Autor: Mateusz Misiun – Opiekun klienta ds. bezpieczeństwa IT
Większość ludzi wyobraża sobie hakera jako nietuzinkowego geniusza znającego cyberprzestrzeń na wylot. Niestety rzeczywistość bywa bardziej prozaiczna. W większości przypadków cyberprzestępcy nie muszą sięgać po zaawansowane techniki oszustwa. Wystarczy, że wykorzystają proste błędy, które firmy popełniają każdego dnia. Wiele organizacji nie zwraca wystarczającej uwagi na bezpieczeństwo IT i w ten sposób ułatwia pracę tym, którzy czekają na okazję do ataku. Dlatego sprawdź 6 rzeczy, które „ułatwiają” życie hakera i powodują, że Twoja firma jest łatwym celem.
Zobacz także: Wyciek danych – co zrobić, gdy podejrzewasz, że dane wyciekły?
1. Słabe hasła Twoich pracowników
Słabe hasła to najczęstszy błąd, jaki popełniają firmy. Brak ustalonej polityki haseł prowadzi do sytuacji, gdy pracownicy korzystają z prostych i przewidywalnych danych dostępowych. Co gorsza, te same hasła są używane w różnych miejscach i przechowywane na kartkach przyczepionych do monitora… I wiemy to na podstawie własnego doświadczenia, bo od lat przeprowadzamy audyty informatyczne w różnych organizacjach. Szokujące jest, jak wiele firm w Polsce korzysta z haseł typu „Admin1234” lub „Hasło1234”. To idealne drzwi wejściowe dla hakera.
Co z tym zrobić?
Opracuj instrukcję tworzenia haseł. Opisz, jak długie powinno być hasło i odgórnie wymuszaj na użytkownikach zmianę (np. raz w kwartale). Wielu pracowników wybiera proste hasła, bo nie zdaje sobie sprawy z zagrożeń i chce iść na skróty. Uświadom zespół, co się stanie, jeśli ktoś wykradnie ich hasło. Poinformuj, jak przechowywać dane dostępowe – np. zamiast zapisywać hasła na kartkach, zasugeruj skorzystanie z menedżera haseł.
2. Brak uwierzytelniania dwuskładnikowego (2FA)
Jeśli masz rachunek w banku, to wiesz, że przy logowaniu na konto musisz podać nie tylko swój login i hasło, ale także dodatkowy kod z telefonu. To nic innego, jak uwierzytelnianie dwuskładnikowe. Jest ono całkowicie darmowe i łatwe we wdrożeniu, a mimo to wiele firm z niego nie korzysta. Gdy haker uzyska dostęp do hasła, to brak dodatkowego zabezpieczenia w postaci 2FA pozwala mu bez przeszkód wejść do systemu.
Co z tym zrobić i jak zwiększyć bezpieczeństwo IT?
Poinstruuj pracowników, jak ustawić uwierzytelnianie dwuskładnikowe. Niech zrobią to np. na poczcie firmowej lub na koncie Microsoft (jeśli z niego korzystacie). Najprostszym sposobem będzie pobranie na telefon darmowej aplikacji Microsoft Authenticator. Następnie każda osoba musi przejść w ustawienia konta i dodać dwuetapową weryfikację logowania. Szczegółowa instrukcja dla konta Microsoft znajduje się TUTAJ. 2FA można ustawić dla niemal wszystkich kont firmowych. Cały proces jest bardzo prosty, darmowy i naprawdę przydatny, gdy chodzi o bezpieczeństwo IT.
3. Brak aktualizacji oprogramowania
Wiele firm zmaga się ze skutkami ataków hakerskich, do których doszło, bo… pracownik nie zrobił aktualizacji oprogramowania. Luki w zabezpieczeniach aplikacji, systemów operacyjnych, a nawet wtyczek to łatwa droga do przejęcia kontroli nad systemem. Hakerzy o tym wiedzą i chętnie to wykorzystują. Bardzo łatwo znajdują informacje o podatnościach w Internecie, a później oddają ślepe strzały. Na swoim celowniku mają kolejne i kolejne firmy, aż w końcu trafią na niezaktualizowany system z luką bezpieczeństwa. I w ten sposób wchodzą do Twojej firmy.
Co z tym zrobić i jak poprawić bezpieczeństwo IT?
W tym wypadku wiele zależy od zachowania Twojego zespołu. Uświadamiaj pracowników, że powinni robić aktualizacje systemów za każdym razem, gdy zobaczą takie powiadomienie. To ważne zwłaszcza w przypadku aktualizacji systemu operacyjnego w komputerze.
4. Niezabezpieczone sieci Wi-Fi
To prawdziwa plaga w dobie pracy zdalnej. Korzystanie z publicznych, niezabezpieczonych sieci Wi-Fi przez Twoich pracowników może dać hakerom możliwość przechwycenia danych. Hakerzy mogą tworzyć fałszywe punkty dostępowe, do których nieświadomie podłączają się pracownicy: np. w hotelu, kawiarni lub na lotnisku. W efekcie przestępcy mogą przechwytywać przesyłane dane – w tym loginy, hasła czy poufne dokumenty. Bezpieczeństwo IT w Twojej firmie będzie wtedy realnie zagrożone.
Co z tym zrobić?
Aby zminimalizować ryzyko, warto uświadamiać pracowników o tego typu zagrożeniach. Pracownicy muszą wiedzieć, czym grozi przyłączenie się do sieci publicznej. W biurze konieczne jest stosowanie silnych haseł do Wi-Fi oraz segmentacji sieci dla różnych urządzeń (np. sieć gościnna oddzielona od sieci głównej).
5. Niska świadomość pracowników o bezpieczeństwie IT
Hakerzy wiedzą, że podczas ataku mogą liczyć na Twoich pracowników. Właśnie dlatego stosują choćby phishing, który opiera się na błędach ludzkich, a nie na lukach technologicznych. Cyberprzestępcy wysyłają do Twojej firmy wiadomości e-mail, SMS-y lub tworzą fałszywe strony internetowe i czekają na pomyłkę. Niczego nieświadomy pracownik może podać dane do logowania albo pobrać złośliwe oprogramowanie i już. Tyle wystarczy, żeby oszust wślizgnął się do Twojego systemu i przejął nad nim kontrolę.
Co z tym zrobić?
Aby temu zapobiec, warto regularnie organizować szkolenia i symulacje ataków phishingowych. Pracownicy powinni wiedzieć, jak rozpoznawać podejrzane wiadomości, nie klikać w linki od nieznanych nadawców i zawsze weryfikować źródła. Pomocne mogą być również technologie, takie jak filtry antyspamowe czy dodatkowe ostrzeżenia w poczcie e-mail. Takie funkcje ma m.in. Outlook, czyli biznesowa poczta od Microsoftu.
6. Brak kopii zapasowych
Wiele firm ciągle nie ma kopii zapasowej danych. Nawet jeśli taki system istnieje, to jest ryzyko, że backup się nie wykonuje – bo nikt tego nie sprawdza. Hakerzy wiedzą, że ataki ransomware, awarie sprzętu czy błędy ludzkie mogą prowadzić do utraty kluczowych danych firmowych. Brak aktualnych kopii zapasowych oznacza, że w sytuacji kryzysowej firma może stanąć przed dramatycznym wyborem: zapłacić okup cyberprzestępcom lub pogodzić się z utratą danych.
Co z tym zrobić i jak zwiększyć bezpieczeństwo IT?
Skuteczna polityka backupowa powinna obejmować regularne tworzenie kopii zapasowych (najlepiej automatycznie), przechowywanie ich w różnych lokalizacjach (np. chmura, nośniki offline) oraz testowanie procesu przywracania danych. Warto stosować zasadę 3-2-1, czyli: 3 kopie danych, 2 różne nośniki, 1 kopia offline. Regularne testy przywracania danych pozwolą uniknąć przykrych niespodzianek, gdy backup okaże się nieskuteczny.
Bezpłatna konsultacja informatyczna – zadbaj o bezpieczeństwo IT firmy
Cyberbezpieczeństwo to temat, którego nie warto odkładać na później. Wystarczy kilka prostych błędów, aby Twoja firma stała się łatwym celem dla hakerów. Jednak dobra wiadomość jest taka, że możesz temu zapobiec! Aby pomóc Ci ocenić, czy Twoje systemy są odpowiednio zabezpieczone, zapraszamy do skorzystania z bezpłatnej konsultacji IT.
Podczas konsultacji:
- przeanalizujemy stan Twojej infrastruktury IT i wskażemy potencjalne zagrożenia,
- doradzimy, jak wzmocnić zabezpieczenia, aby Twoja firma była mniej narażona na ataki,
- podzielimy się praktycznymi wskazówkami, które możesz wdrożyć od razu – bez dodatkowych kosztów.
Skorzystaj z naszej wiedzy i doświadczenia, aby wzmocnić bezpieczeństwo IT w Twojej firmie. Kliknij poniżej i umów się na konsultację – to nic nie kosztuje, a może oszczędzić Ci wielu problemów!
