Cyberbezpieczeństwo to istotny element zaufania zarówno do organizacji, jak i w jej obrębie. Szczególnie w czasach, gdy głównymi narzędziami prowadzenia biznesu są urządzenia mobilne, rozpowszechniła się praca zdalna i hybrydowa, a w wielu firmach trwa digitalizacja procesów. Ze względu na to przedsiębiorcy, pracownicy i klienci potrzebują zapewnienia, że ich dane wrażliwe są odpowiednio chronione.
Niestety, jak podaje najnowszy raport Verizon Mobile Security Index, w 2023 r. czynnik ludzki był zaangażowany w aż 74% wszystkich naruszeń bezpieczeństwa informacji. Według tegorocznego Verizon Data Breach Investigations Report, 19% wycieków danych w organizacji miało przyczynę wewnętrzną – w postaci nieumyślnych lub przypadkowych działań pracowników. Każdy system ochrony, nieważne jak wyspecjalizowany, jest tak bezpieczny, jak jego najsłabsze ogniwo.
Cyberhigiena w firmie – profilaktyka prosta jak mycie rąk
W obliczu szybkiego rozwoju technologii oraz wzrostu skali i zaawansowania ataków, nie da się całkowicie uniknąć naruszeń cyberbezpieczeństwa. Profilaktyka jest znacznie tańsza niż naprawianie szkód. A te w przypadku biznesów mogą być nie tylko kosztowne, lecz także nieodwracalne, skutkując utratą zaufania i reputacji. Dlatego warto podjąć wszelkie działania minimalizujące ryzyko – możesz zwiększyć odporność swojej firmy i siebie jako pracownika przez wdrożenie dobrych praktyk zwanych cyberhigieną.
Cyberhigiena rozumiana jest jako zbiór zasad, zachowań i zaleceń, których przestrzeganie pomaga zwiększyć poziom bezpieczeństwa użytkowników, urządzeń, sieci oraz danych. Definicja ta może brzmieć odstraszająco przez skojarzenie ze skomplikowanymi i czasochłonnymi czynnościami, wymagającymi wiedzy technicznej. Tymczasem dla przeciętnego użytkownika, niebędącego administratorem IT, cyberBHP to proste, codzienne nawyki, często porównywane do higieny osobistej.
Wskazówki cyberBHP dla każdego pracownika
Poniżej znajdziesz zasady cyberhigieny, które możesz wdrożyć nie tylko w środowisku biznesowym, lecz także na poziomie prywatnym. Dla usystematyzowania Twojej wiedzy zostały one podzielone na kilka kategorii, odpowiadających najważniejszym obszarom zagrożeń.
Wiadomości
- Nie otwieraj podejrzanych wiadomości e-mail, SMS, MMS. Zwłaszcza jeśli zawierają informację o wygranej w konkursie, przelewie z banku, włamaniu na konto.
- Sprawdź identyfikator nadawcy (adres e-mail, numer telefonu). Jeśli nie masz pewności, skontaktuj się z nim telefonicznie lub osobiście.
- Zwracaj uwagę na poprawność językową i kompozycyjną treści. Godne zaufania organizacje przed wysłaniem przeważnie weryfikują swoje wiadomości: nie popełniają rażących błędów ortograficznych i stylistycznych, nie używają dziwnego formatowania.
- Nie podejmuj żadnych działań, gdy czujesz, że nadawca wywiera na Tobie nienaturalną presję lub wywołuje poczucie winy, jednocześnie próbując nakłonić Cię do pilnego działania w określonym, bardzo krótkim terminie (na przykład wykonania przelewu, podania danych osobowych).
- Uważaj na linki i załączniki. Nie otwieraj dołączonych plików bez upewnienia się co do ich źródła. Podejrzyj bez klikania (przez wskazanie kursorem myszy) prawdziwy adres docelowy strony, na którą przeniesie Cię link. Zwróć uwagę, czy w adresie URL nie znajdują się błędy i literówki – na przykład duża litera I jako mała litera L czy cyfra 0 zamiast dużej litery O.
PRAKTYCZNY USE CASE: znajdź różnice między www.bankofamerica.com a www.bankofarnerica.oom.
Hasła i dostępy
- Stosuj silne hasła (długość, wielkie i małe litery, cyfry, znaki specjalne). Twórz je unikatowe dla każdego konta – 1 konto = 1 hasło. Regularnie je zmieniaj; zrób to natychmiast, kiedy podejrzewasz, że ktoś je poznał lub wykradł.
- Nie dziel się hasłami z innymi. Nie wpisuj ich, gdy ktoś patrzy Ci przez ramię, na ekran albo klawiaturę. Nie zapisuj ich też na papierze ani w niezabezpieczonym pliku – lepszym wyjściem będzie użycie sprawdzonego menedżera haseł, czyli programu do zarządzania danymi uwierzytelniania.
- Zabezpiecz hasłami urządzenia. Blokuj je albo wyloguj się, gdy przerywasz lub kończysz pracę.
- Korzystaj z weryfikacji dwuetapowej, aby dodatkowo zabezpieczyć swoje konta. Włącz tę funkcję wszędzie tam, gdzie masz możliwość.
Oprogramowanie i sprzęt
- Regularnie aktualizuj system, programy i aplikacje – jeśli korzystasz z własnego urządzenia do pracy. W przeciwnym wypadku poproś o to administratora.
- Używaj wyłącznie oprogramowania pochodzącego z legalnych źródeł. Dotyczy to szczególnie aplikacji mobilnych.
- Nie podpinaj nieznanych nośników danych do firmowych urządzeń.
- Staraj się unikać korzystania z publicznych stacji ładowania. Mogą stać się narzędziem juice jacking – ataku wykorzystującego spreparowane przez cyberprzestępców kable USB do zainfekowania Twojego sprzętu lub kradzieży danych. Jeśli musisz podpiąć się do ogólnodostępnej stacji USB, oceń ryzyko. Możesz użyć własnych kabli, najlepiej pozbawionych funkcji transmisji danych.
Sieć
- Pracując zdalnie, nie łącz się z publicznymi lub nieznanymi sieciami WiFi, zwłaszcza podczas logowania się na konta, które zawierają dane wrażliwe. Jeśli jednak to naprawdę konieczne, możesz zabezpieczyć swoją aktywność w Internecie, włączając usługę VPN. O jej instalację i skonfigurowanie poproś administratora.
- Chroń prywatność w sieci. Nie udostępniaj informacji, których opublikowanie może choćby tylko potencjalnie naruszyć bezpieczeństwo Twoje lub organizacji i dać cyberprzestępcom podstawę do szantażowania. Kieruj się zasadą: im mniej, tym lepiej.
Stosując powyższe zalecenia, przyczynisz się do podniesienia poziomu cyberbezpieczeństwa w swojej firmie i zwiększysz bezpieczeństwo Twoich codziennych działań, nie tylko służbowych. Przekaż tę wiedzę swoim współpracownikom.