Dach nad głową dla większości z nas jest miejscem odpoczynku i regeneracji, wskazuje granice naszej fizycznej prywatności i ma istotny wpływ na naszą zdolność oddziaływania z całą resztą świata. Własny czy wynajmowany, mały czy duży, na całe życie czy tylko na jedną noc – zawsze, nieodmiennie jest synonimem bezpieczeństwa.

Dom to również technologia jego wykonania, która ma oczywisty wpływ na poczucie bezpieczeństwa jego użytkowników. I choć może wydawać się, że od technologii budownictwa do technologii informacji cyfrowych
prowadzi długa droga, to jednak z każdym dniem podobieństw jest więcej.

Nowoczesne technologie ułatwią pracę, ale należy wiedzieć, jak bezpiecznie z nich korzystać, szczególnie w biznesie.

Po pierwsze: właściwe narzędzia

Dach nad głową wymaga ścian, tak jak cel biznesowy jego realizacji odpowiednimi narzędziami. Dach bez ścian to tylko wiata, a nie dom. Wybór ścian i materiałów, z jakich są one wykonane, musi być więc przemyślany względem zaplanowanego celu – szklane ściany w kawiarni nie stanowią problemu, w toalecie nie zapewnią jednak komfortu. Cyfrowa technologia nie tylko przypomina ściany z uwagi na ich przeznaczenie, ale i przede wszystkim jakość wykonania (ilość błędów i podatności) oraz stan utrzymania (dostępność aktualizacji). Grzyb na ścianie czy jej pęknięcia (stare i podatne oprogramowanie) mogą być problemem, kiedy miejsce jest dla nas ważne (przetwarzamy krytyczne dane), w którym spędzamy dużo czasu (jest podstawą naszych operacji), ale ma wartość jedynie estetyczną, gdy odwiedzamy je przelotem (testujemy na nieistotnych danych, przez chwilę, poza swoją siecią). Warto znać więc ograniczenia technologii, jakiej się używa.

Po drugie: chroń, co cenne

Mój dom to moja twierdza. Dach i ściany nie będą miały większego sensu, gdy budynek nie zostanie wyposażony w drzwi i okna. Podobnie cyfrowa technologia swoją użyteczność opiera na koncepcji dostępu: ograniczonego do cennych zasobów (drzwi) i monitorowanego do zasobów publicznych (okno). Tak jak mylenie drzwi z oknem w konstrukcji domu nigdy nie rokuje dobrze, tak w firmowym użyciu  systemów cyfrowych ma wręcz katastrofalne skutki.

Gdy umieszczamy dane firmy i jej klientów na widoku publicznym to tak, jak byśmy pozwalali zaglądać obcym przez okno do domu. Naturalnym jest zatem sprawdzenie, co faktycznie jest widoczne, a co nie powinno być. Pomóc w tym zadaniu mogą testy penetracyjne firmowych zasobów.

Zabezpieczenie drzwi przed wizytą niechcianych gości, tak jak zadbanie o ograniczony dostęp do naszej cyfrowej twierdzy, to zupełnie inny kaliber działań. Warto zapewnić im solidny zamek (system kontroli dostępu czy blokowania ekranu dla urządzeń mobilnych), dla pewności warto zamontować też drugi, niezależny zamek (2FA, czyli drugi czynnik uwierzytelnienia), a także wizjer (system analizy zachowania użytkownika), domofon (tunel wirtualnych sieci prywatnych), wzmocnienia i bolce antywłamaniowe (system wykrywania i reakcji na włamanie). Warto rozważyć też posiadanie psa, który poradzi sobie z niechcianym gościem, wszczynając alarm (podobnie jak system antywirusowy). Gdy takich drzwi mamy w domu więcej, to zatrudnienie strażnika lub portiera (zewnętrznej firmy ds. bezpieczeństwa) może być najkorzystniejszą opcją.

fot. Pixabay.com

Gdy tak spojrzymy na technologie cyfrowe, okazuje się, że może ich stosowanie wcale nie daje redukcji kosztów. To właśnie analiza wartości chronionych zasobów do kosztów zabezpieczeń przy określonych zagrożeniach i szansach ich wystąpienia są podstawą mitycznego podejścia analizy ryzyka (wymaganej przez RODO).

Najsłabszym ogniwem w procesie ochrony danych jest człowiek i jego nawyki.

Po trzecie: okazja czyni złodzieja

To proste stwierdzenie jest uniwersalne. Obecnie dotyczy włamywaczy i oszustów okradających domy, ale też cyfrowe zasoby. Warto zdać sobie sprawę, że wszystko to, co obserwujemy w cyberprzestrzeni, widzieliśmy już wcześniej w metodach przestępców tych nie „komputerowych”. Szantaż, kradzież informacji, podszywanie się pod zaufane osoby i instytucje, wandalizm, wyłudzenia i wiele innych (tu zachęcam do przeglądu raportu Europolu dotyczącego przestępczości w internecie). I choć metody przestępstw wydają się stare i znane, to jednak możliwości, jakie daje technologia, sprawiają, że ciągle są one wyjątkowo skuteczne. Problem ten wzmagany jest też przez tzw. „czynnik ludzki”, wynikający ze złych nawyków użytkowników. Okazja, która czyni złodzieja, okazuje się opierać na braku naszej adaptacji do zmian kontrolujemy. Wśród przykładów mogą być dwie, szczególnie popularne:

1. Telefon, który dzisiaj służy nie tylko do rozmów, a gra rolę ważniejszą niż nasz portfel, dając dostęp, do rachunku bankowego, możliwość zlecania zakupów i płacenia za nie. Jest też naszym „centrum bezpieczeństwa”, oferując bezpieczne logowanie do danych z użyciem np. kodów SMS jako dodatkowego składnika uwierzytelniania. To niebywała okazja dla przestępców zainteresowanych nie tylko naszymi pieniędzmi, ale także danymi klientów.
2. E-mail, zmienił swój charakter z systemu wymiany informacji na podstawowe narzędzie komunikacyjne i archiwalne, z dostępem do bogatej historii naszej aktywności: umów, zakupów, kont (rejestracja, odzyskiwanie
   hasła), korespondencji z klientami, którzy nam ufają. Przestępcy od dawna ulubili to narzędzie jako źródło wiedzy na temat naszego życia, naszych słabości i potrzeb. To pozwala  im osiągnąć swój cel skuteczniej, nawet jeśli to nie my, tylko nasi klienci, są ich celem.

Podsumowując, technologia cyfrowa jest obecna pod naszym dachem i mamy z nią kontakt non-stop. I choć jesteśmy tego całkiem świadomi, bo czerpiemy z tego korzyści, to niestety nasze nawyki związane z jej użytkowaniem oraz świadomość okazji, jakie daje przestępcom, są przestarzałe. Zachęcam do ich aktualizacji, stosowania zdrowego rozsądku i przekonania, że poczucie komfortu bywa złudne, jeśli opiera się na opinii, a nie na faktach. Pomocne może być zrozumienie i zastosowanie tegorocznego hasła kampanii bezpiecznego internetu: „Own IT, Secure IT, Protect IT”. Co w bardzo swobodnym tłumaczeniu można czytać jako: „Poczuj się w obowiązku stosowania adekwatnych zabezpieczeń dla ochrony swoich dóbr cyfrowych”.

Artur Marek Maciąg - Poszukuje lepszego sposobu na dzielenie się dobrymi praktykami bezpieczeństwa informacji, uważności oraz świadomości wpływu informacji na nasze decyzje. Zawodowo zajmuje się zabezpieczeniami informacji oraz zarządzaniem ryzykiem, od ponad 12 lat wspierając sektor finansowy w Polsce i na świecie. Razem z innymi ekspertami tworzy Inicjatywę Kultury Bezpieczeństwa, której celem jest łączenie kropek, jakimi są nieżyciowe praktyki bezpieczeństwa informacji, w schematy, które z powodzeniem używamy na co dzień, naturalnie akceptując ich koszt jako element normy.