Skala zagrożeń
Cyberprzestępcy chętnie wykorzystują brak świadomości zagrożeń informatycznych wśród pracodawców, objawiający się brakiem kompleksowej polityki bezpieczeństwa danych oraz ludzi, którzy dysponują odpowiednią wiedzą z dziedziny zabezpieczeń. Jeżeli do utraty ważnych informacji dojdzie – firmy starają się ten fakt ukryć. A sądząc po ilości uciążliwego spamu oraz „ciekawych” ofert handlowych, trafiających często do osób nie publikujących swoich danych (administratorzy firmowi, oficerowie bezpieczeństwa, robocze grupy), proceder wykradania danych jest zdecydowanie bardziej powszechny, niż wskazywałyby oficjalne statystyki.
Metody cyberprzestępców
Metody jakimi posługują się cyberprzestępcy są różne i zależą od celu jaki chcą osiągnąć. Najpopularniejsze sposoby to:
Techniczny, czyli połączenie komputera z innym komputerem i wykorzystywanie luk w oprogramowaniu zabezpieczającym. Wykorzystywane narzędzia to głównie: wirusy, trojany, spam, spyware oraz rootkity.
Socjotechnika – przy tej metodzie stwierdzenie, że najsłabszym ogniwem każdego systemu zabezpieczającego jest użytkownik, znajduje stuprocentowe potwierdzenie. Cyberprzestępcy chętnie wykorzystują naiwność i niewiedzę użytkowników atakowanej sieci lub komputera. Znanym modelem jest telefon do sekretarki firmy X i przedstawienie się jako administrator sieci sprawdzający stan zabezpieczeń. W rozmowie pada prośba o podanie hasła, aby sprawdzić jego siłę. Proste i wbrew pozorom bardzo skuteczne.
Zagrożenia wewnętrzne
Pracownicy firmy również stanowią istotne ogniwo w łańcuchu bezpieczeństwa w firmie. Są w dużym stopniu bezpośrednio narażeni na niebezpieczeństwo ataku. Odbierając pocztę mogą uruchomić kartkę urodzinową ze zdjęciem sławnej modelki, jednocześnie pobierając zainfekowany załącznik. W tym momencie sieć firmowa staje się środowiskiem, w którym rozwija się szkodliwy twór.
Duże zagrożenie stanowi również zabieranie pracy do domu, a tym samym wynoszenie firmowych danych (dokumentów itp.) na nośnikach wymiennych lub komputerach przenośnych, pozbawionych szyfrowania. Częstym zjawiskiem jest także przesyłanie poufnych danych na prywatne skrzynki e-mail przez pracowników. Brak zabezpieczeń może doprowadzić wówczas do wycieku informacji na zewnątrz, a odnalezienie przyczyny staje się prawie niemożliwe.
Do poważnych zagrożeń należy również wywiad gospodarczy. Wykorzystywane w nim metody jak infekcja poprzez nośniki USB, zgubienie sprzętu czy jego kradzież mogą być trudne do udowodnienia nielojalnemu pracownikowi, jeżeli w firmie brak odpowiednich procedur postępowania w celu zachowania bezpieczeństwa. Ponadto brak zabezpieczeń fizycznych, takich jak monitoring pomieszczeń serwerowych, nieuprzywilejowany dostęp do pomieszczeń kadrowo-finansowych itp., może skłonić nielojalnych pracowników do „buszowania” w dokumentacji i beztroskiego dzielenia się tajemnicami służbowymi z kolegami lub wynoszenia poufnych informacji na zewnątrz.
Jak się chronić?
Firmy stosują różnego rodzaju zabezpieczenia. Kompleksowa, regularnie aktualizowana polityka bezpieczeństwa obejmująca cały zakres i właściwości wdrożenia w organizacji jest niestety wciąż rzadko spotykana. Jest to jednak jedyna recepta na wszelkiego rodzaju zagrożenia ze strony internetowej przestępczości.
Poziom zabezpieczeń w firmach pozwalają zwiększyć audyty i szkolenia związane z tym tematem. Oczywiście wszystko te działania musi uzupełniać dobre oprogramowanie oraz sprzęt chroniący użytkowników i sieć.
Konieczne są również skuteczne zabezpieczenia wewnętrzne. W firmie poważnie podchodzącej do tematyki bezpieczeństwa filtruje się ruch w sieci oraz blokuje dostęp do źródeł informacji zewnętrznych. W erze Internetu Web 2.0 jest to kwestia, której nie można pominąć. Kluczowym działaniem jest monitorowanie obiegu dokumentów w firmie – często zdarza się że dokumenty wynoszone są z firmy przez samych nieświadomych zagrożenia pracowników. Blokowanie możliwości zapisu danych na nośnikach typu PenDrive jest jak najbardziej wskazane. Oczywiście siła zabezpieczeń może zależeć od wartości i charakteru danych przechowywanych w firmie.
18 zasad bezpieczeństwa w firmie:
1. Filtrowanie ruchu przychodzącego i wychodzącego (firewalle, antywirusy, skanery sieciowe).
2. Połączenia zdalne VPN.
3. Białe listy stron internetowych stosowane przekazywane przez serwery Proxy.
4. Elektroniczny obieg dokumentów.
5. Szyfrowanie poczty e-mail.
6. Szyfrowanie dysków przenośnych.
7. Szyfrowanie transmisji danych pomiędzy klientem a serwerem (IPSec) .
8. Monitoring oraz systemy alarmowe.
9. Ochrona mienia i kontrola dostępu do pomieszczeń.
10. Bezpieczne logowanie (certyfikaty cyfrowe – również w przypadku szyfrowania).
11. Sejfy.
12. Nakazy tajemnicy służbowej i procedury postępowania na wypadek ich złamania przekazane pracownikom.
13. Szkolenia w zakresie bezpieczeństwa firmy.
14. Audyty bezpieczeństwa.
15. Wprowadzanie scentralizowanej kontroli nad pracą użytkowników (serwery terminali).
16. Oprogramowanie antywirusowe instalowane na serwerach firmowych oraz na końcówkach klienckich.
17. Ograniczanie dostępu fizycznego do nośników wymiany danych.
18. Monitorowanie zachowań pracowników, naruszających zasady bezpieczeństwa w firmie.
Wojciech Boczoń