Gwóźdź do trumny bezpieczeństwa IT w przykładach.

Czyli najczęściej popełniane błędy, które mają bezpośredni wpływ na bezpieczeństwo IT w naszej firmie. Każdy z nas w większości zna zasady, według których powinniśmy działać w środowisku IT, lecz teoria jednym a prakty(cz)ka czymś zupełnie innym.

 

Błędy popełniane przez pracowników:

 

  1. Nieblokowanie ekranu systemu

Ten konkretny przypadek dotyczy sytuacji, kiedy kończymy lub zawieszamy naszą pracę (PC/laptop/smartphone lub każde inne urządzenie) i pozostawiamy nasze urządzenie całkowicie dostępne dla każdego. Jest to dość krytyczny błąd ze względu na dużą liczbę urządzeń, które np. są zabierane w podróż służbową i mogą być w naturalny sposób narażone na wyciek danych. Należy pamiętać o zablokowaniu urządzenia, na którym pracujemy w każdej sytuacji, w której nie mamy nad nim fizycznej kontroli!

 

  1. Zapisywanie haseł

Zapisywanie haseł w formie jawnej, jest jednym z najniebezpieczniejszych sposobów przechowywania haseł. Problem dotyczy nie tylko dość ciągle popularnego – niestety – zapisywania haseł na np. przylepianych karteczkach. Nie należy zapisywać nigdzie haseł włącznie z np. plikami na dysku (nie szyfrowanym). Jednymi z zalecanych a jednoczenie najbezpieczniejszych form przechowywania haseł są np.: aplikacje typu banki haseł (przy wyborze należy się kierować stosowanymi algorytmami szyfrowania oraz informacją czy w przeszłości były wycieki danych), zapisywanie danych na szyfrowanym dysku, zapisywanie w szyfrowanym wolumenie (np. może być to przestrzeń szyfrowana na nie szyfrowanym dysku). Mimo zebranych powyżej metod zaleca się zapamiętywanie i nie spisywanie nigdzie haseł do kluczowych systemów jak np.: bank, systemy księgowe, systemy ERP itp.

 

  1. Używanie popularnych haseł

Stosowanie popularnych lub prostych haseł jest częstą domeną większości użytkowników głównie spowodowaną niechęcią zapamiętywania nowych złożonych haseł oraz brakiem podstawowej wiedzy w  dziedzinie bezpieczeństwa IT, stosowanie argumentacji typu: mnie nikt nie zaatakuje, przecież nie mam nic cennego w swoich zasobach. To, że osoba fizyczna nie ma nic cennego dla potencjalnego złodzieja danych nie oznacza że firma, w której pracuje nie jest potencjalnym celem ataku. Należy stosować możliwie złożone i nietrywialne hasła, jak np. *#E2p1Ec2Enstwo1T* (powyższe hasło zostało przekształcone z wyrazu „bezpieczeństwoIT”, rodzaj zastosowanych przekształceń: i->1, e->E, z->2, b->#, *dodanie*). Każdy może dowolnie skomponować swoje modyfikacje, które pozwolą na stworzenie nietrywialnego hasła, należy pamiętać o tym, że słowo bazowe musi zostać gruntownie zmodyfikowane. Powyższa metoda jest jedną z wielu, dzięki którym łatwiej utworzyć i zapamiętać skomplikowane hasło.

 

  1. Dzielenie się ważnymi informacjami z innymi

Częstym przejawem dużego zaufania do postronnych osób jest dzielenie się informacjami, którymi z nikim nie powinniśmy się dzielić jak np.: danymi do logowania, adresami systemów wewnętrznych, rodzajem oraz wersją stosowanego oprogramowania, zabezpieczeniami fizycznymi stosowanymi w firmie itd. Jest to najwrażliwsze ogniwo w łańcuchu stosowanych zabezpieczeń ponieważ jest ukierunkowane w najsłabszy element całej infrastruktury IT, czyli w „organizm białkowy”. Kategorycznie zaleca się potwierdzenie tożsamości (oraz uprawnień) rozmówcy przed udzielaniem jakichkolwiek informacji, które mogą mieć wpływ na bezpieczeństwo IT organizacji. Zaleca się nie podawanie nikomu danych krytycznych takich jak dane do logowania (nawet działowi IT w firmie).

 

  1. Korzystanie z prywatnego sprzętu w miejscu pracy

Wykorzystywanie prywatnego sprzętu do realizacji służbowych celów lub odwrotnie jest częstą praktyką stosowaną przez pracowników w wielu firmach. Głównym zagrożeniem, jakie za sobą niesie takie działanie jest możliwość przeniesienia potencjalnej infekcji z jednego środowiska do drugiego. Samo prawdopodobieństwo zagrożenia typu np. wirus nie jest jeszcze czynnikiem krytycznym, lecz większość nawet złożonych infrastruktur IT nie jest przygotowana na ingerencję atakującego od wewnątrz np. atak botnet. Zaleca się nie wykorzystywania sprzętu służbowego w środowisku prywatnym (i odwrotnie).

 

  1. „Klikam w co popadnie”

Brak weryfikacji danych, które otrzymujmy z różnych źródeł, od linków w wiadomościach typu e-mail po załączniki przesyłane na forach społecznościowych. Co należy zweryfikować przed uruchomieniem czegokolwiek, co otrzymaliśmy od kogoś drogą elektroniczną? Podstawowe pytania to: czy znamy osobę, która przesłała nam wiadomość? Czy jest to zaufana dla nas osoba? Czy domena, z której została wysłana wiadomość jest wiarygodna? Czy link/załącznik ma poprawną składnię? Czy wiadomość została napisana poprawną polszczyzną? Itd. Jest wiele metod i sposobów weryfikacji powyższych pytań jak np.: kontakt z osobą inną ścieżką komunikacji, weryfikacja załącznika antywirusem (np. virustotal), podgląd linku w bezpiecznym środowisku (maszyna wirtualna), wiadomość od kuriera (nigdy nie klikamy w linki i załączniki, lecz kopiujemy nr przesyłki i samodzielnie przechodzimy na portal firmy kurierskiej!). Przede wszystkim przed jakimikolwiek działaniami należy zachować zdrowy rozsądek i spokojnie zapoznać się treścią przed podejmowaniem działania.

 

W kolejnych artykułach zostaną poruszone najczęstsze błędy popełniane prze kadrę menadżerską oraz dział IT. A jakie wy znacie najczęściej popełniane błędy przez użytkowników/szeregowych pracowników?

 

 

2017-12-04T12:21:24+00:00

Zostaw komentarz