Dlaczego taka instrukcja powinna zostać wdrożona w firmie? Bo w firmie, która zatrudnia wielu pracowników, każdy z nich może inaczej interpretować kluczowe dla bezpieczeństwa firmy pojęcia dotyczące korzystania z komputera. I tak, niektórzy będą pobierać torrenty, inni instalować dodatkowe oprogramowanie z niewiadomego źródła, jeszcze inni przeniosą część domowych rzeczy na firmowy dysk komputera.

A więc, na co zwracać uwagę i dlaczego.

Polecenia z zewnątrz

Pracownik powinien zostać pouczony aby nigdy nie przyjmować poleceń od osób innych niż personel działu technicznego. Jeżeli z pracownikiem skontaktuje się osoba podająca się za pracownika firmy, wówczas taka informacja powinna zostać zweryfikowana. Bardzo często cracker próbuje nakłonić jakiegoś łatwowiernego pracownika do wprowadzenia polecenia w swoim systemie operacyjnym, wejścia na stronę w poszukiwaniu informacji lub pobranie oprogramowania z internetu. Jego działania nie powiodą się o ile pracownik będzie odpowiednio przeszkolony i będzie wiedział jak zareagować.

Napastnik bardzo często wykorzystuje przewagę wyższego stanowiska próbując przekonać pracownika, że dzwoni do niego szef działu lub kierownik. Należy być czujnym i nie ulegać presji.

Nomenklatura wewnętrzna

Zabrania się ujawniania jakichkolwiek nazw i innych danych mogących ujawnić informacje o sprzęcie oraz oprogramowaniu wykorzystywanym przez firmę. W celu przeprowadzenia ataku hacker musi zebrać jak najwięcej informacji o celu. Czyli o twojej firmie. Wszelkie dane na temat typu i wersji twojego systemu operacyjnego, baz danych, oprogramowania antywirusowego, zapór sprzętowych i programowych a nawet lokalizacji tych sprzętów i usługodawców zewnętrznych obsługujących firmowe komputery. Wszystkie te dane będą istotne w późniejszym etapie planowania włamania.

Należy pamiętać, że hacker uzyskawszy informacje o firmowych systemach, będzie próbował przekonać pracownika, że dzwoni z działu technicznego/informatycznego firmy. Posługując się pojęciami, którymi operują tylko pracownicy wewnątrz firmy, może mu się udać przekonać kogoś, że jest pracownikiem firmy.

Uruchom program

Pracownik firmy powinien być uodporniony na prośby instalacji i uruchamiania niezatwierdzonych przez dział techniczny programów. W tym temacie kluczowe jest to, aby nie uruchamiać oprogramowania z nieznanego źródła.

W prostym scenariuszu ataku, hacker może podać się za kierownika jakiegoś działu w firmie i poprosić pracownika niższego szczebla o uruchomienie programu, który podeśle mu na jego konto mailowe. Musisz wiedzieć, że spreparowanie adresu mailowego jest bardzo proste. Dlatego konieczne jest stosowanie procedur weryfikujących tożsamość adresata, włącznie ze sprawdzeniem poświadczeń tożsamości. Jeżeli pracownik uruchomiłby przesłany program, hacker mógłby uzyskać w ten sposób dostęp do firmowego komputera, który być może przechowuje inne cenne dla hackera dane lub jest częścią wewnętrznej sieci z wyższymi uprawnieniami.

Może się zdarzyć, że ów program nie będzie chciał działać. To jednak zasłona dymna bo program w rzeczywistości już się zainstalował i będzie zapisywał wprowadzane znaki na komputerze i przesyłał je na serwer hackera. Pracownik zgłosi, że program nie działa a hacker powie, że w następnym tygodniu przyjedzie wszystko sprawdzić, licząc na to, że sprawa zostanie zapomniana. Pracownik może obawiać się, że posądzą go o niekompetencję. W końcu nie umiał uruchomić programu. Przez to o całym zajściu może nic nie powiedzieć swojemu przełożonemu. Na tą sztuczkę mogą nabrać się w szczególności nowi pracownicy lub ci o bardziej wrażliwszym usposobieniu.

Hasła

To, że pracownik nie powinien podawać nikomu swojego hasła do systemu, chyba nikomu nie muszę przypominać. Może się zdarzyć, że ów pracownik będzie musiał poświadczyć swoim podpisem przestrzeganie tej zasady. Podawanie/przesyłanie hasła firmowemu informatykowi nie powinno być dozwolone. Administrator główny ma nadrzędne uprawnienia i stoi nad wszystkimi w sieci firmowej. Wcale nie potrzebuje twojego hasła aby dokonać zmian w systemie.

Hasła w e-mailach

Kategorycznie zabrania się przesyłania w wiadomości e-mail haseł pisanych jawnym tekstem. Jest to jedna z najczęściej łamanych zasad. Jeżeli prześlesz hasło w żaden sposób niemaskowane, to musisz wiedzieć, że każdy kto przechwyci wiadomość będzie mógł je poznać (szyfruj pocztę). Nawet jeżeli skasujesz wiadomość na swoim koncie (po wysłaniu np. do klienta) to i tak kopia twojej wiadomości zostanie na serwerze u odbiorcy. Nie możesz liczyć na to, że też ją skasuje!

Jeżeli korzystasz z klienta pocztowego, to kasując wiadomość w programie musisz upewnić się czy faktycznie została ona skasowana na serwerze pocztowym. Stanie się tak jeżeli używasz protokołu IMAP.

Należy mieć na uwadze harmonogram tworzenia codziennych kopii zapasowych, które mogą być przechowywane tygodniami (w zależności od harmonogramu). Jeżeli ktoś dostanie się do kopii, może odnaleźć wiadomość z twoim hasłem.

Przekierowanie oraz przekazywanie poczty

Pracownik nie powinien przekierowywać swojego firmowego konta pocztowego na zewnętrzną skrzynkę bez zgody swoje przełożonego oraz działu IT firmy. Trzeba pamiętać, że firmowa poczta może używać dedykowanych rozwiązań, aby zabezpieczyć przesyłane w wiadomościach poufne dane. Przekierowanie konta na inny adres e-mail może osłabić firmowe zabezpieczenie. Na zewnętrzną skrzynkę mogą spływać wiadomości, które zwierają tajemnicę firmową klienta firmy, lub jej samej. Jest to niedopuszczalne.

Pracownik nigdy nie powinien przekazywać wiadomości pocztowej do innego odbiorcy, jeżeli ta nie została przez niego zweryfikowana. Tożsamość odbiorcy nie może budzić żadnych zastrzeżeń, inaczej może dojść do wycieku danych.

Wiadomość e-mail zawiera poufne dane – weryfikuj odbiorce

W przypadku gdy ktoś kontaktuje się z pracownikiem firmy podając się za innego pracownika i prosi o przekazanie danych wrażliwych, to w takiej sytuacji, przed ich przesłaniem, konieczne jest zweryfikowanie tożsamości odbiorcy. Nawet jeżeli wiadomość z prośbą o przesłanie danych przyjdzie z innego konta firmowego, to wiedz, że spreparowanie samej wiadomości e-mail, jej nagłówka oraz adresu e-mail, jest banalnie proste. Aby upewnić się, że nie przesyłamy danych osobie spoza firmy, stosuj cyfrowe poświadczenia tożsamości nadawcy. Dodatkowo można wykonać weryfikację telefoniczną.

Załączniki poczty elektronicznej

Nigdy nie otwieraj dołączanych do wiadomości e-mail załączników, chyba, że się ich spodziewasz. W firmie powinna być opracowana procedura na potrzeby otwierania załączników z nieznanych i zaufanych źródeł.

Zawsze skanuj załącznik programem antywirusowym, który, dodatkowo, powinien mieć włączoną funkcję skanowania heurystycznego. Może to zapobiec zainfekowaniu systemu w przypadku otwarcia załącznika.

Programy wspomagające bezpieczeństwo

Pracowniki nie wolno usuwać ani dezaktywować oprogramowania zabezpieczającego komputer (system). Te programy mają za zadanie monitorować bezpieczeństwo i w pewnych przypadkach, w zależności od konfiguracji, mogą spowalniać system. Większość pracowników nie rozumie głębszego znaczenia komunikatów programów zabezpieczających, dlatego nie wolno im podejmować decyzji o dezaktywacji oprogramowania.

Adaptery Wi-Fi

Pracownik nie może podłączać do komputera adapterów Wi-Fi (USB). Takie działanie naraża całą firmową sieć i stanowi realne zagrożenie na atak.

Instalacja oprogramowania hackerskiego

Niekiedy zdarza się, że firma użytkuje piracką wersje oprogramowania, która została aktywowana ściągniętym z sieci oprogramowaniem.

Używanie takiego oprogramowania stwarza realne zagrożenie przejęcia systemu przez hackera. W tego typu programach umieszcza się konie trojańskie lub program typu keylogger w celu wydobywania haseł i loginów użytkownika. Sam program może wyrządzić nieprzewidziane szkody w systemie lub całkowicie go uszkodzić.

Rozpowszechnianie informacji o firmie

Pracownik nie powinien rozpowszechniać informacji na temat firmy lub stanowiska jakie zajmuje, na forum publicznym (czyli w internecie). W początkowej fazie ataku hacker zbiera informacje, które umożliwią mu opracowanie ataku. Poznanie wewnętrznych danych na pewno mu w tym pomoże.

Załóżmy, że pracownik firmy – niech będzie to informatyk – ma problem z jakimś programem. Może on utworzyć zapytanie na forum publicznym. Jeżeli ma uzyskać pomoc musi podać nazwę programu, jego wersję i prawie zawsze wersję systemu z jakiego korzysta. Te dane, jak i cały wątek, powinien przesłać z konta prywatnego lub innego specjalnie utworzonego do takich celów. Nie może przesyłać tych wiadomości z podpisem, że jest pracownikiem konkretnej firmy. Wyszukiwarki wyłapują takie informacje i na określone zapytania hackera, mogą zwróć te posty w wynikach wyszukiwania. Te dane zdradzą po części używane w firmie oprogramowanie i narażą ją, bądź jej pracowników, na atak.

Nośnik firmowy z nieznanego źródła – niszczenie nośnika danych

Nie wolno podłączać do firmowego komputera żadnych urządzeń typu pendrive jeżeli nie wiemy skąd one pochodzą. Nie można ufać takim pamięcią. Jeżeli zostały one znalezione na firmowym biurku, a były bez opieki i w pobliżu mogły przebywać osoby spoza firmy, takie urządzenia należy traktować jako zagrożenie. Ktoś mógł zamienić firmowy pendrive na jego identycznie wyglądający odpowiednik i wgrać na niego program szpiegowski lub oprogramowanie do szyfrowania dysku. Instalacja takiej pamięci w systemie to katastrofa dla firmowej sieci.

W przypadku gdy stacje dysków komputerów stacjonarnych stoją wysunięte z boku biurka, hacker może niepostrzeżenie wpiąć zainfekowany pendrive do gniazda USB i korzystając z okazji, że pracownik poszedł coś sprawdzić, sam wgrać oprogramowanie szpiegujące.

W przypadku, kiedy pamięć przenośna zawierała jakiekolwiek poufne dane, a chcemy ją wyrzucić, to przed wyrzuceniem należy ją fizycznie zniszczyć lub namagnesować aby uniemożliwić wydobycie z niej danych. Usunięcie pliku nie powoduje jego faktycznego skasowanie i da się go odzyskać. Będzie to utrudnione jeżeli fizyczne miejsce zapisu pliku na nośniku zostanie kilkukrotnie nadpisane ale nadal możliwe jest wydobycie strzępków informacji. Najbezpieczniejszym sposobem jest fizyczne zniszczenie nośnika danych.

W szczególności należy uważać na dyski twarde znajdujące się w kopiarkach biurowych. Mowa tu o tych dużych wielofunkcyjnych urządzeniach, na których wielu pracowników skanuje, drukuje i kopiuje firmowe dokumenty. Kopiarki zapisują te dokumenty na dysku wewnętrznym, który może nie być zabezpieczony (lub jest słabo zabezpieczony). A jeśli jest, to z czasem może się okazać, że algorytm szyfrowania da się złamać.

Zabezpieczony wygaszacz ekranu

Pracownik powinien zabezpieczyć hasłem wygaszacz ekranu, który uaktywnia się co 10 minut (nie dłużej). Takie postępowanie uniemożliwi osobom niepowołanym, wykonywanie czynności w firmowym systemie. Dodatkowo pracownik powinien wyrobić w sobie nawyk blokowania systemu każdorazowo, kiedy odchodzi od komputera.

##############################################################

Powyższe zestawienie zawiera podstawowe informacje. Instrukcja zarządzania komputerem powinna być tworzona bezpośrednio pod konkretne stanowisko.