Internetowe BHP

Jak wynika z opublikowanego niedawno raportu Enterprise IT Security Survey 2010 w tym roku 67% dużych firm odnotowało znaczący wzrost liczby cyber-ataków. Co ciekawe, jako ich przyczynę przedsiębiorcy najczęściej podawali… atak hakera. Taka postawa rodzi wątpliwość, na ile wzrost trendu jest spowodowany samą intensyfikacją działań cyber-przestępców, a na ile nieświadomością i brakiem przestrzegania zasad bezpieczeństwa w sieci.

Wielu ludzi wciąż zapomina o przestrzeganiu podstawowych zasad higieny i bezpieczeństwa użytkowania internetu. Przestarzałe technologie, niedbalstwo i nadmierne zaufanie do plików w Internecie to podstawowe przyczyny wielu incydentów polegających na naruszeniu prywatności lub wyłudzeniu danych. A przestrzeganie ich mogłoby zminimalizować ryzyko, jakie wiąże się z wprowadzaniem danych do sieci. Podejście, że za ataki w sieci odpowiedzialni są sami cyberprzestępcy mogłoby wydawać się naiwne. Jednak jak pokazuje raport Enterprise IT Security Survey 2010, wielu przedsiębiorców winą za kłopoty obarczało właśnie hakerów, zapominając tym samym o tej oczywistej prawdzie, że to okazja czyni złodzieja.

Chroń siebie i swój biznes

Dzisiaj, kiedy nasze życie prywatne i zawodowe częściowo toczy się w sieci, stajemy przed zupełnie nowymi rodzajami zagrożeń. Niemal codziennie ryzykujemy utratą danych,  narażamy się na włamania na elektroniczne konta bankowe. Niepożądane treści (zdjęcia, prywatna korespondencja) mogą stać się widoczne dla innych. Przykładem siły internetu w przełamywaniu ochrony prywatności są sytuacje opisywane na różnych portalach (np. wykop.pl, demotywatory.pl). Sprawy zwykle dotyczą filmików ze scenami maltretowania zwierząt. Internauci identyfikują poszczególne osoby i często sami wymierzają karę, składając donos na policję, lub nękając elektronicznie.

Za pomocą internetu można też dotrzeć do danych firmowych, których ochrona staje się jednym z kluczowych zadań dla działów IT. Jak wynika z raportu firmy McAfee, nakłady na bezpieczeństwo wirtualne firm są coraz mniejsze, zaś przeciętne straty wynikające z ataku na domenę wynosiły 41 tysiące dolarów, zastraszająco wręcz sprawa wygląda w Chinach – tam średni koszt ataku oscylował wokół 85,000 dolarów. Atakom ulegają nie tylko duże firmy, a mimo to jedynie 21% osób na kierowniczych stanowiskach w małych i średnich przedsiębiorstwach zdaje sobie sprawę z zagrożenia. A problem jest realny. Ataki na systemy komputerowe stały się powszechne. - wyjaśnia Piotr Błaszczeć, ekspert w dziedzinie IT i biegły sądowy –  Dawniej przeprowadzenie takiego ataku wymagało specjalistycznej wiedzy, a dziś wystarczy użycie jednego z exploitów (programy mające na celu wykorzystanie błędów w oprogramowaniu lub systemach), które publikowane są na wielu portalach. Wtedy wszystko odbywa się praktycznie automatycznie.

Kieszonkowcy lubią tłok…

Nalepkę z ostrzeżeniem przed kieszonkowcami można zobaczyć w niejednym autobusie. Najłatwiej o kradzież w miejscach zatłoczonych, tym bardziej, że duża ilość ludzi dookoła daje fałszywe poczucie bezpieczeństwa. To samo tyczy się internetu. Tam, gdzie ludzie wchodzą masowo, wnosząc ze sobą wartościowe dane, pojawia się okazja do nadużyć. Najlepszym przykładem takiego miejsca jest Facebook z jego 500 milionami użytkowników. Według niedawnych doniesień Wall Street Journal miał miejsce kolejny wyciek danych personalnych, tym razem poprzez niezwykle popularne aplikacje Farmville i Mafia Wars, których twórca – firma Zynga – odsprzedał dane zewnętrznym firmom marketingowym.

Popularność internetu często przesłania fakt, że jest to relatywnie nowe narzędzie. Wprawdzie statystki z czerwca tego roku mówią o już prawie dwóch miliardach użytkowników, jednak wciąż brakuje powszechnej kultury jego użytkowania a prawo dopiero nadąża za nowymi problemami, które wynikają z tak ekspansywnego rozwoju sieci. Jak każde zatłoczone miejsce, internet stwarza okazję do nadużyć i kradzieży, i tak, jak w przypadku większości problemów – czasem wystarczą proste środki zachowawcze, by im zapobiec.

Ostrożność, głupcze!

Jest wiele zaawansowanych, i często drogich rozwiązań, pozwalających uzyskać wysoki stopień ochrony. Nie zawsze jednak trzeba sięgać po tak specjalistyczne środki. Wiele zagrożeń wynikających z użytkowania internetu bierze się z nieprzestrzegania podstawowych zasad bezpieczeństwa. Hakerzy najchętniej bazują na ludzkiej nieświadomości i naiwności. A brak podstawowych zabezpieczeń to zaproszenie do nadużycia. Najlepszym darmowym rozwiązaniem pozwalającym zminimalizować ryzyko jest – ostrożność. Firmy bardzo często decydują się na restrykcyjną kontrolę dostępu do danych, a także ograniczenie możliwości dokonywania czynności na komputerze. Malejące zaufanie do pracowników i ich wiedzy na temat zagrożeń płynących z użytkowania internetu jest jednym ze sposób na minimalizowanie ryzyka błędu – tłumaczy Marceli Smela, dyrektor generalny firmy IT Kontrakt.

Punktem wyjścia jest zabezpieczanie dostępu do danych, kont itp. poprzez stosowanie haseł, o które również należy dbać w szczególny sposób. O tym drugim wymogu wiele osób zapomina. Podstawowa zasada, nagminnie łamana, zwłaszcza przez pracowników, to niezapisywanie haseł na kartkach. To swoiste internetowe „myj ręce przed posiłkiem”.  Ważne jest, aby hasła nie były oczywiste,  a także, aby w opcjach odzyskiwania haseł, polegających często na zadaniu pytania, nie wybierać takich, na które odpowiedź mogą znać osoby postronne. – Gdy pracowałem jako administrator IT w Państwowej Wyższej Szkole Zawodowej w Elblągu otrzymywałem dzienny raport informujący o próbach logowania do systemów uczelni na konta użytkowników metodą brute force. Dziennie było to kilkaset połączeń – opowiada Krzysztof Czerepak,  pracownik grupy In Flavo – Gdyby użytkownicy posiadali hasła typu “imię”, czy jakieś inne nazwy własne, to z całą pewnością duża część tych prób byłaby zakończona powodzeniem. Warto pamiętać też wyłączeniu opcji zapamiętywania haseł oraz o wylogowaniu się z konta, jeśli korzystamy z różnych komputerów.  Dla właścicieli i pracowników firm zaleca się również okresową zmianę kodów dostępu.

Zasada ograniczonego zaufania

Dobrze jest mieć świadomość, że w internecie dużo łatwiej o skuteczne podszycie się pod kogoś. Tym bardziej, że wirusy mogą same wysyłać się z kont pocztowych, korzystając z kontaktów zapisanych w książkach adresowych. Dlatego przy otrzymaniu niespodziewanej wiadomości z załącznikiem od znajomego warto się upewnić przy użyciu innego kanału (np. telefonu komórkowego), czy rzeczywiście on sam wysłał tę wiadomość. Im więcej istotnych danych przetrzymujemy na komputerze, tym ostrożniej należy obchodzić się z plikami niewiadomego pochodzenia.

Zasada ograniczonego zaufania w przypadku firm odnosi się zarówno do materiałów ściąganych z sieci, jak i do osób wykonujących obowiązki na komputerze. Jeśli pracodawca ma wątpliwości co do kompetencji jego podwładnych, może wprowadzić wymóg autoryzacji niektórych działań w internecie, np. w formie tokenów.  Tutaj złotą zasadą jest ciągłe doszkalanie pracowników oraz promowanie świadomości zagrożeń w sieci. Dzięki temu można zbliżyć się do stanu, kiedy ewentualne luki czy błędy w systemie zabezpieczeń nie są domeną tylko jednej czy dwóch osób administrujących firmową siecią, ale mogą być zauważone przez świadomych, wyszkolonych pracowników każdego szczebla. Regularna edukacja pracowników mająca na celu wypracowanie odpowiednich procedur  jest niezbędna dla podtrzymania kontroli wirtualnego dostępu do danych – mówi Patryk Pietroń, administrator sieci IT Kontrakt. – Nieodpowiedzialne korzystanie z oprogramowania może doprowadzić do wystąpienia błędu, lub skutkować w osłabieniu ochrony na wypadek ataku hakerskiego.

Profilaktyka i ostrożność: najprostsze rozwiązania bywają najskuteczniejsze, niestety często są niedoceniane. Sieciowego BHP, bez względu na jego pozorną oczywistość, należy jednak skrupulatnie przestrzegać – dla dobra swojego i firmy.