Bez internetu i smartfona coraz trudniej się obejść w pracy. Wprawdzie laptopy są coraz mniejsze, ale po co je z sobą nosić, skoro coraz więcej służbowych spraw można załatwić na poręcznym telefonie. Tzw. konsumeryzacja IT jest wygodna dla pracowników, ma też zalety dla firm. Ale niekoniecznie musi być bezpieczna.
Podręczne zagrożenia
Według raport firmy McAfee, opublikowanego przez Intel Security, nastąpił spadek zagrożeń mobilnych — we wszystkich regionach świata liczba infekcji w drugim kwartale 2015 r. zmniejszyła się o 1 proc., w Ameryce Północnej o 4 proc. i tylko w Afryce pozostała bez zmian. Liczba próbek złośliwego oprogramowania wzrosła w tym okresie o 17 proc.
— Spadek infekcji można łączyć z tym, że świadomość konieczności zabezpieczenia urządzeń mobilnych wzrasta, tak samo jak poprawia się stan zabezpieczeń smartfonów i tabletów. Ciągle jednak mamy do wykonania bardzo dużą pracę edukacyjną, która uświadomi użytkownikom, że smartfony i tablety to narzędzia, które tak samo jak komputer stacjonarny narażone są na utratę wrażliwych danych — mówi Arkadiusz Krawczyk, dyrektor generalny Intel Security na Polskę.
Jakub Głąb, dyrektor rozwoju firmy VSoft, która współpracuje z przedsiębiorstwami z branży finansowej, tłumaczy, że z urządzeń mobilnych łatwo wykraść wrażliwe dane. Jego zdaniem w sprawie bezpieczeństwa urządzeń mobilnych najważniejsza jest edukacja i świadomość użytkowników.
— Warto się zastanowić, do czego służy aplikacja, jakie dane są w niej przetwarzane i pod tym kątem ją zabezpieczyć. Poziom bezpieczeństwa powinien być dobrany przez wyszkolonych specjalistów. Reasumując: ważne jest, aby dostosować poziom ochrony do rodzaju programu i użytkowników. Nie warto za wszelką cenę stosować wszystkich mechanizmów do każdej aplikacji. Zwróćmy uwagę na najprostsze, bo one są niezwykle istotne, a często się o nich zapomina — zauważa Jakub Głąb. Dodaje, że najprostsze zabezpieczenia są zawsze lepsze niż ich brak.
— Uważam, że inwestycje w oprogramowanie ochronne są w firmach konieczne. Niezbędna jest także współpraca z doświadczonymi specjalistami. Nie dotyczy to tylko dużych spółek. Każda powinna mieć świadomość ewentualnych konsekwencji np. włamania i przejęcia danych — mówi Jakub Głąb.
Mobilne zasady
Przed atakami na urządzenia mobilne można się chronić. Nie zawsze muszą być to skomplikowane Firmę ochroni edukacja. 95 proc. ataków na sieci firmowe jest efektem skutecznych ataków ukierunkowanych typu spear phishing, czyli e-mail, który wygląda na wysłany przez znajomą osobę lub instytucję. Jedna skuteczna wiadomość phishingowa umożliwia infiltrację sieci biznesowej. Jedynym sposobem, żeby się przed tym ustrzec, jest edukacja pracowników — mówi Arkadiusz Krawczyk, dyrektor generalny Intel Security na Polskę.
rozwiązania. Po prostu warto zwracać uwagę na pewne sprawy. Arkadiusz Krawczyk wskazuje, że przede wszystkim należy pobierać aplikacje wyłącznie z zaufanych i sprawdzonych źródeł, takich jak App Store czy Google Play. Nie gwarantuje to bezpieczeństwa, ale w połączeniu z innymi działaniami jest solidną pierwszą linią obrony użytkownika. Przy wyborze aplikacji warto też poświęcić trochę czasu i sprawdzić, co recenzenci mówią o jej bezpieczeństwie. Jeśli brakuje takich recenzji, należy uważnie sprawdzić, do jakich informacji oprogramowanie żąda dostępu.
Wiele aplikacji mobilnych wymaga dostępu do danych, których nie potrzebują. Lepiej zaś unikać udzielenia pozwolenia na dostęp aplikacji do internetu, książki telefonicznej z kontaktami, kont skonfigurowanych na urządzeniu, ID abonenta, jego SMS-ów, informacji o dokładnej lokalizacji. Jeśli oprogramowanie mobilne żąda zbyt wiele, użytkownik powinien zrezygnować z instalacji lub ograniczyć informacje, którymi się dzieli. Nie mniejszym zagrożeniem niż poczta elektroniczna mogą być SMS-y i MMS-y.
— Nie wolno ufać SMS-om i MMS-om od nieznajomych. Lepiej nie otwierać linków, które są przesyłane do nas w takich wiadomościach, bo mogą przekierować na stronę, na której czeka wirus gotowy do zainstalowania się na naszym urządzeniu. Może wysłać obciążające nas kosztami SMS-y lub wykradać hasła jednorazowe do naszych kont w banku. Ważne są też e-maile, które wysyła i otrzymuje większość użytkowników smartfonów. Trzeba bardzo uważać na to, jakie maile otwieramy. Fałszywy może zawierać np. nieprawdziwy rachunek z wezwaniem do zapłaty albo przenieść na spreparowaną stronę podszywającą się np. pod stronę logowania banku.
Nie zdając sobie z tego sprawy, otworzymy cyberprzestępcom dostęp do konta i finansów — ostrzega Arkadiusz Krawczyk. Podpowiada, że powinno się korzystać z aplikacji na urządzeniu mobilnym tylko wtedy, gdy ma się połączenie z zaufaną siecią Wi-Fi (np. domową lub w miejscu pracy). W smartfonach należy odznaczyć pole „Automatyczne połączenia w przyszłości”, żeby urządzenie nie łączyło się z podobnymi sieciami w pobliżu.
Ograniczenie korzystania z sieci publicznych pozwoli chronić prywatne dane. Arkadiusz Krawczyk zaznacza, że warto wziąć pod uwagę także kilkustopniową weryfikację tożsamości. Można do niej wykorzystać np. hasło i smartfon. Taka kombinacja jest jedną z najskuteczniejszych metod obrony przed nieautoryzowanym dostępem do konta użytkownika.
Nowoczesne narzędzia umożliwiają logowanie do kont i aplikacji z wykorzystaniem kilku składników, unikatowych dla użytkownika (np. rozpoznawania twarzy i urządzenia, które posiada). Przyda się również odpowiednie oprogramowanie, które zablokuje pobieranie ryzykownych aplikacji lub plików, skanuje pliki w poszukiwaniu złośliwego oprogramowania, blokuje niepożądaną zawartość, m.in. spam, wiadomości tekstowe ze złośliwą treścią, pozwala także zlokalizować zgubiony telefon.
Bezpieczeństwo sieci
Niestety bezpieczeństwo internetu w firmach także pozostawia wiele do życzenia. Według Arkadiusza Krawczyka wciąż nie dość uwagi przedsiębiorstwa zwracają na aktualizacje, poprawki, bezpieczeństwo haseł, alerty bezpieczeństwa, konfiguracje domyślne i inne łatwe, ale istotne sposoby zabezpieczenia aktywów cybernetycznych i fizycznych.
Stają się w ten sposób łatwym celem coraz lepiej zorganizowanych grup cyberprzestępczych. Raport McAfee wskazuje, że firmy coraz częściej muszą się mierzyć z atakami typu ransomware, czyli wykorzystującymi oprogramowanie szyfrujące dane na zainfekowanym komputerze. Cyberprzestępcy żądają okupu w zamian za klucz do odszyfrowania plików. Ransomware rozwija się w zawrotnym tempie, liczba nowych próbek w drugim kwartale 2015 r. wzrosła o 58 proc.
— Atak ransomware jest dziecinnie prosty, są bowiem firmy dostarczające cyberprzestępcom gotowe interfejsy lub konsole do ich przeprowadzenia. Atakujący musi jedynie wpisać w odpowiednie pole adresy mailowe osób, które mają stać się ofiarami jego przestępstwa. Nie wymaga to ani dużych nakładów finansowych, ani specjalistycznej wiedzy — informuje Arkadiusz Krawczyk.
Na szczęście przed takimi atakami i ich skutkami można się dość łatwo ustrzec. Wystarczy, aby firma zawsze robiła backup danych, a pracownicy przestrzegli podstawowych zasad bezpieczeństwa internetowego, zwłaszcza jeśli chodzi o przychodzące maile.
— Według instytutu Sans 95 proc. ataków na sieci firmowe jest efektem skutecznych ataków ukierunkowanych typu spear phishing, czyli e- -mail, który wygląda na wysłany przez znajomą osobę lub instytucję. Przedsiębiorstwa muszą mieć świadomość, że wystarczy jedna skuteczna wiadomość phishingowa, aby dokonać infiltracji sieci biznesowej. Jedynym sposobem, żeby się przed tym ustrzec, jest edukacja pracowników — mówi Arkadiusz Krawczyk.
Warto się tym zainteresować, bo badania, które przeprowadził Intel Security w maju 2015 r., nie napawają optymizmem. W teście przeprowadzonym na 19 tys. użytkowników ze 144 krajów niemal nikt nie potrafi prawidłowo zidentyfikować wszystkich z dziesięciu pokazanych wiadomości typu phishing. &
©