Jak zadbać o CYBERBEZPIECZEŃSTWO? Piotr Konieczny z niebezpiecznik.pl

O czym musisz pamiętać, żeby zapewnić sobie cyberbezpieczeństwo? Jak korzystać bezpiecznie z maila i smartfona? Czy social media podbierają Twoje dane? Jak reagować na cyberatak i w jaki sposób zadbać o bezpieczeństwo w firmie? Tego wszystkiego dowiesz się od Piotra Koniecznego – autora witryny niebezpiecznik.pl!

Kim jest Piotr Konieczny?

Jego firma edukuje czym jest cyberbezpieczeństwo, jak nie dać się zhakować oraz… włamuje się do innych firm! Dotychczas włamali się do kilku tysięcy przedsiębiorstw i przeszkolili kilkaset tysięcy Polaków!

„Trzymam się swoich wartości, zachowując niezależność”

Piotr nie godzi się łatwo na kompromisy, bo bardzo sobie ceni niezależność. W swojej karierze pracował też dla kogoś, ale jego pomysły były ograniczane wizją innych ludzi. Obiecał sobie wtedy, że kiedy będzie robił coś swojego, nikt nie będzie mu niczego narzucał. Jako Niebezpiecznik.pl robią bardzo dużo, by podawać tylko sprawdzone informacje i ubierać je w odpowiednie słowa, dlatego później nie zmieniają treści na czyjąś prośbę. Niezależność z pewnością nie oznacza dla niego braku obiektywizmu.

Jak Piotr rozwijałby firmę, gdyby miał zacząć od zera?

Piotr swój biznes rozwijał bardzo zachowawczo – obudowywał się zasobami i dopiero potem realizował wizję. Z perspektywy czasu widzi, że decyzje były dobre, mógł jednak podejmować je bardziej dynamicznie, by szybciej osiągać pewne efekty. Gdyby miał więc zaczynać teraz, byłby bardziej ryzykowny. Piotr zwraca uwagę na to, że elementem zdobywania doświadczenia jest popełnianie błędów. Czasem trzeba doznać pewnych porażek, by wyciągnąć z nich wartościowe wnioski i przekuć je na sukcesy.

Na jakie elementy zwrócić uwagę, dbając o cyberbezpieczeństwo?

Bezpieczeństwo powinno się planować, biorąc pod uwagę właściwości branży, w jakiej firma działa oraz to, co jest dla niej najważniejsze. Czasem bezpieczeństwo traktuje się jako koszt i nie poświęca się mu dużej odwagi. Gdyby jednak poświęciło się mu uwagę na samym początku funkcjonowania działalności, można byłoby uniknąć w przyszłości wyższych kosztów wynikających z łatania błędów. Im bowiem większa i bardziej złożona firma, tym więcej jest aspektów, o które należy zadbać.

Cyberbezpieczeństwo to jest proces, a nie produkt”

Warto odpowiedzieć sobie na pytanie: co dla nas jest najważniejsze? Czy firma oferuje usługę, która nigdy nie może przestać działać? Czy dotyczy na przykład systemu księgowego? W pierwszym przypadku należy przede wszystkim zadbać o dostępność, a w drugim najważniejsza będzie integralność. Celem jest to, żeby żadna osoba z zewnątrz nie mogła podmienić numeru rachunku, czy dopisać czegoś na fakturze.

Kiedy mamy ograniczony budżet, należy w pierwszej kolejności zadbać o bezpieczeństwo tych najbardziej kluczowych dla firmy elementów. Kluczową sprawą jest zatrudnienie specjalisty lub skorzystanie z konsultacji firmy, która zna się na bezpieczeństwie. Wszelkie zmiany powinno się mierzyć i testować – czy pomagają i przybliżają nas do sukcesu, czy też może opóźniają i spowalniają biznes.

Jak korzystać bezpiecznie z maila oraz smartfona?

Maile to technologia, która pojawiła się około 50 lat temu i za bardzo się od tego czasu nie zmieniła. Z definicji nie jest więc bezpieczna i cokolwiek byśmy nie robili, raczej nie uda się osiągnąć w tym obszarze bezpieczeństwa na dobrym poziomie. Jeśli natomiast komuś bardzo zależy na bezpieczeństwie, Piotr poleca komunikatory szyfrujące metodą punkt-punkt, takie jak Signal czy WhatsUp. WhatsUp działa na bazie technologii Signala, ale jest kontrolowany przez Facebooka – pobiera informacje, kto, jak, z kim i kiedy.

Facebook korzysta z tego typu informacji tylko po to, by lepiej dostosować do użytkownika proponowane rozwiązania. Może się jednak zdarzyć, że informacje te zostaną wykradzione, tak jak było w przypadku Cambridge Analytics. Wówczas ktoś zobaczy, z którą firmą często rozmawiamy, bez wglądu w treść rozmów. Pytanie tylko, czy dla nas prywatność ma tak duże znaczenie?

Oprogramowania śledzące – wcale nie tak łatwo je wykryć!

Starajmy się wykorzystywać rozwiązania, które mają zabezpieczenia „end to end crypted”. Można ich używać zarówno w smartfonie, jak i w przeglądarce. Informacje zabezpieczone w ten sposób są szyfrowane tu i teraz i dopiero u odbiorcy zostają odszyfrowane.

Jednym z głównych zagrożeń, które czekają na nas w skrzynce mailowej, jest phishing. Poprzez przesyłanie fałszywych e-maili albo przekierowywanie na fałszywe strony, złodzieje wyłudzają hasła, numery kart kredytowych i inne osobiste informacje. Może nas przed tym ochronić klucz U2F – niewielkie urządzenie, które umieszcza się w porcie USB. Wówczas do kradzieży danych, złodziej potrzebowałby jeszcze fizycznego zabezpieczenia U2F, którego trzeba dotknąć, by zalogować się do wybranego serwisu.

Outsourcing usług pocztowych

Kiedy mamy swój serwer pocztowy, powinniśmy zatrudniać kogoś, kto będzie się nim opiekował, szybko wgrywał aktualizacje i poprawki. A to dlatego, że w krytycznej sytuacji, gdy w zabezpieczeniach wystąpią luki, w ciągu 5 minut haker może włamać się do wszystkich hostów. Jeśli ktoś nie zna się na bezpieczeństwie i nie chce zatrudniać specjalistów, warto postawić na outsourcing w postaci np. Gmaila od Google, który ma bardzo dobrze poukładane kwestie bezpieczeństwa. Gmail ostrzega, jeśli otrzymany link jest potencjalnie groźny, usuwa takie wiadomości od razu sprzed oczu albo ostrzega, wyraźnie komunikując, że to atak i wskazując, jakie kroki możemy podjąć.

Na cyberbezpieczeństwo warto spojrzeć nieco szerzej. Jeśli chcemy być bezpieczni, powinniśmy zwrócić uwagę też na nasze konta bankowe – podzielić oszczędności na kilka różnych rachunków i na kilka różnych grup bankowych. Wówczas, jeśli haker włamie nam się jedno z kont, nie zostaniemy całkowicie bez środków do życia.

Cyberbezpieczeństwo w firmie – jak zacząć nad nim pracować?

Kiedy Niebezpiecznik współpracuje z jakąś firmą, zaczyna od ataku na nią. Zespół Piotra próbuje wykraść informacje. Dowiaduje się, kto pracuje w danej organizacji, podszywa się pod wybraną osobę, a jeśli klient jest bardziej odważny, próbuje fizycznie przeniknąć do przedsiębiorstwa – np. podczas rekrutacji, czy też jako kurier. Później podczas szkolenia ludzie spodziewają się nudnych slajdów, a oni mając zebrany odpowiedni materiał dowodowy, wyświetlają slajd z wykradzionymi hasłami pracowników albo wykradzionymi dokumentami. To udowadnia, że jakikolwiek przestępca, który weźmie ich na celownik, może wykraść podobne dane.

Nagle ludzie uzmysławiają sobie, że rzeczywiście jest to możliwe, można odkryć w ten sposób, które procesy nie zadziałały. Warto też zwrócić uwagę pracowników na to, że komputer firmowy, ma cząstkę ich życia prywatnego. Złodziej może dostać się np. do prywatnego konta Allegro, a jeśli pracownik ładuje telefon za pomocą komputera, bez problemu może dostać się również do jego prywatnych zdjęć. Po takim szkoleniu zespół Piotra raz na miesiąc pojawi się w firmie i ponownie atakuje. Dzięki temu pracownicy są wyczuleni i nawet jeśli dotychczas nie przesyłali do działu IT podejrzanych maili, zaczynają je zgłaszać.

Jak reagować na cyberatak?

Incydenty bezpieczeństwa są różne, niekiedy jest to atak, a innym razem to pracownik dokona wycieku. Firmy bywają również szantażowane i wówczas pojawia się pytanie – czy płacić szantażystom? Czasami da się złamać takie szyfrowanie, ale niestety często jedyną opcją jest zapłacić. Gdy ociągamy się z podjęciem decyzji, ktoś może wyłączyć serwery takiej grupie przestępczej i nie odzyskamy już danych, które mieli tylko oni. W każdej sytuacji więc reakcja firmy na cyberatak powinna być stanowcza, szybka i przemyślana.

Nie chowaj głowy w piasek

Każdy może popełnić błąd, jeśli firma szybko poinformuje, że padła ofiarą ataku i na chwilę jest zmuszona zniknąć z Internetu – większość ludzi to zrozumie. Jeśli jednak firma to zatai, ale później zostanie złapana na kłamstwie, ludzie stracą do niej zaufanie i zaczną ją traktować z dystansem. Warto szczegółowo poinformować – co się stało, jak i kiedy.

Warto przejrzeć Niebezpiecznik.pl pod kątem swojej branży. Można wyciągnąć wiele informacji przydatnych dla siebie, w komentarzach ludzie też dzielą się różnymi doświadczeniami.

Cyberbezpieczeństwo – co musisz o nim zapamiętać?

Mail nie jest najbezpieczniejszą formą komunikacji, warto wdrożyć do firmy komunikatory, takie jak Signal czy WhatsUp. Należy sobie odpowiedzieć na pytanie, co jest dla nas najważniejsze: bezpieczeństwo czy prywatność? I zgodnie z odpowiedzią wprowadzać do przedsiębiorstwa adekwatne rozwiązania. Próbując zadbać o cyberbezpieczeństwo, zawsze należy przygotowywać się na najgorsze i się przed tym zabezpieczać. A na potencjalny atak należy reagować szybko i stanowczo, żeby zwiększyć szansę na odzyskanie skradzionych danych.

Obejrzyj cały wywiad na kanale YouTube Przygód Przedsiębiorców!

Leave a Comment