Bezpieczeństwo danych w firmie to temat, o którym na poważnie wiele przedsiębiorstw zaczęło myśleć dopiero w momencie wprowadzenia RODO. Jednak o sposobach zabezpieczenia komputera, komórek i innych urządzeń warto zdecydować przede wszystkim ze względu na dobro swojego biznesu. Jakiekolwiek problemy w tej kwestii szybko odbiją się czkawką całej działalności. Nie wierzysz? Przekonaj się!
Bezpieczeństwo danych w firmie
Ciągła prośba o zmianę hasła, która wyświetla się na ekranie Twojego komputera i niezliczone PINy zabezpieczające telefony i karty to zmora dla większości z nas. Do tego dochodzi brak możliwości zainstalowania czegokolwiek na komputerze służbowym bez zgody administratora! Na pewno niejednokrotnie przemknęło Ci przez myśli, że najwyraźniej głównym zadaniem działu IT jest utrudnianie Ci życia i rzucanie co i rusz kłody pod nogi. Bo co takiego może wydarzyć się w Twojej niewielkiej przecież firmie? Otóż zagrożeń jest całkiem sporo, a oto kilka z nich:
Wirusy i programy śledzące
Wyobraź sobie, że próbujesz włączyć swój komputer i… nic. Po przejściu przez BIOSa nie pojawia się nic więcej. Przed Tobą ważne spotkanie albo prezentacja, a Ty nie masz dostępu do żadnych informacji. To oczywiście skrajny przypadek, który zdarza się rzadko. O wiele częściej niż unieruchamiające naszego laptopa wirusy ściągamy na niego oprogramowanie szpiegujące. Potrafi ono nie tylko gromadzić informacje o użytkowniku, ale też (o zgrozo!) rozesłać wiadomości do wszystkich Twoich klientów i współpracowników bez Twojej wiedzy.
Kradzież lub utrata danych
Skoro mówimy o oprogramowaniu szpiegującym: czy wiesz, że z jego pomocą można skopiować numery kart płatniczych i hasła? Jak można to wykorzystać, na pewno potrafisz sobie wyobrazić. Zresztą przestępcy internetowi nie zawsze korzystają z tego typu oprogramowania. Czasami pytają nas o te informacje wprost podszywając się pod strony autentycznych instytucji finansowych, a my łatwowierni podajemy im wszystko jak na tacy.
Wyłudzenia danych
Nie tylko to zresztą. Odpowiadając na rzekome maile od znanych nam firm, usługodawców, a nawet instytucji państwowych jak Urząd Skarbowy czy ZUS wysyłamy też wrażliwe dane dotyczące naszej firmy lub klientów. Dopiero po czasie okazuje się, że popełniliśmy błąd.
Kradzież serwera
Choć wielu przestępców działa już jedynie online, zdarzają się też kradzieże w bardziej tradycyjnym tego słowa znaczeniu. Co by się stało, gdybyś pewnego dnia po otwarciu drzwi biura odnotował nie tylko brak komputerów, ale też serwerów? Albo gdybyś stracił sprzęt na skutek pożaru lub zalania wodą? Oczywiście to zdarza się rzadko, jednak wiedząc, że cegła spadnie nam na głowę, nie wychodzilibyśmy z domu. Czy Twoja firma jest gotowa na utratę wszystkich danych?
Złośliwość ludzka
Albo po prostu bezmyślność. Chyba żaden pracodawca nie wierzy, że jego pracownicy w trakcie pracy nie wykorzystują od czasu do czasu komputerów do celów prywatnych. Podłączenie się do niezaufanego dostawcy internetu (np. podczas wyjazdu służbowego) to tylko jedno z zagrożeń. Dużo bardziej prawdopodobne jest to, że Twój pracownik niejednokrotnie zapomni zablokować komputera i pozostawi go na pewien czas bez opieki. Wyobraź sobie, jakie to może mieć konsekwencje dla kancelarii prawnej czy biura księgowego!
Jak zabezpieczyć komputer?
Zacznijmy od najważniejszego: jak zabezpieczyć komputer hasłem? I po co? Warto to zrobić po pierwsze dlatego, że jest to najprostszy i najtańszy sposób na zabezpieczenie danych znajdujących się na naszym laptopie przed dostępem osób niepowołanych. Jednak hasło nie może być byle jakie. Nie spełni też swojej roli, jeśli zapiszesz je w kalendarzu czy na samoprzylepnej karteczce wiszącej nad biurkiem. Skuteczne hasło:
- powinno składać się z dużych i małych liter, cyfr oraz znaków specjalnych;
- nie może być zbyt krótkie;
- należy je zmieniać raz na jakiś czas (aczkolwiek tu ostatnio pojawiły się nowe koncepcje bezpieczeństwa);
- nie wolno podawać go osobom trzecim.
Zupełnie oddzielną kwestią jest to, jak zabezpieczyć komputer przed hakerami oraz jak chronić komputer przed wirusami? Pierwsze, co przychodzi nam do głowy to darmowy program antywirusowy. Niestety z bezpłatnym antywirusem jest trochę jak ze wszystkim, co dostajemy za darmo: niby działa, ale nie do końca tak, jak tego potrzebujesz. Decydując się na darmową wersję programu antywirusowego świadomie rezygnujemy z niektórych rozszerzeń czy aktualizacji, które zapewniają lepszą ochronę naszego laptopa. Płatne wersje programów chroniących przed wirusami mają firewalle, zabezpieczenie transakcji bankowych, usługę skanowania linków oraz witryn, a także wbudowaną usługę VPN (z ang. Wirtualną Sieć Prywatną).
Mobile Device Management: co to jest i dlaczego z niego skorzystać?
Słyszeliście kiedyś o Mobile Device Management (MDM)? Co to jest i dlaczego miałoby się Wam przydać w kontekście bezpieczeństwa komputerów i danych w firmie? Systemy MDM dają możliwość integrowania urządzeń mobilnych z infrastrukturą firmy oraz pozwalają na zdalną konfigurację tych urządzeń. Raz, że pozwalają na zdalne zarządzanie laptopami czy nawet komórkami pracowników, dwa dają możliwość zabezpieczenia tych urządzeń „na odległość”. Dzięki zastosowaniu tego rozwiązania mamy możliwość wymuszania haseł, ale co ważne w przypadku kradzieży również lokalizacji urządzenia, a nawet blokowania czy czyszczenia jego pamięci. Wielu właścicieli firm na pewno spodoba się też możliwość szyfrowania danych. I wcale nie musimy być kancelarią prawniczą czy lekarzem, by zależało nam na szczególnej ochronie danych wrażliwych przechowywanych na naszych dyskach. Wyobrażacie sobie, że ktoś kradnie komputer, na którym macie nie tylko informacje o finansach firmy, ale też o wysokości pensji i adresach pracowników?
Bezpieczeństwo danych a biometria
Jeden z najsłynniejszych hakerów na świecie – Kevin Mitnick – twierdzi, że najsłabszym elementem każdego systemu zabezpieczeń jest ich użytkownik. Pomimo nałożenia przez dział IT konieczności stosowania haseł, wielu pracowników nadal wybiera rozwiązania oczywiste. Wyniki badań prowadzonych przez firmę Splash Data pokazują, że najpopularniejszym hasłem nadal jest „123456”, na drugim miejscu plasuje się „password”, zaś na trzecim odrobinę dłuższy ciąg liczb (ale niestety ani odrobinę bardziej skomplikowany) „12345678”. Rozwiązaniem, które całkowicie wyklucza tego typu problemy jest biometria. Odcisk palca w laptopie lub smartfonie zabezpieczy go o niebo lepiej niż wymyślone przez użytkownika hasło. Mają też dodatkową zaletę: nikt ich nie zapomina i zawsze mamy je pod ręką. Niestety w zakresie wykorzystania odcisków palców jako danych biometrycznych potrzebnych do logowania nie do końca jest tak różowo, jak byśmy chcieli: wystarczy fotografia palca oraz drukarka 3D, by oszukać tak zaawansowaną technologię (aczkolwiek trwają prace nad ulepszeniem tego systemu).
O wiele bardziej przyszłościowym rozwiązaniem wydaje się wykorzystywanie systemów rozpoznawania głosu, który wychwytuje jego unikalne cechy. Ten system zabezpieczeń błyskawicznie wychwytuje próby odtworzenia głosu czy naśladowania go. Na tyle skutecznie, że wykorzystuje go m.in. Ministerstwo Finansów i Bank ING.
Biometria wydaje się być przyszłością w zakresie zabezpieczenia danych w firmie, jednak na razie ze względu na koszt wdrożenia rozwiązań jest dostępna przede wszystkim dla większych przedsiębiorców. Jednak nawet ona nie zastąpi skutecznego i prężnie działającego działu IT, który przeanalizuje, jakie dane wymagają ochrony. Nawet po wdrożeniu tak nowoczesnych rozwiązań warto też zadbać o edukację pracowników i wyjaśnienie im, dlaczego dbanie o bezpieczeństwo danych w firmie ma kolosalne znaczenie.
Kopia zapasowa danych
Utrata danych może nastąpić na skutek ataku hakera lub bardziej prozaicznych przyczyn: choćby zalania komputera lub jego kradzieży. Wystarczy filiżanka słodkiej kawy z mlekiem wylana na klawiaturę laptopa, by odzyskanie danych było nie tylko kosztowne, ale też trudne. Backup czyli kopia zapasowa danych w firmie jest więc rozwiązaniem oczywistym, gdy myślimy o bezpieczeństwie danych. Możemy wykonać go na dedykowanym serwerze w zapasowej serwerowni lub w chmurze. Którą z tych opcji wybrać? Optymalne rozwiązanie dla Twojego biznesu pomoże dobrać dobry informatyk.
Czytaj więcej: Kopia zapasowa danych w firmie
Zabezpieczenie przed phishingiem
Mimo, że coraz więcej wiemy o konieczności zachowania ostrożności podczas korzystania z internetu oraz o kradzieży danych, phishing nadal jest realnym zagrożeniem. Jak duża jest szansa na to, że Twój pracownik otworzy maila zatytułowanego „Zaległa faktura”, nawet jeśli nie będzie znał jego nadawcy, a załącznik będzie miał dziwną nazwę i rozszerzenie ZIP? Spora… Poza edukowaniem pracownika i informowaniem, w jaki sposób rozpoznać maile, których celem jest wyłudzenie naszych danych lub namówienie nas na (często bezwiedne) zainstalowanie złośliwego oprogramowania warto też wdrożyć rozwiązania proponowane przez dział IT.
Jak radzi sobie Kompania Informatyczna z takimi przypadkami – mówi Przemysław Mroczek, wiceprezes:
Niedawno przyszedł do nas człowiek, szef sporej firmy, który otworzył maila z informacją, że ktoś udostępnił mu plik. Link skierował go na fałszywą stronę logowania do Office365. Człowiek ten, przekonany, że loguje się do swojego Office365, aby otworzyć plik od nadawcy maila, podał dane logowania. Otrzymał komunikat z błędem, więc zignorował sprawę. Kilkanaście minut później zaczęli do niego dzwonić klienci, że rozsyła spam i wirusy. Zadzwonił, by go ratować i spytał, jak można uchronić się przed tym w przyszłości.
Jak to się stało? Sam podał atakującemu dane logowania do ułsugi Office365, która poza plikami obsługuje także pocztę firmową. Atakujący nie potrzebował dostępu do zainfekowanego komputera – usługa pracuje w chmurze i mógł zalogować się na to konto z dowolnego miejsca na świecie. Miał dostęp do poczty, plików, załączników, bazy kontaktów, kalendarza i wielu innych rzeczy.
Co zrobilismy? Przede wszystkim wdrożyliśmy mechanizm Multi-factor authentication (uwierzytelnianie wieloskładnikowe). Dzięki temu nawet, jeśli ktoś przez przypadek pozna nasze hasło, nie będzie mógł się zalogować nie podając dodatkowo hasła z SMSa lub aplikacji mobilnej. Dodatkowo przygotowaliśmy spersonalizowaną stronę logowania do Office365 dla tej organizacji – zawierającą logo i nazwę firmy. Jeśli ktoś trafi na fałszywą stronę logowania – z pewnością od razu zorientuje się, że brakuje logo i nazwy firmy. To powinna być pierwsza linia obrony przed phishingiem. Dodatkowe mechanizmy jak Azure Identity Protection czy Conditional Access dodatkowo bronią teraz tą firmę przed możliwością zalogowania spoza zaufanych lokalizacji. Na koniec oczywiście przeprowadziliśmy dla całej firmy cykl szkoleń z bezpiecznego poruszania się po sieci.
Zabezpieczenie telefonu a bezpieczeństwo danych w firmie
Mówiliśmy już o hasłach, oprogramowaniu, a nawet o Wirtualnej Sieci Prywatnej. Gdy myślimy o bezpieczeństwie danych w firmie bierzemy pod uwagę przede wszystkim komputery i serwery. A co z telefonami? Te małe urządzenia już dawno przestały służyć jedynie do dzwonienia! Przechowujemy na nich nierzadko mnóstwo danych, logujemy się do banków i odpowiadamy na maile. Ściągnięcie na nie złośliwego oprogramowania będzie więc miało podobne skutki, jak w przypadku komputerów! Zapominając o zabezpieczeniu telefonu możemy ułatwić przestępcom dostęp do swoich kont bankowych, danych finansowych firmy, czy wreszcie danych klientów, których właściwe zabezpieczenie nakłada na nas RODO.
Dbasz o bezpieczeństwo danych w firmie? Stosuj taktykę Defense In Depth!
Na bezpieczeństwo danych w firmie, ale też komputerów i całej infrastruktury ma wpływ mnóstwo czynników. Na pewno po przeczytaniu tego artykułu zadajesz sobie pytanie, czy wystarczy wdrożyć te wszystkie elementy, by przeciwdziałać skutkom wszelkich możliwych zagrożeń? Dobry informatyk powinien spojrzeć na temat projektowania zabezpieczeń systemów informatycznych „warstwowo”. Taka taktyka nosi nazwę ” Defense In Depth” i dzięki wprowadzeniu zabezpieczeń na wielu różnych poziomach oraz inteligentnemu wykorzystaniu dostępnych technik i technologii kompleksowo chroni infrastrukturę Twojej firmy.
U podstaw tego rodzaju polityki leży stworzenie odpowiednich procedur. Sama taktyka tworzenia zabezpieczeń powinna obejmować trzy poziomy:
- fizyczny – opierający się na utrudnieniu wejścia do firmy niepowołanych osób.
- techniczny – którego zadaniem jest ochrona systemu i danych na poziomie hardware i software.
- administracyjny – to nic innego, jak zasady i procedury dotyczące bezpieczeństwa w firmie. Obejmują one m.in. warunki zatrudnienia procedury przetwarzania danych i procedury bezpieczeństwa.
Dopiero po uwzględnieniu możliwych zagrożeń i odpowiadających im rozwiązań na każdym z tych poziomów możemy być pewni, że nasza firma i przechowywane w niej dane są bezpieczne.