Od wielu lat współpracuję z przedsiębiorcami, instytucjami publicznymi, NGOsami i z przykrością muszę stwierdzić, że temat bezpieczeństwa w sieci jest często marginalizowany – mówi Izabella Ferenc, trenerka kompetencji cyfrowych, trenerka ABC przedsiębiorczości Fundacji Wspomagania Wsi
Magdalena Gromek-Kowalczyk: Izabello, porozmawiajmy o cyberbezpieczeństwie w małej firmie.
Izabella Ferenc: Temat jest bardzo szeroki, więc dziś proponuję przyjrzeć się tej tematyce na poziomie podstawowym. Pewnie i tak wyjdzie nam długa rozmowa, ale to będzie wiedza niezbędna. Duże przedsiębiorstwa i instytucje publiczne maja środki i często obowiązek wdrożenie odpowiednich procedur bezpieczeństwa. W trudniejszej sytuacji są osoby rozpoczynające jednoosobową lub małą działalność gospodarczą. Ze względu na ogrom obowiązków często pomijają kwestie cyberbezpieczeństwa. Większość szkoleń i kursów dla początkujących przedsiębiorców nie obejmuje zagadnień związanych z bezpieczeństwem w sieci. W mojej ocenie powinien być to moduł obowiązkowy.
MGK: Skąd początkujący przedsiębiorca może się tego dowiedzieć, nauczyć?
IF: O ile początkujący przedsiębiorca ma możliwość skorzystania z pomocy ZUS, US czy księgowych o tyle w sprawach bezpieczeństwa w sieci nie ma jednej instytucji udzielającej darmowych porad. Należy stawiać na samodzielne pogłębianie wiedzy, szukanie bezpłatnych szkoleń, darmowych porad. Tych na szczęście w sieci nie brakuje. Procedury wymuszają w niektórych przypadkach wprowadzenie specjalnych zabezpieczeń, jednak wolałabym by ich wprowadzenie wynikało ze świadomości, nie z przymusu.
MGK: To powiedz proszę o podstawach cyberbezpieczeństwa w prowadzeniu małej firmy.
IF: Podstawą zachowania bezpieczeństwa jest świadomość zagrożeń. Na naszych oczach rozwija się sztuczna inteligencja, która dodatkowo daje pole coraz doskonalszym nadużyciom. Dodatkowo mamy zmasowane cyberataki rosyjskich trolli na nasze konta, fora dyskusyjne. Codziennie tysiące Rosjan zatrudnionych na tzw. farmach trolli szturmują europejski Internet.
Dla każdego użytkownika sieci najważniejsze są hasła – wszędzie i na każdym poziomie. Począwszy od zabezpieczenia urządzeń, przez blokowanie ekranu urządzenia w sytuacji gdy musimy opuścić stanowisko pracy (wystarczy jednocześnie wcisnąć klawisze Windows +L) , aż po szyfrowanie plików czy całych dysków, zabezpieczenie sieci i urządzeń.
MGK: Zacznijmy od haseł do poczty elektronicznej, portali w stylu Facebook czy Instagram.
IF: Wiele portali przy rejestracji w danej usłudze prosi o utworzenie hasła składającego się minimum z 8 znaków i wielu użytkowników ustala hasło tej długości. Jeśli używasz 8 znakowego hasła to w zasadzie go nie masz. Jego siłę, a więc czas potrzebny do jego złamania sprawdzić można na stronie https://www.security.org/how-secure-is-my-password/. Im dłuższe hasło tym lepiej.
Przy ustalaniu hasła ważna jest nie tylko jego długość, ale i kombinacja znaków – powinno ono zawierać duże i małe litery, cyfry, znaki specjalne. Najlepiej jeśli znaki nie tworzą logicznego ciągu, nie kojarzą się z nami w łatwy sposób. Druga bardzo ważna zasada to ustawianie różnych haseł do różnych kont. Na tej stronie https://nordpass.com/most-common-passwords-list/ znajdziemy 200 najpopularniejszych haseł, które złamać można nawet w 3 sekundy. Warto sprawdzić, czy nie używasz jednego z nich.
Gdzie tylko to możliwe, warto włączyć dwuetapową weryfikację hasła, szczególnie w dobie dezinformacji i zmasowanego cyberataku rosyjskich trolli. Kto z nas nie słyszał o kradzieży kont na Facebooku? Dla części z nas utrata konta na Facebooku może nie być bolesną stratą, ale wyobraź sobie, że skradzione zostało konto Google, a wraz z nim wszystkie połączone usługi. Dla wielu z nas to nie tylko poczta gmail, ale również zdjęcia, dokumenty, arkusze, kalendarz czy profil firmy. Odzyskanie konta na FB czy Google jest niezwykle trudne. Dlatego bardzo polecam weryfikację dwuetapową, nazywaną również uwierzytelnianiem dwuskładnikowym. Oznacza to, że aby dostać się do naszego konta potrzebne będzie np. podanie hasła, a potem potwierdzenie SMS. Jak to wygląda na poszczególnych portalach podaję poniżej.
Konto Google https://support.google.com/accounts/answer/185839?hl=pl&co=GENIE.Platform%3DAndroid
Facebook: https://pl-pl.facebook.com/help/148233965247823
Hasła warto zmieniać co trzy miesiące i oczywiście nie zapisujemy ich w widocznym miejscu. Jeśli mamy problem z zapamiętaniem wielu haseł możemy skorzystać z menadżera haseł. W tym wypadku musimy zapamiętać jedynie hasło do menadżera.
Warto śledzić doniesienia o wyciekach danych, atakach hakerskich na usługi z których korzystamy i od razu reagować poprzez zmianę haseł. Dodatkowo można co jakiś czas sprawdzać czy mail i powiązane z nim dane wyciekły. Sprawdzimy to na stronie https://haveibeenpwned.com/
Pamiętajmy także o dobrym, skutecznym haśle do naszej sieci WiFi!
Firmowe komputery i telefony także powinny być chronione hasłem. Sprzęt ponadto można zabezpieczyć na wypadek kradzieży czy ich utraty. Istnieją bezpłatne narzędzia, dzięki którym zdalnie można usunąć dane z naszych urządzeń z systemem Android. Jak to zrobić? Odsyłam do strony https://support.google.com/accounts/answer/6160491?hl=pl
Jeśli możemy sobie na to pozwolić to bardzo zachęcam do zainwestowania w klucze U2F. To małe, przenośne urządzenia podobne do pendrive, które wkładamy do komputera. Kupujemy od razu dwa klucze (drugi na wypadek utraty jednego). Ich koszt to ok. 400 złotych. Klucz zastępuje hasła do różnych kont, dodatkowo chroni przed phishingiem.
MGK: A czym jest phishing?
IF: To obecnie chyba najpopularniejsze narzędzie internetowych oszustów. Dostajemy wiadomość e-mail, albo wiadomość poprzez portal społecznościowy od rzekomego kuriera, urzędnika, operatora energetycznego z informacją “masz zaległe X złotych, zapłać klikając w ten link”. Wiadomość do złudzenia przypomina prawdziwą. Oczywiście nie należy klikać w żadne linki, bo te przekierują nas na fałszywe strony, które wyłudzą dane do np. naszego konta bankowego. Dlatego słowo “phishing” do złudzenia przypomina angielskie słowo “fishing” – czyli łowienie ryb. Oszuści zarzucają na nas wędkę, a naszym zadaniem jest nie chwycić przynęt. Coraz częściej oszuści działają także za pośrednictwem komunikatorów i portali społecznościowych. Włamują się na konto danego użytkownika sieci, a następnie piszą do jego znajomych z prośbą o przelanie pieniędzy np. poprzez BLIKa.
MGK: Dziękuję za rozmowę! W kolejnej części porozmawiamy o bezpieczeństwie danych naszych klientów zgodnie z zasadami RODO.
IF: Również dziękuję!
Data publikacji: 19.02.2023 r.