CyberbezpieczeństwoPolecane tematy
6 zasad efektywnej ochrony danych AD 2021
Jak wskazuje badanie Vmware “2021 Global Security Insights Report” w ostatnich miesiącach liczba ataków cyberprzestępczych drastycznie wzrosła – 80% firm twierdzi, że odpowiedzialna jest za to… praca zdalna. Zmęczeni pandemią pracownicy są bowiem mniej uważni, często łączą się z firmowymi systemami z domowych, słabo zabezpieczonych urządzeń, a to z kolei otwiera hakerom furtkę do poufnych danych organizacji. Dodatkowo, zbliżający się czas wakacyjnych urlopów będzie zapewne sprzyjał utracie haseł i tożsamości w Internecie. Jak bronić się przed atakami cyberprzestępców?
Od jakiegoś już czasu dużo mówi się o tym, jak powinno być zbudowane bezpieczne hasło – z jakich liter i znaków musi się składać czy jaką mieć minimalną długość. W rzeczywistości, biorąc pod uwagę praktyki i doświadczenie cyberprzestępców, nawet skomplikowana kombinacja cyfr i liter nie ma już wielkiego znaczenia. Każde hasło – prędzej czy później – może zostać przejęte przez hakera. Czy to przy pomocy złośliwego oprogramowania, które użytkownik komputera lub smartfona zainstaluje, klikając w fałszywy link, czy poprzez klasyczny phishing albo kradzież danych dostępowych użytych do zabezpieczenia kont na innych stronach.
Zabezpieczenia oparte na samym haśle to dziś zdecydowanie za mało. Konieczne jest uzupełnienie go drugim składnikiem. Gdy zainstalowana jest weryfikacja w postaci silnego uwierzytelniania, hasło może być dowolne, nawet bardzo proste, ponieważ bez dodatkowej autoryzacji i tak nie wpuści nikogo dalej.
“Obecnie ataki cyberprzestępców są skrupulatne i najczęściej opierają się na korzystaniu ze skradzionej tożsamości” – mówi Tomasz Kowalski, prezes i współzałożyciel Secfense. “Wzmocniona ochrona podczas logowania, czyli stosowanie wieloskładnikowego uwierzytelniania (MFA) polegającego na dodatkowej weryfikacji, np. wprowadzeniu kodu wysłanego na osobisty telefon lub skanowaniu odcisku palca, podnosi skuteczność zabezpieczeń do 90%. Każdy z nas więc powinien używać MFA, aby nie pozwolić osobom niepowołanym na dostęp do swojej poczty lub do serwisów, do których logowanie odbywa się przy pomocy tożsamości Google czy Facebooka” – tłumaczy.
Uwaga na trendy
Według ekspertów cyberbezpieczeństwa, zbliżające się wakacje będą okresem wzmożonej aktywności przestępców. Aby ukraść tożsamość i dostać się do prywatnych, często wrażliwych danych, będą oni używać chwytów socjotechnicznych związanych z m.in. panującymi obecnie trendami i modami. Strzec więc powinniśmy się choćby fałszywych maili, w których cyberprzestępcy podszywają się pod hotele czy strony oferujące atrakcyjne i tanie noclegi. W sezonie letnim, jak przewidują specjaliści z Emsisoft, ataków tego typu może być jeszcze więcej niż teraz. Z aktualnych danych raportu firmy Phish Labs „Threat trends & intelligence” wynika z kolei, że dziś jest ich już o prawie 50% więcej, niż w tym samym czasie roku ubiegłego.
Czy można jakoś odwrócić ten trend? Specjaliści uważają, że tak i jako dowód przytaczają działanie Google, który na początku 2017 roku w całej organizacji wprowadził uwierzytelnianie dwuskładnikowe (w oparciu o klucze kryptograficzne w standardzie U2F) dla 85 000 pracowników i tym samym wyeliminował problemy powodowane przez maile phishingowe.
6 kluczowych zasad
Analitycy Gartnera przewidują, że w 2021 roku przedsiębiorstwa, które umożliwiają zdalny dostęp pracowników bez wdrożonego MFA, mogą doświadczyć pięciokrotnie więcej incydentów przejęcia kont niż te, które z MFA korzystają. Właśnie dlatego każdy powinien spodziewać się próby kradzieży tożsamości i aktywnie jej przeciwdziałać.
Co robić, aby chronić swoje dane i poufne informacje firmy, dla której pracujemy?
1. Nigdy nie ufaj, zawsze weryfikuj! Różnica między sieciami zaufanymi i niezaufanymi już się zatarła, dlatego przestań wierzyć, że to, co znajduje się za firmowym firewallem, jest bezpieczne.
2. Chroń swoją skrzynkę e-mail. Używaj do jej zabezpieczenia MFA, czyli drugiego, silnego składnika. Warto go stosować, żeby nie stracić prywatności swojej poczty lub dostępu do serwisów, do których logujemy się przy pomocy tożsamości Google czy Facebooka.
3. Nie odbieraj podejrzanych maili, nie klikaj w przesłane linki, sprawdzaj domeny i adresy, z których otrzymujesz e-maile. Przestępcy będą w nich odwoływać się do tego, co teraz znajduje się w centrum naszej uwagi – noclegi, hotele, tanie loty. Nie daj się nabrać na oferty limitowane, ostatnie miejsca, bilety za grosze.
4. Nie ufaj dzwoniącym konsultantom, nawet takim, którzy dzwonią z „Twojego banku”. Nie instaluj sugerowanych przez nich aplikacji na swoim smartfonie, zwracaj uwagę na stosowane socjotechniki – straszenie, przestrogi, pośpiech i przekonywanie za wszelką cenę. Jeśli nie masz pewności – odłóż słuchawkę i zadzwoń do banku z pytaniem, czy ktoś z oddziału kontaktował się z Tobą w ostatnim czasie.
5. Sprawdź, czy w Twojej firmie działają odpowiednie procedury bezpieczeństwa, zasugeruj wdrożenie MFA na wszystkich aplikacjach i systemach. Tylko wtedy możesz czuć się bezpiecznie, pracując z domu czy dowolnej lokalizacji na świecie.
6. Nie loguj się do niezabezpieczonych sieci wi-fi. Jeśli już musisz, nie wykonuj wtedy operacji na koncie bankowym lub takim, które zawiera wrażliwe dane. Jeśli łączysz się z siecią firmową, konieczny jest nie tylko VPN, ale również uwierzytelnianie dwuskładnikowe. Badania pokazują bowiem, że aż 34% ataków odbywa się wewnątrz sieci organizacji.