Cyberataki: jak chronić firmę przed hakerami?

Philipp Jakubowski, specjalista ds. bezpieczeństwa wewnętrznego i kierownik ds. bezpieczeństwa informacji w Trusted Shops, odpowiada na wszystkie pytania dotyczące ataków na firmy w internecie. Jakich metod używają hakerzy? Jak można chronić dane klientów? Czy kryzys spowodowany przez koronawirusa czyni nasze firmy bardziej wrażliwymi na cyberataki?

Czy wszystkie firmy mogą czuć się zagrożone?

Możemy mieć wrażenie, że cyberataki nas nie dotyczą lub są zarezerwowane tylko dla dużych firm, ale tak nie jest.

Ryzyko w internecie zawsze istniało, co więcej – będzie się utrzymywać, a nawet nasilać.

Wraz z rozwojem technologii, rozwijają się także możliwości ataków. Jeśli jesteś obecny w internecie, to jesteś narażony na ryzyko.

"Firmy, które nie podejmują środków ostrożności i nie stawiają bezpieczeństwa w centrum zainteresowania, popełniają wielki błąd".

Jakie są rodzaje ataków, których ofiarami mogą paść przedsiębiorstwa?

Należy oddzielić „ataki techniczne” od „ataków społecznych”.

Ataki „techniczne” polegają na skanowaniu przez hakerów witryny, systemów i sieci w poszukiwaniu luk w zabezpieczeniach i możliwych punktów wejścia.

Z kolei ataki społeczne to wszystkie te, w których hakerzy wykorzystują Twoich pracowników jako pośredników. Jak to robią? Na przykład poprzez wysłanie im wiadomości e-mail, podszywając się pod współpracownika, z prośbą o podanie poufnych informacji lub zachęcenie ich do kliknięcia w link.

Jak można zabezpieczyć firmę przed tego typu atakiem?

Większość przedsiębiorstw stara się chronić przed wszelkimi atakami technicznymi, ale zapomina, że to pracownicy są ich główną linią obrony.

Dlatego niezwykle ważne jest, aby uświadomić im kwestię bezpieczeństwa w sieci. Zaoferuj im regularne szkolenia, aby nauczyć ich lub przypomnieć o dobrych praktykach bezpieczeństwa.

Na przykład, aby uchronić się przed phishingiem, należy:

  • nie klikać w nieznane linki,

  • nie otwierać nieznanych załączników,

  • nigdy nie udzielać żadnych informacji nieznajomym,

  • uważać na e-maile, które stwarzają poczucie pilności,

  • sprawdzić e-mail nadawcy poprzez najechanie kursorem na adres bez klikania,

  • itd.

Małe firmy są nieco mniej narażone na ataki techniczne. Nie w kategoriach prawdopodobieństwa, ale raczej dlatego, że łatwiej jest im zachować przegląd potencjalnych luk w zabezpieczeniach.

"Im większa firma, tym bardziej jest to skomplikowane.
Łatwiej jest zapewnić bezpieczeństwo budynkowi niż miastu".

Jeśli musisz zabezpieczyć budynek, o wiele łatwiej jest monitorować drzwi wejściowe, śledzić wszelkie dokonywane zmiany lub mieć na uwadze wszystkie systemy bezpieczeństwa.

A teraz wyobraź sobie to samo z całym miastem! Zakres zadań zdecydowanie nie jest taki sam. Dotyczy to również przedsiębiorstw.

Jak mogę być pewien, że dane moich klientów są chronione?

Zaszyfruj je! Szyfrowanie danych klientów jest jedynym sposobem zapewnienia ich ochrony, zarówno na serwerze, na którym są przechowywane, jak i podczas ich przesyłania.

Istnieje wiele przypadków, w których bez szyfrowania bezpieczeństwo danych klientów może być zagrożone.

  • Jeśli przechowujesz je na twardym dysku, to każdy, kto ma do niego dostęp, ma dostęp do danych klienta.

  • Jeśli zmienisz systemy pamięci masowej, komputery lub nawet hosty internetowe, nie masz kontroli nad tym, co dzieje się z danymi tam przechowywanymi. Może się to wydawać oczywiste, ale w przeszłości zdarzało się to już nawet agencjom rządowym.

  • Serwer, na którym przechowujesz swoje dane, może również zostać później sprzedany i nie wiadomo, w jakie ręce trafi. W tej kwestii należy zwrócić szczególną uwagę na warunki anulowania umowy.

"Jedna rada: szyfrowanie! Tylko Ty powinieneś mieć kontrolę nad danymi klientów."

Czy stosowanie się do zaleceń RODO jest JEDYNYM sposobem na zapewnienie bezpieczeństwa danych klientów?

Tak i nie.

Oczywiście RODO daje wiele cennych rad, ale to tylko ramy. Istnieje wiele innych szczegółów, na które należy zwrócić uwagę, jeśli chodzi o ochronę danych klientów. Na przykład szyfrowanie, choć wysoce zalecane, nie jest obowiązkowym wymogiem RODO.

Jak mogę zapewnić moich klientów, że moja strona jest niezawodna?

Masz do dyspozycji wiele możliwości. Nie wszystkie z nich są bezpośrednio związane z bezpieczeństwem informatycznym. Oto niektóre z elementów, które można wprowadzić w życie:

  • Strona „user friendly” jest ważną pierwszą oznaką zaufania.

  • Protokół HTTPS. Niewielu użytkowników internetu będzie gotowych podać swoje dane bankowe na stronie niezabezpieczonej tym protokołem.

  • Ogólne warunki sprzedaży i informacje prawne są wyraźnie widoczne. Oczywiście nie może to zagwarantować w stu procentach wiarygodności strony, ale ich obecność się do tego przyczynić.

  • Autentyczne opinie od prawdziwych klientów (zamknięta platforma recenzencka). 90 proc. internautów korzysta z nich przed złożeniem zamówienia. Jest to rzeczywiście pewny i przekonujący element. Jednak dla jeszcze większego bezpieczeństwa radziłbym sprawdzić profil sklepu internetowego na stronie dostawcy opinii. Jeśli witryna korzysta z usług Trusted Shops, możesz wpisać w Google „nazwa sklepu + opinie + Trusted Shops”, aby znaleźć stronę profilu.

  • Uznany znak jakości, np. od Trusted Shops. Znak jakości Trusted Shops przyznawany jest sklepom internetowym, które spełniają kryteria jakości określone przez naszych ekspertów. To dyskretny, ale łatwo rozpoznawalny element widoczny na stronie internetowej, który pozwala klientom zidentyfikować Twoją stronę jako godną zaufania.

📚Przeczytaj też: Dlaczego warto uwzględnić znak jakości w e-sklepie?

A jako konsument?

Polecam uważać na strony ze szczególnie niskimi cenami i „wygooglować” nazwę strony w połączeniu ze słowami kluczowymi takimi jak „opinie”.

📚Przeczytaj też: Podejrzany, fałszywy sklep internetowy - jak rozpoznać?

Czy kryzys związany z COVID-19 doprowadzi do nowych form cyberataków?

Nie pojawią się rewolucyjne metody, ale hakerzy wykorzystają kryzys jako podstawę swojej pracy.

Myślę jednak, że ryzyko ataków społecznych jest obecnie nieco większe ze względu na większą popularność pracy zdalnej. W miarę jak komunikacja staje się coraz bardziej wirtualna, wszystko odbywa się za pośrednictwem poczty elektronicznej i telefonu.

📚Przeczytaj też: Przewodnik po pracy zdalnej: jak efektywnie pracować w domu

Z punktu widzenia „ataku technicznego”, jeżeli ludzie używają własnych komputerów, to wszystkie podjęte środki ostrożności nie będą już miały racji bytu (szyfrowanie, antywirusy itp.).

Podobnie, jeśli haker włamał się już na komputer osobisty, a Twój pracownik używa go do pracy, jest to problem dla Twojej firmy.

Poproś pracowników, aby korzystali z komputerów służbowych lub upewnij się, że żadne poufne dane nie są przechowywane przez pracowników na ich osobistych urządzeniach.

Ta publikacja jest tłumaczeniem artykułu w j. francuskim: Interview - Cyberattaques : comment protéger mon entreprise des hackers ?

0 komentarzy