Internet w prowadzeniu biznesu jest narzędziem nieodzownym. Od zarządzania firmą po kontakty z klientami i kontrahentami, dobra, bezpieczna infrastruktura sieciowa jest potrzebna nawet w najmniejszej firmie. I właśnie bezpieczeństwo jest może najważniejszym aspektem korzystania z sieci w działalności przedsiębiorstwa.
- Zasady bezpiecznego korzystania z internetu w firmie
- Podpis elektroniczny – zasady bezpiecznego korzystania
- Jak zadbać o bezpieczeństwo danych w firmowej chmurze?
Wraz z coraz szybszym tempem rozwoju internetowej strony działalności firm – gwałtownie zwiększonym przez nastanie pandemii i przerzucenie się wielu firm na model pracy hybrydowej lub zdalnej, rośnie też zagrożenie związane z działalnością cyberprzestępców.
Według raportu Polskiego Klastra Cyberbezpieczeństwa “Cyberbezpieczeństwo polskich firm 2021”, co trzecia polska firma miała w ciągu ostatniego roku incydenty związane z naruszeniem bezpieczeństwa danych. 43 proc. firm i instytucji za istotne zagrożenie uznawało włamania do swoich systemów, 45 proc. infekcje ransomware, a jedna trzecia badanych była celem ataków phishingowych mających na celu wyłudzanie informacji czy danych osobowych pracowników.
To samo badanie wskazuje, że mimo zagrożenia wiele firm nie stosuje jednak podstawowych reguł pozwalających zabezpieczyć działalność firmy. 15 proc. badanych nie korzysta z oprogramowania antywirusowego, a 12 proc. nie stosuje procedur takich jak regularne aktualizacje oprogramowania czy częste tworzenie kluczowych kopii zapasowych kluczowych dla działalności firmy danych.
Ze względu na szeroki zakres możliwych zagrożeń i potencjalnie duże straty dla każdej firmy, nie ma w zasadzie aspektu działalności biznesowej, w którym nie trzeba byłoby dziś uwzględniać aspektów bezpieczeństwa sieciowego. Jakich podstawowych zasad należy jednak się trzymać?
Zasady bezpiecznego korzystania z internetu w firmie
Środki, jakie firmy powinny podejmować w celu zabezpieczenia swojej działalności, można podzielić na kwestie techniczne, procedury i szkolenie pracowników, choć wszystkie trzy przenikają się nawzajem.
Pierwszym krokiem do zabezpieczenia firmy jest zbudowanie świadomości zagrożeń. Za cyberbezpieczeństwo nie odpowiada jedynie dział IT firmy: swoją rolę odgrywają tutaj wszyscy pracownicy, od kierownictwa po wszystkie działy organizacji. Każdy pracownik może np. paść ofiarą wspomnianego ataku phishingowego, za pomocą którego napastnicy mogą np. uzyskać dostęp do wewnętrznych systemów firmy i pozyskać w ten sposób nielegalnie jej dane. Nieostrożność pracowników może też prowadzić do infekcji systemów firmy paraliżującym jej działanie oprogramowaniem ransomware – jedno nieostrożne kliknięcie w załącznik sfałszowanego e-maila może doprowadzić do zablokowania jednego lub wielu komputerów firmy.
Dlatego niezwykle ważne jest uczulenie pracowników na zachowanie zasad internetowej higieny w pracy: sprawdzanie źródeł nieoczekiwanych wiadomości, ostrożność w posługiwaniu się e-mailem czy niewchodzenie na podejrzane strony, czy korzystanie na służbowych urządzeniach mobilnych z przygodnych aplikacji, które mogą stanowić dla napastnika kanał dostępu do ich danych. Niezwykle ważne jest też to, by korzystali oni we wszystkich firmowych urządzeniach i aplikacjach z mocnych, trudnych do złamania czy odgadnięcia haseł. Najlepszym rozwiązaniem jest tu uwierzytelnianie wieloskładnikowe, w którym do wejścia do systemu oprócz hasła trzeba skorzystać z drugiego zabezpieczającego czynnika, np. hasła SMS czy klucza USB.
Oczywiście pracowników można wspomóc, dbając o odpowiednią infrastrukturę. Istotne jest zabezpieczenie firmowej sieci przed intruzami i złośliwym oprogramowaniem. Ważnym elementem jest tutaj stosowanie oprogramowania antywirusowego, najlepiej wyposażonego w moduły zabezpieczające przed atakami phishingowymi, ale istotne jest także np. zabezpieczenie firmowej sieci wewnętrznej firewallem, który będzie zatrzymywał niepożądany ruch internetowy i utrudniał bądź uniemożliwiał napastnikom przeniknięcie do firmowej sieci bez względu na to, czy przedsiębiorstwo korzysta z dedykowanego połączenia asymetrycznego czy z klasycznego łącza symetrycznego. Kluczowym elementem zabezpieczania danych jest także ich szyfrowanie. W tym celu warto posługiwać się np. certyfikatami SSL, umożliwiającymi bezpieczną komunikację z firmowymi serwerami, a w przypadku pracowników wykonujących swoje zadania zdalnie lub łączenia w jedną sieć rozrzuconych geograficznie oddziałów firmy, korzystanie do połączeń VPN tworzących bezpieczny, szyfrowany tunel między urządzeniami. Warto też zainwestować w dobre łącze internetowe dla firm.
Ostatnim istotnym polem, na którym można zadbać o sieciowe bezpieczeństwo firmy jest wprowadzenie odpowiednich procedur. Najważniejsze są dwie: regularne, najlepiej codzienne tworzenie kopii zapasowych danych, zwłaszcza tych, które dla działalności firmy są kluczowe, oraz stała aktualizacja oprogramowania wykorzystywanego przez wszystkie urządzenia, z jakich korzysta firma, od komputerów po drukarki. Niezaktualizowane oprogramowanie zawiera luki, które mogą być wykorzystane przez napastników czy malware do penetracji sieci i przejmowania kontroli nad pracującymi w niej urządzeniami. A kopie bezpieczeństwa są najlepszym zabezpieczeniem np. przed atakami ransomware, które mogą odciąć pracowników od dostępu do niezbędnych informacji.
Podpis elektroniczny – zasady bezpiecznego korzystania
Podpis elektroniczny stał się dla wielu firm podstawowym narzędziem prowadzenia biznesu. Możliwość podpisywania dokumentów istniejących wyłącznie w formie cyfrowej zdecydowanie przyspiesza i skraca obieg dokumentów w firmie. Zwłaszcza w przypadku składania deklaracji ZUS, podatkowych, podpisywania umów i faktur, składania ofert czy dokumentów do urzędów administracji publicznej. Warto jednak pamiętać o podstawowych zasadach cyfrowej higieny podczas posługiwania się e-podpisem.
Wyróżniamy dwa rodzaje podpisów: zwykły podpis elektroniczny i podpis bezpieczny (kwalifikowany). Podpis bezpieczny jest potwierdzony certyfikatem kwalifikowanym i jest wykorzystywany zazwyczaj przy wymianie najważniejszych umów, dokumentów urzędowych czy pism sądowych. Użytkownik, który nabędzie bezpieczny podpis elektroniczny (w przeciwieństwie do podpisu zwykłego jego wystawienie jest odpłatne), otrzymuje kartę z zapisanym prywatnym kluczem, czytnik oraz oprogramowanie, które umożliwia odczytanie karty przez komputer i podpisywanie zaszyfrowanych dokumentów.
Podpis zwykły nie posiada certyfikatu kwalifikowanego i zazwyczaj wykorzystywany jest do podpisywania dokumentów mniejszego znaczenia, np. w wymianie e-maili. Za certyfikację infrastruktury bezpiecznego podpisu odpowiada Narodowe Centrum Certyfikacji.
Same podpisy, nawet te prostsze, są bezpieczne. Zagrożeniem może być jednak sytuacja, w której napastnik zdobędzie dostęp do powiązanej z nimi skrzynki e-mail. Jeśli napastnik dysponuje jednocześnie danymi użytkownika, np. danymi z dowodu osobistego, może wykorzystać nieuprawniony dostęp do konta do podpisywania dokumentów. Dlatego tak kluczowe jest to, by skrzynka była dobrze zabezpieczona, najlepiej przez zastosowanie tzw. loginu wieloczynnikowego, w którym chęć zalogowania się należy potwierdzić np. kodem sms. W przypadku podpisu bezpiecznego takie przejęcie tożsamości jest znacznie utrudnione przez konieczność posiadania przez użytkownika karty.
Należy także pamiętać o innych zasadach bezpieczeństwa. Wysyłając dokumenty do podpisu, pamiętajmy o tym, by były one wysyłane bezpośrednio do osób, do których są adresowane, a nie na ogólnodostępne konta e-mail, do których ma dostęp wiele osób. W przypadku otrzymania dokumentu do podpisu nie podpisujmy niczego automatycznie. Jeśli nie spodziewasz się otrzymania dokumentu – upewnij się u nadawcy, najlepiej telefonicznie, czy rzeczywiście pochodzi od niego. Sprawdź też poprawność adresu e-mail nadawcy. Fałszywe dokumenty mogą być np. sposobem na wyłudzenie danych lub pieniędzy.
Jak zadbać o bezpieczeństwo danych w firmowej chmurze?
Firmowe chmury stają się coraz ważniejszym elementem internetu dla biznesu. Umożliwiają płynne skalowanie dostępnych dla pracowników i firmowych procesów zasobów, dają też możliwość natychmiastowej wymiany danych i współpracy na żywo pracowników bez względu na ich geograficzne położenie.
Tworzą jednak oczywisty cel ataku dla cyberprzestępców. Dlatego tak ważne jest nie tylko stosowanie się do wspomnianych zasad – zwłaszcza tych dotyczących mocnego zabezpieczenia wszystkich firmowych kont i aplikacji oraz bezpiecznego szyfrowania firmowych danych – ale też właściwe dobranie dostawcy usług chmurowych. Bezpieczeństwo danych w chmurze wymaga dobrych, stabilnych łącz, ale przede wszystkim właściwej infrastruktury i procedur po stronie dostawcy. Bezpieczna chmura powinna być oparta na najwyższej klasy Data Center, wyposażonych w zabezpieczenia zarówno przed fizycznym uszkodzeniem (pożarem, zalaniem itp.) jak i przed ewentualnymi cyberatakami. Niezwykle istotne jest także to, czy dostawca dysponuje odpowiednio wyszkolonym, i stale dostępnym personelem, który jest w stanie dbać o bezpieczeństwo powierzonych mu danych. Rzetelny, sprawdzony dostawca usług chmurowych jest gwarancją bezpieczeństwa i nieprzerwanej pracy kluczowych firmowych systemów.
Komentarze