Człowiek - największe zagrożenie bezpieczeństwa
W świecie cyfrowego biznesu, technologia odgrywa kluczową rolę w ochronie danych i zasobów firmy. Mimo to, nawet najbardziej zaawansowane systemy zabezpieczeń mogą być bezużyteczne, jeśli ludzie stanowią słabe ogniwo w procesie ochrony. Badania pokazują, że to właśnie błędy ludzkie są jedną z głównych przyczyn naruszeń bezpieczeństwa. W tym artykule przyjrzymy się, dlaczego człowiek jest największym zagrożeniem dla bezpieczeństwa firm oraz jak minimalizować te ryzyka.
Źródła zagrożeń w cyfrowym biznesie
Według najnowszego raportu ,, Cyberportret polskiego biznesu", ponad 40% polskich firm wciąż nie stosuje oprogramowania antywirusowego, a duża część pracowników w ogóle nie była szkolona w zakresie zabezpieczeń cybernetycznych. W efekcie co piąty pracownik padł ofiarą cyberataku w miejscu pracy, a aż 88% firm przyznaje, że w ciągu ostatnich pięciu lat miało do czynienia z takim incydentem.
Przyjmując do pracy nowego członka zespołu, przechodzi on/ona między innymi szkolenia BHP. Bezpieczeństwo i Higiena Pracy powinna się odnosić nie tylko do stanowiska pracy, ale również interakcji pracownika z systemami w Twojej organizacji. Omówimy dzisiaj kilka podstawowych zagadnień, które mogą być pomocne, aby zagrożenie bezpieczeństwa oddalić od organizacji? Nie skupiamy się w tym artykule na procesach i procedurach. One też są ważne, ale bez wiedzy, po co to jest, przeważnie są szybko zapominane lub nawet ignorowane.
Rozpoczynając pracę pracownik wyposażony jest w komputer lub inne urządzenie pozwalające na wykonywanie zadań. Jak takie urządzenie powinno być przygotowane w minimalnym stopniu.
Urządzenia w organizacji a zagrożenie bezpieczeństwa
Jeżeli Twoja organizacja pozwala na wynoszenie sprzętu poza firmę (home office, wyjazdy służbowe), trzeba zadać sobie pytania:
- co się stanie jeżeli sprzęt zostanie zagubiony/skradziony?
- czy dane i uprawnienia zapisane na komputerze pozwalają na bezpośredni dostęp do danych poufnych firmy?
Stosując szyfrowanie dysków stacji roboczych, znacznie utrudniamy (osobom, które sprzęt "znalazły") dostęp do zapisanych tam danych. Utratę sprzętu należy raportować niezwłocznie. W większych organizacjach często stosuje się systemy typu MDM (Mobile Device Management). Systemy tej klasy pozwalają między innymi na wymuszanie polityk szyfrowania dysków, długości i jakości haseł, jak również na zdalne żądanie zablokowania urządzenia lub nawet wyczyszczenia dysku w uzasadnionych przypadkach.
Często zdarza się, że pracownicy w miejscu pracy korzystają z własnych urządzeń mobilnych (smartfon/tablet) podłączonych do sieci firmowej. Bring Your Own Device (BYOD) jest popularnym trendem. To zdecydowane ułatwienie i uproszczenie wykonywania obowiązków dnia codziennego. Jednak w parze z korzyścią idzie zagrożenie bezpieczeństwa. Urządzenia prywatne powinny spełniać wszystkie warunki nadawane urządzeniom firmowym (szyfrowanie, kontrolowany dostęp, możliwość wyczyszczenia, skanowanie antywirusem). Wspomniane antywirusy wykrywają szkodliwe oprogramowanie i są standardem, lecz dziś nie skupiamy się na tym. Pracownicy powinni być świadomi i zaakceptować potencjalne usunięcie danych prywatnych z urządzenia, lub nie przynosić własnych urządzeń do pracy.
W tym miejscu warto wspomnieć też o innej klasie urządzeń. Często bywają pomijane, a stanowią poważne zagrożenie bezpieczeństwa w organizacji. Mowa o urządzeniach biurowych takich jak drukarki sieciowe, skanery, routery czy dyski sieciowe. Zdarzały się przypadki ataków na sieci firmowe wykorzystując błędy w oprogramowaniu wewnętrznym drukarek. Trzeba pamiętać o prawidłowej konfiguracji, niewystawianiu urządzeń na sieć publiczną, i o cyklicznych aktualizacjach.
W chwili publikacji, w globalnej sieci zostało znalezione blisko 50 tysięcy publicznie dostępnych urządzeń HP
Również w Polsce
Polityka haseł
Niektórzy twierdzą, że hasła należy zmieniać co miesiąc. Inni, że nie powinny być rotowane, powinny być długie, skomplikowane i zapisywane w aplikacjach typu Password Manager. Należy pamiętać, że hasło w większości przypadków to tylko ciąg liter i znaków, które można gdzieś skopiować. Oczywiście, są urządzenia ze skanerami odcisków palców, rozpoznawaniem twarzy, czy też logowanie za pomocą kluczy i certyfikatów.
Niezależnie od tego, jaka polityka jest w Twojej organizacji, wszędzie tam, gdzie to tylko możliwe, warto jest stosować dwuskładnikowe uwierzytelnianie. Two Factor Authentication (2FA, TFA) to dodatkowa metoda weryfikacji użytkownika. Na przykład dodatkowa aplikacja w telefonie generująca tymczasowe ciągi znaków, dedykowany klucz sprzętowy USB, lub nawet zwykła wiadomość tekstowa wysyłana na autoryzowane urządzenie podczas logowania.
Klucze sprzętowe 2FA YubiKey
Mechanizm dwuskładnikowego uwierzytelniania stanowi dodatkową warstwę bezpieczeństwa, nawet w przypadku wycieku hasła. Większość aplikacji umożliwia stosowanie 2FA, jest jednak ono domyślnie wyłączone. Jeżeli korzystasz z sieci społecznościowych, zakupów online, komunikatorów czy zwykłej poczty e-mail, sprawdź, czy można i jak można załączyć 2FA na Twoim koncie.
Magento równiez posiada mechanizm dwuskładnikowego logowania
Dodatkowym sposobem na podniesienie bezpieczeństwa podczas logowania to mechanizm Single Sign On (SSO). Umożliwia on zalogowanie się do platformy X poprzez uwierzytelnienie na platformie Y, na przykład logowanie do komunikatora przez konto Google lub Microsoft. Ważne jest wtedy, aby konto w Google było maksymalnie zabezpieczone, na przykład wspomnianym mechanizmem 2FA.
Kontrola dostępu
Każdy użytkownik posiadający dostęp do danego systemu powinien mieć przydzielone stosowne uprawnienia.
Dwa lata temu jeden z naszych klientów, do projektu zaangażował małą firmę zajmującą się copywritingiem. Utworzono konto w panelu administracyjnym, jednak bez ograniczenia dostępu do zasobów. Autorów tekstów miał zatem dostęp do zamówień, listy klientów, ich historii sprzedaży, ale również konfiguracji systemu. Cała sprawa nie zostałaby przez Klienta zauważona, gdyby nie fakt, że poprzez zainfekowany system copywritera, wyciekły dane do logowania do eCommerce. W konfigurację sklepu dodano złośliwe skrypty, które miały na celu kradzież danych kart kredytowych podczas zakupów. System nie posiadał monitoringu security. Złośliwe skrypty wykrył zespół QA podczas rutynowych testów regresyjnych.
Na życzenie Klienta, po incydencie przeprowadziliśmy całą analizę. Jej wyniki zgłoszono do inspektora bezpieczeństwa. Szczęśliwie nikt na tym incydencie nie ucierpiał, ale organizacja musiała wdrożyć kroki mające na celu zapobieganiu tego typu zajściom.
Konfigurując jakiekolwiek dostępy dobrą praktyką jest stosowanie minimalnego możliwego poziomu uprawnień i cykliczne (na przykład raz z kwartał) wewnętrzne audyty dostępów. Nieaktywne lub niepotrzebne już konta należy usuwać na bieżąco. Jeżeli jest to możliwe, zaleca się również logowanie informacji kto, co i kiedy zmienił w systemie.
Socjotechnika
Mówi się, że największe zagrożenie bezpieczeństwa stanowi biozłącze między klawiaturą a monitorem.
Socjotechnika to próba wykorzystania ludzi poprzez odwołanie się do ciekawości, chęci pomocy a czasami próżności i chciwości. Celem jest nakłonienie do ujawnienia określonych informacji, danych do logowania, instalację złośliwego oprogramowania czy szantaż.
Przykładowe sytuacje, w których ktoś może chcieć uzyskać informacje o nas lub o organizacji:
- Podszywanie się pod pracownika, prezesa, klienta
- Wiadomości o braku płatności za usługę
- Wiadomość o potencjalnej wygranej
- Szkodliwe załączniki wysyłane pod fałszywym pretekstem (na przykład lista płac)
Szczególnym przykładem manipulacji jest metoda na drabinę. Wystarczy ubrać kamizelkę i trzymać w ręce drabinę, aby wejść niemalże wszędzie. Komu przyszłoby na myśl, że to nie jest konserwator, który przyszedł coś naprawić. Oczywiście jest to duże przejaskrawienie problemu, szczególnie w obiektach posiadających odpowiednie zabezpieczenia, ale pokazuje jak myślimy.
Należy pamiętać, że nie ma pewnego sposobu obrony przed socjotechniką, najlepsze będą tutaj zdrowy rozsądek i ciągła edukacja.
Średnie i duże organizacje wykonują również okresowe badania świadomości pracowników. Preparowane są na przykład maile z celowo wprowadzonymi błędami w nazwach, literówkami, ale również linkiem lub formularzem. Bada się ilość zgłoszeń od pracowników o potencjalnym ataku, oraz liczba osób, które dały się nabrać. Na podstawie raportów przeprowadza się później dodatkowe szkolenia.
Rejestr ryzyk
Przeprowadzenie analizy potencjalnych ryzyk związanych z IT w organizacji jest pierwszym krokiem do skutecznego zarządzania bezpieczeństwem. Odpowiednie monitorowanie, stała identyfikacja nowych ryzyk, odpowiednie metody ochrony, oraz procedury i polityki bezpieczeństwa są elementami składowymi rejestru ryzyk w organizacji. Wszystkie procedury minimalizujące zagrożenie bezpieczeństwa warto cyklicznie uaktualniać i dostosowywać do aktualnych zagrożeń. Często rejestr ryzyk jest również elementem składowym polityki RODO w organizacjach.
Podsumowanie
Mogą pojawić się głosy, że bezpieczeństwo w organizacji wiąże się z ograniczeniem prywatności lub nawet inwigilacją pracowników. Dobrze skonstruowane zasady, odpowiednie poziomy dostępów i przede wszystkim wiedza, nie mają na celu śledzenia każdego pracownika, a podnoszenie jego świadomości i, w efekcie finalnym, całej organizacji.
Czy jesteś zainteresowany tematyką bezpieczeństwa w systemach eCommerce? Zapraszam Cię do mojego poprzedniego artykułu As Secure As Possible.