12.04.2021 Prawo w mediach
Cyberzagrożenia i ochrona danych na home office
Sebastian Kisiel, Citrix Systems Poland
Przestępcy wykorzystują fakt, że ludzie przebywają w domu. Wzrosła liczba oszustw internetowych wymierzonych w konsumentów, a także cyberataków dokonywanych na osobach pracujących zdalnie.
Wiele z nich jest skutecznych dzięki wykorzystaniu ludzkich słabości, które wywołała sytuacja z COVID-19, a także wszechobecnemu stresowi i przepracowaniu poszczególnych pracowników, zespołów oraz specjalistów dbających o firmowe bezpieczeństwo.
Stres pracowników: ataki phishingowe, które odnoszą sukcesy, dzięki odwróceniu uwag
iZmienność, niepewność i złożoność obecnej sytuacji na świecie powoduje u ludzi wiele napięć. Kolejne fale pandemii przetaczające się przez poszczególne kraje, wielomiesięczne zamknięcie, tęsknota za normalnością i przyzwyczajeniami, wszystko to wywołuje lęk i zmęczenie psychiczne, często graniczące z depresją.
W natłoku obowiązków, zarówno tych związanych z opieką nad dziećmi, ich nauką w domu, pracą czy innymi domowymi, codziennymi działaniami, łatwo stracić czujność, ulec roztargnieniu i dać się nabrać na starannie spreparowaną wiadomość e-mail służącą do phishingu.
Stres w zespołach: ukierunkowanie na procesy biznesowe
Stres może również wpływać na bezpieczeństwo całych zespołów. Mimo, że działy IT starają się wspierać pracowników, przy tak szeroko zakrojonej pracy zdalnej mogą nie być w stanie wystarczająco szybko reagować na wszystkie zdarzenia. By radzić sobie ze stresem można opracować nowe, lecz niepewne wzorce pracy, jednak przestępcy są tego świadomi i dzięki temu mogą wykorzystać luki w procesach biznesowych wysokiego ryzyka np. przeprowadzając atak typu „watering hole”.
Ich strategia polega na obserwacji (lub wytypowaniu) przez osobę atakującą, z jakich witryn internetowych korzysta organizacja, lub jakiś jej określony zespół (np. finansowy) i infekowaniu ich złośliwym oprogramowaniem. Finalnie któryś z członków grupy docelowej lub cała grupa może zostać zainfekowana. Dlatego też osoby zajmujące istotne stanowiska w firmie, powinny być na bieżąco informowane, o braku wiarygodności znanych witryn internetowych.
Stres dla pracowników odpowiedzialnych za bezpieczeństwo: wielokrotne, jednoczesne ataki
Organizacje obserwują więcej ataków osłonowych, w których cyberprzestępcy przeprowadzają oczywisty atak np. typu „denial-of-service” na publiczną witrynę korporacyjną, tylko po to, by odwrócić uwagę zespołu ds. bezpieczeństwa IT od cichszego, prawdziwego i silnego ataku, który ma miejsce w tym samym czasie. To powoduje, że ludzie odpowiedzialni za bezpieczeństwo IT nie mogą traktować oczywistych ataków jako rutyny i za każdym razem muszą je dokładnie sprawdzać, a także wykrywać i reagować na więcej niż jeden jednocześnie.
Rozsądnie byłoby przećwiczyć takie sytuacje i sprawdzić poziom reagowania na niebezpieczeństwa. Jednak tego rodzaju regularne ćwiczenia mogą być teraz opóźnione, również ze względu na fakt, że wielu pracowników ds. bezpieczeństwa IT pracuje z domu.
Aby lepiej radzić sobie z nowymi wzorcami ataków warto wesprzeć się na trzech kwestiach:
- Kluczowej roli analityki
Analityka danych to potężne narzędzie do szybkiego wykrywania anomalii w obszarze bezpieczeństwa. Te mogą być dość oczywiste do wykrycia, jak np. logowanie z nietypowej lokalizacji (kraju, którego dana osoba nigdy nie odwiedzała) lub bardziej złożone, jak na przykład nietypowy schemat pracy, obejmujący dostęp do wielu wrażliwych aplikacji. W przypadku wykrycia anomalii system może zareagować, na przykład żądając od menedżera autoryzacji dostępu. Ataki na systemy mogą być trudne do zauważenia, ale często są zgodne ze znanymi i przewidywalnymi wzorcami. Technologia analityczna pomaga pracownikom odpowiedzialnym za zapewnienie bezpieczeństwa IT rozpoznać te wzorce, inteligentnie grupując anomalie. Pozwala to na przetwarzanie informacji o wielu jednocześnie występujących zagrożeniach w czasie rzeczywistym. - Lepszej i łatwiejszej dostępności zespołów IT
To, że wiele osób pracuje zdalnie w swoich domach, w różnych lokalizacjach, może stanowić pewne utrudnienie. Pracownicy IT potrzebują wygodnego kanału komunikacji i stałych relacji z innymi pracownikami, po to, by ci ostatni poczuli się komfortowo, kontaktując się z IT w kwestiach bezpieczeństwa. Jedną z możliwości by je utrzymać, szczególnie w czasie ciągłych lockdownów, jest włączenie narzędzi do komunikacji online zapewniających nowe mechanizmy bezpieczeństwa. Jako konsumenci, ludzie są przyzwyczajeni do interakcji z chatbotami, zatem taki pomysł mógłby się sprawdzić. Warto rozważyć zaprojektowanie chatbota ds. bezpieczeństwa w firmowym systemie po to, by usprawnić komunikację i by w razie potrzeby pracownicy mogli uzyskać konkretne wskazówki i porady. - Pomaganiu najbardziej narażonym na ataki jednostkom i grupom
Każda organizacja zawiera grupy wysokiego ryzyka: obejmują one kierownictwo wyższego szczebla, personel finansowy czy administratorów systemu. Grupy te z pewnością potrzebują regularnych szkoleń w zakresie bezpieczeństwa, w tym z pojawiających się zagrożeń czy aktualizacji procedur, które ich dotyczą. Jednak ciężar odpowiedzialności za firmowe bezpieczeństwo nie powinien spoczywać wyłącznie na barkach określonych grup. Każdy członek organizacji powinien o nią dbać, a ulepszona technologia zabezpieczeń (w tym wyspecjalizowane mechanizmy kontroli aplikacji i najnowszy sprzęt) wraz z zespołem pomocy technicznej mogą stanowić ogromne wsparcie.
Hybrydowy model pracy zyska po pandemii. Potwierdza to badanie Citrix Workquake, w którym 44% respondentów chciałoby częściej pracować w domu, po ustaniu restrykcji. Przyszłe ataki będą zatem częściej wymierzone w hybrydowe środowiska pracy.
Coraz więcej przestępców gromadzi szczegółową wiedzę przed atakiem: nie tylko o firmowych systemach, ale także o ludziach i sposobie ich pracy. Wiele informacji organizacyjnych jest dostępnych w sieciach społecznościowych, np. takich jak LinkedIn. Już dziś rekruterzy korzystają z takich stron wykorzystując informacje na temat potencjalnych pracowników. Przestępcy też ich używają, a nawet mają specjalne narzędzia do automatycznego wypełniania schematu organizacyjnego.
Mając nawet niewielką wiedzę na temat wzorców pracy, mogą zaplanować skuteczniejszy atak i uderzyć efektywniej. Dlatego też organizacje powinny zakładać, że hakerzy wiedzą o nich całkiem sporo i odpowiednio zaplanować ochronę własnej infrastruktury.
PRZERWA NA REKLAMĘ
Zobacz artykuły na podobny temat:
Prywatne blogi podlegają prawu krajowemu
Michał Kot
W prawie unijnym głównym aktem prawnym regulującym kwestie odpowiedzialności za treści zamieszczane w internecie jest dyrektywa o handlu elektronicznym z 2000 roku.
Bezpieczeństwo dzieci w internecie. Analiza Clickmeeting
KrzysztoF
Ponad połowa ankietowanych rodziców uważa, że ich dzieci są świadome zagrożeń, jakie czyhają na nie w internecie. Jednocześnie tylko nieco ponad 40 procent badanych przyznaje, że w jakikolwiek sposób dba o prywatność dzieci w internecie.
Deklaracja Zasad Międzynarodowej Federeacji Dziennikarzy
International Federation of Journalists
Ta międzynarodowa Deklaracja rozumiana jest jako kodeks zawodowy dziennikarzy.
Jak ochronić się przed deepfake?
Newseria Innowacje
Deepfake stanie się w najbliższych latach jednym z podstawowych narzędzi w rękach cyberprzestępców. Technika łączenia zdjęć, filmów i głosu – często wykorzystywana w celach rozrywkowych – może być także groźnym instrumentem służącym dezinformacji, ale i atakom wyłudzającym dane czy pieniądze.
Abonament RTV. Jak działa, kto powinien go płacić i jak go obniżyć
Daniel Witowski
Wysokość opłat abonamentowych w Polsce ustala Krajowa Rada Radiofonii i Telewizji. Obowiązujące w Polsce przepisy prawne ściśle określają, komu przysługuje zwolnienie od uiszczania opłat abonamentowych. Ze zniżek i rabatów korzystać może każdy abonent. Choć nie każdy o tym wie.
Ustawa o radiofonii i telewizji. Tekst ujednolicony
Kancelaria Sejmu RP
Ustawa o radiofonii i telewizji z dnia 29 grudnia 1992 roku z późniejszymi zmianami (Dz. U. z 2017 r. poz. 1414). 16 lutego 2018 roku wchodzi w życie zapis dotyczący zakazu reklamy solariów, wprowadzony przez Ustawę o ochronie zdrowia przed następstwami korzystania z solarium.
Co ePrivacy będzie oznaczać w praktyce?
Milena Wilkowska
Rozporządzenie ePrivacy ma dostosować przepisy w zakresie ochrony prywatności i danych w komunikacji elektronicznej do obecnych realiów rynkowych i postępu technicznego.