Polityka bezpieczeństwa

Kompleksowa ochrona danych firmy jest możliwa tylko przy odpowiednim postępowaniu jej pracowników i jednoczesnym zastosowaniu nowoczesnych technologii. Równowaga między tymi dwoma aspektami jest niezwykle ważna, gdyż nawet najprostsze błędy pracowników i administratorów IT mogą spowodować ogromne straty dla firmy – choćby ta zaopatrzona była w najnowocześniejsze technologie. Z drugiej strony sam człowiek, nawet najbardziej solidny, nie jest w stanie odpowiedzieć i przeciwdziałać wszystkim zagrożeniom. Bez wsparcia odpowiednich programów pozostaje bezradny.

Minimalizacja ryzyka powinna łączyć zatem odpowiednie technologie z przemyślaną strategią postępowania, czyli we właściwy sposób wdrożoną i przestrzeganą w firmie polityką bezpieczeństwa. Dobra polityka bezpieczeństwa danych chroni nas kompleksowo przed atakami zewnętrznymi, działaniami wewnątrz firmy (świadome i nieświadome działania użytkownika) oraz przed zdarzeniami losowymi – wyjaśnia Jakub Sieńko, dyrektor handlowy ed&r Polska Sp. z o.o.

Jego zdaniem najczęstszym błędem w polityce bezpieczeństwa danych jest jej niekompletność – nie chronią każdej możliwości utraty danych (kradzież, zniszczenie, nieuprawniony odczyt). Ponadto, nawet jeśli jej zasady są dobrze skonstruowane, to nie zawsze przestrzegane w 100%. Dlatego ważne jest odpowiednie edukowanie i uświadamianie pracowników co do konieczności codziennego, skrupulatnego przestrzegania wszystkich ustalonych reguł, nawet tych najdrobniejszych i wydawałoby się najbardziej błahych. Najtrudniej jest przezwyciężyć niewłaściwe przyzwyczajenia, jak np. niewylogowywanie się po zakończonej pracy.

– Skutki? Firmy tracą swoje zyski, reputację i pozycję rynkową! Grożą im kłopotliwe sprawy karne, a w najlepszym przypadku spowolnienie pracy lub cofnięcie się do momentu, kiedy został wykonany ostatni backup – wylicza Jakub Sieńko.

Aby odpowiednio się zabezpieczyć, warto spisać wszelkie zasady dotyczące polityki bezpieczeństwa w firmie. Dokument powinien być podpisany przez wszystkich pracowników, a jego nieprzestrzeganie powinno skutkować konkretnymi, poważnymi konsekwencjami – w niektórych przypadkach nawet zwolnieniem.

Technologia

Zdaniem Jakuba Sieńko należy pamiętać, że w dzisiejszych czasach działania, których celem jest przechwycenie danych, są przeprowadzane przez zorganizowane grupy przestępcze, które wykorzystują najnowsze technologie oraz socjotechniki w celu wykradzenia danych od użytkowników/firm. Dlatego nawet, wydawałoby się, perfekcyjna i najlepiej przestrzegana polityka bezpieczeństwa musi być oparta na odpowiedniej technologii, czyli właściwych i dobrze dobranych programach zabezpieczających.

– Absolutnym minimum dla firm są programy do backupu, które chronią firmę przed skutkami utraty danych, będących najczęściej wynikiem skasowania przez użytkownika, uszkodzenia sprzętu czy też działaniem złośliwego programu. Nie należy także zapominać o aplikacjach do ochrony antywirusowej połączonych z dobrym firewallem, która ma chronić komputery w firmach przed złośliwymi aplikacjami, typu wirusy, trojany, robaki itp., oraz przed bezpośrednimi atakami z zewnątrz (ataki hakerów) – wyjaśnia Jacek Kurek, doradca klienta w firmie ed&r Polska.

Zwykle większość firm dość dobrze radzi sobie na poziomie zabezpieczenia przed wirusami i robakami. Samoaktualizujące się systemy antywirusowe i firewalle zazwyczaj zaspokajają ich potrzeby pod tym względem. To jednak nie te zagrożenia stanowią największe niebezpieczeństwo dla firmy. Zdecydowanie groźniejsi są oszuści, którzy wyróżniają się dużym sprytem i przebiegłością w sposobach przechwytywania danych.

Chcąc odpowiednio chronić siebie i firmę, należy starać się być zawsze krok do przodu przed hakerami. Nie jest to proste. Taką gwarancję dają nam tylko sprawdzone i na bieżąco aktualizowane narzędzia. Jak podkreśla Jacek Kurek, luk w firmie, która nie posiada odpowiednich i dobrych zabezpieczeń, jest sporo. Niestety, każdą z nich można w dość łatwy sposób wykorzystać za pomocą odpowiednich aplikacji.

– Wystarczy umieścić złośliwy kod na jakiejś stronie, a następnie zachęcić użytkownika poprzez maila, aby kliknął na link do niej prowadzący. W momencie uruchomienia strony komputer zostanie zarażony złośliwą aplikacją, która będzie np. zbierać dane z komputera i wysyłać je do przestępcy. Aplikacja może również zacząć samoczynnie ściągać inne złośliwe aplikacje, przez co praca na komputerze stanie się niemożliwa, albo doprowadzić do tego, że sam komputer niepostrzeżenie zacznie rozsyłać złośliwe aplikacje na pozostałe komputery w firmie – wyjaśnia Jacek Kurek.

Po co hakerom nasze dane? Jest wiele sposób na ich wykorzystanie. Na czarnych rynku bazy firm są warte ogromne pieniądze i cieszą się dużą popularnością np. wśród firm, które poszukują potencjalnych klientów lub zajmują się telemarketingiem. Dzięki numerom kont, kart kredytowych łatwo okraść konta klientów, natomiast za pomocą numerów PESEL oszuści zawierają fikcyjne i szkodliwe dla pojedynczych osób, jak i całych firm umowy.

– Nie przestrzegając zasad polityki bezpieczeństwa, szkodzimy nie tylko firmie. Praktycznie wszystkie dane, które można skraść, można potencjalnie wykorzystać na rynku, np. informacja o rachunkach za prąd: duży rachunek to potencjalnie duży dom i sporo sprzętu elektronicznego etc. Atak może uderzyć zatem bezpośrednio w nas, gdyż przestępca może np. okraść nasz dom – dodaje Jakub Sieńko.

Błędy

Zwykle najpoważniejsze w skutkach błędy to te, które najłatwiej popełnić – często wręcz nieświadomie lub przez przeoczenie. Do najpowszechniejszych, ale i najbardziej zgubnych nieprawidłowości należy złe zarządzanie hasłami, czyli np. używanie jednego lub podobnych haseł dostępu do różnych aplikacji (w tym służbowych i prywatnych, np. do serwisów społecznościowych). Taka sytuacja to raj dla oszustów, którzy w prosty sposób mogą uzyskać dane do niemal wszystkich danych firmy.

– Najlepszym rozwiązaniem jest generowanie haseł alfanumerycznych. Muszą one być odpowiednio skomplikowane, ale i łatwe do zapamiętania. Dlaczego? Trudne hasło będziemy musieli zapisać i zapewne informację z nim umieścimy w jakimś łatwo dostępnym miejscu. Takie zachowanie obniża jego skuteczność do zera – dodaje Kurek.

Często użytkownicy zapominają o wylogowaniu się z aplikacji. To zwykłe i – wydawać by się mogło – mało istotne przeoczenie może skutkować przejęciem hasła użytkownika i uzyskaniem dostępu do wszystkich jego danych.

Ryzykowne jest także otwieranie maili od nieznanych adresatów – klikanie w linki w nich umieszczone i otwieranie załączników. Wiadomości rzekomo wysłane przez administratorów lub dostawców usług IT oraz fałszywe witryny internetowe narażają nas na ataki oprogramowania szpiegującego oraz przypadki wyłudzania haseł (phishingu). Pracodawcy powinni nieustannie uświadamiać swoich pracowników, w jaki sposób zachowywać się w takich sytuacjach, a także wyposażyć ich komputery w stosowne programy zabezpieczające pocztę, np. GFI MailDefence Suite.

Nie bez winy są również sami administratorzy, którzy zwlekają z instalacją łatek i aktualizacją oprogramowania uszczelniającego system bezpieczeństwa. Często zapominają także o zmianie ustawień domyślnych na serwerze oraz w oprogramowaniach firewall i antywirusowych. Te niedopatrzenia z pewnością wykorzystają cyberprzestępcy.

Podział odpowiedzialności

W jak sposób dbać o bezpieczeństwo danych? Zadaniem każdego z pracowników jest przede wszystkim stosowanie się do przepisów wewnętrznych, które obowiązują w danej firmie. W przypadku jakichkolwiek wątpliwości lepiej udać się do administratora z zapytaniem lub zgłosić podejrzenie ataku, niż niepotrzebnie ryzykować i narażać firmę na straty.

Sama firma musi ustalić jasne i szczegółowe zasady bezpieczeństwa, a następnie wypracować odpowiedni system ich przestrzegania. Do jej obowiązków należy również tworzenie kopii zapasowych danych i plików, których generowanie i przechowywanie jest konieczne na wypadek awarii stacji roboczej lub serwera. Kopie zapasowe skracają czas przestojów spowodowanych awariami sprzętu, dzięki nim można również szybciej przywrócić sprawne funkcjonowanie firmy.

Do istotnych zadań firmy należy również zakup oprogramowania antywirusowego, kontroli urządzeń przenośnych, portów, ruchu internetowego (phishing), wycieku poufnych informacji (DLP) oraz do szyfrowania: dysków, folderów, plików oraz danych przesyłanych.

Część obowiązków dbania o bezpieczeństwo danych przejmują zewnętrzne firmy. To one zwykle odpowiadają za całościową obsługę IT (instalacja i użytkowanie programów), audyt bezpieczeństwa etc. Zewnętrzne firmy działają w małych i średnich przedsiębiorstwach, które nie radzą sobie z własną obsługą IT, lub robią audyty i wspierają działania w dużych przedsiębiorstwach posiadających własny dziale IT – wyjaśnia Jakub Sieńko.

Wnioski

Dobra polityka bezpieczeństwa danych jest oparta głównie na technologii (rozwiązaniach programowych i sprzętowych). Człowiek ujęty jest jako osoba monitorująca/kontrolująca, czy poszczególne zadania są wykonane tak, jak jest to opisane w przepisach/regułach – zwraca uwagę Jacek Kurek. Tylko odpowiednie zharmonizowanie czynnika ludzkiego i technologicznego przyniesie oczekiwane rezultaty.

Co ciekawe jednak, ważne jest, by polityka bezpieczeństwa była jak najmniej zauważana z poziomu użytkownika. Jeśli tak jest w rzeczywistości, możemy powiedzieć, że jest ona dobrze ustalona i skuteczna. Tak naprawdę efekty widać jedynie w źle ustalonej polityce bezpieczeństwa: kradzież danych, brak kopii zapasowych, etc. Dobra daje poczucie bezpieczeństwa oraz ciągłość działania firmy – wyjaśnia Jakub Sieńko.

Bogumiła Matuszewska