2. Zabezpiecz każde wejście

Wystarczą tylko jedne otwarte drzwi, aby haker dostał się do sieci. Sieć należy zabezpieczyć tak samo jak zabezpiecza się dom - zamykając wszystkie możliwe wejścia do naszego komputera.

• Stosuj silne hasła na laptopach, smartfonach, tabletach i punktach dostępu WiFi
• Korzystaj z Firewalla oraz rozwiązań ThreatPrevention do zabezpieczenia sieci (takich jak Check Point 600 Appliance)
• Zabezpiecz stacje robocze (laptopy, komputery stacjonarne) za pomocą programów antywirusowych, antyspamowych i antyphishingowych
• Poinstruuj pracowników, aby nie podłączali nieznanych urządzeń USB – jest to popularna metoda ataku

3. Segmentacja sieci

Jedną z metod ochrony sieci jest podzielenie jej na strefy i odpowiednie zabezpieczenie każdej z nich. Jedna ze stref może obejmować obszar krytyczny dla działania przedsiębiorstwa, a z kolei inna może być strefą dla gości, w której klienci będą mogli korzystać z Internetu, jednak bez możliwości połączenia się z siecią wewnętrzną.

• Publiczne serwery web nie powinny mieć dostępu do sieci wewnętrznej
• Można zezwolić na dostęp do Internetu dla gości, ale nie należy pozwalać gościom na dostęp do sieci wewnętrznej
• Warto rozważyć segmentację sieci biorąc pod uwagę kryterium funkcji biznesowych (dane klientów, finanse, dane dotyczące pracowników)

4. Definiuj, edukuj i wymagaj przestrzegania polityki bezpieczeństwa

Polityka bezpieczeństwa to słowo klucz (wiele małych przedsiębiorstw po prostu jej nie ma). Należy maksymalnie wykorzystywać możliwości urządzenia typu ThreatPrevention. Warto poświęcić trochę czasu i zastanowić się, z których aplikacji powinno się korzystać w sieci wewnętrznej, a które powinny być zablokowane.

• Zdefiniuj politykę dotyczącą prawidłowego korzystania z sieci zawierającą dozwolone oraz niedozwolone aplikacje i strony
• Nie zezwalaj na korzystanie z aplikacji niosących ryzyko, takich jak Bit Torrent czy inne aplikacje działające na zasadzie Peer-to-Peer. Są to częste sposoby rozpowszechniania złośliwego oprogramowania.
• Zablokuj TOR oraz inne anonimizery, które służą do ukrywania działania w sieci lub pominięcia warstwy bezpieczeństwa
• Podczas definiowania polityki miej na uwadze portale społecznościowe

5. Zagrożenie w trakcie korzystania z portali społecznościowych

Portale społecznościowe są dla hakerów prawdziwą kopalnią wiedzy na temat ludzi, a informacje z nich pochodzące zwiększają prawdopodobieństwo skutecznie przeprowadzonego ataku. Ataki typu phishing, spearphising czy oparte o inżynierię społecznościową zaczynają się od zbierania prywatnych danych dotyczących poszczególnych osób.

• Podczas szkolenia ostrzeż pracowników, aby uważali jakie informacje umieszczają na portalach społecznościowych, nawet korzystając ze swoich prywatnych kont
• Przekaż użytkownikom, że cyberprzestępcy budują profile pracowników firmy w celu zwiększenia skuteczności ataków opartych o phishing i inżynierię społecznościową
• Przeprowadź szkolenie odnośnie ustawień prywatności w portalach społecznościowych w celu ochrony prywatnych danych pracowników
• Użytkownicy powinni być ostrożni co do treści, które publikują, gdyż hakerzy dzięki nim mogą załamać odpowiedzi na pytania do resetowania haseł (np. imię psa) i przejąć kontrolę nad kontem

6. Zaszyfruj wszystko, co się da

Jeden wyciek danych może być prawdziwym ciosem dla firmy lub dla jej reputacji. Warto zabezpieczyć swoje wrażliwe dane stosując szyfrowanie. Taki proces powinien być też łatwo dostępny dla pracowników.

• Możesz spać spokojnie, jeżeli któryś z laptopów został skradziony lub zgubiony, a posiadał system szyfrujący działający w trybie pre-boot
• Zaopatruj się w dyski twarde oraz dyski USB posiadające wbudowaną funkcję szyfrowania
• Zabezpiecz swoje dane przed podsłuchiwaniem poprzez szyfrowanie ruchu w sieci bezprzewodowej za pomocą VPN (Virtual Private Network)

7. Dbaj o swoją sieć jak o swój samochód

Regularny przegląd i audyt sieci i urządzeń sprawią, że sieć będzie funkcjonowała bezpiecznie.

• Dbaj o to, aby systemy operacyjne na laptopach i serwerach były zawsze zaktualizowane do najnowszej wersji (włączony Windows Update na wszystkich maszynach)
• Odinstaluj oprogramowanie, które nie jest potrzebne, aby nie martwić się o regularne aktualizacje (np. Java)
• Zaktualizuj przeglądarkę, flash, Adobe oraz inne aplikacje zainstalowane na serwerach lub laptopach
• Włącz automatyczne aktualizacje tam, gdzie to możliwe: Windows, Chrome, Firefox, Adobe
• Korzystaj z urządzenia z IntrusionPrevention System (IPS), takiego jak Check Point 600 Appliance, aby zabezpieczyć przed atakami laptopy z nieaktualnym oprogramowaniem

8. Ostrożność w chmurach

Przechowywanie danych i aplikacje osadzone w chmurze są obecnie bardzo popularne. Ale warto być ostrożnym. Każda treść przesłana do chmury staje się otwarta dla przestępców w sieci. Cyberprzestępcy potrafią wykorzystywać słabość zabezpieczeń niektórych dostawców rozwiązań w chmurze.

• Kiedy korzystasz z chmur załóż, że wysłane tam treści nie są już prywatne
• Szyfruj dane przed wysłaniem (zadbaj również o kopie bezpieczeństwa)
• Sprawdź bezpieczeństwo oferowane przez dostawcę usług
• Nie korzystaj z uniwersalnych haseł, szczególnie w przypadku usług w chmurach

9. Nie przyznawaj każdemu praw administratora

Dostęp do laptopów można uzyskać z poziomu konta użytkownika lub konta administratora. Dostęp z uprawnieniami administratora daje użytkownikowi znacznie więcej swobody i możliwości przy korzystaniu ze sprzętu, jednak w przypadku włamania, wszystkie te przywileje przechodzą na hakera.

• Nie zezwalaj użytkownikom na korzystanie z systemu Windows z uprawnieniami administratora w ramach wykonywania codziennych obowiązków
• Ograniczenie dostępu pracowników do poziomu konta użytkownika redukuje możliwości złośliwego oprogramowania (tzw. malware) w stosunku do jego możliwości w przypadku działania z uprawnieniami administratora
• W nawyk powinna wejść procedura zmiany domyślnych haseł na wszystkich urządzeniach, włączając w to laptopy, serwery, routery, bramy i drukarki sieciowe

10. Nie wpuszczaj słonia BYOD do składu porcelany

Zacznij od zdefiniowania polityki Bring-Your-Own-Device (wykorzystywania prywatnego sprzętu do celów służbowych). Wiele firm unika tego tematu, jednak trend BYOD staje się coraz silniejszy. Nie wpuszczaj słonia do składu porcelany! Jest to znowu kwestia edukacji użytkowników

• Zastanów się nad ograniczeniem dostępu urządzeń prywatnych do poziomu gościa (tylko korzystanie z Internetu)
• Zadbaj o to, by użytkownicy mieli urządzenia blokowane hasłem
• Dostęp do wrażliwych danych powinien być możliwy jedynie za pośrednictwem szyfrowanego VPN
• Nie pozwalaj na przechowywanie wrażliwych danych na prywatnych urządzeniach (np. danych kontaktowych klientów lub numerów kard kredytowych)
• Zaplanuj co zrobić, gdy pracownik zgubi swoje urządzenie.

autor: Materiał prasowy

Zdaniem ekspertów firmy doradczej Deloitte te dane powinny być niepokojące dla firm, które nie mają sposobów na odpowiednią ochronę swoich danych i systemów IT biorąc pod uwagę wskazane nawyki użytkowników w korzystaniu z urządzeń mobilnych. Edukacja pracowników, którzy muszą nauczyć się jak bezpiecznie korzystać z urządzeń mobilnych w celach zawodowych powinna stać się dla firm priorytetem.

Szybkie tempo życia, ostra konkurencja w biznesie oraz era Internetu i technologii zmuszają pracowników do zajmowania się obowiązkami zawodowymi także poza miejscem pracy. Coraz częściej wykorzystują oni w tym celu nowoczesne urządzenia mobilne, smartfony i tablety, a koncepcja BYOD (Bring Your Own Device), umożliwiająca elastyczność i mobilność, stała się popularna w wielu przedsiębiorstwach.

• Pokazuje to również badanie firmy Coalfire „BYOD Survey 2013: Employees and Companies Remain Lax with BYOD Security”. Wynika z niego, że 86 proc. użytkowników smartfonów i tabletów w USA używa ich zarówno do celów prywatnych, jak i zawodowych. A 47 proc. respondentów korzystających z urządzań mobilnych w miejscu pracy, nie używa hasła zabezpieczającego, oraz że aż 30 proc. ma jedno hasło do wszystkich urządzeń. Dodatkowo aż 61 proc. ankietowanych przyznało, że zapisuje hasło na kartce papieru. Przyczyną tego stanu rzeczy jest brak świadomości istnienia cyberzagrożeń. Z badania wynika, że prawie połowa osób nie miała szkolenia IT w swoich firmach, które przygotowywałoby ich do odpowiedzialnego użytkowania smartfonów i tabletów w celach zawodowych. Jedna trzecia respondentów przyznała, że ich firmy nie mają możliwości zdalnego wymazania danych w przypadku zablokowania, zagubienia czy kradzieży urządzania. Co prawda w ciągu roku ich odsetek spadł o 17 pp., ale wciąż wydaje się to być dużym problemem.

Z kolei połowa firm badanych przez Deloitte w ramach „2013 TMT Global Security Survey” stwierdziła, że posiada uregulowania dotyczące BYOD, a trzy czwarte badanych widzi w wykorzystaniu technologii mobilnych poważne zagrożenie. Stosowanie tradycyjnych mechanizmów ochronnych nie wystarczy, gdy pracownicy korzystają ze sprzętu znajdującego się poza kontrolą pracodawców.

• Jeszcze bardziej niepokojący obraz wyłania się z badania firmy GFI Software. Przebadano tysiąc pracowników z USA, którzy korzystają z transportu publicznego. Niemal wszyscy przyznali się, że korzystają z darmowego Wi-Fi do czynności związanych z pracą przynajmniej raz w tygodniu. Ponad jedna trzecia zadeklarowała, że zdarza się to nawet 20 razy w ciągu tygodnia, a niektórzy mówili nawet o 70 razach. Chodziło najczęściej o wysyłanie wiadomości e-mail, ściąganie danych potrzebnych do wykonania jakiejś pracy itd. Sześciu na dziesięciu ankietowanych przyznało, że jeżeli ma dostęp do free spot Wi-Fi to z niego korzysta. A ten sam odsetek respondentów  jest niezadowolonych, jeżeli w jakimś publicznym miejscu nie ma darmowego Internetu. W tym samym badaniu 20 proc. osób odpowiedziało, że nie ma hasła ani nawet numeru PIN na swoim tablecie czy smartfonie. Prawie 27 proc. martwi się co prawda, że dane i poufne informacje mogą zostać przechwycone, ale nie powstrzymuje to ich przed korzystaniem z darmowego Wi-Fi.

autor: Jan Petersen/Deloitte

Zorganizowanym przez Samsung badaniem objęto 490 dyrektorów i osób decyzyjnych w sprawach informatyki z europejskich przedsiębiorstw zatrudniających ponad 1000 osób.

Żaden z polskich ankietowanych nie mógł pochwalić się tym, że w ciągu ostatnich dwóch lat nie wystąpiły

• u niego zagrożenia związane z bezpieczeństwem danych, ani też tym, że nie obawia się wystąpienia takich zagrożeń w razie wdrożenia polityki BYOD, dopuszczającej korzystanie przez pracowników z własnych urządzeń. Niemalże wszyscy ankietowani liderzy branży technologicznej (93%) z całej Europy obawiają się wpływu wykorzystywanych w pracy urządzeń osobistych takich jak smartfony, tablety i laptopy na bezpieczeństwo informacyjne firmy.

• Najwięcej tego typu obaw obserwuje się w Hiszpanii, gdzie aż 70% ankietowanych przedsiębiorstw „znacząco” obawia się zagrożeń wynikających z korzystania z urządzeń mobilnych w pracy. Najbardziej obojętni wobec problemu są Francuzi, choć i tam znaczące obawy zgłasza 36% respondentów.

• W ujęciu branżowym dla całego kontynentu najwięcej niepokoju zaobserwowano wśród dyrektorów ds. informatyki z sektora finansowego – ponad połowa z nich (55%) znacząco obawia się zagrożeń związanych z wdrożeniem BYOD. Odsetek ten był nieco niższy w innych sektorach, takich jak branża wytwórcza (42%), a także handel detaliczny, dystrybucja oraz transport (po 44%).
• Mimo powszechnego przekonania o niebezpieczeństwach związanych z wdrożeniem BYOD, zaledwie jedna trzecia (37%) polskich przedsiębiorstw aktualizuje (17%) lub planuje zaktualizować (20%) swoją politykę bezpieczeństwa BYOD.

Google, Facebook czy Twitter – to dziś naturalne środowisko komunikacyjne, szczególnie dla młodych pracowników. Jeśli firmy chcą też skutecznie zabiegać o najzdolniejszych absolwentów za pośrednictwem Google’a, Facebooka czy Twittera, to muszą stworzyć niezwykle elastyczne środowisko pracy – tak elastyczne, jak wspomniane serwisy. Jeszcze dziesięć lat temu dla podejmujących pierwszą pracę liczyło się przede wszystkim wynagrodzenie, dziś liczy się głównie elastyczność, dlatego też firmy muszą dostosować swoja politykę do wymogów współczesnego świata, tak aby przyniosła im ona korzyści. Powinny też zaakceptować to, że pracownicy będą wykorzystywali prywatne urządzenia do wykonywania obowiązków służbowych.

• Firmy pozwalające pracownikom korzystać z ich własnych urządzeń wskazały, że dzięki BYOD roczny koszt usług telekomunikacyjnych spadł o 17%, czyli średnio o prawie 7 mln euro na przedsiębiorstwo. Dodatkowo blisko połowa (43%) polskich firm odnotowuje wzrost zaangażowania i wydajności pracy dzięki stosowaniu zasad BYOD.
• Z raportu wynika, że ponad połowa dużych europejskich przedsiębiorstw wprowadziła już formalną (31%) lub nieformalną (21%) politykę BYOD. Najwięcej takich przedsiębiorstw znajdziemy we Włoszech (70%), a najmniej w Niemczech (43%). W Polsce politykę BYOD realizuje 56% przedsiębiorstw zatrudniających 1000 lub więcej osób.

• W firmach zezwalających na używanie własnych urządzeń z możliwości takiej korzysta ok. 30% pracowników. Firmy przewidują, że w ciągu najbliższych dwóch lat odsetek ten wzrośnie o 7%.

Opracowana przez Samsung ankieta internetowa, objęła grupę respondentów, którą tworzyło 490 dyrektorów i innych osób podejmujących decyzje w sprawach informatyki w firmach zatrudniających ponad 1000 osób. Badanie przeprowadzono w Belgii, Francji, Holandii, Niemczech, Polsce, Wielkiej Brytanii oraz we Włoszech. Dane zbierano w maju i czerwcu 2013 roku.

autor: Cezary Tchorek-Helm/Samsung

To alarmujące, bo jak wynika z badania przeprowadzonego na zlecenie Intela, firmy regionu CEE szacują maksymalną wartość strat ponoszonych w wyniku ich utraty na ok. 46 tys. euro.

• Trzy na dziesięć spośród przebadanych firm zatrudniających ponad 100 pracowników miało do czynienia z przypadkiem zgubionego lub skradzionego służbowego laptopa – wskazują badania Intela, przeprowadzone w Europie Środkowo-Wschodniej. Z perspektywy czasu prawie wszystkie firmy przyznały, że utrata danych była dla nich bardziej dotkliwa niż utrata sprzętu. Koszt sprzętu wynosi przeciętnie ok. 1 200 euro, natomiast poziom strat związanych z utratą danych to średnio 7 082 euro.

Polacy tracą najwięcej

Szacowana wysokość strat jest najwyższa w Polsce (7 739 euro), następnie w Czechach (7 333 euro), na Węgrzech (7 259 euro), a najniższa na Słowacji (6 000 euro). W podanych kwotach uwzględniono, poza utraconymi danymi, również koszty związane z prawami do własności intelektualnej oraz utratę efektów pracy, a także czas poświęcony przez pracowników firmy lub zewnętrznych specjalistów na zaradzenie sytuacji. Z wyjątkiem Słowacji, średnie łączne straty spowodowane pojedynczą kradzieżą przekroczyły sumę 8000 euro.

O wiele większe mogą być straty spowodowane złośliwym wykorzystaniem skradzionych danych. Wycena maksymalnych kosztów poniesionych przez firmę wskazuje na to, że firmy z Czech i Słowacji czują się bardziej zagrożone, podając średnie kwoty przewyższające 50 000 euro (52 696 euro w Czechach i 50 363 euro na Słowacji). Polskie firmy oszacowały maksymalne straty na poziomie 43 826 euro, a suma ta była najniższa w przypadku firm węgierskich (35 461 euro). Średnia wysokość strat, jakie może spowodować utrata laptopa w regionie CEE wynosi 45 586 euro. Zatem każdy skradziony laptop może wygenerować ogromne koszty.

• Pracownicy najczęściej gubią firmowe laptopy podczas podróży. Terminale lotniskowe, środki lokomocji, dworce kolejowe, parkingi i postoje przy autostradach – jedna na dwie firmy w Czechach (54,2%) i na Słowacji (51,7%) traci tam komputery. W Polsce zdarza się to rzadziej - 17% przypadków utraty służbowego laptopa ma miejsce podczas podróży. Wskazują na to wyniki badań przeprowadzonych na zlecenie firmy Intel wśród 726 firm z regionu Europy Środkowo-Wschodniej (CEE): Czech, Węgier, Polski i Słowacji. Wnioski wskazujące, że urządzenia firmowe są najczęściej gubione w transporcie, pokrywają się z danymi firmy McAfee, która prowadzi rejestr zgubionych i skradzionych urządzeń.

„Kiedy tylko urządzenie znajdzie się poza siedzibą firmy, znacznie rośnie ryzyko jego utraty. Jednak nawet laptop znajdujący się w biurze nie jest całkiem bezpieczny. Ten fakt potwierdzają zaskakujące wyniki badań, wskazujące, że niemal jedna trzecia (29,6%) laptopów firmowych skradzionych w Polsce została skradziona bezpośrednio z biura firmy. Wyniki firm czeskich są zbliżone – kradzieże tego typu dotyczą tam 29,2% przypadków. Biura firmy węgierskich (19,2%) i słowackich (22,5%) są trochę bardziej bezpieczne” – mówi Piotr Sobstyl. Odsetek laptopów skradzionych bezpośrednio z siedzib firm w Europie Środkowo-Wschodniej wynosi 26% i jest ponad dwukrotnie wyższy niż w Stanach Zjednoczonych, gdzie wynosi on 12%.

Polskie firmy nie szyfrują danych

Mimo tego, że firmy zdają sobie sprawę z zagrożeń związanych z utratą danych, nie podejmują wystarczających kroków, aby je zabezpieczyć. Jeśli chodzi o ochronę danych, respondenci ze wszystkich krajów przyznają, że w ponad połowie przypadków skradzione dane trafiły w niepowołane ręce bez jakichkolwiek zabezpieczeń. Największy odsetek zanotowano na Węgrzech (58,6%) i Słowacji (55,3%), niższy w Czechach (52%) i Polsce (45%).

• Można też zmienić hasło systemowe w laptopie, posługując się narzędziami łatwo dostępnymi w sieci, aby zyskać dostęp do danych na tym samym urządzeniu. Brak systemu ochrony danych sprawia, że istnieje prawie stuprocentowe zagrożenie, że skradzione dane firmowe i prywatne utracą poufność. Urządzenia mobilne są najbardziej wrażliwym punktem systemu i to nie tylko w odniesieniu do bezpieczeństwa firmy. Korzystamy z nich, aby obsługiwać nasze konta bankowe, robić zakupy w sklepach internetowych, a często przechowujemy na nich prywatne informacje dotyczące nas i naszej rodziny, którymi nie chcemy się z nikim dzielić.

Bezpieczeństwo pod kontrolą

Nowe technologie bezpieczeństwa dają nadzieję klientom korporacyjnym, którzy bez względu na region, w którym się znajdują, gromadzą coraz więcej danych. Nowe dyski SSD, zaprezentowane przez Intel podczas wrześniowych targów IDF, to rozwiązania najwyższej klasy. Dyski Intel ProSSD automatycznie szyfrują dane w Ultrabookach i innych urządzeniach przenośnych, bez konieczności instalowania dodatkowego oprogramowania. Użytkownicy komputerów z dyskami z funkcją autoszyfrowania mogą być jeszcze spokojniejsi, nawet jeśli ich firmy nie inwestują w systemy ochrony danych, korzystając z nowego poziomu zabezpieczeń, który gwarantuje, że ich dane nie trafią w niepowołane ręce, nawet jeśli zgubią oni swój komputer.

Główne wnioski z badań ( Intel, lipiec 2013)

• Badania przeprowadzono na grupie 744 firm, zatrudniających ponad 100 pracowników, w tym 144 firm z Czech, 329 z Węgier, 139 firm z Polski i 114 firm ze Słowacji.
• W 27,6% badanych firm doszło do zgubienia lub kradzieży laptopa
• 90% respondentów postrzega utratę danych jako bardziej poważne zagrożenie niż utrata samego komputera. Największy odsetek osób będących tego zdania zanotowano w Słowacji.
• Czy dane w laptopie były zabezpieczone przed utratą/kradzieżą przy pomocy mechanizmów szyfrujących lub innych systemów zabezpieczeń? Ponad połowa (54%) skradzionych laptopów nie miała żadnych zabezpieczeń. Szyfrowanie jest najbardziej popularne na Węgrzech (58.6%) i Słowacji (55.3%), następnie w Czechach (52%) i w Polsce (51%).
• Średnia wartość utraconego laptopa jest najwyższa w Polsce (7 739 euro), następnie w Czechach (7 333 euro), na Węgrzech (7 259 euro), a najniższa na Słowacji (6 000 euro). Odpowiedzi respondentów pokazują, że we wszystkich czterech krajach średnia wartość danych znacznie przewyższa cenę samego laptopa. Jeśli koszt urządzenia oszacujemy na 1 000 euro, średnia wartość strat w większości krajów przekroczy poziom 8 000 euro na jeden przypadek.
• Szacowana wartość maksymalnych strat poniesionych przez firmę wskazuje na to, że firmy w Czechach i Słowacji czują się najbardziej zagrożone, spodziewając się kosztów przekraczających 50 000 euro (52 696 euro w Czechach i 50 363 euro na Słowacji). Polskie firmy szacują maksymalne straty na poziomie 43 826 euro, a węgierskie na najniższym pułapie – 35 461 euro.
• Czesi i Słowacy mają mniejsze zaufanie do policji niż Węgrzy i Polacy – liczba firm, które poprosiły o pomoc policję (lub detektywów czy prawników) po kradzieży laptopa jest różna w przypadku każdego kraju. Sądząc po odpowiedziach respondentów, poziom zaufania do tych instytucji jest wyższy na Węgrzech (64%) i w Polsce (61%) niż w Czechach (34%) i Słowacji (21,6%).

Sondaż

W sondażu przeprowadzonym na zlecenie firmy Intel w lipcu 2013, przebadano 726 firm zatrudniających ponad 100 pracowników, w tym 144 firmy czeskie, 329 firm węgierskich, 139 firm polskich i 114 firm słowackich. Osoby odpowiedzialne za IT w firmach zostały przebadane przy pomocy metody CATI przez agencje Mediaresearch (Czechy i Słowacja), eNET Kft (Węgry) i Homo Homini (Polska).

autor: Jan Petersen