Pracownik może być furtką
P odstawowym problemem jest niska świadomość pracowników korzystających z sieci wewnętrznych. Powszechne jest zapisywanie haseł na karteczkach, pod klawiaturą bądź przyklejanie ich do monitora, co więcej, udostępnianie haseł innym pracownikom. Z ewentualnych implikacji takich zachowań użytkownicy często nie zdają sobie sprawy.
Aby ustrzec się przed agresją, wystarczy niekiedy pamiętać o kilku podstawowych zasadach.
— Pracownik powinien pamiętać, by każdorazowo opuszczając swoje stanowisko wylogować się, nie zapisywać hasła dostępu, nie próbować na własną rękę zmieniać ustawień komputera, na którym pracuje (zdarza się, iż pracownik wyłącza oprogramowanie antywirusowe, gdyż komputer jest „zbyt wolny”), nie przynosić własnego oprogramowania, a w szczególności nie instalować programów z Internetu, gdyż te często bywają tzw. koniami trojańskimi, czyli tylnymi drzwiami do systemu — radzi Andrzej Kontkiewicz z firmy Symantec produkującej oprogramowanie zabezpieczające.
Warunki bezpieczeństwa
Świadomość użytkowników i znajomość wykorzystywanego przez nich oprogramowania jest podstawowym czynnikiem warunkującym bezpieczeństwo sieci wewnętrznej. Jednym ze sposobów uniknięcia ataków jest tzw. polityka restrykcyjnych haseł.
— Zważywszy na fakt, iż około 70 proc. włamań do wewnętrznych sieci dokonywanych jest właśnie od wewnątrz, oprócz zabezpieczającego oprogramowania czy monitoringu sieci niezbędnym elementem polityki bezpieczeństwa w firmach powinno być zwrócenie szczególnej uwagi na poziom świadomości pracowników mających dostęp do systemu — wyjaśnia Andrzej Kontkiewicz.
— Wymuszanie częstych zmian hasła, ustalenie minimalnej jego długości, pamiętanie historii haseł czy blokowanie kont po kilku nieudanych próbach autoryzacji to działania podnoszące poziom bezpieczeństwa. Oczywiście wszystkie te metody na nic się zdadzą, jeśli fizyczny dostęp do komputerów w firmie nie jest zabezpieczony — wyjaśnia Dariusz Trzeciak, administrator sieci w WSPiZ.
Szerokie uprawnienia
Często lekceważonym czynnikiem zmniejszającym bezpieczeństwo są zbyt szerokie uprawnienia przyznawane pracownikom. Zdarza się, że osoba, której zadaniem jest np. obsługa drukarki, ma inne, zupełnie niepotrzebne do wykonywania swej pracy, programy.
— Dotyczy to też administratorów, którzy powinni używać konta o uprawnieniach normalnego użytkownika, a nie admina — dodaje Dariusz Trzeciak.
Bartosz Krzyżaniak