W 2023 roku CERT Polska zarejestrował 80 267 unikalnych incydentów[1] Najczęściej występujące ataki związane były z wykorzystaniem phishingu, oszustw komputerowych oraz szkodliwego oprogramowania. W okresie wakacyjnym, gdy wielu pracowników korzysta z zasłużonego odpoczynku, firmy stają przed szczególnymi wyzwaniami związanymi z cyberbezpieczeństwem. Zmniejszona liczba personelu, częstsze wykorzystywanie urządzeń mobilnych, mniej restrykcyjne podejście do procedur, zwiększają ryzyko cyberataku. Cyberprzestępcy intensyfikują swoje działania, wykorzystując obniżoną czujność pracowników.
W jaki sposób pracownik może zadbać o bezpieczeństwo przed urlopem?
· Zacznij od aktualizacji systemu. Spawdź czy system, oprogramowanie i aplikacje są aktualne. Tam, gdzie to możliwe włącz automatyczne aktualizacje.
· Korzystaj z oprogramowania od zaufanych dostawców. Dzięki temu nie tylko korzystasz z bezpiecznych rozwiązań, ale masz zapewnione wsparcie oferowane przez producenta danego rozwiązania.
· Sprawdź siłę swoich haseł. Zwróć uwagę czy stosowane przez Ciebie hasła mają minimum 14 małych i dużych znaków i czy stosujesz zasadę różnych haseł do różnych usług[2]
· Aktywuj weryfikację dwuetapową. Zawsze pamiętaj o możliwości korzystania z dodatkowych zabezpieczeń. Wiele usług oferuje dodatkowe metody weryfikacji do zabezpieczania kont użytkowników.
· Pamiętaj o ustawieniu zastępstwa na czas Twojej nieobecności, zarówno w dedykowanym systemie jak i informacji w autoodpowiedzi na służbowej poczcie. Dzięki temu kontrahenci będą poinformowani, ciągłość spraw zachowana, a osoba, która będzie Cię zastępowała będzie miała dostęp do zasobów, które zostały przez Ciebie udostępnione. Trudniej też będzie się pod Ciebie podszyć.
· Przekaż wszystkie niezbędne informacje o statusie spraw osobie zastępującej. Dzięki temu możliwe będzie dalsze procedowanie i przygotowanie na kolejny etap ich realizacji.
· Stosuj zasadę czystego biurka. Nie zostawiaj „na wierzchu” dokumentów, haseł na karteczkach, nośników danych. Pamiętaj o bezpieczeństwie danych i informacji firmowych.
· Sprzęty służbowe pozostaw w odpowiednio zabezpieczonym miejscu. Nie zostawiaj laptopa, telefonu komórkowego na biurku, w ogólnodostępnym miejscu.
Korzystanie z urządzeń podczas urlopu
Oddzielenie życia zawodowego od prywatnego czasem nie jest proste. Jadąc na urlop nie powinno korzystać się z dostępnych zasobów, poczty czy innych systemów firmowych. Dlaczego? Wypoczynek jest ważny tak samo jak bezpieczeństwo i higiena cyfrowa, które powinny być bezwzględnie przestrzegane. Czego nie robić podczas urlopu żeby był on efektywny?
1. Rozdzielaj życie służbowe od prywatnego – do kontaktów służbowych używaj dedykowanego do tego firmowego sprzętu. Konta służbowe nie powinny być łączone z kontami prywatnymi, np. media społecznościowe, aplikacje pocztowe, itd.
2. Podczas wyjazdów unikaj z logowania na konta służbowe ze sprzętów prywatnych. Wcześniej ustawione zastępstwo i informacje o niedostępności pozwolą na uniknięcie sytuacji, w której będziesz zmuszony do korzystania z prywatnych urządzeń podczas wyjazdu.
3. Dobrostan psychiczny jest niezwykle ważny – skup się na odpoczynku. Pamiętaj, że to czas regeneracji, dzięki którem wracasz do pracy ze świeżym umysłem, co pozwoli na minimalizacje błędów i różnego rodzaju ryzyk związanych z przemęczeniem.
Bezpieczeństwo firmy, obiektu
Podstawowe działanie jakie można podjąć to edukacja pracowników. Budowanie świadomości zagrożeń, dedykowane szkolenie, a przede wszystkim regulacje wewnętrzne i polityka bezpieczeństwa przekładają się na lepsze zabezpieczenie firmy, instytucji czy obiektu. O czym powinien pamiętać pracodawca?
· Opracuj regulacje wewnętrzne, które będą zawierać informację o incydentach – do kogo i w jaki sposób zgłaszać potencjalne naruszenia, jak odpowiednio reagować, jak dbać o bezpieczeństwo przed urlopem, w jaki sposób tworzyć zastępstwa, jak nadawane są i przez kogo konkretne uprawnienia systemowe.
· Dbaj o stałe podnoszenie wiedzy pracowników. Umiejętność tworzenia silnych haseł, korzystanie z weryfikacji dwuetapowej czy bezpieczeństwo kont i poczty to przykłady zagadnień, które powinien znać każdy z pracowników.
· Wybieraj odpowiednie środki identyfikacji elektronicznej, czyli narzędzia umożliwiające potwierdzenie tożsamości pracownika logującego się do systemów, programów. Przykładami takich rozwiązań są: profil zaufany, podpis kwalifikowany, karty chipowa, tokeny, biometria itd.
· Organizuj regularne szkolenia i ćwiczenia, które pozwolą na zbudowanie odpowiednich postaw i prawidłowego reagowania na incydenty.
· Rozważ sieć dla gości. Część sieci informatycznej organizacji, która została oddzielona od reszty organizacji za pomocą firewalla lub VLAN.
· Zadbaj o regularne audyty bezpieczeństwa, dzięki którym na bieżąco będzie można identyfikować słabe punkty w systemach i wystąpienie ewentualnych ryzyk.
· Systematycznie twórz kopie zapasowe danych, przechowuj je w bezpiecznym miejscu. Przetestuj też procedury przywracania danych, aby upewnić się, że są skuteczne.
· Zadbaj o bezpieczeństwo swojej strony internetowej i systemów, z których korzysta Twoje firma.
Powyższe przykłady powinny znaleźć zastosowanie w każdej firmie. Dbanie o bezpieczeństwo jest ważne zarówno ze strony pracodawcy jak i pracownika.
Budowanie świadomość cyberbezpieczeństwa w okresie wakacyjnym - wykaz wsystkich artykułów, przejdź do strony.
[1] Więcej na temat działalności CERT Polska w 2023 roku dostępne na stronie CERT Polska: https://cert.pl/posts/2024/04/raport-roczny-2023/ [dostęp: 21.04.2024 r.]
[2] Więcej na temat silnych haseł dostępne na stronie CERT Polska: https://cert.pl/bezpieczne-hasla/ [dostęp: 21.04.2024 r.]