Bezpieczeństwo IT w praktyce
Narzędzia zapewniające spokój przedsiębiorcy
Problem zapewnienia bezpieczeństwa IT rośnie wraz z przedsiębiorstwem, ale występuje w każdej firmie gdzie przetwarza się informacje o krytycznym znaczeniu dla jej funkcjonowania. Dotyczy również na znacznym obszarze osób prywatnych.
Bardzo trudno mówi się o bezpieczeństwie, nikt nie lubi negatywnych skojarzeń, odsuwamy myśl że coś się może zdarzyć.
Druga kwestia to funkcjonalność i wygoda użytkownika. W większości przypadków jest wygodnie lub bezpiecznie. A my po prostu wolimy mieć wygodnie i szybko.
Z bezpieczeństwem IT jest trochę tak jak z zasadami zdrowego życia (nie zawsze jest determinacja i wola aby je przestrzegać).
W przypadku przedsiębiorstw (w zależności od skali działania) potrzebne są również nakłady finansowe na infrastrukturę (np. urządzenia sieciowe), oprogramowanie. A w dość znacznej części firm IT jest traktowane tylko jako centrum kosztów.
Należy jeszcze zauważyć, że niestety zbyt często najsłabszym ogniwem systemów IT jest człowiek, który przykładowo może dać się złapać na tanią socjotechnikę. „Łamałem ludzi, a nie hasła” to podtytuł książki autorstwa Kevina Mitnick’a, mówi on wystarczająco dużo:
http://helion.pl/ksiazki/sztuka-podstepu-lamalem-ludzi-nie-hasla-wydanie-ii-kevin-d-mitnick-william-l-simon,artde2.htm
Zasady dotyczące haseł
Ktoś powie znowu te hasła. Można się zirytować. Tak, ale w większości jest to podstawowe i jedyne zabezpieczenie dostępu często do poufnych i strategicznie ważnych informacji. Wyjątek stanowi dwuskładnikowe uczytelnienie np. za pomocą SMS kodu (np. do poczty Gmail) lub certyfikatu (np. w kluczu USB), ale te technologie stosowane są niestety rzadziej i mogą zostać uznane za drogie lub mniej wygodne.
Wróćmy zatem do haseł. Kazdy użytkownik musi mieć swoje konto (w opisie zawierające imię i nazwisko) i oczywiście swoje hasło. Dzielnie się kontem i hasłem jest niedozwolone!
Hasło oczywiście musi być wystarczająco mocne (najlepiej zawierające litery cyfry, znaki specjalne).
Ciekawe dość narzędzie do pokazania ile czasu jest potrzebne, aby złamać hasło, opublikowała na swoich stronach firma Intel (możecie sprawdzić tam swoje hasło):
https://www-ssl.intel.com/content/www/us/en/forms
Należy stosować inne hasła w różnych systemach, w zależności od ich znaczenia. Inne np. do bazy wiedzy, czy forum internetowego, inne do bankowości elektronicznej, a jeszcze inne do naszego komputera.
Jak to wszytko zapamiętać. Tylko w specjalnym programie typu portfel do haseł
KeePass Password Safe (darmowe!) http://keepass.info/
Szczegółowo sposób użycia narzędzie znajdziecie tutaj:
https://pieleszek.pl/wp-content/uploads/2015/01/keepass_v2.pdf
Inne narzędzia tego typu:
1password https://agilebits.com/onepassword
LastPass https://lastpass.com/
W większych podmiotach gospodarczych warto pomyśleć o centralnym zarządzaniu uprawnieniami w postaci np. usługi katalogowej Active Directory (Windows Server 2012 R2), która zapewni centralne zarządzanie uprawnieniami do większości systemów wykorzystywanych w firmie oraz wymusi centralną polityką między innymi złożoność haseł i konieczność okresowej zmiany.
https://www.microsoft.com/pl-pl/server-cloud/products/windows-server-2012-r2-essentials/
Fundamentalnie ważne jest, że na stacji roboczej nie pracujemy z uprawnieniami administratora, w razie pojawienia się zagrożenia, sprzyja to łatwemu działaniu szkodliwego oprogramowania w naszym systemie. Osobno uwierzytelniajmy się na konto administratora (w menu kontekstowym jest dostępna opcja: uruchom jako administrator).
Certyfikaty ssl, bezpieczeństwo haseł używanych na stronach www
Powinniśmy starać się odwiedzać tylko wiarygodne strony www. Fundamentalną rzeczą jest to, że trzeba uważać komu powierzamy swoje hasła w Internecie, czy witryna jest wiarygodna i zabezpieczona certyfikatem ssl i używa szyfrowanego protokołu https (a nie zwykłego http)
Certyfikaty SSL różnią się sposobem udostępniania informacji o właścicielu witryny. Najdroższe i najbardziej zaawansowane, identyfikują go w wierszu adresu przeglądarki. Używają ich miedzy innymi banki i inne instytucje finansowe. Przegląd certyfikatów znajdziecie na stronie poniżej:
https://ssl.certum.pl/certyfikaty/certy,oferta_porownanie_certyfikatow_SSL.xml
Trzeba pamiętać o tym, że łącząc zwykłym protokołem http, nasz login i hasło może w każdej chwili zostać przejęty przez przestępców internetowych (np. „podsłuchany” specjalnym oprogramowaniem w sieci). Czy witryna, na którą się logujemy ma właściwy certyfikat SSL? Jak to sprawdzić? W wierszu adresu przeglądarki jest ikona z kłódką, w którą można kliknąć. We właściwościach certyfikatu możemy sprawdzić kto go wystawił, czy domena dla której został wystawiony jest zgodna z nazwą witryny z którą łączymy się.
Odwiedzanie stron WWW, adware, malware
W trakcie odwiedzania stron WWW, a szczególnie instalacji oprogramowania z niesprawdzonych źródeł do naszego komputera (szczególnie wtedy, kiedy serfujemy z prawami administratora, czego nie powinniśmy nigdy robić) na naszym komputerze może zostać zainstalowane niepożądane oprogramowanie. Możemy je pobrać i zainstalować świadomie z oprogramowaniem pobranym z sieci, które uznamy za wiarygodne. Podmienia ono domyślną wyszukiwarkę, strony startowe we wszystkich przeglądarkach i inne ustawiania systemu. Przy otwarciu przeglądarki pojawią się niechciane reklamy w ilości przyprawiającej o ból głowy… W takich przypadkach należy użyć narzędzia AdwCleaner:
http://www.dobreprogramy.pl/AdwCleaner,
AdwCleaner skutecznie usunie niepożądane oprogramowanie z różnych zakamarków systemu.
Aby uniknąć instalacji zbędnego lub złośliwego oprogramowania należy:
– pobierać programy tylko z zaufanych witryn (np. znanych portali z oprogramowaniem),
– podczas instalacji należy bacznie zwracać uwagę, na elementy które są przeznaczone do instalacji, często domyślnie instalują się np. niepotrzebne paski narzędzi, zawsze można odznaczyć odpowiednie pola wyboru,
– należy mieć pakiet antywirusowy (security) z opcję antymalware (wykrywająca niepożądane oprogramowanie).
Monitowanie dostępów do zasobów informacyjnych
Wydaje się, że powszechna wśród przedsiębiorców jest wiedza o tym że nie każdy pracownik powinien mieć dostęp do wszystkich informacji. Wiedzieć, a realizować to czasami niestety dwie różne rzeczy. Informacje np. na temat umów, cen zakupu, dostawców i inne powinny być mocno chronione.
Dostęp do tych informacji powinien być co jakiś czas audytowany (sprawdzany).
Jeżeli firma posługuje się systemem typu ERP (do zarządzania sprzedażą, magazynem, zaopatrzeniem) należy zadbać o konfigurację odpowiednich profili autoryzacyjnych.
W systemie Windows Server oraz na stacji roboczej, używany jest system plików NTFS, w którym jest możliwość w zasadzie dowolnego różnicowania uprawnień. Dostępne są również narzędzia audytowania w bardzo przejrzysty i prosty sposób kto ma dostęp do zasobów. Przykładem może być NTFS PERMISSIONS REPORTER
http://www.cjwdev.co.uk/Software/
NtfsReports/Info.html
Staranne zarządzanie dostępem i jego audytowanie, gwarantuje to ochronę dostępu do danych strategicznych dla firmy i dostęp tylko przez osoby uprawnione przez osoby zarządzające firmą.
Bezpieczeństwo poczty elektronicznej
Wielka pułapka tkwi w SPAMIE, który może być niechcianą ofertą, informacją z firmy kurierskiej, banku. Informacja zachęca do odwiedzenia strony (link jest oczywiście częścią wiadomości), gdzie komputer może pobrać szkodliwe oprogramowanie, udające np. oprogramowanie antywirusowe; podania w formularzu internetowym swoich danych dotyczących konta bankowego, loginów, haseł.
Nie można otwierać automatycznie wiadomości, których nie spodziewaliśmy się. Ostrożność w tym zakresie gwarantuje ochronę przed stratami wynikającymi z ujawnienia dostępu do platform handlu elektronicznego lub systemów bankowości elektronicznej, dysków komputera, książki adresowej.
W przypadku wątpliwości, można dokładnie sprawdzić z jakiego adresu (serwera pocztowego) naprawdę wyszła wiadomość. Należy dostać się do źródła wiadomości (w różnych aplikacjach może być to trochę inaczej realizowane, stosowne instrukcje można wyszukać w Internecie) i odczytać adresu IP z którego wiadomość była wysłana.
Następnie adres można zweryfikować w serwisach:
https://www.ripe.net/
http://who.is/
Więcej na temat problemu poszywania na stronie:
https://pieleszek.pl/problem-podszywania-sie-co-to-takiego/
Crypto Locker – Cyberszantaż
W niektórych przypadkach konsekwencje „klikania” w maile, które zostały przysłane przez cyberprzestępców mogą szybko sparaliżować prace firmy, a przedsiębiorcę narazić na cyberszantaż. Jak działa to zagrożenie? Po otrzymaniu maila podszywającego się np. pod firmę kurierską i otwarciu załącznika np. *.exe (mimo to, że nie jest to jeno kliknięcie zdarza się dość powszechnie, że użytkownicy otwierają te załączniki) wszystkie informacje na dysku (do których ma dostęp konto użytkownika) zostają zaszyfrowane. Przestępcy żądają okupu za odszyfrowanie danych.
Jedynym wyjściem z tej sytuacji jest odzyskanie danych z kopii zapasowej lub próba odzyskania z dysku usuniętych plików przy pomocy specjalistycznego oprogramowania (nie zawsze zadziała). Druga opcja jest możliwa ze względu na to, że mechanizm kopiuje każdy plik i szyfruje go, a oryginał kasuje. Jeżeli opcji dyskowych nie było zbyt dużo, można próbować odzyskać te pliki.
Informacje w Internecie na temat przypadków podszywania się pod różne firmy:
http://www.bankier.pl/wiadomosc/Uwazaj-na-oszustow-podszywajacych-sie-pod-DHL-7258682.html
http://www.tvp.info/20160063/twoje-info/kolejne-oszustwa-w-internecie-uwaga-na-falszywe-wiadomosci-od-dhl/
http://niebezpiecznik.pl/post/falszywe-maile-od-poczty-polskiej-zaszyfruja-ci-dysk/
Oprogramowanie antywirusowe
Pierwsze zagadnienie jakie nam przychodzi ma myśl, w obszarze bezpieczeństwa, dlatego być może pojawia się dopiero teraz. Oczywiście jest obowiązkowe i zawsze musi być aktualne. Dobór oprogramowania najlepiej wykonać w oparciu o niezależne rankingi skuteczności. Obowiązuje bezwzględnie zasada, że wersje instalacyjne zawsze pobieramy z zaufanego źródła. Polecane są pakiety oprogramowania typu Internet Security, jest najlepsza ochrona podczas surfowania, kupowania i korzystania z bankowości online.
Zapewniają one:
– automatyczną ochronę przed wirusami, złośliwym oprogramowaniem i zagrożeniami w Internecie,
– pomagają w bezpiecznym korzystaniu z Internetu dzięki Ochronie przeglądania
– bezpieczniejsze wyniki wyszukiwania zapewniająochronę prywatności
– dodatkowa ochrona bankowości internetowej.
http://www.av-comparatives.org/
https://www.av-test.org/en/antivirus/business-windows-client/
https://www.virusbtn.com/index
W większych firmach konieczne jest monitorowanie aktualizacji zabezpieczeń. Przykład takiego narzędzia:
http://www.mcafee.com/us/products/epolicy-orchestrator.aspx
Aktualizacje oprogramowania
Kolejnym krytycznym czynnikiem jest aktualizacja oprogramowania. Nowoczesne systemy operacyjne wymuszają włączenie automatycznych aktualizacji. I nigdy nie powinniśmy zmieniać tych ustawiań. Aktualizacje chronią w znacznym stopniu nasz komputer przed zagrożeniami, które ewoluują i wykorzystują często pojawiające się podatności systemów operacyjnych i innego oprogramowania. W większych podmiotach to zarządzania aktualizacjami jest scentralizowane.
http://windows.microsoft.com/pl-pl/windows/windows-update
https://technet.microsoft.com/pl-pl/library/cc720481(v=ws.10).aspx
Aktualizacja i bezpieczeństwo serwisów WWW na przykładzie WordPress CMS
WordPress jedna z najbardziej rozpowszechnionych platform na których można zbudować serwis internetowy z wieloma funkcjonalnościami przydatnymi w biznesie. Ze względu na otwartość i tym samym powszechną znajomość kodu, należy go tak wdrożyć, aby go można było systematycznie aktualizować. Dla zwiększenia bezpieczeństwa zaleca się wdrożenie następujących wtyczek:
– Akismet – podstawa chroni fora przed spamem, http://akismet.com/
– Sweet Captcha – dodatkowe zabezpieczenie panelu administracyjnego, http://sweetcaptcha.com/
– UpdraftPlus – Backup/Restore – wtyczka do backupów, https://wordpress.org/plugins/updraftplus/
– Wordfence – blokuje skutecznie ataki m.in. na mySQL (odczytywanie haseł z bazy), https://wordpress.org/plugins/wordfence/
Firewall wyłączenie zbędnej komunikacji
Bezpieczne ustawienie firewall ma znaczenie szczególnie przy łączeniu się z Internetem, karta sieciowa przy pomocy której jest to realizowane (np. bezprzewodowa) powinna się łączyć z Internetem jako siecią Publiczną. W profilu Publiczny, można dodatkowo zadbać o wyłączenie zbędnej komunikacji. Szczegóły konfiguracji zapory w systemie Windows 8.1:
http://windows.microsoft.com/pl-pl/windows-8/windows-firewall-from-start-to-finish
Szyfrowanie komputerów przenośnych i stacjonarnych na przykładzie systemu Windows 8.1 Pro
Według serwisu http://niebezpiecznik.pl/ (10 porad bezpieczeństwa), jedną z pierwszych czynności chroniących nasze dane jest zaszyfrowanie całego dysku. Chroni przed nieuprawnionym dostępem do danych, np. na skutek kradzieży lub w sytuacji, w której zostawiłeś sprzęt bez opieki np. w hotelowym pokoju. Dla posiadaczy komputerów firmowych wyposażonych w Windows 8.1 Professional, najszybciej dostęp do technologii szyfrowania możliwy jest z użyciem narzędzia jest BitLocker.
Instrukcja konfiguracji dostępna jest na stronie:
https://pieleszek.pl/wp-content/uploads/2015/01/Szyfrowanie-dysk%C3%B3w-BitLocer_v2x.pdf
Szyfrowanie . urządzeń przenośnych na przykładzie sytemu Android
W przypadku utraty urządzenia przenośnego lub jego dostania się w ręce niepowołanej osoby (np. w pokoju hotelowym), jednym sposobem na ochronę cennych kontaktów i innych informacji biznesowych jest uprzednie zaszyfrowanie urządzenie.
Instrukcja krok po kroku:
https://pieleszek.pl/wp-content/uploads/2015/01/Szyfrowanie-telefonu-Android_v2.pdf
Dostęp do Internetu poza biurem (mieszkaniem)
W przypadku kiedy masz wrażliwe i cenne (dosłownie) dane korzystaj z własnej sieci wi-fi (Wi-Fi Protected Access). Pamiętaj zawsze, aby w swoim urządzeniu przenośnym, które będzie udostępniało Internet o włączeniu szyfrowania sieci (WPA2). Ukryj ID sieci, jeżeli oprogramowanie Twojego telefonu daje taką możliwość. Krótką instrukcję, jak to zrobić można znaleźć w Internecie:
http://www.t-mobile-trendy.pl/artykul,4571,
Korzystanie z Internetu poza biurem VPN
Czasami zdarza się, że musimy korzystać z sieci publicznej WI-FI. W takim przypadku bezwzględnie zalecane jest, aby połączyć się z zaufanym usługodawcą szyfrowanym łączem VPN (Virtual Private Network) i przy pomocy jego serwisu wyjść do Internetu. Ochroni nas to przed możliwością „podsłuchania” poufnych informacji w sieci publicznej (hotel, restauracja).
Ranking tego typu usług:
http://www.vpnranks.com/
Polis dostawca VPN:
http://vpnonline.pl/konfiguracja
Kopie zapasowe danych
Awaria sprzętowa dysku, przypadkowe usunięcie danych, zaszyfrowanie dysku przez złośliwe oprogramowanie, to przyczyny dla których, może dojść do utraty koniecznych dla funkcjonowania firmy danych.
Ochrona przed stratami, nawet kilku tysięcy złotych (jest to cena odzyskiwania danych w specjalistycznej firmie), to wręcz obowiązkowe działanie przedsiębiorcy. W przypadku braku możliwości szybkiego odzyskania danych i przywrócenia działania naszych systemów, możemy być zmuszeni do zaprzestania działalności na dłuższy czas, a wtedy straty mogą być trudne do policzenia.
O zabezpieczeniu danych na pojedynczym komputerze, np. u właściciela małej firmy można przeczytać:
https://pieleszek.pl/wp-content/uploads/2015/01/SyncBack-Free-Backup-Software.pdf
http://www.2brightsparks.com/freeware/freeware-hub.html
Bardziej zaawansowane systemy backupu (dobrane w zależności od skali działania podmiotu gospodarczego):
http://www.altaro.com
http://www.veeam.com/
Inwentaryzacja oprogramowania
Kolejny obszar bezpieczeństwa IT to ochrona przed stratami finansowymi wynikającymi z instalacji przez pracowników nielegalnego oprogramowania lub ściągnięcia z Internetu nielegalnych treści (np. filmów, muzyki). Odpowiedzią dla większości firm jest Spiceworks IT. Łączy w sobie cechy helpdesku, administracji i monitoringu sprzętu i oprogramowania. Możemy za jego pomocą sprawdzić problemy komputerów w sieci lokalnej, monitorować stacje robocze, routery, drukarki i wszystkie inne, posiadające IP urządzenia, wraz z uzyskiwaniem informacji o zainstalowanym na nim oprogramowaniu i łatkach. http://www.spiceworks.com/
Kasowanie danych z nieużywanych komputerów / dysków
Kolejną strategicznie ważną rzeczą jest zwrócenie uwagi na nośniki informacji, komputery wycofywane z użytku, często sprzedawane na rynku wtórnym lub oddawane firmie leasingowej.
W takich przypadkach należy zadbać o bardzo skrupulatne kasowanie danych z dysku. Oczywiście operacja, którą w potocznym rozumieniu nazywamy kasowaniem , tak naprawdę zaciera tylko ścieżki do informacji, które w dość łatwy sposób można odzyskać, przy pomocy specjalnego oprogramowania.
Kasowanie należy przeprowadzić przy pomocy specjalistycznego oprogramowania (trwa to długo). W trakcie takiej operacji sektory na dysku są wielokrotnie nadpisywane. W celu realizacji tego zadania możemy sięgnąć po darmowe oprogramowanie:
http://www.diskwipe.org/
Kasowanie danych z nieużywanych komputerów / dysków
Kolejną strategicznie ważną rzeczą jest zwrócenie uwagi na nośniki informacji, komputery wycofywane z użytku, często sprzedawane na rynku wtórnym lub oddawane firmie leasingowej.
W takich przypadkach należy zadbać o bardzo skrupulatne kasowanie danych z dysku. Oczywiście operacja, którą w potocznym rozumieniu nazywamy kasowaniem , tak naprawdę zaciera tylko ścieżki do informacji, które w dość łatwy sposób można odzyskać, przy pomocy specjalnego oprogramowania.
Kasowanie należy przeprowadzić przy pomocy specjalistycznego oprogramowania (trwa to długo). W trakcie takiej operacji sektory na dysku są wielokrotnie nadpisywane. W celu realizacji tego zadania możemy sięgnąć po darmowe oprogramowanie:
http://www.diskwipe.org/
Podsumowanie
Zamiast podsumowania ciekawy artykuł na temat bezpieczeństwa z blogu Google