Obecnie cyberbezpieczeństwo to nie tylko sprawa działu IT, ale jest to wspólna odpowiedzialność każdego członka organizacji. Pomimo licznych szkoleń, kampanii informacyjnych i edukacyjnych w sieci czy w szkołach, w wielu firmach wciąż powtarzane są te same błędy. Nie wynika to ze złej woli pracowników, ale raczej z braku świadomości i odpowiedniej wiedzy. Oto 5 najczęstszych błędów – i jak ich uniknąć.
Błąd 1: Nieprawdziwe założenie, że “to nas nie dotyczy”
Wiele osób w dalszym ciągu wyraża przekonanie, że celem ataku są tylko duże firmy (najczęściej międzynarodowe korporacje) i instytucje państwowe. Chociaż faktycznie o cyberatakach najczęściej słyszymy, gdy ich ofiarą staje się duży gracz na krajowym lub światowym rynku, to dane statystyczne stanowczo zaprzeczają temu stanowisku. Powołując się na dane przygotowane przez KPMG w ich corocznym raporcie “Barometr cyberbezpieczeństwa” widzimy, że prawie 83% firm w Polsce zarejestrowała co najmniej 1 incydent bezpieczeństwa w ubiegłym roku. Jest to najwyższy wynik w 8-letniej historii prowadzenia raportu przez KPMG, co pokazuje jak rozpowszechnionym zagrożeniem jest cyberprzestępczość.
Możemy stąd śmiało wyciągnąć wnioski, że małe i średnie przedsiębiorstwa są tak samo, albo i nawet bardziej zagrożone cyberatakami niż duże firmy. Wynika to także z faktu, że im większa organizacja, tym więcej środków (zarówno finansowych jak i ludzkich) jest w stanie przeznaczyć na zapewnienie cyberbezpieczeństwa. W przypadku małych i średnich firm często nie mamy do czynienia z takim zapleczem, co ostatecznie powoduje zwiększenie najważniejszego czynnika, który decyduje o tym czy firma zostanie zaatakowana czy nie – podatności.
W SC Lab prowadzimy szkolenia z cyberbezpieczeństwa i testy phishingowe, które w przystępny sposób uświadamiają, jak wygląda realne zagrożenie – zanim stanie się faktem.
Błąd 2: Słabe i powtarzane hasła
Kolejnym elementem systemu cyberbezpieczeństwa, który szwankuje zarówno w firmach, ale także w życiu prywatnym wielu użytkowników internetu są właśnie słabe i powtarzane hasła. Jest to jedno z najprostszych do ustawienia zabezpieczeń, a jednak tyle osób nie decyduje się odpowiednio ich wykorzystywać w konsekwencji narażając siebie i swoją firmę na dodatkowe niebezpieczeństwa.
W internecie krąży wiele mitów na temat bezpiecznych haseł, tego jak powinno się je tworzyć, jak często zmieniać czy wreszcie, że pod żadnym pozorem nie należy korzystać z zewnętrznych dostawców usług do przechowywania haseł. Tak jak wszystkie legendy zawierają ziarno prawdy i w tym przypadku. Tworzenie i przede wszystkim zarządzanie hasłami to gorący temat, który nieustannie się zmienia i zasługuje na oddzielny artykuł, dlatego chcę przedstawić kilka najważniejszych zasad, których zastosowanie gwarantuje poprawę bezpieczeństwa w sieci.
- Twórz długie hasła, które trudno odgadnąć ale są proste do zapamiętania dla Ciebie.
- Porada: możesz wykorzystać słowa, które mają dla ciebie specjalne znaczenie co pozwoli je łatwiej zapamiętać np: SauronKarkonoszeLiverpool1972
- Częsta zmiana hasła wcale nie jest zalecana – może ona doprowadzić do efektu odwrotnego niż zamierzany -> dużo lepiej ustawić jedno silne hasło i zmienić je dopiero w przypadku ujawnienia
- Warto korzystać z menedżerów haseł – ułatwiają one codzienne życie, bo nie trzeba pamiętać haseł do wszystkich serwisów, a zapewniają odpowiednią ochronę
W trakcie oferowanych przez nas szkoleń, poruszamy szeroko zagadnienie bezpiecznych haseł i pokazujemy na przykładach, jakie hasła warto ustawiać, a których należy unikać za wszelką cenę.
Błąd 3: Brak odpowiednich procedur postępowania w przypadku wystąpienia incydentu cyberbezpieczeństwa
W tym miejscu dochodzimy do rozwiązań systemowych dla cyberbezpieczeństwa, które każda firma powinna posiadać, a jednak prawie żadna ich nie ma. Chodzi oczywiście o procedury działania w przypadku, gdy wystąpi incydent bezpieczeństwa. Wszyscy zdają sobie sprawę, jak stresujące jest doświadczenie na własnej skórze cyberataku i jak trudno jest racjonalnie myśleć w przypadku takiego zagrożenia. Pomimo to brakuje uproszczonych procedur i szkoleń co, krok po kroku, należy robić gdy dojdzie do takiej sytuacji.
Procedury powinny być w skróconej formie i w dostępnym miejscu, aby każdy z pracowników miał natychmiastowy dostęp do kart, na których znajdzie informacje co ma robić a czego unikać, a także gdzie i do kogo może zgłosić wystąpienie niebezpiecznej sytuacji. Nie brzmi wcale tak strasznie, prawda? Dwie strony pełne konkretów – tyle wystarczy by w dużym stopniu ograniczyć ryzyko strat związanych z błędnym reagowaniem w przypadku incydentu.
SC Lab pomaga tworzyć realistyczne scenariusze reagowania, przygotowuje proste instrukcje dla zespołu i pozwala wdrożyć je w życie.
Błąd 4: Brak praktycznej wiedzy dotyczącej cyberzagrożeń
Skoro mamy już wiedzę teoretyczną, warto także spojrzeć na praktyczny aspekt cyberbezpieczeństwa. Chociaż wszyscy słyszeli o phishingu i każdy wie, że nie należy klikać w podejrzane maile, to phishing jest odpowiedzialny za prawie 40% wszystkich zarejestrowanych incydentów bezpieczeństwa. Dane przygotowane przez CERT Polska wskazują, że jest to obecnie najczęściej wykorzystywana metoda przez cyberprzestępców.
W SC Lab przeprowadzamy bezpieczne testy phishingowe, które pokazują prawdziwą czujność zespołu — i dają możliwość edukacji bez ryzyka. Zyskujesz raport, konkret i impuls do realnej zmiany.
Błąd 5: Brak regularnych aktualizacji systemów i oprogramowania
W części firm można spotkać się z podejściem na zasadzie „jeśli działa, nie ruszaj” – i właśnie to tworzy okazję cyberprzestępcom, którzy wykorzystują wszelkie podatności do osiągnięcia swoich celów. Nieaktualizowane systemy operacyjne, przestarzałe przeglądarki, stare wtyczki i brak poprawek bezpieczeństwa dają możliwość odpowiedniego przygotowania się przestępcom i wykorzystania znanej luki w zabezpieczeniach.
Aktualizacje są jednym z najprostszych i najtańszych sposobów obrony, a mimo to są często pomijane przez zaniedbanie. W efekcie firmy stają się łatwym celem – mimo że atak można było zablokować jedną decyzją.
Pamiętaj o regularnej aktualizacji swojego środowiska pracy, bo nawet jedna przestarzała aplikacja czy wtyczka może zostać wykorzystana przez cyberprzestępców do ataku.
Podsumowanie:
Nie trzeba robić wszystkiego naraz. Ale zdecydowanie trzeba zacząć.
W SC Lab pomagamy firmom wdrażać realne, zrozumiałe i skuteczne rozwiązania.
