Bezpieczeństwo w cyfrowym świecie – bezpieczeństwo fizyczne

W ramach cyklu artykułów o zasadach bezpiecznego zachowania w Internecie pojawiły się już:

• Bezpieczeństwo w cyfrowym świecie – spear-phishing/whaling
• Bezpieczeństwo w cyfrowym świecie. Ransomware 2020
• Bezpieczeństwo w cyfrowym świecie. Bezpieczne korzystanie z przeglądarki internetowej

Dzisiaj odcinek o bezpieczeństwie fizycznym

Ochrona danych firmowych rozpoczyna się od fizycznego dostępu do miejsca pracy i nośników zawierających poufne dane. Są to dokumenty papierowe, dyski twarde, płyty CD/DVD, taśmy, pendrive i inne. Może się okazać, że nawet na dyskietce zakopanej głęboko w szufladzie i wyrzuconej na śmietnik obok biura firmy, hakerzy czy złodzieje znajdą dane, które skompromitują firmę lub sprowadzą na nią kłopoty. Równie zagrożone są nasze domostwa i samochody. W razie włamania i znalezienia tam urządzeń z danymi firmowymi, czy dokumentów, mogą stać się one takim samym źródłem wycieku danych, jak gdyby były wyniesione z biura.

Nie dziwmy się więc strażnikom, kamerom, szlabanom, sejfom. Wszystko to ma służyć tej pierwszej barierze, mającej zniechęcić potencjalnych włamywaczy.

Wrażliwość informacji firmowych

Rozmowa o sprawach biznesowych w miejscu publicznym lub w sieci społecznościowej może skończyć się źle dla Ciebie lub nawet całej firmy.

Nawet podczas rozmowy telefonicznej o sprawach firmowych, gdy ktoś robi to publicznie, np. na ulicy, w kawiarni, restauracji, autobusie, można spowodować wyciek danych. Postronne osoby mogą uzyskać informacje, które nie powinny ujrzeć światła dziennego.

Dane służbowe muszą być chronione przed dostępem osób niepowołanych również wewnątrz firmy. Tylko wybrane osoby mogą mieć dostęp do najbardziej poufnych informacji.

Z tego względu dostęp powinien być zabezpieczony (hasłem, kodem, certyfikatem, itp.), odpowiednio regulowany poziomem uprawnień i monitorowany. Ma to szczególne znaczenie ze względu na ochronę danych osobowych – RODO.

Do przetwarzania danych używaj odpowiednio zabezpieczonego sprzętu. Zwykle firmowy standard określa konkretną konfigurację. Wyjątkiem są dopuszczone warunkowo urządzenia prywatne na zasadzie BYOD (bring your own device). Z kolei korzystanie ze sprzętu firmowego powinno być ograniczone do działań służbowych. Zapewni to instalację tylko niezbędnych do pracy programów, zminimalizuje ryzyko wgrania złośliwego kodu, usprawni pracę. Przeglądarka będzie miała czystą historię, konto Facebooka nie będzie przeszkadzało w pracy i nie stanie się przyczyną wypłynięcia danych firmowych, choćby przez pomyłkę.

Uważaj z kim rozmawiasz

Oprócz miejsca prowadzenia rozmowy, istotne jest też to, byś wiedział z kim rozmawiasz. Ile razy bałeś się zapytać o dane osoby, która do Ciebie zadzwoniła, bo sama nie przedstawiła się?

Jest to obecnie jedna z częściej używanych przez hakerów metod pozyskiwania danych – podawanie się za przedstawiciela znanej instytucji. Rozmówca wzbudza zaufanie poprzez udzielanie dużej ilości informacji o sobie i sprawie, w której dzwoni. W ten sposób usypia Twoją czujność. Następnie zadaje pytania o delikatne dane, np. numery kart kredytowych, tajemnice firmy, itp. Niech nie zmyli Cię znajomy numer telefonu, np. banku – niestety prezentacja numeru telefonicznego jest dla hakerów łatwa do złamania.

Podobnie sprawa wygląda z sieciami społecznościowymi. Możesz spotkać wielu oszustów, którzy włamują się do kont Twoich znajomych czy współpracowników lub podają się za przedstawicieli znanych firm, by później prosić Cię o tajne informacje lub pieniądze.

Porządek na biurku i pulpicie komputera

Artystyczny nieład nie sprzyja utrzymaniu bezpieczeństwa danych.

Gdy masz porządek na biurku szybciej zauważysz pozostawiony przypadkiem pendrive, dysk twardy czy poufny dokument. To samo tyczy się dokumentów zapisanych na komputerze. Pulpit zaśmiecony wieloma plikami, nieuporządkowana struktura folderów – to wszystko może spowodować przeoczenie istotnych, poufnych informacji, które nie powinny się tu znajdować.

Zachowanie bezpieczeństwa w biurze

Wchodzisz codziennie do biura i robisz to raczej rutynowo. Nie zastanawiasz się czy trzeba podejmować specjalne środki ostrożności. Przedstawię kilka porad, które ułatwią bezpieczną pracę:

• Gdy wejście do pomieszczenia strzeżone jest kodem, przed jego wprowadzeniem rozejrzyj się, czy ktoś nie podgląda. Zasłaniaj drugą ręką klawiaturę. Ukrywanie wpisywanego pinu stosuj też przy bankomatach i w sklepach. Tu dodatkowo możesz jeszcze zasłonić palcem numer karty płatniczej, jeżeli ją wyciągasz lub nie wyjmuj jej całkowicie. W przypadku płatności bezdotykowych, nie musisz karty nawet wyciągać z etui, o ile nie jest ono chronione przed czytaniem zbliżeniowym (NFC).
• Gdy otwierasz drzwi, ktoś może próbować wejść razem z Tobą, nie wpuszczaj nieznanych osób.
• Używaj sprzętu firmowego do celów służbowych.
• Gdy odchodzisz od komputera, zablokuj go.
• Nie przechowuj niepotrzebnych dokumentów na komputerze. Usuwaj je tak, by nie dało się ich odzyskać w razie zagubienia komputera.
• Najlepiej, gdyby komputer pełnił tylko funkcję dostępu do danych, a nie ich przechowywania. Dane możesz trzymać na dyskach udostępnionych, w chmurze.
• Wylogowuj się z aplikacji, gdy z niej już nie korzystasz.
• Zabieraj smartfon ze sobą.
• Nie trzymaj na biurku nośników danych. Po użyciu chowaj, najlepiej w zamykanej szafie czy szufladzie.
• Nie podłączaj do komputera nieznanych urządzeń, nie używaj „zagubionych” nośników pamięci.
• W razie jakichkolwiek wątpliwości – zgłaszaj je do działu IT i przełożonego.
• Nie rób zdjęć dokumentów smartfonem – w ten sposób możesz nawet przez przypadek udostępnić je niepowołanym osobom.
• Nie zostawiaj dokumentów papierowych bez nadzoru.

Zachowanie bezpieczeństwa poza biurem

Gdy pracujesz poza siedzibą firmy, ale z firmowymi danymi, musisz dodatkowo pamiętać o kilku sprawach. Przede wszystkim to Ty odpowiadasz za bezpieczeństwo używania sprzętu służbowego i danych, których używasz będąc poza biurem. Dział IT nie jest w stanie zagwarantować bezpieczeństwa Twojego otoczenia i połączenia Internetowego. Dlatego:

• Używaj sprzętu firmowego do celów służbowych.
• Gdy odchodzisz od komputera, zablokuj go.
• Nie przechowuj dokumentów ani nośników z danymi służbowymi w domu.
• Twój samochodów służbowy i prywatny są jednakowo narażone na włamanie. Nie zostawiaj w nich laptopów i smartfonów ani dokumentów.
• Jeżeli pracujesz poza biurem, używaj połączeń VPN.
• Nie korzystaj z publicznych sieci WiFi jeżeli nie jest to konieczne.
• Staraj się nie wprowadzać danych logowania do aplikacji z poufnymi danymi w miejscach publicznych. Ktoś może je podejrzeć zza Twojego ramienia albo na kamerze. W takich przypadkach dobrze mieć ustawione logowanie biometryczne lub PIN, który jest przypisany do urządzenia, a nie konta użytkownika.
• Korzystaj z wielokrotnego uwierzytelniania (MFA,2FA) – uchroni to a przynajmniej znacznie utrudni przechwycenie Twojego konta użytkownika w aplikacji, w której taki dostęp skonfigurujesz.
• Nawet nie chwilę nie spuszczaj urządzeń mobilnych z oczu. Są łatwym celem dla złodziei.
• Nie rozmawiaj publicznie na tematy służbowe.

W artykule przedstawiłem przemyślenia i swoje doświadczenia związane z fizyczną stroną bezpieczeństwa danych służbowych oraz starałem się uzmysłowić Ci jak łatwo można je narazić na przedostanie się w niepowołane ręce.

Cykl artykułów o bezpieczeństwie w Internecie nie wyczerpuje tematu zabezpieczeń. Hakerzy wykorzystują coraz to nowe sposoby by otrzymać poufne dane firmowe bądź wyłudzić płatność za nie okup (ransomware). Bądź czujny i nie daj się oszukać!

Chcesz zwiększyć świadomość swoich pracowników? Zapoznaj się z naszą ofertą dotyczącą szkolenia z cyberbezpieczeństwa. Oferujemy szkolenie dla firm z sektora publicznego i prywatnego. Dzięki szkoleniu Twoi pracownicy zyskają bezcenną wiedzę, która pozwoli uodpornić firmę na cyberataki.

Na co dzień obsługujemy ponad 200 firm z całego świata, dbając m.in. o bezpieczeństwo danych. Nieświadomy pracownik to duże zagrożenie dla organizacji, dlatego nie czekaj i wykup szkolenie już dziś. Skontaktuj się z nami!

Maciej Ochal
Administrator i Trener Microsoft w Support Online