Bezpieczeństwo: 10 błędów, za które płacą pracodawcy
Autorem artykułu jest Optimum PR
Eksperci od bezpieczeństwa informatycznego z Edge Solutions, ISCG i Kaspersky Lab opracowali listę 10 najczęściej spotykanych wpadek, których konsekwencje narażają pracodawców na największe straty.
Nieświadomość pracowników skutkuje powszechnymi błędami, które słono kosztują pracodawców. Zdaniem ekspertów to człowiek jest najsłabszym ogniwem systemów bezpieczeństwa informatycznego. Proste błędy, niezależnie od jakości zastosowanych zabezpieczeń, najbardziej narażają organizacje na straty finansowe i ryzyko utraty reputacji.
Listę 10 niepożądanych działań opracowały Edge Solutions, ISCG oraz Kaspersky Lab - firmy specjalizujące się w systemach zabezpieczeń sieci. audytach bezpieczeństwa informatycznego oraz doradztwie w zakresie ochrony reputacji i informacji przedsiębiorstw.
Spis błędów podzielono na dwie grupy: niepożądane działania pracowników oraz błędy managerów i administratorów, którzy winni czuwać nad bezpieczeństwem organizacji.
Błędy pracowników popełniane są najczęściej nieświadomie, w dobrej wierze. Użytkownicy sieci nie znają zagrożeń i wykazują się brakiem czujności. Główną przyczyną wpadek na tym polu jest niewłaściwie wdrożona polityką bezpieczeństwa pracodawcy, brak dostatecznej kontroli zachowania pracowników w czasie pracy oraz niedostatek szkoleń.
1. Otwieranie załączników e-mail
Użytkownicy Internetu wciąż są niedostatecznie uwrażliwieni na analizę otrzymywanych załączników do poczty elektronicznej pod kątem złośliwego oprogramowania. Dla cyberprzestępców e-mail to główne narzędzie do przeprowadzenia ataków. W poczcie poza podejrzanymi linkami mogą znaleźć się załączniki, których otwarcie prowadzi do zainfekowania komputera lub sieci. Najgroźniejsza jest poczta wygenerowana automatycznie wewnątrz przedsiębiorstwa, w wyniku infekcji jednego z komputerów pracowników. Taki mail od współpracownika z reguły nie wzbudza podejrzeń odbiorcy, który odruchowo może otworzyć załącznik.
2. Surfowanie na niebezpiecznych wodach
Oprogramowanie antywirusowe i firewall najczęściej skutecznie powstrzymuje złośliwe oprogramowanie, którym zainfekowane są przypadkowo odwiedzane strony internetowe. Jednak surfowanie po niebezpiecznych strefach zawsze zwiększa ryzyko ataku. Poza tym cyberprzestępcy wciąż szybko rozwijają ukradkowe techniki ataku określane mianem "drive-by-download", które wykorzystują luki w zabezpieczeniach przeglądarek internetowych (podatność na ataki ActiveX). W przypadku tego rodzaju ataków użytkownik może nawet nie wiedzieć, że pada ofiarą cyberprzestępców, a jego komputer jest zarażony.
3. Samowolne instalacje
Pliki do pobrania, które mają zainteresować Internautę, to drugi obok poczty główny obszar działań cyberprzestępców. Błędy pracowników polegają na samowolnym ściąganiu plików oraz instalacji aplikacji na komputerach biurowych. Przestępcy wiedzą, że jeśli uda się zastosować odpowiednie socjotechniki, podszywając złośliwe oprogramowanie pod pożądany plik lub np. e-usługę, wielu użytkowników samodzielnie wyda polecenie, by je pobrać i zainstalować. Nadają więc plikom odpowiednie "opakowanie": stronę, z której się je pobiera, opis, nazwę. To typowa koncepcja konia trojańskiego.
4. Jedno hasło do wszystkiego
Istnieją serwisy nastawione wyłącznie na pozyskanie haseł i loginów. Pozornie ciekawa strona, dostęp do treści tylko po zalogowaniu. Podajemy login, mail i hasło. A serwis bez wiedzy użytkownika sam sprawdza czy para login/hasło zadziała na jakimś innym portalu. Co więcej, nawet te "dobre" serwisy internetowe miewają luki, które pomagają przestępcom w pozyskaniu haseł użytkowników. Hasła te są następnie automatycznie sprawdzane na dziesiątkach innych portali i bardzo często okazuje się, że pasują one w innych miejscach, dając szansę na skuteczną kradzież tożsamości. Przeciętny użytkownik Internetu używa co najmniej kilkunastu usług wymagających uwierzytelnienia przy pomocy hasła. Jednym z powszechnych błędów jest używanie wszędzie tego samego lub bardzo podobnego hasła.
5. Zapisywanie haseł
Alternatywą dla stosowania identycznych lub podobnych haseł dostępu jest zapisywanie haseł, które są zróżnicowane. Jeżeli użytkownik nie zapisze tych danych w mądry sposób, naraża się na sytuację, w której ktoś przechwyci wszystkie hasła za jednym razem.
6. Łatwowierność i naiwność
Obecnie cyberprzestępcy stosują socjotechnikę, której ofiarą mają padać mniej uważni i nieświadomi użytkownicy. Terminem phishing określa się przypadki wyłudzania haseł lub informacji, zazwyczaj poprzez odpowiednio spreparowany e-mail, który przekonuje ofiarę do konkretnego działania. Łatwowierny użytkownik kierowany jest np. na serwis przypominający stronę banku lub urzędu, ewentualnie podaje informacje, o które prosi, jak się wydaje, zaufany nadawca poczty. Tego rodzaju błędy najczęściej popełniane są na gruncie nadmiernego zaufania wobec drugiej strony, a także z partykularnej chęci zysku.
7. Niewylogowanie
Wciąż użytkownikom sieci często zdarza się kończyć swoją aktywność w aplikacji bez wylogowania się a niej. Odejście od komputera w takiej sytuacji oznacza potencjalne ryzyko oddania dostępu do zasobów aplikacji osobom trzecim. Naraża też potencjalną ofiarę na kradzież jej tożsamości.
Błędy administratorów i managerów wynikają z zaniedbań, niewiedzy, rutyny lub też lekceważenia ryzyka. Mają one dotkliwsze konsekwencje i bardziej wystawiają przedsiębiorstwa na ryzyko strat. Co więcej, gdyby ich nie popełniano, z przedstawionej powyżej listy udałoby się wyeliminować wszystkie punkty.
1. Brak polityki bezpieczeństwa
Pomimo tego, że obecnie wszystkie firmy przetwarzają swoje strategiczne informacje w systemach informatycznych, wiele z nich ma kłopot z wdrażaniem wewnętrznej polityki bezpieczeństwa - jasnych zasad, które określają reguły dostępu do urządzeń infrastruktury IT oraz odpowiedzialność za naruszenie tych zasad. Brak takich zapisów rozmywa odpowiedzialność i sprzyja niepożądanym, szkodliwym zachowaniom pracowników. W wielu innych firmach formalnie istnieje polityka bezpieczeństwa, ale wdrożono ją w sposób niewłaściwy. Organizacje nie radzą sobie z jej przestrzeganiem, kontrolą i egzekwowaniem postanowień w niej zawartych. Zaniedbania w tym obszarze w dłuższym terminie zwiększają ryzyko informatyczne i podatność na ataki we wszystkich obszarach systemu bezpieczeństwa.
2. Brak szkoleń
Innym grzechem zaniechania jest brak szkoleń, których celem jest edukowanie pracowników i uwrażliwianie ich na skutki błędów, jakie mogą popełnić w trakcie korzystania z Internetu. Szkolenia są nieodzownym elementem wdrażania polityki bezpieczeństwa, działań, które powinny być wspierane przez zarząd firmy.
3. Rutyna administratorów
Administratorów, którzy stoją na straży bezpieczeństwa firm, najczęściej gubi zwykła rutyna. Wciąż często obserwuje się brak ingerencji w modyfikowanie domyślnych parametrów zabezpieczeń i ustawień serwerów. Także i tu zdarza się nieodpowiedzialne zarządzanie hasłami dostępu, zaniedbania w monitorowaniu ruchu w sieci, nieautoryzowanych instalacji oprogramowania, a także np. pozostawienie ustawień zabezpieczeń po zmianie na stanowisku administratora.
Przestrzeganie zasad nie zniweluje całkowicie ryzyka. Oszuści bywają naprawdę sprytni. Ale trzeba wierzyć, że tak jak w życiu codziennym, wybierają oni raczej ofiary naiwne niż tych, którzy cały czas czujnie rozglądają się dookoła. Warto więc być świadomym użytkownikiem sieci.
Komentarze do raportu:
Maciej Zaborowski, Konsultant ds. IT Security w Edge Solutions Sp. z o.o.:
W systemie bezpieczeństwa informatycznego każdej organizacji najsłabszym ogniwem pozostaje człowiek i jego proste, banalne błędy. Dotyczy to zarówno administratorów, jak i samych pracowników, którzy mają kontakt z komputerami z dostępem do sieci. Potencjalnych zagrożeń jest mnóstwo i żaden system oparty na rozwiązaniach sprzętowych i oprogramowaniu nie zapewni skutecznego poziomu bezpieczeństwa. Odpowiedzialność za ochronę informatyczną firmy ponosi zarząd, którego rolą jest wspieranie wdrażania zasad bezpieczeństwa i troska o ich przestrzeganie przez cały zespół pracowników. To pozornie proste wyzwanie w praktycznej realizacji jest bardzo trudne, ponieważ błędy są wpisane w naturę ludzką, a ryzyko informatyczne jest często niedoszacowane lub niezauważane. W tym kontekście na liście priorytetów powinno postawić się porządnie opracowaną i wdrożoną politykę bezpieczeństwa, następnie szkolenia dla pracowników oraz systematyczne audyty bezpieczeństwa.
Grzegorz Tworek. Dyrektor Działu Bezpieczeństwo w ISCG, jedna z dwóch osób w Polsce wyróżnionych tytułem Microsoft Security Trusted Advisor:
Jeżeli chodzi o bezpieczeństwo informatyczne, to ogólnie zdrową radą jest nie poddawanie się ciekawości i traktowanie za zagrożenie wszystkiego, co nie pochodzi z bezwzględnie zaufanego źródła. Brzmi to jak zachęcanie do paranoi, ale w sytuacji, kiedy w Internecie są setki milionów użytkowników, naprawdę nie ma innego wyjścia jak założyć, że wielu z nich jest całkiem niegłupich i żywotnie zainteresowanych zrobieniem nam krzywdy. Użytkowników należy edukować: pokazywać sposoby ochrony, uzmysłowić potencjalne konsekwencje nieostrożnego zachowania, przeprowadzać audyty, sprawdzać czujność. Tak jak w wielu firmach zupełnie naturalne są ćwiczenia przeciwpożarowe, tak naturalne być powinny ćwiczenia dotyczące ochrony informacji. Nie jest to bardzo drogie a może uchronić przed poważnymi stratami. Warto też pamiętać, że wyszkolony w pracy użytkownik zacznie używać tej wiedzy w domu i będzie przekazywać ją innym dookoła.
Maciej Ziarek, Analityk Zagrożeń w Kaspersky Lab:
W kontekście ochrony informacji bardzo ważne jest zabezpieczenie nie tylko stacji roboczych, ale także samej sieci. W Polsce około 25% sieci bezprzewodowych nie korzysta z żadnej formy szyfrowania. Dane, jakie w nich są przesyłane, są jawne. To oznacza, że formularze czy strony wymagające logowania mogą być bez trudu podsłuchanie, a informacje przejęte. Bez uświadamiania użytkowników o niebezpieczeństwie pozostawiania otwartych sieci, problem ten będzie się pogłębiać z racji rosnącej popularności sieci WiFi. Obecnie jednym z największych niebezpieczeństw jest używanie inżynierii społecznej przez cyberprzestępców. O ile kilka lat temu skupiali się oni głównie na infekowaniu komputerów, obecnie o wiele skuteczniej żerują na niewiedzy i łatwowierności ludzi. Firmy powinny dziś koncentrować się na bezpieczeństwie swoich danych. Zalecane jest rozsądne ograniczenie użytkownika nie tylko co do konta, ale także w stosunku do programów i plików, jakie może on uruchamiać w pracy. Niemniej ważne jest prowadzenie szkoleń dla pracowników. Tak jak zostało to powiedziane na początku, najsłabszym ogniwem jest człowiek. Powinien być zatem pouczony, jakie praktyki mogą być szkodliwe i niewskazane, czego ma unikać. Niezastąpiony jest także administrator, który na bieżąco kontroluje sytuację i nie dopuszcza do łamania systemu zabezpieczeń.
Marek Massalskimarek.massalski@optimumpr.plTel. kom.: 506 044 620
Tel.: 22 / 859 07 40
Optimum PRLasek Brzozowy 6/60
02-792 Warszawa
www.optimumpr.pl
---
Artykuł pochodzi z serwisu
Publikuj.org, kliknij
tutaj aby go zobaczyć.
Pozycjonowanie stron jest rzetelnym sposobem zareklamowania Twojej strony www, pamiętaj, że im więcej osób wejdzie na twoją stronę, tym lepszy będzie efekt sprzedaży. Szukają Ciebie, daj się im odnaleźć! Musicie być Państwo w czołówce, inaczej nikt nie będzie mógł skorzystać z waszych usług. Pozycjonowanie stron www wpłynie także znacząco na odwiedzalność Państwa strony. Będzie można uświadomić sobie prostą zależność pomiędzy pozycją określonej frazy w google a odwiedzalnością strony www. Jak wiadomo większa odwiedzalność, to większa reklama Państwa strony, a zatem więcej prawdopodobnych klientów. Nie ulega wątpliwości że reklama jest dźwignią handlu. Wydajnie i rzetelnie pozycjonujemy strony internetowe, w zakresie naszych działań znajdziecie Państwo konsultacje (doradztwo w doborze fraz) , diagnozę strony internetowej, strategie działania, walidacje i optymalizacja kodu strony, założenie bezpłatnych statystyk wizyt strony oraz testowanie czy strona jest przyjazna wyszukiwarce internetowej. Jeśli chcecie Państwo by wasza a strona internetowa miała pierwsze pozycje w najpopularniejszych wyszukiwarkach to chętnie w tym pomożemy. Pozycjonowanie stron Bielsko zajmie się optymalizacją twojej strony. Wyślij do nas niezobowiązujące do niczego zapytanie o ofercie. Potem sprawdź nasze metody, zobacz jak działamy i zdecyduj się czy chcesz kontynuować z nami pracę. A na pewno będziesz chciał! Nie pobieramy żadnej odpłatności aktywacyjnej. Działamy rzetelnie z korzyścią dla naszego klienta, zainwestuj w pozycjonowanie stron internetowych. Zainwestuj w sukces, wybierz sprawdzone rozwiązania.
W ferworze codziennej walki w świecie biznesu managerowie skupiają się na generowaniu zysku. Wiele osób nie pamięta o tym, że dobrze zaprojektowany system informatyczny, w tym system bezpieczeństwa i archiwizacji danych, jest gwarantem sprawnej pracy i szansą na sukces rynkowy całego przedsiębiorstwa. 
Posiadając komputer z dostępem do Internetu, musimy pamiętać, że nie jesteśmy bezpieczni. Na każdym kroku czyhają hakerzy chcący wykraść nasze dane, loginy i hasła a także dane zapisane na dysku. Niekiedy jesteśmy posiadaniu ważnych danych firmowych, które nie powinny się dostać w niepowołane ręce. A co jeśli ktoś zobaczy naszą korespondencje. W firmie