Bezpieczeństwo IT: najczęstsze błędy

Przeczytaj także: Jak zabezpieczyć przetwarzanie w chmurze?

Błędy administratorów i managerów wynikają z zaniedbań, niewiedzy, rutyny lub też lekceważenia ryzyka. Mają one dotkliwsze konsekwencje i bardziej wystawiają przedsiębiorstwa na ryzyko strat. Co więcej, gdyby ich nie popełniano, z przedstawionej powyżej listy udałoby się wyeliminować wszystkie punkty.

1. Brak polityki bezpieczeństwa
   
   Pomimo tego, że obecnie wszystkie firmy przetwarzają swoje strategiczne informacje w systemach informatycznych, wiele z nich ma kłopot z wdrażaniem wewnętrznej polityki bezpieczeństwa – jasnych zasad, które określają reguły dostępu do urządzeń infrastruktury IT oraz odpowiedzialność za naruszenie tych zasad. Brak takich zapisów rozmywa odpowiedzialność i sprzyja niepożądanym, szkodliwym zachowaniom pracowników. W wielu innych firmach formalnie istnieje polityka bezpieczeństwa, ale wdrożono ją w sposób niewłaściwy. Organizacje nie radzą sobie z jej przestrzeganiem, kontrolą i egzekwowaniem postanowień w niej zawartych. Zaniedbania w tym obszarze w dłuższym terminie zwiększają ryzyko informatyczne i podatność na ataki we wszystkich obszarach systemu bezpieczeństwa.
2. Brak szkoleń
   
   Innym grzechem zaniechania jest brak szkoleń, których celem jest edukowanie pracowników i uwrażliwianie ich na skutki błędów, jakie mogą popełnić w trakcie korzystania z Internetu. Szkolenia są nieodzownym elementem wdrażania polityki bezpieczeństwa, działań, które powinny być wspierane przez zarząd firmy.
3. Rutyna administratorów
   
   Administratorów, którzy stoją na straży bezpieczeństwa firm, najczęściej gubi zwykła rutyna. Wciąż często obserwuje się brak ingerencji w modyfikowanie domyślnych parametrów zabezpieczeń i ustawień serwerów. Także i tu zdarza się nieodpowiedzialne zarządzanie hasłami dostępu, zaniedbania w monitorowaniu ruchu w sieci, nieautoryzowanych instalacji oprogramowania, a także np. pozostawienie ustawień zabezpieczeń po zmianie na stanowisku administratora.

Przestrzeganie zasad nie zniweluje całkowicie ryzyka. Oszuści bywają naprawdę sprytni. Ale trzeba wierzyć, że tak jak w życiu codziennym, wybierają oni raczej ofiary naiwne niż tych, którzy cały czas czujnie rozglądają się dookoła. Warto więc być świadomym użytkownikiem sieci.

Komentarze do raportu:

Maciej Zaborowski, Konsultant ds. IT Security w Edge Solutions Sp. z o.o.:
W systemie bezpieczeństwa informatycznego każdej organizacji najsłabszym ogniwem pozostaje człowiek i jego proste, banalne błędy. Dotyczy to zarówno administratorów, jak i samych pracowników, którzy mają kontakt z komputerami z dostępem do sieci. Potencjalnych zagrożeń jest mnóstwo i żaden system oparty na rozwiązaniach sprzętowych i oprogramowaniu nie zapewni skutecznego poziomu bezpieczeństwa. Odpowiedzialność za ochronę informatyczną firmy ponosi zarząd, którego rolą jest wspieranie wdrażania zasad bezpieczeństwa i troska o ich przestrzeganie przez cały zespół pracowników. To pozornie proste wyzwanie w praktycznej realizacji jest bardzo trudne, ponieważ błędy są wpisane w naturę ludzką, a ryzyko informatyczne jest często niedoszacowane lub niezauważane. W tym kontekście na liście priorytetów powinno postawić się porządnie opracowaną i wdrożoną politykę bezpieczeństwa, następnie szkolenia dla pracowników oraz systematyczne audyty bezpieczeństwa.

Grzegorz Tworek. Dyrektor Działu Bezpieczeństwo w ISCG, jedna z dwóch osób w Polsce wyróżnionych tytułem Microsoft Security Trusted Advisor:
Jeżeli chodzi o bezpieczeństwo informatyczne, to ogólnie zdrową radą jest nie poddawanie się ciekawości i traktowanie za zagrożenie wszystkiego, co nie pochodzi z bezwzględnie zaufanego źródła. Brzmi to jak zachęcanie do paranoi, ale w sytuacji, kiedy w Internecie są setki milionów użytkowników, naprawdę nie ma innego wyjścia jak założyć, że wielu z nich jest całkiem niegłupich i żywotnie zainteresowanych zrobieniem nam krzywdy. Użytkowników należy edukować: pokazywać sposoby ochrony, uzmysłowić potencjalne konsekwencje nieostrożnego zachowania, przeprowadzać audyty, sprawdzać czujność. Tak jak w wielu firmach zupełnie naturalne są ćwiczenia przeciwpożarowe, tak naturalne być powinny ćwiczenia dotyczące ochrony informacji. Nie jest to bardzo drogie a może uchronić przed poważnymi stratami. Warto też pamiętać, że wyszkolony w pracy użytkownik zacznie używać tej wiedzy w domu i będzie przekazywać ją innym dookoła.

Maciej Ziarek, Analityk Zagrożeń w Kaspersky Lab:
W kontekście ochrony informacji bardzo ważne jest zabezpieczenie nie tylko stacji roboczych, ale także samej sieci. W Polsce około 25% sieci bezprzewodowych nie korzysta z żadnej formy szyfrowania. Dane, jakie w nich są przesyłane, są jawne. To oznacza, że formularze czy strony wymagające logowania mogą być bez trudu podsłuchanie, a informacje przejęte. Bez uświadamiania użytkowników o niebezpieczeństwie pozostawiania otwartych sieci, problem ten będzie się pogłębiać z racji rosnącej popularności sieci WiFi. Obecnie jednym z największych niebezpieczeństw jest używanie inżynierii społecznej przez cyberprzestępców. O ile kilka lat temu skupiali się oni głównie na infekowaniu komputerów, obecnie o wiele skuteczniej żerują na niewiedzy i łatwowierności ludzi. Firmy powinny dziś koncentrować się na bezpieczeństwie swoich danych. Zalecane jest rozsądne ograniczenie użytkownika nie tylko co do konta, ale także w stosunku do programów i plików, jakie może on uruchamiać w pracy. Niemniej ważne jest prowadzenie szkoleń dla pracowników. Tak jak zostało to powiedziane na początku, najsłabszym ogniwem jest człowiek. Powinien być zatem pouczony, jakie praktyki mogą być szkodliwe i niewskazane, czego ma unikać. Niezastąpiony jest także administrator, który na bieżąco kontroluje sytuację i nie dopuszcza do łamania systemu zabezpieczeń.