Začetek šolskih počitnic je s prvim valom dopustov že deloma izpraznil pisarne. Večina letnih dopustov pa vendarle še prihaja v juliju in avgustu. Kako v času, ko veliko zaposlenih tudi na počitnicah to ali ono postori za službo, poskrbeti za varnost občutljivih podatkov in njihovo integriteto?
V tem zapisu se bomo osredotočili na tri elemente (kibernetske) varnosti, s katerimi v času poletnih odsotnosti poskrbimo, da občutljivi podatki ostanejo na svojem mestu in niso nikakor zlorabljeni.
Zakaj je varnost občutljivih podatkov poleti na preizkušnji?
Zelo enostavno: ker se sprostimo in damo možgane na pašo. Manj smo za računalnikom in več na telefonu, kjer je občutek zavezanosti k varovanju podatkov šibkejši. Več časa namenimo brskanju po družabnih omrežjih, kjer smo tudi bolj aktivni pri pisanju komentarjev in sodelovanju v različnih nagradnih igrah. Med vsemi legitimnimi objavami lahko hitro spregledamo dobro nastavljeno past.
Na poslovni ravni pa je kibernetskovarnostna drža poleti na preizkušnji zaradi pogosto okrnjene zasedbe v odzivnih centrih. Manjše število strokovnjakov v odzivnem centru pomeni večjo verjetnost za uspešen kibernetski napad. Tega se zavedajo tudi napadalci, zato je po nekaterih navedbah* prav v poletnih mesecih število poskusov napadov najvišje. Vstopnico v poslovno omrežje poskušajo hekerji dobiti z usmerjenim ribarjenjem, vsebino katerega napletejo okoli odsotnosti vodilnih kadrov in »nujnih opravil«, ki jih ti v času svoje odsotnosti pričakujejo od zaposlenih.
Preglejte kontrole in zaposlene spomnite na varnostne politike
V poslovnih okoljih moramo za vzdržno kibernetsko varnost poskrbeti na dveh ravneh: pri »navadnih« uporabnikih, kjer je potrebno stalno varnostno ozaveščanje, in v IT oddelku oz. odzivnem centru (SOC).
Glede na že prej omenjeno dejstvo, da so IT oddelki in SOC centri v poletnem času zdesetkani zaradi dopustov, je smiselno, da pregledate obstoječe kontrole in ukrepe odzivnega centra. Tako bodo sodelavci, ki bodo nadomeščali primarno ekipo, hitreje odreagirali in bodo pozorni na izpostavljena opozorila.
Prav tako poskrbite, da bodo uporabniki seznanjeni z aktualnimi varnostnimi politikami; tako glede ustrezne urejenosti zaščite fizičnega delovnega mesta kot glede uporabe mobilnih naprav in dostopanja do poslovnih podatkov z oddaljenih lokacij.
V zadnjih dveh letih je sicer veliko podjetij osvojilo delo na daljavo in tudi določilo pravila glede uporabe službenih naprav in zasebnih naprav v poslovne namene. S tem se je varnost občutljivih podatko zagotovo izboljšala. Vseeno pa je dojemanje uporabe drugačno, če smo v domačem okolju ali na dopustu, kjer med klepetom na plaži mimogrede pogledamo službeno pošto.
Politika čiste mize je osnovni higienski ukrep
Osnovni higienski ukrep pred odhodom na dopust je pospravljeno delovno mesto. Najbolje je, če na mizi ni ničesar razen računalniške opreme, ki naj bo popolnoma ugasnjena (ne v mirovanju ali spanju). Če nimate možnosti pospraviti vse dokumentacije v omare ali predalnike, poskrbite, da vsaj občutljivih podatkov na vaši mizi ne bo. Tako niti ne ponudite priložnosti, da bi se z njimi lahko kdo okoristil.
Priporočljivo je tudi, da pred odhodom na dopust naredite varnostno kopijo (ang. back-up) svojega (službenega) računalnika. Pri tem bodite pozorni, kaj želite varnostno kopirati. Pogosto se namreč zgodi, da zaposleni na službenih napravah hranijo zasebne podatke – bodisi dokumente ali fotografije – ki ne sodijo v poslovne varnostne kopije. Takšne dokumente prenesite v zasebni oblak (npr. Google Drive ali zasebni MS OneDrive) ali shranite na zunanji nosilec podatkov.
Z možgani na off … poskrbite za kibernetsko varnost svojih naprav in podatkov
Prvo pravilo: na družabnih omrežjih ne objavljamo svojih odhodov na dopust. Razumljivo je, da radi delimo lepe trenutke s prijatelji v spletu. A nič ne bo narobe, če fotografije s potovanj objavite po prihodu domov. Informacije o naši odsotnosti lahko namreč izkoristijo tako kibernetski kriminalci, ki na ta račun izvajajo usmerjeno ribarjenje, kot tudi vlomilci, za katere so podatki o odsotnosti pravi zaklad.
Drugo pravilo: na mobilnih napravah izklopite avtomatsko povezovanje na brezžična in Bluetooth omrežja. V širokem loku se izogibajte povezovanju na odprta brezžična omrežja, saj se tako kot vi na takšno omrežje poveže tudi heker, ki lahko ostaja skrit in prestreza promet ali vam podtika lažnive strani. Če nimate druge možnosti kot odprto brezžično omrežje, za povezavo uporabite VPN, ki kriptira promet in po vzpostavitvi varne povezave dobro poskrbi za varnost vaših podatkov. Še vedno pa ostaja odprto časovno okno med povezavo v odprto omrežje in vzpostavitvijo VPN povezave, ko napadalec lahko prestreza vaš promet in npr. ulovi gesla. Zato poskrbite, da boste povezani v zaprta, z geslom zaščitena omrežja ali uporabite mobilno dostopno točko (ang. mobile hotspot), ki zaenkrat velja za varno povezavo.
Tretje pravilo: poskrbite, da bodo vaše aplikacije in brskalniki vedno posodobljeni. Z rednim posodabljanjem programske opreme lahko sami v relativno veliki meri zmanjšamo možnost za napade, saj se s popravki odpravljajo tudi varnostne pomanjkljivosti. Bodite previdni pri nameščanju novih aplikacij in pred namestitvijo vedno preverite, ali je aplikacija zaupanja vredna. Aplikacije nameščajte iz uradnih spletnih trgovin (npr. Google Play, App Store) in ne s spletnih strani.
Z upoštevanjem omenjenih nasvetov boste poskrbeli za kibernetsko varen dopust ter integriteto in varnost občutljivih podatkov.
Ozaveščanje uporabnikov
Ozaveščanje uporabnikov ustvarja živi požarni zid in je ključno za preprečevanje vdorov v poslovne informacijske sisteme.
Simulacija napadov po e-pošti
Simulacija napadov po e-pošti je učinkovit način treniranja zaposlenih v prepoznavanju phishing napadov in škodljivih povezav.
Brezplačna orodja
Brezplačna orodja, ki jih je razvilo partnersko podjetje KnowBe4, so namenjena testiranju in treningu varnostnega ozaveščanja zaposlenih.
* Vir: Hudson Reporter