Bezpieczeństwo: 10 błędów, za które płacą pracodawcy

przez | 24/05/2010

Pracownicy, którzy korzystają z Internetu, w tym managerowie i administratorzy odpowiedzialni za system ochrony firm popełniają klasyczne, przewidywalne błędy. Eksperci od bezpieczeństwa informatycznego z Edge Solutions, ISCG i Kaspersky Lab opracowali listę 10 najczęściej spotykanych wpadek, których konsekwencje narażają pracodawców na największe straty.

Nieświadomość pracowników skutkuje powszechnymi błędami, które słono kosztują pracodawców. Zdaniem ekspertów to człowiek jest najsłabszym ogniwem systemów bezpieczeństwa informatycznego. Proste błędy, niezależnie od jakości zastosowanych zabezpieczeń, najbardziej narażają organizacje na straty finansowe i ryzyko utraty reputacji.

Listę 10 niepożądanych działań opracowały Edge Solutions, ISCG oraz Kaspersky Lab – firmy specjalizujące się w systemach zabezpieczeń sieci. audytach bezpieczeństwa informatycznego oraz doradztwie w zakresie ochrony reputacji i informacji przedsiębiorstw.

Spis błędów podzielono na dwie grupy: niepożądane działania pracowników oraz błędy managerów i administratorów, którzy winni czuwać nad bezpieczeństwem organizacji.

Błędy pracowników popełniane są najczęściej nieświadomie, w dobrej wierze. Użytkownicy sieci nie znają zagrożeń i wykazują się brakiem czujności. Główną przyczyną wpadek na tym polu jest niewłaściwie wdrożona polityką bezpieczeństwa pracodawcy, brak dostatecznej kontroli zachowania pracowników w czasie pracy oraz niedostatek szkoleń.

1. Otwieranie załączników e-mail

Użytkownicy Internetu wciąż są niedostatecznie uwrażliwieni na analizę otrzymywanych załączników do poczty elektronicznej pod kątem złośliwego oprogramowania. Dla cyberprzestępców e-mail to główne narzędzie do przeprowadzenia ataków. W poczcie poza podejrzanymi linkami mogą znaleźć się załączniki, których otwarcie prowadzi do zainfekowania komputera lub sieci. Najgroźniejsza jest poczta wygenerowana automatycznie wewnątrz przedsiębiorstwa, w wyniku infekcji jednego z komputerów pracowników. Taki mail od współpracownika z reguły nie wzbudza podejrzeń odbiorcy, który odruchowo może otworzyć załącznik.

2. Surfowanie na niebezpiecznych wodach

Oprogramowanie antywirusowe i firewall najczęściej skutecznie powstrzymuje złośliwe oprogramowanie, którym zainfekowane są przypadkowo odwiedzane strony internetowe. Jednak surfowanie po niebezpiecznych strefach zawsze zwiększa ryzyko ataku. Poza tym cyberprzestępcy wciąż szybko rozwijają ukradkowe techniki ataku określane mianem „drive-by-download”, które wykorzystują luki w zabezpieczeniach przeglądarek internetowych (podatność na ataki ActiveX). W przypadku tego rodzaju ataków użytkownik może nawet nie wiedzieć, że pada ofiarą cyberprzestępców, a jego komputer jest zarażony.

3. Samowolne instalacje

Pliki do pobrania, które mają zainteresować Internautę, to drugi obok poczty główny obszar działań cyberprzestępców. Błędy pracowników polegają na samowolnym ściąganiu plików oraz instalacji aplikacji na komputerach biurowych. Przestępcy wiedzą, że jeśli uda się zastosować odpowiednie socjotechniki, podszywając złośliwe oprogramowanie pod pożądany plik lub np. e-usługę, wielu użytkowników samodzielnie wyda polecenie, by je pobrać i zainstalować. Nadają więc plikom odpowiednie „opakowanie”: stronę, z której się je pobiera, opis, nazwę. To typowa koncepcja konia trojańskiego.

4. Jedno hasło do wszystkiego

Istnieją serwisy nastawione wyłącznie na pozyskanie haseł i loginów. Pozornie ciekawa strona, dostęp do treści tylko po zalogowaniu. Podajemy login, mail i hasło. A serwis bez wiedzy użytkownika sam sprawdza czy para login/hasło zadziała na jakimś innym portalu. Co więcej, nawet te „dobre” serwisy internetowe miewają luki, które pomagają przestępcom w pozyskaniu haseł użytkowników. Hasła te są następnie automatycznie sprawdzane na dziesiątkach innych portali i bardzo często okazuje się, że pasują one w innych miejscach, dając szansę na skuteczną kradzież tożsamości. Przeciętny użytkownik Internetu używa co najmniej kilkunastu usług wymagających uwierzytelnienia przy pomocy hasła. Jednym z powszechnych błędów jest używanie wszędzie tego samego lub bardzo podobnego hasła.

5. Zapisywanie haseł

Alternatywą dla stosowania identycznych lub podobnych haseł dostępu jest zapisywanie haseł, które są zróżnicowane. Jeżeli użytkownik nie zapisze tych danych w mądry sposób, naraża się na sytuację, w której ktoś przechwyci wszystkie hasła za jednym razem.

6. Łatwowierność i naiwność

Obecnie cyberprzestępcy stosują socjotechnikę, której ofiarą mają padać mniej uważni i nieświadomi użytkownicy. Terminem phishing określa się przypadki wyłudzania haseł lub informacji, zazwyczaj poprzez odpowiednio spreparowany e-mail, który przekonuje ofiarę do konkretnego działania. Łatwowierny użytkownik kierowany jest np. na serwis przypominający stronę banku lub urzędu, ewentualnie podaje informacje, o które prosi, jak się wydaje, zaufany nadawca poczty. Tego rodzaju błędy najczęściej popełniane są na gruncie nadmiernego zaufania wobec drugiej strony, a także z partykularnej chęci zysku.

7. Niewylogowanie

Wciąż użytkownikom sieci często zdarza się kończyć swoją aktywność w aplikacji bez wylogowania się a niej. Odejście od komputera w takiej sytuacji oznacza potencjalne ryzyko oddania dostępu do zasobów aplikacji osobom trzecim. Naraża też potencjalną ofiarę na kradzież jej tożsamości.

Błędy administratorów i managerów wynikają z zaniedbań, niewiedzy, rutyny lub też lekceważenia ryzyka. Mają one dotkliwsze konsekwencje i bardziej wystawiają przedsiębiorstwa na ryzyko strat. Co więcej, gdyby ich nie popełniano, z przedstawionej powyżej listy udałoby się wyeliminować wszystkie punkty.

1. Brak polityki bezpieczeństwa

Pomimo tego, że obecnie wszystkie firmy przetwarzają swoje strategiczne informacje w systemach informatycznych, wiele z nich ma kłopot z wdrażaniem wewnętrznej polityki bezpieczeństwa – jasnych zasad, które określają reguły dostępu do urządzeń infrastruktury IT oraz odpowiedzialność za naruszenie tych zasad. Brak takich zapisów rozmywa odpowiedzialność i sprzyja niepożądanym, szkodliwym zachowaniom pracowników. W wielu innych firmach formalnie istnieje polityka bezpieczeństwa, ale wdrożono ją w sposób niewłaściwy. Organizacje nie radzą sobie z jej przestrzeganiem, kontrolą i egzekwowaniem postanowień w niej zawartych. Zaniedbania w tym obszarze w dłuższym terminie zwiększają ryzyko informatyczne i podatność na ataki we wszystkich obszarach systemu bezpieczeństwa.

2. Brak szkoleń

Innym grzechem zaniechania jest brak szkoleń, których celem jest edukowanie pracowników i uwrażliwianie ich na skutki błędów, jakie mogą popełnić w trakcie korzystania z Internetu. Szkolenia są nieodzownym elementem wdrażania polityki bezpieczeństwa, działań, które powinny być wspierane przez zarząd firmy.

3. Rutyna administratorów

Administratorów, którzy stoją na straży bezpieczeństwa firm, najczęściej gubi zwykła rutyna. Wciąż często obserwuje się brak ingerencji w modyfikowanie domyślnych parametrów zabezpieczeń i ustawień serwerów. Także i tu zdarza się nieodpowiedzialne zarządzanie hasłami dostępu, zaniedbania w monitorowaniu ruchu w sieci, nieautoryzowanych instalacji oprogramowania, a także np. pozostawienie ustawień zabezpieczeń po zmianie na stanowisku administratora.

Przestrzeganie zasad nie zniweluje całkowicie ryzyka. Oszuści bywają naprawdę sprytni. Ale trzeba wierzyć, że tak jak w życiu codziennym, wybierają oni raczej ofiary naiwne niż tych, którzy cały czas czujnie rozglądają się dookoła. Warto więc być świadomym użytkownikiem sieci.

Komentarze do raportu:

Maciej Zaborowski, Konsultant ds. IT Security w Edge Solutions Sp. z o.o.:

W systemie bezpieczeństwa informatycznego każdej organizacji najsłabszym ogniwem pozostaje człowiek i jego proste, banalne błędy. Dotyczy to zarówno administratorów, jak i samych pracowników, którzy mają kontakt z komputerami z dostępem do sieci. Potencjalnych zagrożeń jest mnóstwo i żaden system oparty na rozwiązaniach sprzętowych i oprogramowaniu nie zapewni skutecznego poziomu bezpieczeństwa. Odpowiedzialność za ochronę informatyczną firmy ponosi zarząd, którego rolą jest wspieranie wdrażania zasad bezpieczeństwa i troska o ich przestrzeganie przez cały zespół pracowników. To pozornie proste wyzwanie w praktycznej realizacji jest bardzo trudne, ponieważ błędy są wpisane w naturę ludzką, a ryzyko informatyczne jest często niedoszacowane lub niezauważane. W tym kontekście na liście priorytetów powinno postawić się porządnie opracowaną i wdrożoną politykę bezpieczeństwa, następnie szkolenia dla pracowników oraz systematyczne audyty bezpieczeństwa.

Grzegorz Tworek. Dyrektor Działu Bezpieczeństwo w ISCG, jedna z dwóch osób w Polsce wyróżnionych tytułem Microsoft Security Trusted Advisor:

Jeżeli chodzi o bezpieczeństwo informatyczne, to ogólnie zdrową radą jest nie poddawanie się ciekawości i traktowanie za zagrożenie wszystkiego, co nie pochodzi z bezwzględnie zaufanego źródła. Brzmi to jak zachęcanie do paranoi, ale w sytuacji, kiedy w Internecie są setki milionów użytkowników, naprawdę nie ma innego wyjścia jak założyć, że wielu z nich jest całkiem niegłupich i żywotnie zainteresowanych zrobieniem nam krzywdy. Użytkowników należy edukować: pokazywać sposoby ochrony, uzmysłowić potencjalne konsekwencje nieostrożnego zachowania, przeprowadzać audyty, sprawdzać czujność. Tak jak w wielu firmach zupełnie naturalne są ćwiczenia przeciwpożarowe, tak naturalne być powinny ćwiczenia dotyczące ochrony informacji. Nie jest to bardzo drogie a może uchronić przed poważnymi stratami. Warto też pamiętać, że wyszkolony w pracy użytkownik zacznie używać tej wiedzy w domu i będzie przekazywać ją innym dookoła.

Maciej Ziarek, Analityk Zagrożeń w Kaspersky Lab:

W kontekście ochrony informacji bardzo ważne jest zabezpieczenie nie tylko stacji roboczych, ale także samej sieci. W Polsce około 25% sieci bezprzewodowych nie korzysta z żadnej formy szyfrowania. Dane, jakie w nich są przesyłane, są jawne. To oznacza, że formularze czy strony wymagające logowania mogą być bez trudu podsłuchanie, a informacje przejęte. Bez uświadamiania użytkowników o niebezpieczeństwie pozostawiania otwartych sieci, problem ten będzie się pogłębiać z racji rosnącej popularności sieci WiFi. Obecnie jednym z największych niebezpieczeństw jest używanie inżynierii społecznej przez cyberprzestępców. O ile kilka lat temu skupiali się oni głównie na infekowaniu komputerów, obecnie o wiele skuteczniej żerują na niewiedzy i łatwowierności ludzi. Firmy powinny dziś koncentrować się na bezpieczeństwie swoich danych. Zalecane jest rozsądne ograniczenie użytkownika nie tylko co do konta, ale także w stosunku do programów i plików, jakie może on uruchamiać w pracy. Niemniej ważne jest prowadzenie szkoleń dla pracowników. Tak jak zostało to powiedziane na początku, najsłabszym ogniwem jest człowiek. Powinien być zatem pouczony, jakie praktyki mogą być szkodliwe i niewskazane, czego ma unikać. Niezastąpiony jest także administrator, który na bieżąco kontroluje sytuację i nie dopuszcza do łamania systemu zabezpieczeń.

Dodaj komentarz

Twój adres email nie zostanie opublikowany.