Temat cyberbezpieczeństwa zyskuje na popularności, niestety ma to też związek z tym, że różnego rodzaju cyberataków jest coraz więcej i są coraz bardziej wyrafinowane. Jak się bronić, co warto wiedzieć, na co zwracać szczególną uwagę, zwłaszcza jeśli mamy na co dzień do czynienia z płatnościami i zleceniami? Przy okazji Europejskiego Miesiąca Cyberbezpieczeństwa, zebraliśmy kilka informacji z zakresu bezpieczeństwa w sieci, które przydadzą się nie tylko w dziale zakupów. Zapraszamy do lektury.
Cyberbezpieczeństwo – podstawowe informacje
Zanim przejdziemy do szczegółów, zacznijmy od uporządkowania informacji. Czy wiesz czym jest deepfake, fake news, scam, phishing, vishing, malware albo ransomware? A to tylko niewielki wycinek możliwości cyberprzestępców.
- Fake news to nic innego jak fałszywa wiadomość, zawierająca nieprawdziwe informacje, często sensacyjna i wzbudzająca zainteresowanie, publikowana w mediach.
- Deepfake to tworzenie fałszywych materiałów audio i wideo, często z wykorzystaniem sztucznej inteligencji, które wykorzystując wizerunek, a nawet głos znanej osoby, przekazują nieprawdziwe informacje.
- Scam to cała gama internetowych oszustw, w których przestępca najpierw wzbudza zaufanie, a następnie wyłudza pieniądze.
- Phising to fałszywe maile lub sms-y, w których oszust podszywa się pod znane odbiorcy osoby i próbuje wyłudzić dane lub pieniądze.
- Vishing to phishing w formie telefonu od znanej osoby.
- Malware to szkodliwe oprogramowanie, które infekuje komputer lub telefon (tak, telefony też są obiektami ataków)
- Ransomware to złośliwe oprogramowanie, które przejmuje kontrolę nad naszym komputerem, plikami bądź systemem i wymaga okupu za odblokowanie dostępu.
Rozwój technologii daje nam wiele możliwości, ułatwia pracę, pozwala się rozwijać, umożliwia to, co jeszcze kilka lat temu wydawało się niemożliwe. To jednak też miecz obosieczny, ponieważ to samo otwiera się przed cyberprzestępcami, a Ci skrupulatnie wykorzystują dostępne opcje.
Czasy, kiedy najczęstsze były próby oszustwa na kenijskiego (bądź innego) księcia, dającego spadek w milionach monet (najczęściej dolarów) za drobną (w porównaniu z tym wielkim spadkiem) kwotę na opłacenie prawnika, już minęły. Teraz wiadomości są pisane bardziej wiarygodnie, poprawnie językowo i – co trzeba szczególnie podkreślić – dopasowane do odbiorcy. To już nie są masowe maile wysyłane w ciemno, ale wiadomości przygotowane pod konkretne osoby.
Jak zadbać o cyberbezpieczeństwa w organizacji?
Po pierwsze warto stworzyć politykę bezpieczeństwa, która będzie zbierała kluczowe informacje na temat możliwych zagrożeń (i ja aktualizować, bo te się dynamicznie zmieniają), ale także wskazówki, co zrobić kiedy jesteśmy atakowani lub otrzymujemy podejrzane maile. Bardzo często pracownicy firm nie wiedzą, co w takich sytuacjach robić, komu to zgłaszać.
- Zadbaj, aby każdy nowy pracownik otrzymał informacje na temat zasad bezpieczeństwa w sieci, jeśli Twoja organizacja nie ma ich spisanych, wyjdź z inicjatywą, aby taki dokument powstał.
- Zanim klikniesz – sprawdź nadawcę wiadomości, a konkretnie adres, z jakiego została wysłana. Uważaj także na adresy, czy nie mają literówek (to popularna metoda stosowana na stronach wyłudzających informacje)
- Uważaj na załączniki, zwłaszcza jeśli nadawca jest nieznany. Często są one źródłem szkodliwego oprogramowania.
- Dbaj o aktualizacje oprogramowania, ponieważ bardzo często zawierają one poprawki zabezpieczeń, uwzględniające odkryte podatności bądź dziury w zabezpieczeniach programów.
- Zainstaluj oprogramowanie antywirusowe, które nie uchroni przed wszystkim, jednak jest istotną warstwą w zabezpieczeniu naszego komputera.
Klucz do wszystkiego – hasło
Wbrew nagłówkowi powyżej, mamy nadzieję, że nie masz jednego hasła do wszystkich systemów. Jakie powinno być dobre i silne hasło?
- Długie – co najmniej 12, a nawet 14 znaków, w tym duże/ małe litery, cyfry i znaki specjalne. Coraz częściej polecane jest także tworzenie haseł w postaci abstrakcyjnych zdań, typu: 2ZieloneSlonieTanczaZParasolkaNA4lapach!
- Unikalne – czyli w każdym systemie inne!
Unikaj swojego imienia, nazwiska, daty urodzin, imion dzieci i innych informacji, które potencjalnie łatwo można na Twój temat znaleźć w sieci. Jeśli tylko masz podejrzenie, że Twoje hasło wyciekło – natychmiast je zmień.
Jakie hasło nie powinno być? Tu podpowiedzią jest ranking opracowywany przez Nord Pass, pięć najczęstszych haseł w Polsce to[i]:
- 123456
- qwerty
- 123456789
- 12345
- zaq12wsx
Mamy nadzieję, że z nich nie korzystasz, a jeśli tak – to zmienisz je zaraz po zakończeniu czytania tego artykułu. Dobrą praktyką jest także korzystanie z wieloskładnikowego uwierzytelniania (np. 2FA) oraz menadżerów haseł. Wtedy musimy zapamiętać tylko jedno hasło i nie kusi nas, stosowanie go w kilku miejscach.
Cyberbezpieczeństwo w dziale zakupów i nie tylko
Weryfikuj zlecenia płatności, informacje o zmianie numeru konta, nowych fakturach – to bardzo częste sposoby wyłudzeń w firmach. Szczególnie w dziale zakupów, w którym zleceń i faktur jest bardzo dużo, jest presja czasu i nagle przychodzi wiadomość z pilną prośbą o płatność. Zawsze należy ją niezależnie zweryfikować.
Znane są przypadki wysłania zlecenia do działu księgowości „na prezesa” z wykorzystaniem bardzo wiarygodnie wyglądającego maila z fakturą, na której zgadzało się wszystko z wyjątkiem numeru konta bankowego. Lub wysłania faktury przez kontrahenta, który w rzeczywistości jeszcze jej nie wystawił. Dlatego tak ważne jest sprawdzanie źródła pochodzenia faktur, zwłaszcza od nowych kontrahentów i weryfikowanie zleceń, zanim wyjdzie płatność. To pozwala uchronić firmę przez naprawdę dużymi stratami.
Nowe możliwości daje oszustom także sztuczna inteligencja, z której coraz częściej korzystają. Wykorzystują nagrania z osobami publicznymi, bądź wizerunki dużych i znanych firm, namawiając do podejrzanych inwestycji lub wsparcia finansowego. Zanim taki materiał Cię przekona do wpłaty, sprawdź w kilku miejscach, najlepiej bezpośrednio na stronie danej firmy, czy taka zbiórka lub inwestycja są prowadzone.
Jak zgłaszać ataki bądź ich próby?
W pierwszej kolejności wewnątrz firmy – do odpowiedniego działu lub osób odpowiedzialnych za bezpieczeństwo. Należy także poinformować przełożonych oraz – jeśli dotyczy to np. faktury lub zlecenia od kontrahenta – firmę, która została wykorzystana. Z dużym prawdopodobieństwem mogło to być działanie masowe, skierowane do większej ilości firm, współpracujących z danym kontrahentem.
W zależności od skali może być także konieczność poinformowania policji.
Podejrzane sms-y można przekierowywać na bezpłatny numer 8080 (opcją „Przekaż/ Prześlij dalej” lub kopiując treść). Podejrzane maile lub fałszywe strony można zgłaszać także online do CERT Polska, który działa w strukturach NASK [ii]:
- Mailowo na adres [email protected]
- Poprzez formularz na stronie https://incydent.cert.pl
W ten sposób wspieramy walkę z cyberzagrożeniami i ograniczamy możliwości działania przestępców.
[i] Za: Anty Web, dostęp 23.10.2024 r.
[ii] Serwis Rzeczypospolitej Polskiej, dostęp 23.10.2024 r.
