co zrobisz w takiej sytuacji. Nagle, w ciągu dosłownie jednej sekundy, trwale i nieodwracalnie tracisz dostęp do wszystkich informacji i danych, ważnych dla Twojego biznesu. Wbrew pozorom i dosyć powszechnemu myśleniu życzeniowemu („może innym, nie mnie…”), takie sytuacje zdarzają się dosyć często i wcale nie muszą być wynikiem jakiejś katastrofy. Przykład takiego, faktycznego przypadku opisaliśmy m.in. w tym artykule. Jesteś całkowicie pewien, że będziesz mógł odzyskać wszystko, w 100% i na tyle szybko, aby biznes przetrwał, abyś nie stracił nawet złotówki?

Wyobraź sobie mniej ‘techniczną’ sytuację. Wskutek nieprzewidzianego zdarzenia, nagle tracisz wszystkie swoje pieniądze i aktywa. W takiej sytuacji, marzeniem byłoby mieć dostęp do swojej prywatnej drukarni pieniędzy, prawda? Nawet, jeśli pozwoliłaby ona ‘jedynie’ odzyskać utracone zasoby. Dokładnie tak samo działa prawidłowy system backup’ów :). A, to naprawdę, nie jest nic skomplikowanego – wystarczą odpowiednie zasoby, elementarna wiedza i garść chęci. Więcej na temat kopii zapasowych możesz przeczytać m.in. tutaj.

Klasyfikuj informacje i dokumenty, szyfruj te poufne.

bezpieczny-hosting

Powinieneś klasyfikować swoje treści i dokumenty, w zależności od ich charakteru. Nikt z zewnątrz nie zdecyduje za Ciebie, czy dana informacja ma charakter całkowicie jawny, a więc może zostać udostępniona bez żadnej kontroli, włącznie z zupełnie anonimowym odbiorcą. Czy też, nie jest jakąś wielką tajemnicą, ale nie powinna rozchodzić się bez jakiegokolwiek nadzoru. Albo, np. wskazane jest, aby przynajmniej została zachowana informacja o właścicielu (np. tzw. znak wodny, podpis elektroniczny, itp.). I, oczywiście, wszelkie informacje lub dane, którą mogą trafiać wyłącznie do wskazanych odbiorców. A więc, wymagany będzie dostęp częściowo lub całkowicie kontrolowany.

Dlaczego to jest tak ważne? Zawsze musisz zakładać, że jednak będzie miał miejsce nieuprawniony dostęp do jakiegoś zasobu (jak w przykładach dwa punkty powyżej). W takim przypadku nie wystarczy już kontrola dostępu na poziomie samego systemu, a więc zamieszczone w nim informacje po prostu wyciekną. Dobrze więc mieć jeszcze ‘ostatnią deskę ratunku’, w postaci zabezpieczenia na samym nośniku informacji. W szczególności dotyczy to tych newralgicznych informacji, poufnych lub wrażliwych. Przy tej okazji wspomnijmy o jeszcze jednej, bardzo częstej sytuacji. Na co dzień większość z nas o tym nie myśli, nie pamięta, czy nawet nie wie. Otóż, cała poczta elektroniczna, jeśli tylko nie jest wymuszone szyfrowanie, przechodzi przez wiele serwerów i sieci w postaci otwartego tekstu. Wierz mi, niewiele jest tak łatwych rzeczy, jak podsłuchanie takiej transmisji.

Wbrew pozorom, nawet tak prozaiczne ‘zabezpieczenie’, jak oznaczenie dokumentu klauzulą ‘poufne’, czasami może okazać się skuteczne. Pomijając bowiem problem przestępczości, w wielu sytuacjach dochodzi do przypadkowego ujawnienia informacji. Spora część osób zachowa się w takiej sytuacji uczciwie, nie dołoży ręki do dalszej propagacji, czy wręcz usunie plik i/lub poinformuje właściciela. Tylko musi wiedzieć, że ta konkretna informacja nie jest przeznaczona dla szerokiego kręgu odbiorców.

No ok, ale jak to wszystko ogarnąć, jak sobie pomóc? Tutaj również z pomocą przychodzi technologia, oto kilka przykładów:

  • Możesz skorzystać z rozwiązań do współpracy grupowej (groupware), jeśli chcesz zapanować nad obiegiem informacji wewnątrz swoich struktur. Z pocztą Servizza otrzymujesz bezpłatnie potężne rozwiązanie.
  • Systemy klasy ERP, CRM, HRM, czyli aplikacje, które pomogą Ci zarządzać wieloma aspektami działania organizacji. Możliwość bezpłatnego ich instalowania otrzymujesz wraz z każdym pakietem hostingu Servizza.
  • Procesy komunikacji z otoczeniem (np. z klientami, kontrahentami) możesz w dużej mierze zautomatyzować i kontrolować, uruchamiając własny system help-desk.
  • Możesz w każdej chwili – i również bezpłatnie – poszerzyć funkcjonalność hostingu o dowolne elementy chmury.
  • Szyfrowany dostęp do strony i wszelkich zasobów online możesz zapewnić – w tym, nadal bez dodatkowych kosztów – używając certyfikatów bezpłatnych i/lub komercyjnych.
  • Możesz szyfrować wiadomości e-mail – tak, również bezpłatnie 🙂 – używając np. wbudowanego GnuPG.

Myśl i nie ufaj – nikomu, ani niczemu

W dzisiejszej rzeczywistości, praktycznie nikt nie działa w odosobnieniu. Niezależnie, czy zatrudniasz setki współpracowników, czy jesteś jedynym ‘pasażerem statku’, np. freelancerem. Konsekwencje spadną niestety na Ciebie, jeśli dojdzie do jakiegoś nieszczęścia, więc to Ty musisz zadbać o zabezpieczenia, nikt inny. A niestety narażony jesteś z wielu stron, np.:

Zarządzaj swoimi urządzeniami.

ochrona-zasobow

Dane firmowe powinny być przechowywane tylko na takich urządzeniach, które są zarządzane i kontrolowane przez Twoją firmę. I chodzi tutaj zarówno o sprzęt (komputery i laptopy, tablety i smartfony, serwery i urządzenia sieciowe, itd.), jak również oprogramowanie (systemy operacyjne, programy, itd.). W większych strukturach istnieją specjalne systemy, procedury i zaplecze (ludzkie i techniczne), ale dobrym pomysłem jest przynajmniej stworzenie rejestru takich urządzeń. Gdy już będziesz dysponował pełną i dokładną listą, o wiele łatwiej będzie Ci opracować zasady dostępu i zakres wykorzystywania. Dokładnie przemyśl kto/co, w jaki sposób, na jakich zasadach, w jakich warunkach i jakim czasie może mieć dostęp do każdego z tych urządzeń. Weź również pod uwagę, że zazwyczaj współpracownik nie powinien mieć dostępu do pewnych zasobów z prywatnego urządzenia (np. własnego laptopa lub komórki). Nie zapomnij też o opracowaniu (i przestrzeganiu!) zasad zakończenia lub odbioru dostępu. Sfrustrowani lub źli byli współpracownicy, którzy postanowili narobić problemów, wykorzystując (już) nieuprawniony dostęp, wcale nie są rzadkością.

Szyfrowanie urządzeń, plików, katalogów

Zapewne Ty i/lub Twoi współpracownicy często podróżujecie, zarówno służbowo, jak i prywatnie. W większości przypadków, różne dane i informacje podróżują wówczas z Wami. W pełni zdasz sobie z tego sprawę, gdy pomyślisz, że przecież nie trzeba mieć ze sobą np. laptopa, dzisiaj wystarczy jakiekolwiek urządzenie mobilne lub pendrive. Gdziekolwiek poufne dane są przechowywane (dyski wewnętrzne, pamięci przenośne, etc.), należy je chronić przed nieautoryzowanym dostępem.

Chcąc uchronić się przed nieautoryzowanym dostępem, powinieneś szyfrować wszelkie nośniki, dyski, pamięci USB, karty pamięci, itp., albo wskazane pliki lub foldery. Nie zapomnij o żadnym z urządzeń, aby nie pozostawiać dziury w systemie. Notebooki, tablety, smartfony, itp., czyli wszelkie urządzenia, które pozwalają na przechowywanie poufnych informacji i/lub mają jakiś system operacyjny (Windows, iOS, Android, Linux, itd.) i/lub mają dostęp sieciowy do Twoich informacji. W Sieci można znaleźć co najmniej kilka ciekawych rozwiązań bezpłatnych i wiele komercyjnych. Wystarczy wspomóc się wyszukiwarką, wpisując hasła w rodzaju: VeraCrypt, Gpg4win, BoxCryptor, WinMend Folder Hidden, CloudFogger, AxCrypt, 7-Zip.

Na bieżąco aktualizuj urządzenia i aplikacje.

Niestety, bardzo powszechne zaniedbanie. Ileż to razy zapewne słyszałeś opinie w rodzaju „ach, jaki ten Windows dziurawy”, „najczęściej włamują się do WordPressa”, itp. Szkoda jedynie, że wówczas rzadko dodaje się pokreślenie, iż w zdecydowanej większości takich przypadków wina leży głównie/wyłącznie po stronie użytkowników, a nie oprogramowania. Chyba najczęstszym grzechem jest podejście ‘uruchom i zapomnij’. Jakoś rzadko przychodzi tutaj refleksja, że zazwyczaj jest tak, jak np. z samochodem. W końcu stanie, jeśli nie będziesz o niego dbał na bieżąco.

Powinieneś więc zrobić, co tylko w Twojej mocy, aby ograniczać dostęp do przestarzałych urządzeń i/lub oprogramowania. Dodatkowo możesz ustalić zasady i wymusić aktualizacje oprogramowania na bieżąco.

Chroń przed szkodliwym oprogramowaniem

Złośliwe oprogramowanie, czyli wirusy, programy szpiegujące, itp., mogą narobić więcej szkód, niż ‘ręczne’ działanie. Powinieneś więc korzystać z zawsze aktualnego oprogramowania antywirusowego i anty-malware. Tego typu rozwiązania wykrywają i zapobiegają działaniom większości wirusów komputerowych, rootkitów, robaków, zero-day, ransomware, itp. Pomogą Ci również uchronić się przed zagrożeniami w e-mailach oraz linkami do niebezpiecznych stron.

Oczywiście, nie istnieje super oprogramowanie, które zabezpieczy Cię przed wszystkimi zagrożeniami. Weź pod uwagę, że złośliwe pułapki powstają w zatrważającym tempie i jest to po prostu nieustanna walka. Niemniej jednak to, co możesz zrobić, zależy wyłącznie od Ciebie. Powinieneś więc zadbać o bieżące aktualizacje, zarówno samego oprogramowania, ale też baz zagrożeń, które zazwyczaj takie rozwiązania dostarcza w komplecie. No i… myśleć, myśleć, myśleć. Nigdy nie klikaj w nieznane linki, zawsze sprawdzaj, czy dany link prowadzi do strony, której spodziewasz się, nie otwieraj nieznanych załączników, itd. Tzw. phishing, czyli próba podszycia się pod kogoś/coś innego w celu wyłudzenia poufnych informacji, zainfekowania, czy też nakłonienia ofiary do określonych działań, jest jedną z najczęstszych form ataku. Niestety, jak życie pokazuje, bardzo skuteczną (zobacz przykład, jeden z milionów…).

Nie szastaj przywilejami.

W sytuacji, w której udostępniasz komuś jakieś konto dostępowe, powinieneś zawsze, z góry stosować zasadę ‘jak najmniej przywilejów’. Oznacza to dawanie użytkownikom najniższego możliwego poziomu uprawnień, jaki wymagany jest do zrealizowania konkretnego zadania. Dzięki temu, jeśli taki użytkownik np. stanie się ofiarą phishingu, potencjalne szkody będą mniejsze. Niestety, często nadaje się uprawnienia nadmiarowo, na wszelki wypadek, bo nie ma czasu, bo mogą być potrzebne przy innej okazji, itd. To nie jest dobry sposób, ponieważ ew. szkody będą znacznie dotkliwsze, niż świadome zarządzanie poziomami dostępu.

Jeśli natomiast, masz potrzebę nadania komuś uprawnień administracyjnych do jakiegoś systemu lub zasobu, zawsze staraj się dodatkowo zabezpieczyć. Ponadto, żadne konto uprzywilejowane nie powinno być powiązane z żadną konkretną osobą. Pilnuj stosowania zasady, że każdy użytkownik na co dzień korzysta z konta o niższym (zwykłym) poziomie uprawnień, a jedynie chwilowo może przełączyć się na uprawnienia wyższego poziomu. Natychmiast po zakończeniu wymaganych zadań, powinien powrócić do podstawowego poziomu. I jeszcze jedno: zadbaj o rozliczalność takich dostępów. Chodzi o to, aby dany system rejestrował i zachowywał dzienniki zdarzeń (logi systemowe), abyś w razie potrzeby był w stanie zweryfikować kto, co i kiedy.

Szkol, uświadamiaj, tłumacz, edukuj…

Jedną z najważniejszych rzeczy, jaką możesz zrobić dla poprawy poziomu bezpieczeństwa, to edukacja nie tylko własna, ale również wszystkich swoich współpracowników. W każdym, nawet najdoskonalszym systemie, zazwyczaj najsłabszym ogniwem jest niestety człowiek. Zabieganie, mnogość obowiązków, przemęczenie, wszyte w naturę lenistwo i/lub naturalna skłonność do szukania najłatwiejszego/najszybszego rozwiązania, brak świadomości, odruchy obronne mózgu, nieuwaga, czy zapominanie, to tylko niektóre z najczęstszych przyczyn podatności. Najskuteczniejsi włamywacze, poza wiedzą techniczną na odpowiednim poziomie, zazwyczaj są również dobrymi znawcami słabości ludzkiej natury. Doskonale wiedzą, że często łatwiej pokonać barierę w postaci człowieka, niż coraz skuteczniejszych systemów. Dlatego też, w Twoim żywotnym interesie jest, aby utrzymywać odpowiedni poziom wiedzy, świadomości i zaangażowania wśród wszystkich współpracowników.

Opracuj politykę bezpieczeństwa.

polityka-bezpieczenstwa

Mam nadzieję, że przekonałeś się już, iż każda, nawet najmniejsza organizacja musi chronić i kontrolować ważne dla siebie dane i informacje. Problem w tym, że wiesz to tylko Ty, w dodatku łatwo będziesz o tym zapominał, w ferworze codzienności. Dlatego też, wszystkie elementy Twojego systemu bezpieczeństwa, powinny zostać zawarte w dokumencie. Wraz z jednoznaczną nazwą, np. ‘Polityka bezpieczeństwa firmy X’. To nie musi, a wręcz nie powinno być żadne ogromne opracowanie, maksymalnie kilka stron A4. Ważne jest, aby polityka uchwyciła zarówno wymagania biznesowe, jak i rzeczywistość, w której działa Twoja organizacja. Ma to być forma ściągawki, do której będzie mogła w razie potrzeby sięgnąć każda osoba, mająca wpływ na Twój biznes.

Utrzymuj świadomość użytkownika.

Twoi współpracownicy muszą być poinformowani i świadomi obowiązującej polityki bezpieczeństwa informacji. Powinni umieć przetwarzać i udostępniać informacje, w zależności od klasyfikacji i rodzaju systemu oraz dostępnych narzędzi. Jednak podstawy, to jedno, więc powinieneś zapewnić im ciągłą edukację, szczególnie w tematyce związanej z nowymi zagrożeniami w zakresie bezpieczeństwa. Nie wystarczy tutaj wysłanie np. jednego maila, raz na rok. Wszyscy muszą rozumieć ryzyko i umieć rozpoznawać symptomy potencjalnych naruszeń. Musisz dokładnie wyjaśnić dlaczego ta kwestia jest tak ważna dla organizacji i jakie mogą być konsekwencje naruszenia bezpieczeństwa. Zakładam, że wszyscy mają być zainteresowani wspólnym sukcesem, a więc bezpieczeństwo powinno stać się dla nich równie ważne, jak własna przyszłość.

W żadnym wypadku nie karz, najlepiej nagradzaj.

Zbuduj taki system, aby Twoi współpracownicy chętnie szukali Twojego wsparcia, gdy zauważą lub choćby podejrzewają, że mógł zostać naruszony system bezpieczeństwa. W żadnym wypadku nie karz użytkowników, jeśli zostanie naruszone bezpieczeństwo, nawet, jeśli są temu całkowicie winni. Jest to bardzo ważne z kilku powodów, nie chcesz przecież, aby ktokolwiek:

  • został zniechęcony, czy wręcz obawiał się zgłaszania incydentów w przyszłości,
  • utrudniał jak najszybszą reakcję na incydent (zmiany haseł, poszukiwanie złośliwego oprogramowania, minimalizacja strat, itd.),
  • czy, z drugiej strony, bał się, że marnotrawi zbyt wiele czasu i energii na analizę wszystkich potencjalnych zagrożeń.

De facto, na dłuższą metę, takie zachowania przysporzą Ci więcej szkody, strat i kolejnych zagrożeń. Lepiej doprowadzić do sytuacji, w której wszyscy mają wspólny cel i jasność zasad. Mają interes w tym, aby wspólnie wiosłować w tym samym kierunku. Czego serdecznie Ci życzę! 🙂

Podsumowanie

Jak chronić swój biznes przed atakiem? Podstawowe informacje dla MŚP. Artykuł pomoże Ci opracować swoiste ABC postępowania i zachowań, aby zminimalizować zagrożenia atakiem. Zweryfikować lub zwrócić uwagę na elementarne działania w tym zakresie. Celem ataków nie są już bowiem, jedynie znane korporacje i osoby. W 2019r. realnie zagrożonych zostało ponad 55% mniejszych przedsięwzięć.

Polub proszę nasz FanPage, abyśmy mieli szansę Cię poinformować o nowych publikacjach :).

Potrzebujesz dodatkowej pomocy lub porady? Serdecznie zapraszamy na naszego bloga, do naszego Działu Pomocy lub do kontaktu z Pomocą Techniczną.

stefan-servinski-servizza

Servizza Team, przy wsparciu Stefana 

1 Pełny raport dostępny na stronie: https://enterprise.verizon.com/resources/reports/dbir/
2 Podsumowanie dostępne na stronie: https://www.ncsc.gov.uk/blog-post/passwords-passwords-everywhere  
3 Jeśli na tej liście widzisz swoje hasło, powinieneś je natychmiast zmienić: https://www.ncsc.gov.uk/static-assets/documents/PwnedPasswordsTop100k.txt