Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



12.05.2022

Odszyfrowanie historii

Z inicjatywy prezesa IPN, dr. Karola Nawrockiego, powstało Biuro Nowych Technologii. Jego...
01.04.2022

Program partnerski

NGAGEFirma NFON, ogólnoeuropejski dostawca komunikacji głosowej w chmurze, ogłosił...
01.04.2022

SI w TFI PZU

Na platformie do inwestowania inPZU działa już nowa metoda identyfikacji tożsamości...
01.04.2022

Kooperacja w chmurze

To oparta na stworzonej przez NetApp technologii ONTAP i w pełni zarządzana przez...
01.04.2022

Nowe laptopy od Dynabook

Dynabook wprowadza do swojej oferty dwa laptopy z procesorami Intel Core 12. generacji,...
01.04.2022

Ryzen do stacji roboczych

AMD przedstawił nową gamę procesorów Ryzen Threadripper PRO 5000 serii WX.
31.03.2022

Serwery dla MŚP

Firma Lenovo wprowadziła nowe rozwiązania w zakresie infrastruktury IT Future Ready,...
31.03.2022

Innowacyjny kontroler SSD

Microchip zaprezentował nowe kontrolery SSD, które umożliwią obsługę napędów o pojemności...
31.03.2022

Wydajny jak Brother

Brother dodał do swojej oferty trzy nowe, atramentowe urządzenia wielofunkcyjne, które...

Nadał im imiona

Data publikacji: 04-01-2022 Autor: Michał Jaworski

Mówi Księga Rodzaju: „Ulepiwszy z gleby wszelkie zwierzęta lądowe i wszelkie ptaki powietrzne, Pan Bóg przyprowadził je do mężczyzny, aby przekonać się, jaką on da im nazwę. (…) I tak mężczyzna dał nazwy wszelkiemu bydłu, ptakom powietrznym i wszelkiemu zwierzęciu polnemu”. Po co tyle trudu?

 

Od rana do wieczora słyszymy o cyberbezpieczeństwie. Jak nie atak hybrydowy, to wirus, jak nie phishing, to DDoS, a jak awaria, to przez podatność z wykorzystaniem exploita dnia zero. Tu niedomknięte porty, tam brak aktualizacji, ówdzie wyciek danych, gdzie indziej incydent skutkujący naruszeniem ochrony i koniecznością ponowienia DPIA. Funkcja haszująca miesza się z audytem i oceną bezpieczeństwa post-quantum. Jak ktoś bez zająknienia wypowie „wieloskładnikowe uwierzytelnienie”, to trzeba postawić zadanie wytłumaczenia, czym jest i jakie skutki prawne niesie „zaawansowany podpis elektroniczny składany za pomocą kwalifikowanego urządzenia i opierający się na kwalifikowanym certyfikacie”. Próbowaliście kiedyś w ten sposób porozmawiać z waszym zarządem i resztą? Może oczekiwaliście, że pojmą za pierwszym razem? A może – to chyba najbardziej zabawne i naiwne oczekiwanie – sądziliście, że powinni się tego wszystkiego nauczyć?


Adam w raju nie potrzebował informacji, że słoń jest ssakiem łożyskowym z rzędu trąbowców (Proboscidea), jak również słabo go interesowało pokrewieństwo trąbowców z ryjkonosowatymi (Macroscelidea) czy góralkowcami (Hyrcoidea). Adam potrzebował tylko takiej informacji, która by mu pozwalała normalnie funkcjonować w świecie, w którym występują słonie. Nasi prezesi i ministrowie potrzebują tylko tyle informacji o cyberbezpieczeństwie, ile potrzeba, by ich firma funkcjonowała normalnie. Pracownicy i kierownicy niższego szczebla wymagają przyswojenia tylko takich umiejętności, które pozwolą im uniknąć błędów. Co więcej, wszystkim tym grupom informacje muszą być przedstawione językiem dla nich zrozumiałym i łatwym. Złe podanie to wina podającego – ta zasada obowiązuje nie tylko w piłce nożnej. Ludzie muszą nadać przyprowadzonym zwierzętom imiona. Liczą na naszą pomoc.


Zacznijmy od Cyberhigieny. Odróżnijmy ją od Cyberbezpieczeństwa. Ta pierwsza to podstawowy zestaw narzędzi, czynności i procedur, które powinny wykonać firmy, a sens i zrozumienie tego działania powinny być powszechne. Urządzenia, z jakich korzystamy, powinny być zarządzane, a systemy i aplikacje zaktualizowane. Antymalware jest obowiązkiem. Odstępstwo od powyższych musi skutkować odłączeniem, bo to uchylone drzwi do systemów firmy. Chrońmy tożsamość poprzez wdrożenie wieloskładnikowego uwierzytelnienia. Jeśli ktoś został poprawnie zweryfikowany, to nadajmy mu tylko takie przywileje, jakie są niezbędne do wykonania pracy przez tę osobę, i ani trochę więcej. Wdrożyć należy ochronę danych przed dostępem, zmianą czy transmisją nie tylko dlatego, że tego chce od nas rodo. Zwróćcie uwagę, że każde z powyższych powinno być naprawdę łatwe do zrozumienia, a jeśli zostanie przekazane w prosty sposób, to ludzie zrozumieją i będą stosować. Trudno w to uwierzyć, ale zastosowanie Cyberhigieny w sposób, w jaki została opisana powyżej, powinno – tak mówią raporty – zredukować liczbę ataków nawet o 98%!


Dodałbym jeszcze jeden element do cyberhigienicznej układanki. Wszyscy, choć wychodzimy z pracy, to nie wychodzimy z cyfrowego świata. Mamy internetowe konta w bankach, sklepach i serwisach społecznościowych. Droga nakazów i zakazów, ograniczanie wolności w internecie jest ślepą uliczką – co najwyżej taka osoba będzie zachowywać się tak, żeby pracodawca nie był w stanie jej nic udowodnić. Oczywiście dla atakującego jest to obojętne – ważne, by znaleźć lukę w systemie. A hakowanie człowieka to jedna z jego ulubionych dróg – zamiast forsować wysokie mury zamku, wystarczy wślizgnąć się uchyloną furtką razem z pracownikiem lub współpracownikiem. Ten ostatni może być dostawcą lub usługodawcą, firmą marketingową czy kancelarią, z którą od lat pracujemy. Warto zatem uświadamiać ludzi, jakie działania z życia prywatnego mogą prowadzić do obniżenia bezpieczeństwa w firmie, ale także, jak mogą temu zapobiec i – co bardzo ważne! – podnieść także własne bezpieczeństwo. Musi zadziałać.

 

Przed Adamem miały stanąć jeszcze Cyberbezpieczeństwo, Odporność i Ciągłość Biznesowa. Może następnym razem?

 

Autor jest członkiem Rady Polskiej Izby Informatyki i Telekomunikacji. Od ponad 27 lat pracuje w polskim oddziale firmy Microsoft.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"