2018 rok niedawno się rozpoczął, jednak cyberprzestępcy już zdążyli sporo namieszać.
W styczniu niejednokrotnie wystawiali na próbę Noworoczne postanowienia administratorów i użytkowników firmowych sieci.
My natomiast wierzymy, że nigdy nie jest za późno na wdrożenie dobrych praktyk w dziedzinie bezpieczeństwa i pozbycie się złych przyzwyczajeń. Dzięki współpracy z firmą WatchGuard przygotowaliśmy dla Was listę dobrych codziennych zachowań. Dedykujemy ją administratorom, ale również każdemu użytkownikowi komputera – w codziennej pracy i w domu.
Bezpieczeństwo – dobre praktyki dla administratorów sieci
#1 Wprowadź uwierzytelnianie wielopoziomwe w całym przedsiębiorstwie (MFA-multifactor authentication).
Twoi pracownicy prawdopodobnie nie dobierają haseł właściwie, albo co gorsze – stosują te same hasła dostępowe w pracy oraz do prywatnych kont mailowych lub społecznościowych. Jest to oczywiście typowy powód wycieku danych. MFA może okazać się tutaj wyjściem z sytuacji. Jeszcze kilka lat wstecz to rozwiązanie było dość drogie i trudne w obsłudze, jednak od tego czasu wiele się zmieniło. Jako administrator powinieneś poważnie rozważyć wdrożenie u siebie tego pomysłu w całym przedsiębiorstwie, by zabezpieczyć hasła dostępowe do kluczowych maszyn, logowań, aplikacji chmurowych, VPN-ów oraz wielu innych.
#2 Stwórz i przetestuj plan utrzymujący ciągłość pracy przedsiębiorstwa oraz Disaster Recovery(BC/DR).
Może wydawać Ci się to dziwne i kuriozalne, że poświęcasz bardzo dużo czasu i wysiłku na plan bezpieczeństwa, którego i tak nigdy nie użyjesz… To błędne myślenie, przez które wielu przedsiębiorców straciło miliony dolarów, poświęcając ogrom czasu i zmagając się z atakami takimi jak ransomware.
Jeśli przypadkiem prowadzisz sieć w szpitalu, taki atak nie tylko może kosztować w sensie finansowym, ale również może być zagrożeniem życia. Jasne jest to, że backupy to istotna część tego planu. Oprócz danych pracowników, nie zapomnij w nim uwzględnić także kluczowych maszyn, działających usług lokalnych i chmurowych. Na koniec wykonaj test i oblicz jak dużo czasu zajmie Ci przywrócenie sprawności działania firmy w razie w/w ataku.
#3 Rób regularne szkolenia uświadamiające użytkowników. Wielu administratorów uważa, że nie da się załatać głupoty użytkownika, ale nie jest to do końca prawdą. Edukacja userów może stać się właśnie taką łatką. Szkolenia jak za sprawą magicznej różdżki nie sprawią, że nasi pracownicy staną się idealni i będą działać jak najlepsze systemy bezpieczeństwa, zawsze podejmując słuszne decyzje. Sprawią natomiast, że będą podejmować zdecydowanie mniej błędnych – a co za tym idzie – szkodliwych dla przedsiębiorstwa decyzji. Wynikiem będzie mniejsza liczba incydentów, którymi będzie musiał zająć się administrator. Nie zapominaj że obrona w postaci technologii jest niezbędna, ale to user jest zawsze najsłabszym ogniwem – uświadamianie i edukacja może w dużym stopniu złagodzić ryzyko infekcji.
#4 Nie daj się wciągnąć w „cyber-ustawodawstwo”. Cyberbezpieczeństwo jest ostatnio na topie. Od „zwykłego” hakowania, przez włamania czy też wykorzystanie podatności, do coraz bardziej popularnych IoT (Internet of Things ). Prawnicy we wszystkich krajach starają się ujednolicić i stworzyć nowe regulacje, które mają sobie radzić z tymi zagrożeniami. Jednak należy pamiętać, że prawnik nie jest ekspertem w dziedzinie bezpieczeństwa sieci. Ty natomiast tak. Posiadaj swój własny głos i bierz udział w rozmowach dzieląc się swoimi własnymi doświadczeniami, gdziekolwiek jest to możliwe.
#5 Nie planuj ochrony swojej firmy indywidualnie. Cała firma jest zależna od polityk bezpieczeństwa ustanowionych przez IT. Od ukierunkowanych ataków również. Dyrektor czy też główny menedżer z przyjemnością weźmie udział w elementach tworzenia ochrony, jeżeli tylko dowie się, że takowy atak może kosztować go utratę pracy. Osoby na stanowiskach kierowników działów wiedzą więcej o kluczowych plikach i operacjach wykonywanych we własnych strukturach. Znają również ryzyko wynikające z utraty płynności tych danych. Ty natomiast uzyskasz istotne informacje wpuszczając kierowników do tworzenia swojego planu ochrony. Co za tym idzie? Zwiększasz swoje szanse na uzyskanie od nich wsparcia finansowego do zakupu niezbędnych rozwiązań bezpieczeństwa.
#6 Nie skupiaj się wyłącznie na prewencji zagrożeń. Większość profesjonalistów inwestuje dużą część swojego budżetu w rzeczy, które mają za zadanie zabezpieczyć przed atakami. Ty oczywiście jak najbardziej potrzebujesz część wydatków przeznaczyć i na te technologie. Smutna prawda jest taka, że nawet najbardziej wyrafinowane – i najdroższe – technologie, nie zabezpieczą w 100% przed wszystkimi atakami. Dlatego warto tak wybalastować budżet, by znaleźć środki również na technologie, które odnajdą zagrożenie będące już w sieci.
#7 Nigdy nie popadaj w samozadowolenie albo samo zniechęcenie. Żyjemy w świecie, gdzie informacje o coraz to nowych atakach czy też wyciekach, docierają do nas na każdym kroku. Łatwo się poddać, gdy słyszysz o nieskończonych problemach, które mogą okazać się krytyczne. Niebo nie spadnie nam na głowę. I nawet jeśli wiadomości wydadzą Ci się zbyt przytłaczające, pracuj nad tym by utrzymać czujność i wiedzę na temat najnowszych problemów i zagrożeń związanych z bezpieczeństwem.
Dobre praktyki dla codziennego użytkownika komputera
#1 Używaj darmowych rozwiązań do podwójnej autoryzacji (2FA) gdzie tylko jest to możliwe. Hasła mogą stanowić problem i wielu użytkowników stosuje je nieprawidłowo. Najlepszym rozwiązaniem jest stosowanie podwójnej autoryzacji. Większość najpopularniejszych stron czy serwisów chmurowych oferuje takowe 2FA rozwiązania w swoich usługach za darmo. Nie powinno więc to być wymówką by ich nie stosować.
#2 Używaj menadżera haseł. 2FA to najlepsza opcja, ale jeżeli strona nie oferuje takiego rozwiązania, powinieneś zastosować praktykę poprawnego silnego hasła. Zapamiętanie kilkudziesięcio-bitowego, losowego hasła może być trudne (praktycznie niemożliwe). Zastosowanie menadżera haseł będzie tutaj strzałem w dziesiątkę. W niektórych przypadkach menadżer haseł jest wbudowany w Twój system operacyjny. Używaj go.
#3 Zainwestuj w ochronę bezpieczeństwa – czy to hardware czy to software, nie ważne z jakich systemów korzystasz. Używanie komputera bez oprogramowania zabezpieczającego, jest jak pływanie w kanale ściekowym z otwartą raną. Infekcja murowana. Jeżeli jesteś użytkownikiem Windows, to na pewno już do tego faktu przywykłeś. Nie zapomnij że MacOS oraz platformy Android również wymagają odpowiedniej ochrony.
#4 Rób regularnie Backup. Jasne, wielu z was mówi, że robi…. Ale czy robi go serio i poprawnie? Pomyślmy, jeżeli każdy robiłby backup swojego systemu poprawnie, to czy ransomware miałby prawo bytu? Ok, jeśli już robisz backup, kiedykolwiek go testowałeś czy działa, czy da się odzyskać dane? Upewnij się ze backupowane dane są poprawnie i jest do nich dostęp. W innym wypadku marnujesz czas i swoje zasoby.
#5 Pobieraj i aktualizuj swoje systemy regularnie. Dla użytkowników domowych, zalecam wybranie i ustawienie opcji automatycznej aktualizacji w swoim OS. Chociaż istnieją wybrane przypadki, że lepiej się wstrzymać z niektórymi aktualizacjami, bo mogą one zaszkodzić. Powiem tak. Wolę radzić sobie z tymi skrajnymi sytuacjami niż z komputerem, który ma 2-letni i nieaktualny system oraz 2-letnie braki w łataniu podatności na infekcje.
#6 Nie dokonuj wpłat bankowych opierając się na wiadomości w SMS-ach czy też w mailach. Ostatnio nasilają się maile phishingowe i wiadomości SMS, w których widnieje prośba o wysłanie natychmiast przelewu na podane konto bankowe. Normalnie nikt by tego nie uczynił, ale jeżeli takie maile czy też SMS przychodzą bezpośrednio od Twojego przełożonego lub prezesa, kto nie wykona takiego bezpośredniego polecenia. Należy mieć na uwadze, że może to być phishing. Dobrą techniką jest poprosić o weryfikacje takowej prośby wykonania przelewu inna drogą komunikacji. Proszę mi wierzyć – takie zachowanie nigdy nie zostanie odebrane jako niewykonanie polecenia, ale jako dbanie o dobro firmy.
#7 Nie klikaj we wszystko co się świeci. Zapewne widzisz sporo maili albo linków w mediach społecznościowych. Tak? Ja też. Ale czy na pewno potrzebujesz w nie kliknąć? Najlepszą techniką będzie unikanie niepotrzebnych kliknięć we wszystkie linki z nieznanych źródeł, które wysyłają na stronę ze „skaczącym kotkiem”. Lepiej jest odwiedzić stronę bezpośrednio, albo jeżeli już musisz kliknąć to sprawdź najpierw link. A jeżeli link jest skrótowy, użyj odpowiednich narzędzi aby wyświetlić link w pełnej formie.
#8 Nie łącz się z publicznymi albo otwartymi sieciami bez odpowiedniej ochrony. Zapoznaj się z powyższymi krokami i je zastosuj. Jeżeli już musisz skorzystać z sieci publicznej, zawsze pamiętaj o VPN.
#9 Nie wierz w to, że dobre rzeczy są za darmo. Istnieje wiele aplikacji oraz narzędzi, które możesz znaleźć w sieci, kuszące hasłem „FREE”. W najlepszym wypadku, większość z nich zawiera jedynie reklamy lub programy szpiegujące. W najgorszym – mogą poważnie zainfekować Twój komputer. Nie zapominajmy o fakcie, że niektóre opensourcowe aplikacje są dobre, ale pomyśl dwa razy zanim klikniesz w coś, co jest „FREE”.
#10 Nie pozostawiaj swojego komputera otwartego publicznie. Czasami może się to skończyć tylko śmiesznym żartem kolegów z biura lub zmienieniem tapety na.. niewłaściwą 😉 Czasem jednak może mieć to dużo poważniejsze konsekwencje. Dobrą praktyką jest używać lock screena lub ustawić czas auto lock na jakiś bardzo krótki czas (kilka minut).
Nie ważne czy jesteś użytkownikiem domowym, czy administratorem dużej sieci. Mam nadzieje, że zastosowanie tych kilku prostych porad uchroni Cię przed niepotrzebnymi infekcjami. Oraz w jakiś stopniu sprawi, ze rok 2018 będzie bezpieczniejszy.
Redaktorka Net Complex Blog
