Jak zabezpieczyć swoje dane (i biznes) przed cyfrowym szantażem?
Jednym z najpoważniejszych cyberzagrożeń, nie tylko dla firm, ale każdego użytkownika internetu, jest ransomware – oprogramowanie, które szyfruje dane, żądając okupu za ich odblokowanie. Celem ataku z wykorzystaniem takiego oprogramowania może stać się każdy, i to więcej niż jeden raz. Jak wykazał raport Veeam Ransomware Trends 2023, w ciągu ostatniego roku ofiarą ransomware było nawet 85% przedsiębiorstw. Nie jest możliwe całkowite wyeliminowanie ryzyka, jednak wystarczy kilka prostych kroków, aby utrudnić przestępcom zadanie i chronić wrażliwe dane. Oto 10 zasad, które pomogą ustrzec się przed ransomware i innymi cyberzagrożeniami.
#1 Bądź sceptyczny i nie spiesz się
Przestępcy liczą na wykorzystanie pośpiechu i nieuwagi ofiary. Dlatego warto zwolnić i zachować czujność, aby uniknąć prostych błędów podczas korzystania z internetu. Jeśli otrzymana oferta handlowa lub wiadomość o promocjach brzmi zbyt dobrze, aby była prawdziwa, to prawdopodobnie tak właśnie jest. Oprogramowanie takie jak ransomware najczęściej rozsyłane jest z pomocą phishingu. Dlatego zawsze szukaj znaków ostrzegawczych, nie klikaj w nieznane lub podejrzane linki czy załączniki, nie odpowiadaj na wiadomości, których nie oczekujesz ani na te od nieznanych nadawców. Uważaj też na automatyczne podpowiedzi adresatów w e-mailach i opcję „odpowiedz wszystkim”, aby nie wysłać poufnych informacji do niewłaściwej osoby.
#2 Używaj silnych haseł
Złamanie hasła bazującego na dacie urodzenia czy imionach bliskich często zajmuje przestępcom zaledwie kilka sekund. Zasada jest prosta: im hasło dłuższe, tym silniejsze. Wykorzystuj części fraz lub zdań i ciągi znaków, aby tworzyć długie hasła, które łatwo jest zapamiętać, ale trudno odgadnąć.
#3 Zachowaj ostrożność w sieci
Wirusy i trojany mogą być ukryte także w wyglądających na bezpieczne i legalne witrynach internetowych, wiadomościach czy darmowych pakietach oprogramowania. Upewnij się, że masz zawsze włączony (i na bieżąco aktualizowany) program chroniący przed złośliwym oprogramowaniem. Korzystaj z bezpiecznych sieci: jeśli Wi-Fi nie jest szyfrowane, używaj VPN lub innej ochrony. Ważne i często odwiedzane strony warto zapisać w zakładkach przeglądarki, aby uniknąć ryzyka wejścia na fałszywe witryny. Pamiętaj też, że wszystko, co udostępniasz w mediach społecznościowych, staje się publiczne, niezależnie od ustawień prywatności.
#4 Zadbaj o bezpieczeństwo w podróży
Pamiętaj o bezpieczeństwie także poza biurem i w miejscach publicznych. Nie rozmawiaj o poufnych sprawach ani nie wpisuj wrażliwych danych, np. logowania w miejscach, w których inni mogą je zauważyć lub usłyszeć. Jeśli to możliwe, używaj ekranu prywatności i upewnij się, że wyświetlacz urządzenia nie jest widoczny dla osób postronnych. Nawet publicznie dostępne porty ładowania mogą stanowić ryzyko. Aby nie paść ofiarą tzw. juice jacking, czyli kradzieży informacji za pomocą publicznych portów USB, używaj własnego powerbanka.
#5 Zidentyfikuj swoje dane
Nie da się chronić wrażliwych danych, jeśli nie wiemy, gdzie one są przechowywane lub które informacje są poufne i powinny być zabezpieczone. Kluczowe jest rozpoznanie, jakie dane znajdują się na jakich urządzeniach, a następnie sklasyfikowanie ich pod kątem ważności. Na tej podstawie można ustalić, na których zasobach powinniśmy skupić uwagę w pierwszej kolejności.
#6 Chroń wszystkie inteligentne urządzenia
Urządzenia IoT stały się mini komputerami, które pozwalają sterować domem z poziomu smartfona. W dobie pracy zdalnej sprzęty prywatne używane są do pracy i odwrotnie. Rośnie więc ryzyko przechwycenia przez przestępców danych przesyłanych wewnątrz sieci. Dlatego, aby chronić wrażliwe informacje, powinniśmy zabezpieczać każde smart urządzenie podłączone do internetu. Upewnij się, że stosujesz oprogramowanie antywirusowe, silne hasła czy kontrolę dostępu do zasobów. Konieczna jest też zmiana domyślnych haseł ustawianych fabrycznie przez producentów urządzeń.
#7 Ogranicz dostęp do danych
Poufne dane nie powinny być dostępne dla osób trzecich. To zasada zarówno w życiu prywatnym, jak i zawodowym. Nawet jeśli ufasz zespołowi czy przyjaciołom, nie oznacza to, że każdy powinien mieć dostęp do wszystkich informacji. Zastanów się, kto ma wgląd w zasoby oraz urządzenia i ograniczaj dostęp tylko do koniecznego zakresu. Jeśli masz taką możliwość, korzystaj z uwierzytelniania wieloskładnikowego. Pomoże to chronić poufne informacje i zredukować potencjalne szkody w razie ich naruszenia.
#8 Reaguj i zgłaszaj
Nie ignoruj żadnego zagrożenia czy podejrzenia oszustwa. Zastanów się, czy wiesz co zrobić, gdy dane zostaną naruszone i kogo poinformować o incydencie. Wszelkie próby oszustwa warto zgłaszać w swoim banku oraz instytucjach takich jak CERT czy NASK. Jeśli zagrożenie dotyczy służbowego sprzętu czy skrzynki mailowej, kluczowe jest postępowanie zgodnie z firmowym planem zgłaszania incydentów związanych z cyberbezpieczeństwem. Im wcześniej zespół ds. bezpieczeństwa dowiaduje się o zagrożeniu, tym szybciej może na nie zareagować.
#9 Twórz kopie zapasowe swoich danych
Nawet jeśli posiadasz najlepsze zabezpieczenia, możesz stać się celem cyberataku i stracić dostęp do danych. Warto więc posiadać dodatkową ochronę i regularnie tworzyć kopie zapasowe zasobów. Pozwoli to szybko przywrócić dane i uniknąć bezpowrotnej utraty ważnych dokumentów czy zdjęć. Firmy powinny posiadać co najmniej trzy kopie ważnych danych na dwóch różnych rodzajach nośników. Przynajmniej jedna z nich powinna się znajdować w trybie offline, poza siedzibą firmy i być odizolowana od sieci lub niezmienialna. Ważne jest także upewnienie się, że kopie zapasowe zostały wykonane bezbłędnie (zasada 3-2-1-1-0).
#10 Bądź świadomy i edukuj innych
Cyberprzestępcy stale zmieniają swoje metody. Dlatego konieczne jest ciągłe aktualizowanie swojej wiedzy o zagrożeniach i regularne szkolenie pracowników w zakresie cyberhigieny, aby potrafili rozpoznać próby oszustwa i podejrzane incydenty. Nieświadomy użytkownik często okazuje się najsłabszym ogniwem w systemie zabezpieczeń, ale wyposażony w odpowiednią wiedzę, może też być jego ważną częścią.
Veeam
