Šest nasvetov za uporabnike v duhu meseca kibernetske varnosti, sponzorira Ivanti
26.10.2018
Ivanti, vodilni ponudnik rešitev za centralno upravljanje, varovanje in nadzor informacijske infrastrukture, procesov in strežniških oblakov, ki ga v Sloveniji uradno zastopa podjetje REAL security d.o.o.,
predstavlja... minuli oktober? Oktober je bil mednarodni mesec kibernetične varnosti oz. EU Cybersecurity Awareness Month. Ste bili previdni?
Preprosti nasveti za uporabnike v vašem IT okolju; tudi sami lahko zmanjšajo izpostavljenost varnostnim pomanjkljivostim in tveganjem.
Varnost je pomembna vse dni v letu. Naslednjih šest najboljših praks ('sponzoriral' jih je Ivanti) za uporabnike je v tem duhu, da poskrbimo za podaljšanje varnega meseca tudi v bodoče. Za varnost moramo namreč prispevati vsi v podjetju, tako IT strokovnjaki, kot tudi končni uporabniki. S pravilno uporabo delovnih postaj lahko vsi zelo dosti prispevamo.
1. Izbiram si gesla glede na smernice za sestavljanje dovolj varnih gesel
Težko je verjeti, da je treba mnoge ljudi še vedno odvračati od gesel tipa "123456", rojstni datum, ime otroka ali enako uporabniškemu imenu. Osebno geslo mora biti dovolj močno, pa čeprav nekoliko komplicirano - vsaj 13 znakov, med katerimi so vsaj ena velika in majhna črka, vsaj ena cifra in vsaj en simbol. Ob tem pa ga je treba tudi redno spreminjati.
To se res sliši nekoliko zaposleno. Priporoča se, da se uporabi na primer kaka fraza ali besedilo pesmi, neki krajši tekst, ki ga poznamo na pamet. Od tega nato odvisno od dolžine teksta vzamemo po prvo črko ali več črk vsake besede, nekatere pišemo z veliko, mednje pa vrinemo še cifre in simbole. Tako nastavljeno geslo si je kljub dolžini lažje zapomniti, nikakor pa ga ne smemo zapisati kak papir ali spodnji del tipkovnice.
Izogibajte se rabi istih uporabniških gesel za prijavljanje v različne sisteme in aplikacije, ter v različne spletne strani. Če ne gre drugače, si lahko za osebno rabo na spletu pomagamo z v spletni brskalnik vgrajenim dodatkom za hranjenje gesel. Podjetja lahko sodelavcem olajšajo delo z implementacijo Single Sign-On in drugih rešitev za upravljanje digitalnih identitet.
2. Sem zelo previden na vseh javnih WiFi omrežjih
Vsi smo navajeni biti on-line 24 ur na dan. Zato moramo bolj ali manj pogosto uporabiti tudi javna WiFi omrežja. To so omrežja v lokalni kavarni, nakupovalnih centrih, mestna infrastruktura, tudi omrežja hotelih. Smatrati moramo, da jih je lahko zlorabiti, ne glede na to ali so brezplačna ali plačljiva, ne glede na to ali prenočujemo v Hiltonu ali v hostlu.
V vsakem omrežju se obnašajmo, kot da je že kak heker vdrl in vanj in sedaj iz nekega temnega kotička preži na lahkomiselne žrtve. Tam prisluškuje in krade podatke. V javnem omrežju se strogo odsvetuje nakupovanje s kreditnimi karticami ter prijavljanje v pomembne račune, na primer spletno banko.
Na poslovni poti oz. kadarkoli opravljamo svoje delo izven pisarne, se je treba vedno najprej priključi na varno VPN omrežje podjetje. VPN pomeni, da je komunikacijski kanal med delovno napravo in podjetjem še posebej zaščiten tj. šifriran, varen pred prestrezanjem s strani zlobnežev. Šele potem se prijavim v e-poštni predal, odprem spletni brskalnik ali dostopam do poslovnih dokumentov.
3. Redno posodabljam lastne aplikacije in operacijske sisteme
Vse delovne postaje morajo imeti nameščeno najnovejšo različico operacijskega sistema z vsemi varnostnimi popravki in drugimi posodobitvami. Isto velja za vse nameščene aplikacije in orodja.
Za delovne postaje, ki so v lasti podjetja, običajno skrbi IT podpora oz. kak sistem za samodejno sprotno posodabljanje. Včasih pa se to sproži šele ob ponovnem zagonu sistema. Zato je treba vsaj enkrat na teden ob koncu delovnega dne ponovno pognati računalnik, kljub temu, da v teh časih izklapljanje računalnikov čez noč zaradi varčevanja elektrike več ni pravilo.
V teh časih so v rabi tudi mnoge naprave, ki niso v lasti podjetja, a se vseeno priklapljajo v centralno omrežje. To so tablice in pametni telefoni sodelavcev, nekoliko redkeje tudi prenosni računalniki ali računalnik v domači pisarni. Ti sicer so lahko, a v veliki večini primerov niso pod takim nadzorom podjetja, da bi se zagotavljalo brezskrbno samodejno posodabljanje. Zato moramo vse sodelavce podučiti, da je njihova obveza poskrbeti za aktualno namestitev lastnih naprav, preden jih prinesejo v službo. V skupno dobro.
4. Varujem svoj denar
Denarnic, dokumentov ali gotovine nikoli ne puščam na mizi z obiskovalci natrpanega bara v lokalnem nakupovalnem centru. Enako naj velja tudi v digitalnem svetu za vse podatke, ki se nanašajo na osebne finance, se pravi za kreditne in debetne kartice, podatke o spletni banki idr. Če pridejo v napačne roke, bom izgubil denar, lahko mi tudi ukradejo identiteto.
Za spletno nakupovanje uporabljajmo zaščiteno kreditno kartico in debetno kartico. Prepričajmo se, da ima banka implementirano zaščito spletnih nakupov preko kartic. Na primer z varnostno kodo preko SMS, ki zagotovi, da nakupa brez potrdila s telefonom ni mogoče zaključiti. Upodabljajmo zgolj spletne trgovine, ki jim zaupamo oz. o katerih smo se pred prvim nakupom podrobno informirali.
5. Kliknem šele, ko sem dovolj informiran
Phishing - ponarejena sporočila e-pošte, so sporočila, ki izgledajo kot da prihajajo od legitimnega vira npr. banke, spletne trgovine, partnerskega podjetja ali drugega oddelka v organizaciji. Z njimi se poskuša prejemnika pretentati v izdajo zaupnih podatkov, uporabniških imen in gesel ali podatkov o plačilnih karticah. Včasih celo v plačilo kakega fiktivnega računa partnerju, denar pa gre v resnici na račune kriminalcev.
Phishing je danes ena najbolj razširjenih spletnih kriminalnih aktivnosti, katere žrtev je lahko kdorkoli. Phishing že dolgo ni več zgolj omejen na angleško govoreče tarče in je lahko prilagojen ozko omejeni populaciji kot so komitenti slovenskih bank ali sodelavci slovenskih podjetjih.
Nikoli ne klikajte v povezave v elektronskih sporočilih od neznanega pošiljatelja. Če je v sporočilu povpraševanje po zaupnih podatkih ali zahteva za kako plačilo, se dobro prepričajte, kdo je dejanski pošiljatelj in po kaki drugi poti ali je zahteva res legitimna. Ne odpirajte priponk od neznanih pošiljateljev, pa tudi pri znanih bodite sumljivi kadar niste pričakovali nobenega dokumenta.
Povezava, kot se vidi v besedilu sporočila, je lahko drugačna kot je tista resnična, ki se odpre po kliku. To je zelo sumljivo. Razlika lahko običajno vidimo v statusni vrstici e-poštnega programa, če zapeljemo miškin kazalec preko povezave. Domensko ime - podjetje.com - pošiljatelja je lahko podobno a v resnici nekoliko drugačno od originalnega. Iščite te in druge indikatorje phishinga.
Nekatera podjetja imajo implementirane anti-phishing rešitve, a ne vsa. Tudi če jo imajo, taka rešitev morda ne blokira vseh sporočil. V primeru, da dobite kakega, sploh pa če kliknete na povezavo, takoj obvestite IT oddelek.
Podobno ribarjenje za podatki je možno tudi na spletnih straneh, sploh v pop-up oknih. Tudi tam se najprej prepričajte o enakosti izpisane in dejanske povezave ter o domenskem imenu. Na primer domensko ime NKBM.SI je dobro, povezava na NKBM-SI.NET pa bi bila primer zlorabe.
6. Delam si varnostne kopije podatkov
Hranjenje poslovnih dokumentov, s katerimi delam, na lastni napravi ali na lokalnem disku delovne postaje ni priporočljivo. Centralni datotečni sistemi podjetja so bolj zanesljivi in imajo običajno implementirano še redno varnostno arhiviranje podatkov. Pomeni, da je v primeru okvare diska še vedno na razpolago varnostna kopija dokumenta. Če pa se pokvari disk prenosnega računalnika, pa dokumentov tudi ni več.
Sami lahko poskrbimo tudi za svoje osebne podatke. Za doma si lahko na primer priskrbimo vsaj zunanji disk in nanj redno delamo kopije osebnih podatkov, fotografij ipd. Tehnično osveščena gospodinjstva uporablja mrežne diskovne sisteme za sprotno shranjevanje in dostop do podatkov, lokalne diske v računalnikih pa zgolj za namestitev sistema in aplikacij. Za pametne telefone in tablice si lahko omislimo tudi varnostno arhiviranje v oblaku proizvajalca.
Avtor / prevod: Robert Lubej
Povezava do izvorne novice:
### ### ###
O podjetju Ivanti
Ivanti je proizvajalec programskih rešitev za celostno spremljanje in upravljanje informacijske infrastrukture, sistemov, strežniških oblakov, varnosti, storitev, premoženja in procesov. Je eden najbolj izkušenih ponudnikov teh rešitev, saj obstaja že od leta 1985, čeprav je z legalnega vidika to zelo nova poslovna entiteta. Ivanti je namreč uradno nastal 23. januarja 2017 z združitvijo podjetij LANDESK, HEAT Software, Shavlik, Wavelink ter AppSense v enotno organizacijo.
Programska oprema Ivanti, upravlja več kot 250 milijonov namiznih sistemov, strežnikov in prenosnih naprav po vsem svetu, poslovnih strank je več kot 27.000. Namenjena je za nadzor računalnikov z operacijskimi sistemi Windows, Macintosh ter Linux. Najpomembnejše funkcionalnosti v okviru programske opreme Ivanti so odkrivanje in vodenje inventarja sredstev, odkrivanje in razreševanje varnostnih lukenj in pomanjkljivosti, upravljanje distribucije programskih namestitev, upravljanje programskih popravkov in nadgradenj, spremljanje in poročanje o IT skladnosti, vodenje in uveljavljanje varnostnih pravilnikov, upravljanje energijske potrošnje, vodenje oskrbovalne verige, informacijske storitve za kadrovsko službo in še kaj.
Več o podjetju najdete na spletnih straneh: http://www.ivanti.com
Dodatne informacije:
Daniel Bednjički, projektni vodja
daniel.bednjicki@real-sec.com
REAL security d.o.o.
Žolgarjeva ulica 17
2000 Maribor
tel.: 02 234 74 74
http://www.real-sec.com
info@real-sec.com