Eksperci od bezpieczeństwa informatycznego z Edge Solutions, ISCG i Kaspersky Lab opracowali listę 10 najczęściej spotykanych wpadek, których konsekwencje narażają pracodawców na największe straty.

Nieświadomość pracowników skutkuje powszechnymi błędami, które słono kosztują pracodawców. Zdaniem ekspertów to człowiek jest najsłabszym ogniwem systemów bezpieczeństwa informatycznego. Proste błędy, niezależnie od jakości zastosowanych zabezpieczeń, najbardziej narażają organizacje na straty finansowe i ryzyko utraty reputacji.

Listę 10 niepożądanych działań opracowały Edge Solutions, ISCG oraz Kaspersky Lab – firmy specjalizujące się w systemach zabezpieczeń sieci. audytach bezpieczeństwa informatycznego oraz doradztwie w zakresie ochrony reputacji i informacji przedsiębiorstw.

Spis błędów podzielono na dwie grupy: niepożądane działania pracowników oraz błędy managerów i administratorów, którzy winni czuwać nad bezpieczeństwem organizacji.

Błędy pracowników popełniane są najczęściej nieświadomie, w dobrej wierze. Użytkownicy sieci nie znają zagrożeń i wykazują się brakiem czujności. Główną przyczyną wpadek na tym polu jest niewłaściwie wdrożona polityką bezpieczeństwa pracodawcy, brak dostatecznej kontroli zachowania pracowników w czasie pracy oraz niedostatek szkoleń.

1. Otwieranie załączników e-mail
Użytkownicy Internetu wciąż są niedostatecznie uwrażliwieni na analizę otrzymywanych załączników do poczty elektronicznej pod kątem złośliwego oprogramowania. Dla cyberprzestępców e-mail to główne narzędzie do przeprowadzenia ataków. W poczcie poza podejrzanymi linkami mogą znaleźć się załączniki, których otwarcie prowadzi do zainfekowania komputera lub sieci. Najgroźniejsza jest poczta wygenerowana automatycznie wewnątrz przedsiębiorstwa, w wyniku infekcji jednego z komputerów pracowników. Taki mail od współpracownika z reguły nie wzbudza podejrzeń odbiorcy, który odruchowo może otworzyć załącznik.

2. Surfowanie na niebezpiecznych wodach
Oprogramowanie antywirusowe i firewall najczęściej skutecznie powstrzymuje złośliwe oprogramowanie, którym zainfekowane są przypadkowo odwiedzane strony internetowe. Jednak surfowanie po niebezpiecznych strefach zawsze zwiększa ryzyko ataku. Poza tym cyberprzestępcy wciąż szybko rozwijają ukradkowe techniki ataku określane mianem “drive-by-download”, które wykorzystują luki w zabezpieczeniach przeglądarek internetowych (podatność na ataki ActiveX). W przypadku tego rodzaju ataków użytkownik może nawet nie wiedzieć, że pada ofiarą cyberprzestępców, a jego komputer jest zarażony.

3. Samowolne instalacje
Pliki do pobrania, które mają zainteresować Internautę, to drugi obok poczty główny obszar działań cyberprzestępców. Błędy pracowników polegają na samowolnym ściąganiu plików oraz instalacji aplikacji na komputerach biurowych. Przestępcy wiedzą, że jeśli uda się zastosować odpowiednie socjotechniki, podszywając złośliwe oprogramowanie pod pożądany plik lub np. e-usługę, wielu użytkowników samodzielnie wyda polecenie, by je pobrać i zainstalować. Nadają więc plikom odpowiednie “opakowanie”: stronę, z której się je pobiera, opis, nazwę. To typowa koncepcja konia trojańskiego.

4. Jedno hasło do wszystkiego
Istnieją serwisy nastawione wyłącznie na pozyskanie haseł i loginów. Pozornie ciekawa strona, dostęp do treści tylko po zalogowaniu. Podajemy login, mail i hasło. A serwis bez wiedzy użytkownika sam sprawdza czy para login/hasło zadziała na jakimś innym portalu. Co więcej, nawet te “dobre” serwisy internetowe miewają luki, które pomagają przestępcom w pozyskaniu haseł użytkowników. Hasła te są następnie automatycznie sprawdzane na dziesiątkach innych portali i bardzo często okazuje się, że pasują one w innych miejscach, dając szansę na skuteczną kradzież tożsamości. Przeciętny użytkownik Internetu używa co najmniej kilkunastu usług wymagających uwierzytelnienia przy pomocy hasła. Jednym z powszechnych błędów jest używanie wszędzie tego samego lub bardzo podobnego hasła.

5. Zapisywanie haseł
Alternatywą dla stosowania identycznych lub podobnych haseł dostępu jest zapisywanie haseł, które są zróżnicowane. Jeżeli użytkownik nie zapisze tych danych w mądry sposób, naraża się na sytuację, w której ktoś przechwyci wszystkie hasła za jednym razem.

6. Łatwowierność i naiwność
Obecnie cyberprzestępcy stosują socjotechnikę, której ofiarą mają padać mniej uważni i nieświadomi użytkownicy. Terminem phishing określa się przypadki wyłudzania haseł lub informacji, zazwyczaj poprzez odpowiednio spreparowany e-mail, który przekonuje ofiarę do konkretnego działania. Łatwowierny użytkownik kierowany jest np. na serwis przypominający stronę banku lub urzędu, ewentualnie podaje informacje, o które prosi, jak się wydaje, zaufany nadawca poczty. Tego rodzaju błędy najczęściej popełniane są na gruncie nadmiernego zaufania wobec drugiej strony, a także z partykularnej chęci zysku.

7. Niewylogowanie
Wciąż użytkownikom sieci często zdarza się kończyć swoją aktywność w aplikacji bez wylogowania się a niej. Odejście od komputera w takiej sytuacji oznacza potencjalne ryzyko oddania dostępu do zasobów aplikacji osobom trzecim. Naraża też potencjalną ofiarę na kradzież jej tożsamości.

Błędy administratorów i managerów wynikają z zaniedbań, niewiedzy, rutyny lub też lekceważenia ryzyka. Mają one dotkliwsze konsekwencje i bardziej wystawiają przedsiębiorstwa na ryzyko strat. Co więcej, gdyby ich nie popełniano, z przedstawionej powyżej listy udałoby się wyeliminować wszystkie punkty.

1. Brak polityki bezpieczeństwa
Pomimo tego, że obecnie wszystkie firmy przetwarzają swoje strategiczne informacje w systemach informatycznych, wiele z nich ma kłopot z wdrażaniem wewnętrznej polityki bezpieczeństwa – jasnych zasad, które określają reguły dostępu do urządzeń infrastruktury IT oraz odpowiedzialność za naruszenie tych zasad. Brak takich zapisów rozmywa odpowiedzialność i sprzyja niepożądanym, szkodliwym zachowaniom pracowników. W wielu innych firmach formalnie istnieje polityka bezpieczeństwa, ale wdrożono ją w sposób niewłaściwy. Organizacje nie radzą sobie z jej przestrzeganiem, kontrolą i egzekwowaniem postanowień w niej zawartych. Zaniedbania w tym obszarze w dłuższym terminie zwiększają ryzyko informatyczne i podatność na ataki we wszystkich obszarach systemu bezpieczeństwa.

2. Brak szkoleń
Innym grzechem zaniechania jest brak szkoleń, których celem jest edukowanie pracowników i uwrażliwianie ich na skutki błędów, jakie mogą popełnić w trakcie korzystania z Internetu. Szkolenia są nieodzownym elementem wdrażania polityki bezpieczeństwa, działań, które powinny być wspierane przez zarząd firmy.

3. Rutyna administratorów
Administratorów, którzy stoją na straży bezpieczeństwa firm, najczęściej gubi zwykła rutyna. Wciąż często obserwuje się brak ingerencji w modyfikowanie domyślnych parametrów zabezpieczeń i ustawień serwerów. Także i tu zdarza się nieodpowiedzialne zarządzanie hasłami dostępu, zaniedbania w monitorowaniu ruchu w sieci, nieautoryzowanych instalacji oprogramowania, a także np. pozostawienie ustawień zabezpieczeń po zmianie na stanowisku administratora.

Przestrzeganie zasad nie zniweluje całkowicie ryzyka. Oszuści bywają naprawdę sprytni. Ale trzeba wierzyć, że tak jak w życiu codziennym, wybierają oni raczej ofiary naiwne niż tych, którzy cały czas czujnie rozglądają się dookoła. Warto więc być świadomym użytkownikiem sieci.

Komentarze do raportu:

Maciej Zaborowski, Konsultant ds. IT Security w Edge Solutions Sp. z o.o.:
W systemie bezpieczeństwa informatycznego każdej organizacji najsłabszym ogniwem pozostaje człowiek i jego proste, banalne błędy. Dotyczy to zarówno administratorów, jak i samych pracowników, którzy mają kontakt z komputerami z dostępem do sieci. Potencjalnych zagrożeń jest mnóstwo i żaden system oparty na rozwiązaniach sprzętowych i oprogramowaniu nie zapewni skutecznego poziomu bezpieczeństwa. Odpowiedzialność za ochronę informatyczną firmy ponosi zarząd, którego rolą jest wspieranie wdrażania zasad bezpieczeństwa i troska o ich przestrzeganie przez cały zespół pracowników. To pozornie proste wyzwanie w praktycznej realizacji jest bardzo trudne, ponieważ błędy są wpisane w naturę ludzką, a ryzyko informatyczne jest często niedoszacowane lub niezauważane. W tym kontekście na liście priorytetów powinno postawić się porządnie opracowaną i wdrożoną politykę bezpieczeństwa, następnie szkolenia dla pracowników oraz systematyczne audyty bezpieczeństwa.

Grzegorz Tworek. Dyrektor Działu Bezpieczeństwo w ISCG, jedna z dwóch osób w Polsce wyróżnionych tytułem Microsoft Security Trusted Advisor:
Jeżeli chodzi o bezpieczeństwo informatyczne, to ogólnie zdrową radą jest nie poddawanie się ciekawości i traktowanie za zagrożenie wszystkiego, co nie pochodzi z bezwzględnie zaufanego źródła. Brzmi to jak zachęcanie do paranoi, ale w sytuacji, kiedy w Internecie są setki milionów użytkowników, naprawdę nie ma innego wyjścia jak założyć, że wielu z nich jest całkiem niegłupich i żywotnie zainteresowanych zrobieniem nam krzywdy. Użytkowników należy edukować: pokazywać sposoby ochrony, uzmysłowić potencjalne konsekwencje nieostrożnego zachowania, przeprowadzać audyty, sprawdzać czujność. Tak jak w wielu firmach zupełnie naturalne są ćwiczenia przeciwpożarowe, tak naturalne być powinny ćwiczenia dotyczące ochrony informacji. Nie jest to bardzo drogie a może uchronić przed poważnymi stratami. Warto też pamiętać, że wyszkolony w pracy użytkownik zacznie używać tej wiedzy w domu i będzie przekazywać ją innym dookoła.

Maciej Ziarek, Analityk Zagrożeń w Kaspersky Lab:
W kontekście ochrony informacji bardzo ważne jest zabezpieczenie nie tylko stacji roboczych, ale także samej sieci. W Polsce około 25% sieci bezprzewodowych nie korzysta z żadnej formy szyfrowania. Dane, jakie w nich są przesyłane, są jawne. To oznacza, że formularze czy strony wymagające logowania mogą być bez trudu podsłuchanie, a informacje przejęte. Bez uświadamiania użytkowników o niebezpieczeństwie pozostawiania otwartych sieci, problem ten będzie się pogłębiać z racji rosnącej popularności sieci WiFi. Obecnie jednym z największych niebezpieczeństw jest używanie inżynierii społecznej przez cyberprzestępców. O ile kilka lat temu skupiali się oni głównie na infekowaniu komputerów, obecnie o wiele skuteczniej żerują na niewiedzy i łatwowierności ludzi. Firmy powinny dziś koncentrować się na bezpieczeństwie swoich danych. Zalecane jest rozsądne ograniczenie użytkownika nie tylko co do konta, ale także w stosunku do programów i plików, jakie może on uruchamiać w pracy. Niemniej ważne jest prowadzenie szkoleń dla pracowników. Tak jak zostało to powiedziane na początku, najsłabszym ogniwem jest człowiek. Powinien być zatem pouczony, jakie praktyki mogą być szkodliwe i niewskazane, czego ma unikać. Niezastąpiony jest także administrator, który na bieżąco kontroluje sytuację i nie dopuszcza do łamania systemu zabezpieczeń.

Marek Massalski
marek.massalski@optimumpr.pl
Tel. kom.: 506 044 620
Tel.: 22 / 859 07 40

Optimum PR
Lasek Brzozowy 6/60
02-792 Warszawa
www.optimumpr.pl

—
Artykuł pochodzi z serwisu Publikuj.org.

Inne ciekawe wpisy z tej grupy:

• PayByNet, bezpieczne płatności online
• Jak chronić swoje dane osobowe podczas zakupów w sklepach i przez ogłoszenia?
• Wrażliwe dane pracownika
• Nowości w informatyce
• XXI wiek dla informatyków

Powstające codziennie nowe programy komputerowe, aplikacje, systemy etc, wyrażając się kolokwialnie, mają ułatwiać nam życie. Mimo, że obecnie nikt nie jest w stanie zliczyć wszystkich powstałych programów, każdy zna ich ceny. Czy jest to zwykły edytor tekstu, czy program zarządzający wielkimi przedsiębiorstwami cena ich jest zawsze taka sama – za wysoka. Szukając alternatywy zakupu legalnego oprogramowania znajdujemy w Internecie miliony stron oferujących nam darmowe wersje tych cudów techniki. Nie zważając na prawa ich użytkowania cieszymy się funkcjonalnością rozwiązań, wykorzystując je na wielu płaszczyznach: prywatnej, rozrywkowej, naukowej jak i niestety służbowej. Musimy jednak wiedzieć, że konsekwencje wykorzystywania pirackiego oprogramowania są bardzo poważne.

Odpowiedzialność pracodawcy

Naruszenie praw autorskich do wykorzystywania oprogramowania przez pracodawcę związana jest z odpowiedzialnością karną i cywilną. W zależności od rodzaju prowadzonej działalności gospodarczej, do odpowiedzialności mogą zostać pociągnięte osoby na różnych stanowiskach (właściciel, zarząd, dyrektor jednostki oraz także pracownicy działu IT). W przypadku udowodnienia naruszenia wykorzystywania praw autorskich oprogramowania, kodeks karny przewiduje karę grzywny, ograniczenia lub pozbawienia wolności, jak również zajęcia narzędzi przestępstwa, którymi stają się komputery czy firmowe serwery.

Dodatkowo przedsiębiorca ponosi odpowiedzialność z tytułu odszkodowania za naruszenie praw autorskich do wykorzystywania oprogramowania, które może wynosi dwukrotność wartości oprogramowania lub też wartość naprawienia wyrządzonej szkody na zasadach ogólnych.

Odpowiedzialność pracownika
Wprawdzie relacja pracownika z pracodawcą jest uregulowana przez kodeks pracy, który jasno wyraża się o sytuacjach wyrządzenia szkody na osobach trzecich podczas wykonywania obowiązków pracowniczych, to pracodawca może pociągnąć pracownika do odpowiedzialności materialnej i dyscyplinarnej! Odpowiedzialność materialna pracownika ogranicza się do trzykrotności wynagrodzenia, jednak w przypadkach kiedy szkoda przez pracownika została wyrządzona umyślnie, jest on zobowiązany do poniesienia pełnych kosztów. (Zainteresowanych stanowiskiem Sądu Najwyższego w tej sprawie odsyłam do zapoznania się z wyrokiem z 16.11.2004 r., I PK 36/04.)

Doskonałym obrazem powagi sytuacji jest powstała reklama.

Sposób na problem
Kierując się doświadczeniami innych, każdy z pracodawców powinien zwrócić szczególną uwagę na podobne sytuacje w swojej firmie. Unikając szeregu negatywnych konsekwencji bezprawnego wykorzystywania nielegalnego oprogramowania, każda z firm powinna posiadać ustaloną politykę bezpieczeństwa. Wdrażanie systemów zabezpieczeń w tej kwestii ma na celu wyeliminowanie podobnych sytuacji. Dzięki okresowym audytom legalności oprogramowania można uniknąć nieprzyjemnych kontroli. Obecnie na rynku funkcjonuje wiele zewnętrznych firm, które świadczą takie usługi. Audyt bezpieczeństwa stanowi cały zespół procesów zmierzających do osiągnięcia i utrzymania w firmie ustalonej polityki prywatności. Dzięki niemu poziom poufności, integralności, dostępności, rozliczalności, autentyczności i niezawodności w przedsiębiorstwie lub instytucji jest zawsze taki sam. Dzięki audytom, ciągle narażona na ataki, infrastruktura informatyczna jest w pełni zabezpieczana. W dzisiejszych czasach, kiedy to konkurencja walczy o każdego klienta mamy pewność, że dynamiczny rozwój naszej firmy nie zostanie przerwany przez wyciek wrażliwych informacji.

—

www.AntywirusExpert.pl – profesjonalne Systemy Bezpieczeństwa Danych

Artykuł pochodzi z serwisu www.Artelis.pl

Inne ciekawe wpisy z tej grupy:

• PayByNet, bezpieczne płatności online
• Jak chronić swoje dane osobowe podczas zakupów w sklepach i przez ogłoszenia?
• Wrażliwe dane pracownika
• XXI wiek dla informatyków
• Kontrola czasu pracy