Komentarz do serii artykułow z Pulsu Biznesu o cyber atakach

Komentarz do serii artykułów Pulsu Biznesu, a głównie http://www.pb.pl/forum/4427387,35560,polski-biznes-nie-jest-gotowy-na-cyberataki?



Ciekawy punkt widzenia, ciekawy tytuł, choć może warto zastąpić słowo „biznes” słowem „użytkownik” albo jeszcze lepiej „pracownik”?
Dlaczego? Artykuł wyraźnie to pokazuje. I nie chodzi o najsłabsze ogniwo – człowieka, bo co on jest winien wobec aktualnego stanu rzeczy? Robi co mu kazali, zapewne zgodnie z obowiązującą kulturą organizacji czy zasadami, a na pewno w najlepszym własnym interesie, co powinno się przełożyć na „najlepszym interesie pracodawcy”. Ale tak nie jest.
Dlaczego? Znowu to pytanie. Czy ten sam człowiek kupi perfumy za połowę ceny na parkingu supermarketu od podejrzanie wyglądającego człowieka? Pewnie nie. A czy kupi te same, za tą samą cenę w internecie? Pewnie tak.
Dlaczego? Bo w rzeczywistości może dokonać oceny: sprzedającego, sytuacji, warunków i nabrac podejrzeń – ma do tego zdrowy rozsądek i zmysły, uczy się tej wiedzy od dziecka, tak samo jak przchodzenia przez ulicę – niektórzy nazywają to zasadą ograniczonego zaufania.
To dlaczego tej zasady nie stosuje w cyberprzestrzeni? A powinien? Dlaczego?
Od 15 lat conajmniej użytkownik jest szkolony z bezpieczeństwa informacji – o politykach (zasadach): haseł (muszą być), czystego biurka (chowaniu ważnych dokumentów), znowu haseł (powinny być silne- trudne do zapamiętania, a nawet wypowiedzenia), czarnego ekranu (wylogowania lub zablokowania komputera), kolejny raz haseł (powinny być unikalne i jak najdłuższe), a ostatnio nawet polityce nie klikania w linki i kasowania nieznanych maili. O efektach 15 lat tych wysiłków edukacyjnych można przczytać w tym artykule.
Może warto zacząć drugą rundę? Od podstaw:
Internet to tylko inna forma komunikacji i tak jak rozmowa w cztery oczy, przez telefon, faksem czy listownie ma swoje zasady bezpieczeństwa. Jedna jest wspólna – znaj swojego rozmówcę. Jeśli nie masz pewności, zpytaj kogoś komu ufasz, niech Ci pomoże. Im więcej osób zadaje pytania, tym więcej wątpliwości. Oszustwa z fałszywymi pieczęciami, pismami czy telefonami nauczyliśmy się rozpoznawać i im przeciwdziałać, ale te same sposoby użyte w majlu, sieci społecznościowej i przez komórkę już nie.
Dlaczego? Bo zapominamy, że bezpieczeństwo firmy, to głownie suma bezpiecznych postaw jej pracowników. Dodatkowo pracownik nie istnieje jedynie 8h+nadgodziny tylko 24. Jeśli chronimy pracownika pod kątem tych 8 godzin, to nawet jeśli trening jest skuteczny to obejmuje jedynie 1/3 czasu jego ekspozycji na kontakty z przestępcami, które w dobie internetu w smartfonach są o dowolnej porze i w dowolnym miejscu. Należy zatem przeszkolić pracownika kompleksowo, tak żeby nauczył się zasady ograniczonego zaufania, ochrony prywatności i bezpiecznych transakcji w cyberprzestrzeni, dla swojego prywatnego dobra.
Czy to wystarczy?
Nie. Może taki pracownik będzie w stanie zidentyfikować zagrożenie, ale co dalej? Kogo ma o tym poinformować, od kogo dostać specyficzne wskazówki dalszego postępowania? Bez wsparcia profesjonalnych obrońców – zespołu bezpieczeństwa i zarządzania ryzykiem bardzo trudno będzie reagować na kreatywność przestępców, oceniać ekspozycję na zagrożenia podczas rozwoju biznesu, zautomatyzować techologie odciążające ludzi od reakcji niemal na wszystko (spam, wirusy, strony phishingowe) i wiele więcej.
Czy to już wystarczy?
Jeszcze nie. Użytkownik i zespół obrońców niewiele będzie mógł w chaosie codziennych operacji i nieustalonych zasadach komunikacji i transakcji. Dopiero wola zbudowania zasad, standaryzacji i mechanizm oceny skuteczności stosowania tych zasad, przez wszystkich w firmie, w tym również zarząd, daje fundament bezpieczeństwa. Każdy powinien wiedzieć co mu wolno i w jaki sposób może komunikować się z innymi w firmie. Jasne zasady pozwalają na transparentność procesów, przez co trudniej je nadużyć.
Podsumowując: Trzy linie obrony, tworzące popularny model LOD są koniecznością jeśli poważnie chcemy potraktować opisany w artykule trend. Są to: świadomy pracownik, doświadczony i skuteczny zespół obrońców i niezależny audyt.
Opisany w artykule wycinek aktywności cyberrprzestępców jest możliwy do zminimalizowania, tak jak udało się zmniejszyć wpływ tradycyjnych oszustów. Jak to zrobić systematycznie i wg jakiegoś planu?

Można jak zwykle, samemu. Można wspólnie. My proponujemy wspólnie w ramach Inicjatywy Kultury Bezpieczeństwa, za darmo, publicznie i współcześnie. Więcej tutaj: https://www.facebook.com/Inicjatywa-Kultury-Bezpiecze%C5%84stwa-1478638835779103/

Popularne posty z tego bloga

[ECSM 2016] tydzień 1 - Bezpieczne finanse w sieci

Nie dać się "złośliwym organizmom"

Co łączy atak siłowy na hasło i dezynterie?