5 Twoich błędów, które ułatwiają cyberprzestępcom wykradnięcie danych - IT Akademia A plus C

Czy zastanawiałeś się kiedyś dlaczego producenci oprogramowania je aktualizują? Robią to dlatego by wygodniej i bezpieczniej pracowało się na danym programie. Aktualizacja przeważnie nie wiąże się wyłącznie z optymalizacją, poprawieniem wydajności, ale w dużej mierze ma związek z poprawieniem zabezpieczeń i "załataniem" błędów oraz luk.

Czy zastanawiałeś się kiedyś dlaczego producenci oprogramowania je aktualizują? Robią to dlatego by wygodniej i bezpieczniej pracowało się na danym programie. Aktualizacja przeważnie nie wiąże się wyłącznie z optymalizacją, poprawieniem wydajności, ale w dużej mierze ma związek z poprawieniem zabezpieczeń i „załataniem“ błędów oraz luk.

Jeżeli nie aktualizujesz na bieżąco całego oprogramowania wykorzystywanego w organizacji (np. systemu operacyjnego, java, acrobat reader, adobe flash, programów do zarządzania serwerami, oprogramowania routerów itd.) istnieje duże ryzyko, że cyberprzestępca wykorzysta owe błędy i luki oprogramowania do tego by skutecznie przeprowadzić atak.

• Opracuj tzw. białą listę programów czyli programów, które mogą działać za Twoją wiedzą na firmowych urządzeniach.

• Monitoruj wydawanie poprawek przez producentów oprogramowania, a następnie je instaluj.

• W przypadku dużej liczby stanowisk w organizacji niemożliwym jest dokonanie wszystkich aktualizacji i to w dodatku na wszystkich urządzeniach w tym samym czasie. Dlatego przygotuj harmonogram instalacji poprawek. W pierwszej kolejności instaluj krytyczne poprawki, maksymalnie do tygodnia od ich wydania.

Cyberprzestępcy wykorzystują różne metody w celu wykradnięcia poufnych informacji. Najbardziej zaawansowaną metodą jest posługiwanie się przez nich programami typu APT (ang. Advanced-Persistent-Threat) czyli zaawansowanym złośliwym oprogramowaniem typu malware. APT jest jednym z zagrożeń cybernetycznych zmierzającym do szpiegowania danej jednostki czy organizacji (np. firmy czy instytucji) przez jak najdłuższy okres czasu. Dla cyberprzestępców liczy się zatem pozostanie w ukryciu i przechwytywanie w tym czasie cennych informacji. Dlatego dla przeprowadzania ataków APT wykorzystywane są malware’y. Często instalowane są one przez samych użytkowników. Malware może być bowiem składnikiem aplikacji/gry itd. chętnie pobieranej przez użytkowników.

Drugim problemem jest fakt, że tradycyjne oprogramowanie antywirusowe praktycznie nie jest w stanie poradzić sobie z wykryciem malware. Dzieje się tak z uwagi na fakt, że klasyczne antywirusy działają w oparciu o ograniczoną bazę sygnatur.

• Monitoruj sieć korporacyjną za pomocą odpowiedniego programu czyli takiego, który jest w stanie wykryć anomalie wewnątrz sieci (firewall to nie wszystko).

• Zablokuj możliwość samodzielnej instalacji programów przez użytkowników.

• Zainstaluj oprogramowanie zabezpieczające pozwalające zobaczyć historię aktywności malware i obraz szkód, które wyrządził.

Monitorowanie aktywności pracowników/użytkowników kojarzy się z czymś niemoralnym. Jeśli jednak monitoring jest wykonywany zgodnie z prawem czyli nie narusza praw i wolności osoby to jest on bardzo ważny w procesie zapewnienia bezpieczeństwa organizacji.

Pracownicy niejednokrotnie kopiują dane z urządzeń firmowych i następnie zgrywają je na przenośne dyski (np. pendrive) albo przesyłają prywatnym mailem. Nie jest to dobra praktyka. Wynoszenie pewnej kategorii informacji powinno być uniemożliwione. Bez wątpienia należą do nich informacje obciążone obowiązkiem zachowania tajemnicy (dane medyczne, finansowe, handlowe, poufne, etc.), a także chronione prawnie (np. dane osobowe). Wyniesienie tych danych na zewnątrz powoduje ich kompromitację (ujawnienie) i może rodzić odpowiedzialność karną. To na pracodawcy spoczywa obowiązek należytego zabezpieczenia tych danych stąd powinien monitorować to co się z nimi dzieje.

• Zabezpiecz w sposób zgodny z przepisami dane, które są przetwarzane w organizacji.

• Rozważ instalację oprogramowania, które uniemożliwia wysyłanie i kopiowanie określonych kategorii plików bądź nawet fraz, które znajdują się wewnątrz plików tekstowych.

• Monitoruj, zgodnie z prawem, aktywność pracowników organizacji.

Urządzenia firmowe są najczęściej podłączone do sieci publicznej. Dostęp do niej powinien być należycie zabezpieczony zwłaszcza, gdy wykorzystywana jest sieć bezprzewodowa. Nierzadko jednak zdarza się, że sieci WiFi nie są zabezpieczone. Brak zabezpieczeń może doprowadzić do utraty danych i korzystania z sieci przez zupełnie obce osoby. Jeżeli jesteś osobą odpowiedzialną za bezpieczeństwo IT w organizacji powinieneś zwrócić szczególną uwagę na zabezpieczenie sieci, w tym szczególnie sieci bezprzewodowej. Odpowiednia konfiguracja routera pozwala na prawidłowe zabezpieczenie sieci.

Dużą popularnością cieszą się usługi chmurowe w modelu SaaS (ang. Software as a Service). Pozwalają one na zdalną pracę, przyciągają z uwagi na model licencjonowania oraz obniżenie kosztów związanych z utrzymaniem oprogramowania. Korzystanie z usług chmurowych powinno jednak być bezpieczne. Jeżeli komunikacja na linii klient-serwer nie jest szyfrowana (min. klucz 256-bitowy), a także dane znajdujące się w tzw. spoczynku czyli na serwerze dostawcy nie są szyfrowane nic nie jest w stanie zapewnić minimalnej ochrony przed podsłuchaniem komunikacji przez osoby trzecie.

• Skonfiguruj zabezpieczenia sieci w taki sposób by korzystanie z niej było możliwe tylko dla dedykowanych przez Ciebie urządzeń. Przy zakupie routera sprawdź jakie oferuje możliwości zabezpieczenia dostępu do sieci.

• Wprowadź ograniczenia dla korzystania z usług chmurowych w organizacji.

Duża liczba haseł do zapamiętania sprawia, że użytkownicy zapisują je. Ustawienia przeglądarek umożliwiają zapisywanie haseł w ich pamięci. Wystarczy by cyberprzestępca uzyskał dostęp do historii zapisanych haseł i otrzyma dane dostępowe do poczty korporacyjnej albo usługi chmurowej, z której korzysta pracownik.

Duża grupa pracowników chętnie zapisuje dane dostępowe w notatnikach. Plik może otworzyć każdy kto będzie posiadał do niego dostęp.

• Ustaw odpowiednio ustawienia prywatności w przeglądarce. Monitoruj czy ustawienia nie ulegają zmianie.

• Monitoruj aktywność pracowników i to co znajduje się na urządzeniach firmowych.

Beata Marek IT&IP Lawyer, cyberlaw.pl

_ Beata specjalizuje się w prawie nowych technologii ze szczególnym uwzględnieniem prawa IT, prawa własności intelektualnej, ochrony danych osobowych i tajemnic prawnie chronionych oraz prawa kontraktowego. Posiada ponad 4 letnie doświadczenie m.in. w obszarze cyberprzestępczosci, cyberzagrożeń oraz bezpieczeństwa informacji. Zajmuje się przede wszystkim szacowaniem ryzyka prawnego (ocena zgodności) oraz obsługą prawną projektów jak i całych spółek z sektora IT&IP. Aktywnie działa w ISSA Polska – Stowarzyszeniu do spraw Bezpieczeństwa Systemów Informacyjnych, Cloud Security Alliance Polska, Fundacji Bezpieczna Cyberprzestrzeń, a także International Cyber Threat Task Force. Redaktor Naczelna kwartalnika naukowego „Przegląd Prawa Technologii Informacyjnych. ICT Law Review”. Jest także autorką bloga dla przedsiębiorców i programistów – cyberlaw.pl _

A plus C, aplusc-systems.com

_ A plus C Sp. z o.o. od ponad 20 lat dostarcza zaawansowane systemy informatyczne dla firm na całym świecie. Programy tworzone przez A plus C pozwalają na sprawniejsze zarządzanie podstawowymi zasobami informatycznymi i ludzkimi w firmie. Aplikacje tworzone przez A plus C łączą w sobie bogatą funkcjonalność podpartą najnowocześniejszymi technologiami i nowatorskimi, oryginalnymi rozwiązaniami, z niespotykaną w innych programach prostotą użycia i przyjaznym interface'm. Systemy uplook i statlook Dzięki objęciu swoim działaniem niemal wszystkich składników infrastruktury informatycznej firmy, nasze programy tworzą system, który pozwala na całościowe zarządzanie oraz optymalizowanie procesów i kosztów z taką infrastrukturą związanych. W efekcie przynosi to obniżenie kosztów funkcjonowania infrastruktury informatycznej firmy, optymalizację przydziału zadań dla pracowników, racjonalne zarządzanie posiadanymi zasobami oraz ekonomiczne planowanie inwestycji w tej
dziedzinie. _