O bezpieczeństwie w Internecie napisano już wiele, ale wciąż zbyt mało, aby ten temat wyczerpać. Istnieje bowiem wiele mitów, niedopowiedzeń i pytań bez odpowiedzi, a kiedy poszukujemy opisów rozwiązań, które warto zastosować, to znajdujemy jedynie bardzo skomplikowane i wręcz niemożliwe do zastosowania instrukcje.
To wszystko skutecznie zniechęca do zadbania o ten temat w małych i średnich firmach, a zwłaszcza wśród osób pracujących na zlecenie, którym nie postawiono szczegółowych wymagań dotyczących stosowanych zabezpieczeń informatycznych.
Dlatego też w niniejszym artykule skupimy się jedynie na praktycznych, możliwych do zastosowania od zaraz poradach, które będą przydatne dla tłumaczy i pracowników biur tłumaczeń, czyli osób, które:
- przetwarzają duże ilości danych tekstowych (często są to dane wrażliwe),
- komunikują się ze zleceniodawcami i zleceniobiorcami najczęściej poprzez e-mail i komunikatory internetowe,
- dokonują płatności internetowych i korzystają z oprogramowania dla tłumaczy (również chmurowego),
- wysyłają i otrzymują faktury e-mailem.
Będziemy przy tym przestrzegać reguły, która mówi, że zasady bezpieczeństwa powinny być możliwie najprostsze do przestrzegania, albowiem wiemy, iż tylko takie zasady działają.
Przyczyny wycieków danych
Popularne przekonanie, że internetowi włamywacze potrafią przełamać każde zabezpieczenia, często utwierdza użytkowników biznesowych w przekonaniu, że dbanie o bezpieczeństwo nie ma dużego znaczenia w dzisiejszych czasach. Tymczasem ataki skierowane są w IT raczej rzadkością, a o ich opłacalności możemy mówić dopiero przy bardzo wysokich (np. wielomilionowych) stawkach.
Najczęstszymi przyczynami wycieków danych są:
- Użytkownicy wysyłający poufne pliki związane z pracą na prywatne adresy poczty elektronicznej, np. aby dokończyć pracę w domu.
- Firmy pozwalające użytkownikom decydować kiedy szyfrowanie wskazanych danych jest konieczne, a kiedy nie, zamiast zautomatyzować ten proces.
- Powierzanie danych wrażliwych partnerom, którzy swobodnie wymieniają poufne dane z podwykonawcami, bądź po prostu nie dbają o zabezpieczenie otrzymanych materiałów, ponieważ umowa o współpracy nie jest w tym zakresie sprecyzowana.
Jeśli którykolwiek z powyższych punktów może Cię dotyczyć, ale nadal zaklejasz plastrem kamerkę w swoim laptopie, to zachęcamy do wdrożenia porad zawartych w dalszej części tego artykułu.
Zabezpieczenie danych składowanych lokalnie
Oczywiście najwięcej danych przechowujemy na komputerze “służbowym” (kto nigdy nie zapisał prywatnego pliku na służbowym komputerze, niech pierwszy usunie cydzysłów), najczęściej laptopie, którego zabieramy również w dalsze lub bliższe podróże, nie tylko służbowe. W końcu kiedy zachodzi potrzeba wysłania e-maila z niezbędnym w tej chwili plikiem, to po prostu to robimy, nawet jeśli właściciel kawiarni na pytanie o zabezpieczenie sieci i ostatnią aktualizację oprogramowania routera zareagował dziwnym grymasem.
Aktualizuj system i oprogramowanie
Najważniejszym i najprostszym zarazem sposobem na poprawienie bezpieczeństwa jakiegokolwiek systemu operacyjnego, jest włączenie automatycznych aktualizacji. Nieco trudniej jest przestrzegać tego zalecenia w codziennej pracy, kiedy to system informuje nas o konieczności restartu i aktualizacji akurat w momencie największego urwania głowy (użytkownicy Windowsa uśmiechają się teraz w myślach).
Niestety, te “irytujące” aktualizacje to najczęściej poprawki krytycznych błędów bezpieczeństwa, które w danym momencie są już publicznie znane i wykorzystywane przez automaty wyszukujące w sieci podatne maszyny. Choć najbardziej narażeni użytkownicy tego nie widzą, to walka z czasem trwa i często wyrażenie zgody na zainstalowanie aktualizacji następnego dnia rano decyduje o tym, czy Twoje dane pozostaną Twoje.
Zainstaluj i aktualizuj antywirusa
Oprogramowanie antywirusowe jest w zasadzie podstawowym sposobem zabezpieczenia komputera, ale w tym wypadku również decydująca jest częstotliwość aktualizacji. Warto także dodać, że wyłączanie oprogramowania antywirusowego, żeby “sprawdzić czy coś zadziała” jest jednym z najprostszych sposobów na ściągnięcie na siebie kłopotów.
Współczesne antywirusy zawierają zwykle bardzo dużo dodatków, np. wtyczki do popularnych przeglądarek, wersję dla smartfonów, zaporę sieciową czy skaner plików sieciowych. Dlatego też wybór odpowiedniego oprogramowania wymaga często dogłębnej analizy potrzeb i możliwości.
Zaszyfruj cały dysk twardy
Zaszyfrowanie dysku twardego może wydawać się bardzo zaawansowaną czynnością, ale w praktyce jest to dość proste. Poza tym wystarczy wykonać tę czynność raz i zapomnieć.
Użytkownicy systemów Mac OS i Linux mogą być spokojni - najprawdopodobniej mają już włączone pełne szyfrowanie dysku (wystarczy zatem sprawdzić). Użytkownicy Windowsa natomiast mogą skorzystać z narzędzia BitLocker (dostępny tylko w Windows Vista Enterprise, Windows Vista Ultimate, Windows 7 Ultimate, Windows 7 Enterprise, Windows Server 2008 oraz Windows Server 2008 R2, Windows 8 Pro, Windows 8 Enterprise oraz Windows 10 Pro, Windows 10 Enterprise) lub VeraCrypt (niezależne oprogramowanie).
Zaszyfrowanie dysku zapewnia ochronę w przypadku kradzieży komputera - nie tylko podczas włamania do biura, ale także kiedy przez roztargnienie zostawimy komputer w miejscu publicznym. Jeśli uważasz, że to Ci się nie przydarzy, to uprzedzamy, że statystyki mówią co innego - fizyczna kradzież sprzętu komputerowego zdarza się wciąż wielokrotnie częściej niż kradzieże przez Internet.
Zabezpiecz również smartfona
Często o bezpieczeństwie informatycznym mówimy wyłącznie w kontekście komputerów. Tymczasem w naszych telefonach mamy zwykle nie tylko dostęp do wszystkich skrzynek mailowych, ale także do firmowych plików w chmurze, czy “prywatnych” zdjęć (np. przedstawiających nasze ruchomości, nieruchomości, członków rodziny, znajomych, wraz z zapisaną lokalizacją GPS biura, domu, przedszkola czy szkoły, do której chodzą nasze dzieci).
Warto zatem poświęcić chwilę na zainstalowanie aplikacji antywirusowej również w telefonie, a także zwrócenie uwagi na instalowanie wyłącznie aplikacji pochodzących z autoryzowanych sklepów, które zostały sprawdzone i zatwierdzone przez twórców systemu. Wiele ataków jest skutecznie przeprowadzanych przez interfejs bluetooth, dlatego też warto przynajmniej przestawić go w tryb “niewidoczny” oraz nie zezwalać na parowanie z nieznanymi urządzeniami (a najlepiej po prostu wyłączać, gdy go nie używamy).
Dane w serwisach internetowych
Oczywiście najlepiej zabezpieczony komputer to taki, na którym nie korzystamy z Internetu i różnego rodzaju usług sieciowych. Jednak dla osób prowadzących działalność ten warunek nie jest możliwy do spełnienia. Dlatego też warto zadbać o rozsądny poziom bezpieczeństwa podczas korzystania z aplikacji internetowych tak, aby zminimalizować ryzyko wykradzenia hasła, a w razie przełamania zabezpieczeń u dostawcy - spać spokojniej.
Używaj dwuetapowego logowania
Zwykle logowanie do serwisu internetowego polega po prostu na podaniu loginu lub e-maila i hasła. Logowanie dwuetapowe polega na dodaniu jeszcze jednego kroku do tego schematu, wymuszającego dodatkowe potwierdzenie tożsamości osoby, która próbuje się zalogować. Może to być wiadomość SMS, przychodząca na numer telefonu podany (i potwierdzony) wcześniej przez użytkownika, lub podanie kodu z fizycznego urządzenia (albo z aplikacji w telefonie), które generuje kody dostępu na bieżąco. W coraz większej liczbie serwisów taki sposób logowania jest już możliwy - w niektórych bankach, w Gmailu, Facebooku, Amazonie, Allegro itd.
Warto włączyć dwuskładnikowe uwierzytelnianie tam, gdzie jest to możliwe, ponieważ wtedy nawet w sytuacji, w której osoba nieuprawniona pozna nasze hasło, to bez dostępu do naszego telefonu (lub innego urządzenia) i tak nie jest w stanie się zalogować.
Używaj unikalnych i silnych haseł
Popularny pogląd mówi o tym, że hasło powinno być długie i trudne, a żartobliwe obrazki w Internecie, które przedstawiają informatyków wpisujących swoje 32-znakowe hasła, zdają się to potwierdzać. Problem z długimi hasłami polega na tym, że przeciętny człowiek, który musi pamiętać o bardzo wielu różnych rzeczach, nie jest w stanie zapamiętać kilkunastu czy kilkudziesięciu długich haseł. Zatem najczęściej używa jednego, ale mocnego - takiego samego do banku, e-maila, Facebooka, LinkedIna czy do gry on-line, którą od czasu do czasu uruchamia dla zabicia czasu.
Niestety przy takim podejściu wyciek e-maila i powiązanego z nim hasła z jednego serwisu, pozwala włamywaczom, a nawet osobom postronnym, na sprawdzenie wszystkich innych popularnych serwisów - najczęściej przy pomocy skryptów, które automatycznie w krótkim czasie weryfikują czy uzyskane dane dostępowe nie pasują przypadkiem gdzieś indziej.
Znacznie ważniejsza niż długość hasła jest zatem jego unikalność - im bardziej unikalne dla każdego serwisu, tym lepiej. Warto zwrócić uwagę, że zmiana cyfry na końcu hasła nie wprowadza jeszcze skutecznego poziomu unikalności - algorytmy bardzo łatwo to rozgryzą.
Używaj managera haseł
Z tych samych powodów warto używać managera haseł, jak np. LastPass, KeePass, Bitwarden czy 1Password. Pozwalają one na zapamiętanie wszystkich haseł do usług internetowych w jednej bazie, chronionej hasłem głównym i automatyczne wpisywanie ich tam, gdzie to wymagane.
Istotną funkcją tego typu oprogramowania jest możliwość udostępniania haseł osobom, które również używają aplikacji tak, aby mogły się one zalogować do wybranych usług w naszym imieniu. Ciekawostka polega na tym, że hasło jest wpisywane w ich imieniu, dzięki czemu po prostu go nie poznają.
Oczywiście można się zastanawiać, co w przypadku wycieku hasła głównego z bazy dostawcy managera haseł. Przede wszystkim te bazy są zabezpieczone w lepszym stopniu niż wiele innych serwisów, a w przypadku wycieku zostaniemy niezwłocznie powiadomieni o konieczności zmiany haseł we wszystkich serwisach. Poza tym prawdopodobieństwo wykradzenia tego jednego hasła jest wielokrotnie mniejsze niż prawdopodobieństwo wycieku nieunikalnego hasła z wielu różnych serwisów.
Nie wpisuj haseł po kliknięciu w link z e-maila
Jednym z popularnych oszustw internetowych jest wysyłanie e-maili do użytkowników wybranego serwisu z prośbą o zmianę hasła - strona, na którą trafia użytkownik oczywiście tylko się pod ten serwis podszywa, a hasło wcale nie ulega zmianie, tylko trafia w ręce oszustów. Dlatego też wiele serwisów zrezygnowało z umieszczania linków w tego typu wiadomościach i zachęcają do samodzielnego wejścia na stronę.
Najłatwiej zapamiętać, że jeśli po kliknięciu w link w wiadomości ktokolwiek prosi nas o wpisanie hasła, to należy zachować ostrożność i przynajmniej bardzo dokładnie sprawdzić w pasku adresu przeglądarki czy rzeczywiście znajdujemy się tam, gdzie powinniśmy.
Sprawdzaj pasek adresu przeglądarki (HTTPS+URL)
Dobrym zwyczajem jest oczywiście każdorazowe zwracanie uwagi na pasek adresu przeglądarki i sprawdzanie czy strona, na którą trafiliśmy jest rzeczywiście tą, za którą się podaje. Przeglądarki różnie pokazują stosowany przez strony szyfrowany protokół komunikacji (HTTPS) - najczęściej jest to symbol kłódki obok adresu. Mało kto jednak wie, że w symbol kłódki można kliknąć i sprawdzić szczegóły certyfikatu, który został użyty do zabezpieczenia komunikacji. W ten sposób można sprawdzić czy został on rzeczywiście wydany np. dla banku, którego stronę właśnie odwiedzasz.
Oczywiście warto, aby strona używała HTTPS, ale nie należy traktować tego jako wyznacznika poziomu bezpieczeństwa danego serwisu. To, że komunikujemy się z daną stroną przy użyciu szyfrowanego protokołu to jeszcze nie znaczy, że dane, które na danej stronie wpiszemy, nie zostaną wykorzystane bez naszej wiedzy przez niepowołane osoby - znaczy to jedynie, że trafią w ich ręce w sposób bezpieczny.
Analogicznie, używanie nieszyfrowanego protokołu (HTTP) przez strony, na których nie wpisujemy żadnych ważnych danych (haseł, numerów kart kredytowych, adresu e-mail), nie powinno tych stron dyskwalifikować - samo zapoznawanie się z ich treścią nie spowoduje, że nasze dane zostaną w jakiś sposób wykradzione z używanego komputera.
Płatności
Mimo, że wydaje nam się, że płatności on-line to obecnie popularny standard, to jednak blisko 40% kupujących nadal obawia się korzystać z tego rodzaju możliwości i wolą zapłacić gotówką przy odbiorze. Problemem jest zapewne brak zaufania do konkretnych serwisów internetowych oraz nieznajomość statystyk i regulacji prawnych, ponieważ płatności internetowe mogą być (nie wszystkie i nie zawsze, ale mogą być) znacznie bezpieczniejszym sposobem zapłaty za towary i usługi niż płatności gotówkowe.
Płać tylko kartą kredytową przez Internet
Istnieje wiele sposobów płatności on-line, tzw. szybki przelew, polski BLIK, płatności kartowe i wiele innych, ale to właśnie płatność kartą jest najbezpieczniejszym sposobem - z dwóch istotnych powodów, które wyróżniają ją na tle pozostałych.
Po pierwsze, korzystanie z kart pozwala - w razie gdyby okazało się, że zostaliśmy oszukani - na skorzystanie z procedury “chargeback” operatora karty (jak Visa czy MasterCard), zamiast procedury bankowej. Procedury operatorów są najczęściej prostsze i szybsze, niż te bankowe.
A po drugie - dzięki użyciu karty kredytowej - nie płacimy własnymi środkami, tylko korzystamy z kredytu, który przez określony czas pozbawiony jest odsetek. Dzięki temu - w przypadku kradzieży - nie zamrażamy naszych środków, z których możemy niezależnie korzystać w oczekiwaniu na zwrot środków na kartę.
Podawaj dane do płatności tylko na stronach godnych zaufania
Oczywiście w idealnym świecie korzystamy zawsze z tych samych, zaufanych stron i płacimy tymi samymi, dobrze znanymi sposobami. Nie żyjemy jednak w próżni i od czasu do czasu trzeba podać dane do płatności na stronie, której wcześniej nie znaliśmy.
Oprócz omówionego już upewnienia się, że strona używa protokołu HTTPS (symbol kłódki na pasku adresu) i adres strony zgadza się z logotypem, warto sprawdzić także czy strona jest wykonana rzetelnie - nie zawiera błędów, literówek, nie została maszynowo przetłumaczona na wiele języków, a jej grafika wygląda profesjonalnie. Wyskakujące ciągle popupy reklamowe i wolne działanie serwera również powinny wzbudzić naszą czujność. Natomiast absolutną podstawą jest możliwość łatwego znalezienia pełnych danych firmy i regulaminu strony.
Warto także pamiętać, że strony mogą pytać o numer karty płatniczej, jej datę ważności i kod na odwrocie karty, ale nigdy nie powinniśmy ujawniać kodu PIN czy hasła do bankowości internetowej.
Bezpieczna wymiana danych
Komunikacja i wymiana danych w Internecie zasługuje na oddzielny rozdział nie tylko ze względu na skalę (wysyłamy i odbieramy gigantyczne ilości danych), ale także ze względu na duże pole do nadużyć.
Uważaj na wiadomości od nieznajomych
Mało kto wie, że e-mail, który nie został do końca zaprojektowany do tego celu, do którego używamy go dziś, bardzo łatwo spreparować tak, aby wskazywał na dowolnego nadawcę. Twórcy serwerów pocztowych stworzyli co prawda bardzo wiele mechanizmów, które pozwalają z dużą dozą prawdopodobieństwa sprawdzić czy wiadomość pochodzi rzeczywiście od tego nadawcy, na którego wskazuje, ale nie każdy serwer nadawczy ma wszystkie te mechanizmy wdrożone i nie każdy serwer odbiorczy jest tak skonfigurowany, aby tego sprawdzenia dokonać i odpowiednio to użytkownikowi zasygnalizować.
W przypadku e-maila niestety najbezpieczniej jest założyć, że dopóki wiadomość nie jest podpisana cyfrowo lub zaszyfrowana kluczem asymetrycznym, to może ona pochodzić od dowolnego nadawcy.
Wielu ludzi uważa też, że nie muszą dbać o dobrej jakości hasło w przypadku serwisów społecznościowych, jak Facebook, Twitter czy Nasza Klasa, ponieważ nie są dla nich istotne. Niestety cierpią na tym ich znajomi, ponieważ w sieci istnieje wiele automatów, które metodą prostego wpisywania najpopularniejszych haseł “włamują” się na kiepsko zabezpieczone konta, skąd wysyłają w sposób półautomatyczny wiadomości do wszystkich znajomych, które najczęściej pod pretekstem szybkiej, drobnej pomocy, doprowadzają w rezultacie do włamania np. do konta bankowego ofiary, która do końca jest przekonana, że rozmawia ze znajomym.
Zatem jeśli jakakolwiek wiadomość - bez względu na medium - budzi Twoje wątpliwości, spróbuj skontaktować się z nadawcą inną drogą (np. SMS-em), aby potwierdzić jego tożsamość.
Nie pobieraj i nie otwieraj wszystkich załączników
Dla tłumaczy i pracowników biur tłumaczeń e-mail jest jednym z podstawowych narzędzi pracy, a załączniki do wiadomości przedmiotem głównego zainteresowania. Jednak nie wszystkie wiadomości, które otrzymujemy, są zapytaniami o wycenę, zleceniami, materiałami do tłumaczenia, tak samo, jak nie wszystkie otrzymane załączniki są bezpieczne.
Jeżeli używamy klienta poczty instalowanego na komputerze (jak np. Outlook, Thunderbird), to najczęściej wszystkie wiadomości pobierane są z serwera wraz z załącznikami - bez względu na to czy załączniki te stanowią dla nas zagrożenie, czy też nie. Liczymy zatem wyłącznie na oprogramowanie antywirusowe (oby aktualne), które powinno w porę zareagować i przynajmniej poddać taki plik kwarantannie lub od razu usunąć go z dysku. W praktyce niestety nie zawsze się tak dzieje, choćby dlatego, że nie zawsze dostawcy oprogramowania antywirusowego nadążają z wypuszczaniem odpowiednich aktualizacji bazy wirusów.
Aby zminimalizować ryzyko wystąpienia tego zjawiska, bezpieczniej jest używać klientów przeglądarkowych, prawie zawsze dostępnych u dostawców poczty e-mail, co przynajmniej spowoduje, że będziemy pobierać wyłącznie załączniki z wiadomości, co do których nie mamy podejrzeń.
Dodatkowo, niektórzy dostawcy poczty e-mail (np. Gmail) używają bardzo dobrych skanerów antywirusowych i emitują czytelne komunikaty w przypadku każdego, nawet mało prawdopodobnego zagrożenia.
Wyjściem w tej sytuacji może być także używanie oprogramowania Mantreo, do którego można podłączyć wszystkie firmowe skrzynki e-mail (ogólne i indywidualne) tak, aby automatycznie pojawiały się w systemie - wtedy w ogóle eliminujemy konieczność pobierania załączników na dysk twardy komputera i otwierania ich.
Nie korzystaj z nieznanych punktów dostępowych do sieci
W dobie rozpowszechnionego szyfrowania komunikacji internetowej (HTTPS), korzystanie z publicznych, nieszyfrowanych sieci bezprzewodowych nie jest już tak niebezpieczne, jak kiedyś, ale i tak warto tego unikać. Pamiętajmy, że łącząc się z nieznaną sobie siecią - bez względu na to czy przewodową czy bezprzewodową - nigdy nie wiemy jak ta sieć jest skonstruowana i czy jej twórcy mieli krystalicznie czyste zamiary.
Jeśli zatem często podróżujesz i łączysz się z siecią z hoteli, kawiarni czy sal konferencyjnych, to rozważ użycie do tego celu swojej sieci komórkowej. Prawie każdy współczesny smartfon posiada możliwość udostępnienia komórkowego łącza internetowego (tzw. “hotspot”) jako zabezpieczone, prywatne Wi-Fi, a prędkości sieci komórkowych i limity nakładane na jej użytkowników pozwalają obecnie na swobodne wykorzystanie tego bezpiecznego sposobu dostępu do Internetu.
Oczywiście alternatywą może być korzystanie z wszelkiego rodzaju VPN-ów, tutaj jednak konfiguracja może nastręczać początkującym użytkownikom pewnych trudności. Niemniej jest to również bezpieczny sposób na połączenie z Internetem z nieznanej sobie sieci.
Aktualizuj oprogramowanie w routerze/switchu
Najczęściej traktujemy sprzęt sieciowy jako “skonfigurować i zapomnieć”. Tymczasem router, który najczęściej podpinamy w punkcie styku z siecią operatora tak, aby dystrybuował sieć przewodową i bezprzewodową w naszym biurze lub domu, jest również punktem, przez który ewentualni intruzi mogą dostać się do całej naszej sieci z zewnątrz. Z pewnością zatem warto należycie o niego dbać. Jak? Oczywiście odpowiednio konfigurując, ale także aktualizując oprogramowanie na bieżąco.
Producenci routerów wypuszczają aktualizacje oprogramowania swojego sprzętu za każdym razem, kiedy ujawniona zostaje luka bezpieczeństwa lub podatność. Aby nie zostały one wykorzystane przeciwko nam, warto co jakiś czas sprawdzać czy w naszym routerze nie możemy przeprowadzić odpowiedniej aktualizacji.
Bezpieczeństwo to proces, nie stan
Gorąco zachęcamy do zebrania opisanych tutaj sposobów w jeden krótki dokument, który można wręczyć każdemu nowemu pracownikowi, podwykonawcy lub zleceniobiorcy tak, aby zasygnalizować, że dbałość o kwestie bezpieczeństwa informatycznego jest w Waszej firmie istotna, ale także aby przynajmniej ograniczyć do minimum ryzyko ewentualnej utraty danych czy dostępu do nich.
Warto także zwrócić uwagę na to, że opisane tutaj sposoby dotyczą zwykle nie jednorazowej akcji, ale zorganizowanego działania o charakterze ciągłym. Aby bowiem zapewnić bezpieczeństwo informatyczne w firmie, najlepiej jest uczynić z tego zwyczaj, czyli okresowo weryfikować przestrzeganie ustalonych procedur i sposobów postępowania, a także wprowadzać kolejne poprawki, albowiem informatyka rozwija się w bardzo szybkim tempie, a wraz z nią zmieniają się prawdopodobne zagrożenia i słabe punkty oprogramowania i usług sieciowych.
Komentarze