Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



01.12.2022

Wyższy poziom programowania

Progress oferuje nowe narzędzia programistyczne: Progress Telerik, Progress Kendo UI i...
01.12.2022

Łączność w podróży

VMware SD-WAN VMware zaprezentował rozwiązanie SD-WAN nowej generacji, w tym nowego...
01.12.2022

Bezpieczne e-maile

Nowa aplikacja firmy Cypherdog Security Inc. umożliwia bezpieczną wymianę maili i...
01.12.2022

Pierwszy w branży

Schneider Electric wprowadza na rynek APC Smart-UPS Ultra. To pierwszy w branży...
01.12.2022

Przełączniki 10G dla MŚP

Nowe urządzenia to przełączniki 10G kompatybilne z systemem Omada SDN.
01.12.2022

Zarządzanie danymi

Firma Synology wprowadziła na rynek czterokieszeniowy DiskStation DS923+.
01.12.2022

Nowatorski system chłodzenia

OVHcloud zaprezentował nową, autorską technologię hybrydowego zanurzeniowego chłodzenia...
01.12.2022

Linia smart routerów

D-Link zaprezentował najnowszą rodzinę routerów Smart Wi-Fi z algorytmami sztucznej...
04.11.2022

Nowa platforma Red Hat

Nowa platforma Red Hat Enterprise Linux (RHEL) w wersjach 8.7 i 9.1 Beta obsługuje...

Nadał im imiona

Data publikacji: 04-01-2022 Autor: Michał Jaworski

Mówi Księga Rodzaju: „Ulepiwszy z gleby wszelkie zwierzęta lądowe i wszelkie ptaki powietrzne, Pan Bóg przyprowadził je do mężczyzny, aby przekonać się, jaką on da im nazwę. (…) I tak mężczyzna dał nazwy wszelkiemu bydłu, ptakom powietrznym i wszelkiemu zwierzęciu polnemu”. Po co tyle trudu?

 

Od rana do wieczora słyszymy o cyberbezpieczeństwie. Jak nie atak hybrydowy, to wirus, jak nie phishing, to DDoS, a jak awaria, to przez podatność z wykorzystaniem exploita dnia zero. Tu niedomknięte porty, tam brak aktualizacji, ówdzie wyciek danych, gdzie indziej incydent skutkujący naruszeniem ochrony i koniecznością ponowienia DPIA. Funkcja haszująca miesza się z audytem i oceną bezpieczeństwa post-quantum. Jak ktoś bez zająknienia wypowie „wieloskładnikowe uwierzytelnienie”, to trzeba postawić zadanie wytłumaczenia, czym jest i jakie skutki prawne niesie „zaawansowany podpis elektroniczny składany za pomocą kwalifikowanego urządzenia i opierający się na kwalifikowanym certyfikacie”. Próbowaliście kiedyś w ten sposób porozmawiać z waszym zarządem i resztą? Może oczekiwaliście, że pojmą za pierwszym razem? A może – to chyba najbardziej zabawne i naiwne oczekiwanie – sądziliście, że powinni się tego wszystkiego nauczyć?


Adam w raju nie potrzebował informacji, że słoń jest ssakiem łożyskowym z rzędu trąbowców (Proboscidea), jak również słabo go interesowało pokrewieństwo trąbowców z ryjkonosowatymi (Macroscelidea) czy góralkowcami (Hyrcoidea). Adam potrzebował tylko takiej informacji, która by mu pozwalała normalnie funkcjonować w świecie, w którym występują słonie. Nasi prezesi i ministrowie potrzebują tylko tyle informacji o cyberbezpieczeństwie, ile potrzeba, by ich firma funkcjonowała normalnie. Pracownicy i kierownicy niższego szczebla wymagają przyswojenia tylko takich umiejętności, które pozwolą im uniknąć błędów. Co więcej, wszystkim tym grupom informacje muszą być przedstawione językiem dla nich zrozumiałym i łatwym. Złe podanie to wina podającego – ta zasada obowiązuje nie tylko w piłce nożnej. Ludzie muszą nadać przyprowadzonym zwierzętom imiona. Liczą na naszą pomoc.


Zacznijmy od Cyberhigieny. Odróżnijmy ją od Cyberbezpieczeństwa. Ta pierwsza to podstawowy zestaw narzędzi, czynności i procedur, które powinny wykonać firmy, a sens i zrozumienie tego działania powinny być powszechne. Urządzenia, z jakich korzystamy, powinny być zarządzane, a systemy i aplikacje zaktualizowane. Antymalware jest obowiązkiem. Odstępstwo od powyższych musi skutkować odłączeniem, bo to uchylone drzwi do systemów firmy. Chrońmy tożsamość poprzez wdrożenie wieloskładnikowego uwierzytelnienia. Jeśli ktoś został poprawnie zweryfikowany, to nadajmy mu tylko takie przywileje, jakie są niezbędne do wykonania pracy przez tę osobę, i ani trochę więcej. Wdrożyć należy ochronę danych przed dostępem, zmianą czy transmisją nie tylko dlatego, że tego chce od nas rodo. Zwróćcie uwagę, że każde z powyższych powinno być naprawdę łatwe do zrozumienia, a jeśli zostanie przekazane w prosty sposób, to ludzie zrozumieją i będą stosować. Trudno w to uwierzyć, ale zastosowanie Cyberhigieny w sposób, w jaki została opisana powyżej, powinno – tak mówią raporty – zredukować liczbę ataków nawet o 98%!


Dodałbym jeszcze jeden element do cyberhigienicznej układanki. Wszyscy, choć wychodzimy z pracy, to nie wychodzimy z cyfrowego świata. Mamy internetowe konta w bankach, sklepach i serwisach społecznościowych. Droga nakazów i zakazów, ograniczanie wolności w internecie jest ślepą uliczką – co najwyżej taka osoba będzie zachowywać się tak, żeby pracodawca nie był w stanie jej nic udowodnić. Oczywiście dla atakującego jest to obojętne – ważne, by znaleźć lukę w systemie. A hakowanie człowieka to jedna z jego ulubionych dróg – zamiast forsować wysokie mury zamku, wystarczy wślizgnąć się uchyloną furtką razem z pracownikiem lub współpracownikiem. Ten ostatni może być dostawcą lub usługodawcą, firmą marketingową czy kancelarią, z którą od lat pracujemy. Warto zatem uświadamiać ludzi, jakie działania z życia prywatnego mogą prowadzić do obniżenia bezpieczeństwa w firmie, ale także, jak mogą temu zapobiec i – co bardzo ważne! – podnieść także własne bezpieczeństwo. Musi zadziałać.

 

Przed Adamem miały stanąć jeszcze Cyberbezpieczeństwo, Odporność i Ciągłość Biznesowa. Może następnym razem?

 

Autor jest członkiem Rady Polskiej Izby Informatyki i Telekomunikacji. Od ponad 27 lat pracuje w polskim oddziale firmy Microsoft.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik \"IT Professional\"