Można wydać duże pieniądze na zabezpieczenia i wciąż stracić dane przez jedno kliknięcie w zły link. W sprawach, które prowadzimy, punktem wejścia atakującego prawie zawsze jest człowiek, a nie luka w systemie. Dobra wiadomość jest taka, że kilka prostych nawyków zamyka większość typowych ataków. Ten poradnik jest dla pracowników i nie wymaga wiedzy technicznej. Jeśli jesteś właścicielem firmy, potraktuj go jak listę zasad, które warto przekazać zespołowi.

Hasła i menedżer haseł

Hasła to wciąż pierwsza linia obrony i najczęściej to właśnie tu zaczyna się problem. Zasady są proste.

  • Długie, nie skomplikowane. Lepsze jest długie hasło złożone z kilku słów niż krótkie z gwiazdkami i cyframi. Dłuższe hasło jest trudniejsze do złamania, a łatwiejsze do zapamiętania.
  • Nigdy nie używaj tego samego hasła w dwóch miejscach. Wyciek z jednego serwisu oznacza wtedy dostęp do wszystkich pozostałych.
  • Nie zapisuj haseł w przeglądarce ani w pliku na pulpicie. To pierwsze miejsce, do którego sięga złośliwe oprogramowanie.

Rozwiązaniem, które załatwia wszystkie trzy punkty naraz, jest menedżer haseł. To aplikacja, która generuje i pamięta za Ciebie unikalne hasło do każdego serwisu. Ty musisz zapamiętać tylko jedno, główne hasło do samego menedżera.

Najczęstsza wymówka brzmi: mam swój sprytny system na hasła. Atakujący też go zna, bo to zwykle nazwa firmy plus rok. Menedżer haseł to jedyna sensowna odpowiedź na to, że kont mamy dziś kilkadziesiąt.

MFA, czyli drugi składnik logowania

Uwierzytelnianie wieloskładnikowe (MFA) to dodatkowe potwierdzenie logowania, zwykle kodem lub zatwierdzeniem w aplikacji na telefonie. Nawet jeśli ktoś pozna Twoje hasło, bez drugiego składnika się nie zaloguje.

  • Włącz MFA wszędzie, gdzie to możliwe, szczególnie w poczcie firmowej i bankowości.
  • Najlepsza jest aplikacja uwierzytelniająca lub klucz sprzętowy. Kod SMS jest lepszy niż nic, ale słabszy.
  • Uważaj na zmęczenie powiadomieniami. Jeśli dostajesz prośby o zatwierdzenie logowania, którego nie inicjowałeś, nie klikaj zgody i zgłoś to do działu IT. Ktoś może właśnie próbować wejść na Twoje konto.

Jak rozpoznać phishing

Phishing to podszywanie się pod znaną instytucję lub osobę, żeby wyłudzić dane albo skłonić do kliknięcia. To najczęstszy początek poważnego incydentu. Kilka sygnałów ostrzegawczych.

  • Presja czasu i strach. Wiadomości typu Twoje konto zostanie zablokowane w ciągu godziny mają wyłączyć Twoje myślenie. Poważne instytucje tak nie piszą.
  • Nieoczekiwany załącznik lub link. Zwłaszcza faktura, przesyłka albo prośba o zalogowanie. Najedź na link kursorem i sprawdź, dokąd naprawdę prowadzi.
  • Drobne różnice w adresie nadawcy. Litera zamieniona miejscami w nazwie domeny to klasyk.
  • Prośba o pilny przelew od szefa. Zawsze potwierdź takie polecenie inną drogą, na przykład telefonicznie.
  • Prośba o zalogowanie przez przesłany link. Zamiast klikać, wejdź na stronę serwisu ręcznie, wpisując adres w przeglądarce. Fałszywe strony logowania wyglądają dziś identycznie jak prawdziwe.

Zasada praktyczna: jeśli coś budzi Twój niepokój, nie klikaj i zapytaj IT. Lepiej zadać jedno pytanie za dużo niż otworzyć drzwi atakującemu. Warto też pamiętać, że atak coraz częściej przychodzi nie tylko mailem, ale też SMS-em lub komunikatorem, a mechanizm zawsze jest ten sam: presja i prośba o szybkie działanie.

Sieci publiczne

Darmowe wi-fi w kawiarni, na lotnisku czy w hotelu jest wygodne, ale nie wiesz, kto jeszcze jest w tej sieci i czy ktoś nie podsłuchuje ruchu.

  • Unikaj logowania do systemów firmowych i bankowości przez otwarte sieci publiczne.
  • Jeśli musisz pracować zdalnie, korzystaj z połączenia zabezpieczonego przez firmę, na przykład VPN lub firmowego dostępu do aplikacji.
  • W razie potrzeby użyj internetu z własnego telefonu zamiast nieznanej sieci. To bezpieczniejsze niż przypadkowe wi-fi.

Aktualizacje

Aktualizacje bywają irytujące, ale to jeden z najtańszych sposobów obrony. Producenci łatają w nich luki, które atakujący już znają i wykorzystują.

  • Nie odkładaj aktualizacji systemu i przeglądarki w nieskończoność. Restart raz na jakiś czas to niewielka cena.
  • Aktualizuj też telefon, jeśli korzystasz z niego do pracy.
  • Nie instaluj oprogramowania z przypadkowych źródeł. Trzymaj się oficjalnych sklepów i stron producentów.

Krótka lista na co dzień

Jeśli miałbyś zapamiętać tylko kilka rzeczy, niech to będą te:

  1. Używaj menedżera haseł i unikalnego hasła do każdego konta.
  2. Włącz MFA, szczególnie na poczcie firmowej.
  3. Zanim klikniesz, sprawdź nadawcę i link. W razie wątpliwości zapytaj IT.
  4. Nie loguj się do systemów firmowych przez otwarte wi-fi.
  5. Instaluj aktualizacje i nie odkładaj ich bez końca.

Te nawyki działają najlepiej, gdy cały zespół stosuje je odruchowo. Do tego prowadzą regularne szkolenia security awareness, a część ryzyka można zdjąć z ludzi także technicznie, na przykład blokując dostęp do złośliwych stron przez filtrowanie DNS. Jeśli chcesz podnieść poziom bezpieczeństwa w swojej firmie bez zamęczania pracowników, chętnie podpowiemy, od czego zacząć.