3-6 minut

20 głównych grzechów firm i ich pracowników w zakresie cyberbezpieczeństwa

Mimo ogromnych wydatków na rozwiązania bezpieczeństwa, firmy wciąż padają ofiarami cyberataków. Niekiedy mają one bardzo poważne konsekwencje. Większość ekspertów potwierdza, najsłabszym ogniwem zabezpieczeń pozostaje wciąż człowiek. Wynika to z braku wiedzy pracowników o zagrożeniach, działania w pośpiechu, a czasem świadomym podejmowaniu czynności o podwyższonym ryzyku. Jak przeciwdziałać takim zjawiskom?

Z tego artykułu dowiesz się:

  1. JAKIE GRZECHY Z ZAKRESU BEZPIECZEŃSTWA IT NAJCZĘŚCIEJ POPEŁNIAJĄ FIRMY I ICH PRACOWNICY
  2. JAK PRZECIWDZIAŁAĆ NIEPRAWIDŁOWYM NAWYKOM PRACOWNIKÓW

Większość firm działa na zasadzie: „poza podstawową działalnością biznesową robimy tylko to, co musimy”. Świetnym przykładem takiego nastawienia są obowiązkowe szkolenia BHP. Muszą je przejść wszyscy, ponieważ jednak dla pracowników biurowych przedstawiają znikomą wartość, nie przykłada się do nich wielkiej wagi. Często podobnie jest z bezpieczeństwem IT. Pracowników nie szkoli się niekiedy nawet z podstawowych zasad korzystania z komputera, czy telefonu służbowego, który nierzadko też pełni funkcję komputera. Co więcej, nawet jeśli do takich szkoleń dochodzi, niektórzy pracownicy traktują je jako kolejną „wrzutę”, którą trzeba po prostu „zaliczyć”. Do pierwszego cyberincydentu, który dotknie ich personalnie w pracy lub w domu, jak np. zablokowanie komputera dla okupu przez ransomware.

Bezpieczeństwo IT – główne grzechy firmowe

Najczęściej firmy nie mają jednoznacznych procedur działania w momencie zaistnienia incydentu bezpieczeństwa IT. Takie zaniedbania, a także natura ludzka, która powoduje, że pewne rzeczy robimy dla wygody – nawet wbrew zasadom – prowadzą do szeregu „grzechów” zagrażających bezpieczeństwu firmowych systemów IT. Ich lista jest bardzo długa. Warto się z nią zapoznać, aby nauczyć się na błędach innych. Oto te najczęściej popełniane przez firmy i ich pracowników.

Grzechy firm:

  1. Brak jednoznacznej i wymuszonej polityki wprowadzania zmian w hasłach. Nawet, jeżeli takowa jest stosowana, to z reguły wystarczy podmienić jeden znak, np. cyfrę, aby – gdy system tego zażąda – i zmienić hasło. Zaleca się również wdrożenie czarnej listy popularnych haseł, takich jak np. 123456. Uniemożliwi to pracownikom ich używania.
  2. Brak szkoleń wprowadzających pracowników w świat ataków socjotechnicznych. Dlatego mogą oni np. stać się ofiarą podrzucenia pendrive’a z wirusem, otworzyć niebezpieczny załącznik lub przekazać dane dostępowe w efekcie rozmowy telefonicznej z – podszywającym się pod członka zarządu – cyberprzestępcą. Tego typu ataki są coraz częstsze.
  3. Brak procedur na wypadek różnego rodzaju cyberincydentów, jak np. wyciek danych, atak socjotechniczny, atak DDoS, infekcja stacji roboczych ransomware itd.
  4. Brak atencji w stosunku do urządzeń sieciowych innych niż komputery, np. firmowych drukarek.
  5. Niewystarczająca dbałość – typowy grzech administratorów – o aktualizowanie oprogramowania – aplikacji, systemów operacyjnych czy oprogramowania firmware.
  6. Udostępnianie poufnych plików przez publicznie dostępny, firmowy serwer WWW. Dane tymczasem mogą zostać zindeksowane przez Google i pojawić w wynikach wyszukiwania.
  7. Niedbałość o odpowiednią, zgodną ze standardami i dobrymi praktykami, konfigurację urządzeń podłączonych do sieci.
  8. Brak kontroli i monitoringu nad kontami użytkowników o podwyższonych uprawnieniach. Gdy takie konto należy do osoby z zewnątrz, warto mieć nagrane prowadzone – np. przez pracownika firmy oferującej usługi outsourcingu IT – sesje. Dzięki temu można sprawdzić, czym zajmowała się dana osoba. W niektórych branżach krytyczne jest systemowe kontrolowanie większości użytkowników. Dotyczy to np. deweloperów i administratorów w sektorze bankowym.
  9. Dostarczanie użytkownikom aplikacji bez wcześniejszych testów w zakresie bezpieczeństwa. Rzadko kiedy programiści dbają o dobrą jakość kodu źródłowego.
  10. Używanie na etapie tworzenia aplikacji i jej testów rzeczywistych danych produkcyjnych, np. osobowych. Powoduje to utratę kontroli nad tymi informacjami. Jest sprzeczne z regulacjami dotyczącymi ochrony danych osobowych.
  11. Brak odseparowanej sieci Wi-Fi dla gości.
  12. Brak polityki tworzenia i przechowywania kopii zapasowych, a w skrajnych przypadkach całkowity ich brak. Problemem może okazać się również zbyt krótki okres retencji danych.
  13. Częsty brak uregulowania kwestii bezpieczeństwa IT w umowach o współpracy z partnerami i zewnętrznymi dostawcami.
  14. Nieprowadzenie regularnych testów, które pozwoliłyby wyszukiwać luki w aplikacjach lub systemach bezpieczeństwa sieciowego. Warto pamiętać, że takie testy należy powtarzać przy okazji wprowadzenia nowej wersji aplikacji, nawet jeśli była ona już wcześniej testowana lub przy każdej znaczącej zmianie w architekturze zabezpieczeń.

 Grzechy pracowników:

  1. Przesyłanie na prywatne skrzynki pocztowe firmowych danych lub korzystanie z usług typu Dropbox do przesyłania wrażliwych, firmowych danych. Staje się to palącym problemem w kontekście wejścia w życie Rozporządzenia o Ochronie Danych Osobowych (RODO, eng. GDPR).
  2. Instalowanie gier (np. dla dziecka) na służbowych urządzeniach: smartfonie czy notebooku. Jest to szczególnie niebezpieczne, jeśli firma nie stosuje rozwiązań typu Mobile Device Management, ponieważ za bezpłatnymi aplikacjami nierzadko czai się szkodliwe oprogramowanie. Bywa też, że urządzenia mobilne są wykorzystywane do kopania kryptowalut.
  3. Niefrasobliwe przechowywanie danych dostępowych, aby mieć do nich szybki i wygodny dostęp. Naganne jest też przekazywanie własnych haseł innym pracownikom, np. tym, którzy zastępują nas w czasie urlopu.
  4. Lekkomyślne klikanie w linki zawarte w podejrzanych wiadomościach e-mail, na stronach www, aplikacjach, czy mediach społecznościowych, które prowadzą do nieznanych stron, często zawierających złośliwy kod.
  5. Brak szyfrowania danych na nośnikach, co może mieć fatalne konsekwencje w przypadku zgubienia lub kradzieży urządzenia. Jest to szczególnie istotne w przypadku kadry kierowniczej. Najlepiej, jeśli zaszyfrowane dyski będą mieli wszyscy pracownicy.
  6. Przesyłanie przez Internet, bez szyfrowania poufnych danych, np. bazy klientów, danych medycznych.

KILKA SŁÓW NA KONIEC

Rozwiązaniem wielu z wymienionych problemów i „grzechów” jest stosowanie monitoringu poszczególnych aspektów środowiska IT. Ważne jest też przeprowadzenie oceny, czy istniejące zabezpieczenia IT spełniają swoje zadania. Kompleksowym rozwiązaniem ewentualnych problemów z cyberbezpieczeństwem jest również skorzystanie z usług typu Security Operations Center. Wówczas zewnętrzny zespół specjalistów przejmie na siebie odpowiedzialność i zadania związane z zabezpieczeniem firmowego środowiska IT, w tym opracowanie polityk i procedur, czy stworzenie całościowej architektury systemów bezpieczeństwa IT Istotne jest to o tyle, że świat IT stał się tak skomplikowany, iż konieczna stała się specjalizacja w obszarze bezpieczeństwa teleinformatycznego. Zazwyczaj osoba zajmująca się administrowaniem systemami IT nie jest w stanie być jednocześnie ekspertem od cyberbezpieczeństwa.

Mobile Device Management

Ten artykuł dotyczy produktu

Mobile Device Management

Przejdź do produktu
Security Operations Center

Ten artykuł dotyczy produktu

Security Operations Center

Przejdź do produktu

Data publikacji: 28.05.2018

Wróć na stronę główną strefy wiedzy

powrót

Chcesz dostawać informacje o nowych wpisach?

Chcesz dostawać informacje o nowych wpisach?

Zostaw swój adres e-mail

Zapisz się do newslettera, żeby
dostawać inforamcje o nowych wpisach

Dziękujemy, dane zostały wysłane.
Wystąpił błąd, spróbuj ponownie później.

Dziękujemy za zapisanie się
do naszego newslettera

Może zainteresuje Cię również nasz profil na LinkedIn

Twoja przeglądarka jest nieaktualna

Może to powodować błędy w działaniu strony.
Zaktualizuj przeglądarkę, żeby poprawnie przeglądać naszą stronę.