Cyberhigiena w czasie pracy hybrydowej

Aamir Lakhani: Istnieją miliony starych haseł, które wyciekły, ale są ciągle stosowane przez użytkowników. Czasami jedynie zmieniają jakąś cyfrę, dodają lub usuwają literę. Cyberprzestępcy dysponują programami, które szukają tych typowych podmian. Tworzą listy haseł, z których mogą generować miliony nowych, z różnymi kombinacjami. Następnie testują je automatycznie, dopóki nie trafią na prawidłowe. Dlatego zawsze zachęcam do używania unikalnych nazw użytkownika na każdej witrynie. Niektóre z nich wymagają, aby był nim adres e-mail, ale najlepiej w tym celu za każdym razem założyć nowy.

W jaki sposób zabezpieczyć hasła i nazwy użytkowników w hybrydowym środowisku pracy?

Jonas Walker: Polecam korzystać z menedżerów haseł. To narzędzie bardzo ułatwia ochronę danych. Za każdym razem, gdy zarejestrujemy się w innej platformie, automatycznie wygeneruje ono nowe, unikalne hasło i przechowa je w swoich formularzach.

Aamir Lakhani: Należy też pamiętać, że wieloskładnikowe uwierzytelnianie może dać fałszywe poczucie bezpieczeństwa. Wiele osób korzysta z weryfikacji tekstowej lub SMS-owej, ale to rozwiązanie ma słabe punkty. Właśnie w tym przypadku cyberhigiena jest szczególnie ważna. Często, gdy w systemach operacyjnych telefonów komórkowych pojawiają się okienka z pytaniem „Czy chcesz udostępnić tej aplikacji dane przesyłane w wiadomościach SMS” lub „Czy są to uprawnienia, które chcesz nadać aplikacjom”, nie każdy czyta ich treść. Zazwyczaj nierozważnie klika się „tak”, przez co aplikacje otrzymują więcej danych niż użytkownik by chciał. Uprawnienia te są wykorzystywane np. do celów reklamowych. Z kolei złośliwe aplikacje wymuszają w ten sposób dostęp do wiadomości SMS, żeby wykraść kody wysyłane podczas procesu uwierzytelniania wieloskładnikowego. Dlatego ważne jest, żeby mieć świadomość jakie uprawnienia nadaje się aplikacjom.

Jak najlepiej zadbać w firmie o cyberhigienę w czasach pracy hybrydowej?

Jonas Walker: Podłączanie do firmowej sieci urządzeń używanych w pracy zdalnej powinno być wykonywane z dużą ostrożnością. Należy pamiętać, że w ciągu ostatnich miesięcy sieci domowe były często atakowane ze względu na pracę zdalną. Jeśli doszło do naruszenia bezpieczeństwa zainstalowanego na mobilnym sprzęcie oprogramowania, to podłączenie go później do sieci firmowej może sprowadzić poważne zagrożenie. Cyberprzestępcy przewidują takie scenariusze z wyprzedzeniem, dlatego jestem przekonany, że są przygotowani do tego typu ataku. Tymczasem coraz więcej prywatnych urządzeń otrzymuje dostęp do sieci korporacyjnej, więc edukowanie pracowników i zapewnianie im szkoleń jest niezbędne.

Aamir Lakhani:

Zgadzam się, że szkolenie pracowników i zwiększanie świadomości o cyfrowych zagrożeniach jest kluczowe dla cyberbezpieczeństwa w firmie. Wiedza o tym, jak filtrować przychodzące wiadomości e-mail, może być naprawdę prostym sposobem na uniknięcie ataków phishingowych, które nadal zdarzają się często. Zalecam także posiadanie dwóch skrzynek poczty elektronicznej – jednej na wiadomości wewnętrzne, a drugiej na zewnętrzne. Warto również korzystać z podpisów cyfrowych w celu identyfikacji wiarygodności cyfrowej korespondencji.