10 prostych zasad cyberhigieny
Jednym z zaskakujących spostrzeżeń wynikających z dyskusji o bezpieczeństwie informatycznym jest to, że mimo iż bardzo często tematy te, zwłaszcza aspekty techniczne, omawiane są bardzo hermetycznym językiem, to najczęściej i najchętniej komentowane są wpadki wynikające z elementarnych błędów. Przykładowo, na zdjęciu z wizyty VIP-a w tajnej jednostce widać na ścianie kartkę z hasłem. Gdzie indziej login administratora to „admin”, zaś hasło przemyślnie zmieniono na „admin1”. Kolejną sytuacją jest przesyłanie wrażliwych informacji mailem prywatnym. W takich momentach spory o to, który bardzo wyrafinowany system jest lepszy lub kto napisał doskonalszą politykę bezpieczeństwa przestają mieć znaczenie.
Chciałbym zwrócić uwagę na jeszcze jeden aspekt. Otóż kiedyś można było sobie wyobrazić swoją infrastrukturę jako dobrze strzeżoną twierdzę. Jeśli coś było potrzebne, to nieco solidniejsze i grubsze mury, wzmocnione bramy i paru dodatkowych strażników. Ten, kto był w środku, mógł czuć się bezpiecznie. Dzisiaj żadna firma – ani duża, ani mała – tak nie wygląda. Gdy komputery znajdują się w naszych telefonach, w pracy załatwiamy sprawy prywatne i równie często pracujemy w domu, a nośniki pamięci, jak sama nazwa wskazuje, nosimy w kieszeni, podwyższanie cyber-murów przestaje mieć znaczenie. Aby zapewnić bezpieczeństwo wymagana jest zmiana organizacji – wszak nie otacza się współcześnie miast murami, by je bronić.
Czas na zasadniczy temat. Chciałem wskazać na sprawy, które bywają lekceważone, lub by precyzyjniej to określić, niezbyt często poświęcany jest im czas i atencja osób odpowiedzialnych za bezpieczeństwo. Chodzi o podstawowe zasady, działania i reguły, których powinniśmy wymagać od każdego. Nazwijmy je cyberhigieną. Mimo, iż zasady higieny nie ochronią nas od choroby czy wypadku, to jednak poprawiają nasze zdrowie. Tak samo reguły cyberhigieny nie są odpowiedzią na zagrożenia cyfrowe, ale w znaczący sposób mogą zmniejszyć potencjalne pole ataku. Badania przeprowadzone przez Microsoft parę lat temu wskazywały, że samo wprowadzenie wieloskładnikowego uwierzytelnienia zmniejszało skuteczne próby przejęcia tożsamości o ponad 99%.
W powyższym zdaniu znajdziecie jeden z powodów, dla których działy bezpieczeństwa odkładają zajmowanie się cyberhigieną w organizacji. Jak pomyślą, że mają swojemu przeciętnemu użytkownikowi wyjaśnić, co to jest „wieloskładnikowe” oraz „uwierzytelnienie”, to ciarki im chodzą po plecach. Każdy przecież powinien wiedzieć czym jest MFA, czyż nie? Powodem zdystansowania się do cyberhigieny staje się konieczność przekładania trudnych technicznych zagadnień na proste, zrozumiałe dla każdego słowa.
Dlatego też, aby pomóc w tym trudnym zadaniu, postanowiliśmy przygotować materiał, jaki będziecie mogli wykorzystać w swoich firmach. Ba! Te zasady sprawdzą się także w domu! Czy materiał całkowicie wyczerpuje temat? Na pewno nie, ale jest od czego zacząć.
Zapraszamy do lektury!
A działy bezpieczeństwa proszę jeszcze o chwilę uwagi – jak wdrożycie i wyegzekwujecie cyberhigienę, to dużo łatwiej będzie wam wprowadzić zasady ZeroTrust. Ale to już temat na zupełnie inne opowiadanie…
Zachęcam do zapoznania się z poradnikiem: 10 prostych zasad cyberhigieny