© BizNews. Wszelkie prawa zastrzeżone

  • Home
  • Technologia
  • Cyberbezpieczeństwo w małej firmie – od czego zacząć

Cyberbezpieczeństwo w małej firmie – od czego zacząć

cyberbezpieczeństwo
 |  Redakcja  |  Technologia

Czy prowadząc jednoosobową działalność gospodarczą myślimy o cyberbezpieczeństwie? Większość mikro-przedsiębiorców jest świadoma jego roli, ale niekoniecznie podejmuje działania, by się zabezpieczyć. Istotą cyfrowego bezpieczeństwa jest połączone działanie w wielu obszarach. Przyjrzyjmy się zatem które z nich występują przy małej skali działalności i co można zrobić nawet przy małym budżecie. Okazuje się, że najważniejsze działania są dostępne dla każdego, wymagają tylko odpowiedniej świadomości i planu.

Czym właściwie jest cyberbezpieczeństwo

Największym wyzwaniem jest ciągła ewolucja i zmieniający się charakter zagrożeń. Wzrost znaczenia urządzeń mobilnych, czy praca zdalna przekładają się na powstawanie ryzyka w nowych obszarach.

Z drugiej strony stare sprawdzone metody ataków powracają w nowej odsłonie. Ponieważ nasza gospodarka w ogromnej mierze jest cyfrowa, problem doczekał się odpowiednich regulacji prawnych. Na poziomie przepisów Unii Europejskiej od 2016 r. funkcjonuje dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii. W Polsce w 2018 r. weszła w życie ustawa o Krajowym Systemie Cyberbezpieczeństwa.

Te przepisy w większości nie mają bezpośredniego przełożenia na działania mikro-przedsiębiorców, tworzą jednak pewne standardy myślenia, którymi można się posłużyć identyfikując zagrożenia we własnym biznesie.

Określono w nich między innymi takie pojęcia jak infrastruktura krytyczna, podmioty odpowiedzialne, czy incydent bezpieczeństwa. Uregulowano zasady współpracy administracji publicznej z sektorem prywatnym dla zapewnienia koordynacji działań w obszarze prawnych i technologicznym.

Jeśli chcemy kompleksowo podejść do kwestii cyberbezpieczeństwa w firmie warto zacząć od zapoznania się z informacjami dostępnymi na stronach rządowych lub NASK.

Rodzaje cyber-zagrożeń w małej firmie

Zwykle kiedy próbujemy znaleźć informacje na temat cyberbezpieczeństwa natrafiamy na opisy zagrożeń typu phishing – czyli wyłudzanie haseł do bankowości internetowej przez podstępne e-maile, ransomware – czyli szyfrowanie danych na komputerze dla okupu, ewentualnie kradzież danych klientów, albo przejęcie dostępu do kont w mediach społecznościowych.

haker

Firmy technologiczne dostrzegły już potencjał dostarczania usług związanych z cyberbezpieczeństwem dla small-biznesu i oferują (np. Cisco) kompleksowe pakiety obejmujące: firewalle – zabezpieczające ruch w sieci, ochronę urządzeń w firmie przed złośliwym oprogramowaniem tzw. malware oraz ochronę haseł i skrzynek pocztowych przed spamem.

Jednak zanim zaczniemy wybierać rozwiązania do wdrożenia, należy zastanowić się jakie najważniejsze zasoby w firmie chcemy chronić? Wydaje się, że dla małej firmy nastawionej na dynamiczny wzrost kluczowe obszary obejmują:

  • baza klientów oraz historia kontaktów z nimi – często ta pierwsza ma formę arkusza kalkulacyjnego on-line lub na dysku komputera oraz historii rozmów w komunikatorach i mediach społecznościowych,

  • baza dostawców i partnerów biznesowych, a także dokumenty strategiczne firmy – najważniejsze umowy, tabele z cenami produktów do wyliczania marży, plany sprzedaży, materiały marketingowe itp. - zwykle mają formę rozproszonych plików na dyskach komputerów lub w mailach itp.

  • dokumenty finansowo-księgowe – często także znajdują się w arkuszu kalkulacyjnym na dysku lub w webowej aplikacji księgowej,

  • firmowa strona internetowa oraz sklep on-line z opisami i zdjęciami produktów, skonfigurowany samodzielnie lub na platformie e-commerce.

Jak łatwo zauważyć, każdy z tych strategicznych zasobów znajduje się jednocześnie w kilku różnych miejscach i nie ochroni go jedno narzędzie. Przygotowania do zapewnienia cyberbezpieczeństwa w małej firmie należy więc rozpocząć od sprofesjonalizowania zarządzania kluczowymi zasobami.

Ochrona danych osobowych

Ustawa o RODO z 2018 r. wprowadziła obowiązek ochrony danych osobowych, co np. dla małego sklepu internetowego oznacza konieczność stosowania odpowiedniego regulaminu oraz wskazania inspektora ochrony danych osobowych – w praktyce często jest to sam właściciel firmy.

Najprostszym sposobem ochrony danych klientów i zapewnienia łatwego dostępu do nich jest posługiwanie się usługami w chmurze takimi jak np. Freshmail czy MailerLite do e-mail marketingu, Airtable lub Zenkit do tworzenia baz danych, Google Drive lub Dropbox do przechowywania plików.

Rozwiązania w chmurze dostarczane przez duże firmy mają zwykle wysoki poziom bezpieczeństwa i jedyne czego wymagają od użytkownika – oprócz stosunkowo niskiego abonamentu – to odpowiednio mocnych haseł. 

Zwykle oferują też kilkutygodniowy backup oraz możliwość dwuetapowej weryfikacji przy pomocy telefonu komórkowego. Jeśli jesteśmy płacącym klientem, nawet w przypadku ataku i przejęcia konta, jest szansa na jego odzyskanie, gdyż operator systemu może nas zweryfikować również za pomocą danych płatniczych. Możemy też skorzystać z pomocy działu wsparcia, które obecnie funkcjonują już całkiem dobrze.

Podobnie sprawy się mają z dokumentami finansowymi firmy. Używając profesjonalnej webowej aplikacji do prowadzenia księgowości – oferują ją nawet niektóre banki – przenosimy konieczność zapobiegania ryzyku ich utraty na większego, świadomego i przygotowanego do tego partnera biznesowego, który w razie zagrożenia będzie trudniejszym przeciwnikiem dla hakerów.

Oczywiście istnieje ryzyko, że również duże firmy padną ofiarą ataku, jednak przy małej skali działalności jest to bezpieczniejsze rozwiązanie.

Bezpieczeństwo haseł

Mocne hasła powinny zawierać więcej niż wymagane 8 znaków i być złożone z przypadkowych kombinacji cyfr, wielkich i małych liter oraz znaków specjalnych. 

W sieci dostępnych jest wiele stron umożliwiających walidację siły hasła. Coraz więcej serwisów także stosuje takie rozwiązania w formularzach tworzenia konta lub zmiany hasła.

bezpieczeństwo hasła

Hasła należy też często zmieniać. Problem w tym, że nikt nie ma czasu tego robić i zwykle zapisujemy hasła w przeglądarce lub wręcz w pliku tekstowym na komputerze. W ten sposób, w przypadku przejęcia dostępu do komputera właściciela firmy, wszystkie hasła zostaną także przejęte. 

Żeby temu zapobiec można posługiwać się menedżerem haseł do zarządzania nimi. Nie jest to jednak rozwiązanie dla każdego, a niektórzy eksperci uważają, że bezpieczniejsze jest zapisywanie haseł na... zwykłej kartce papieru, którą przechowujemy w bezpiecznym miejscu. 

Takie rozwiązanie wydaje się nieintuicyjne i przestarzałe, ale w przypadku małej firmy dużo bardziej prawdopodobne jest padnięcie ofiarą ataku przez internet niż fizyczne włamanie i kradzież haseł. Należy tylko mieć się na baczności co wyrzucamy do śmieci :)

Prostym sposobem tworzenia mocnych, ale łatwych do zapamiętania haseł może być stosowanie fraz w formie krótkiego zdania, w którym słowa są zniekształcone oraz porozdzielane cyframi i znakami specjalnymi. Ustalmy kalendarz bezpieczeństwa – przynajmniej raz na kwartał dokonujmy przeglądu i zmiany haseł.

Unikajmy też powtórnego używania tych samych haseł, gdyż hakerzy stosują technikę tzw. credential stuffing, czyli posługują się danymi uzyskanymi np. podczas tworzenia kont w słabo chronionych serwisach lub pochodzącymi wprost z kradzieży do zalogowania się do innych, bardziej strategicznych usług.

Mówiąc wprost – jeśli założyliście kiedyś konto na przypadkowej stronie, żeby np. pobrać darmową wtyczkę lub skorzystać z promocji i użyliście do tego swojego adresu e-mail i prawdziwego hasła, to jest szansa, że ktoś spróbuje tymi danymi zalogować się do jednej z popularnych usług sieciowych.

Bezpieczeństwo komunikacji

Wielu z nas korzysta do załatwiania spraw biznesowych z Facebook Messengera czy wręcz Instagrama, które w standardowych ustawieniach nie są szyfrowane. Rzeczywiście, czasem jest to najszybszy sposób na skontaktowanie się z kontrahentem lub pracownikiem. Jednak do załatwiania wewnętrznej komunikacji w firmie koniecznie trzeba jak najszybciej przestawić się na profesjonalne narzędzia stworzone do komunikacji biznesowej jak np. Slack.

Szyfrowanie komunikacji, zaawansowane zarządzanie grupami, różne poziomy uprawnień, back-up rozmów oraz możliwość usuwania przypadkowo wysłanych poufnych informacji to tylko niektóre funkcje dostępne na tego typy platformach.

Również e-mail firmowy powinien jak najszybciej zostać przeniesiony do profesjonalnej platformy hostingowej. Najlepiej wybrać gotowy pakiet hostingu strony, sklepu i poczty elektronicznej u dużych dostawców typu Home czy Nazwa, którzy posiadają fizyczne centra danych na terenie Polski.

Wbrew pozorom „darmowe” konta firmowe typu Google również w praktyce są płatne, gdyż przekroczenie limitu 15 GB danych, przy użytkowaniu biznesowym, następuje dość szybko.

Wybierając pakiet hostingowy warto też zainwestować nieco więcej i wybrać tzw. VPS, czyli wirtualny serwer prywatny, gdyż wtedy mamy dla siebie dedykowaną przestrzeń, której nie dzielimy z innymi przypadkowymi użytkownikami. Mamy także zagwarantowane odpowiednie SLA, czyli dostęp do usługi na poziomie zwykle 95-99% oraz wsparcie działu pomocy.

Świadomość pracowników znacznie zwiększa bezpieczeństwo

Statystycznie, większość skutecznych ataków hakerskich związana jest z niedopatrzeniem ludzi. Tendencja do bagatelizowania zagrożeń, stosowanie prostych do zapamiętania haseł, używanie tego samego hasła do wszystkich kont, instalacja oprogramowania z nieznanych źródeł, udostępnianie swoich loginów osobom trzecim i współpracownikom, czy korzystanie z otwartych sieci wi-fi to najczęstsze przyczyny złamania zabezpieczeń.

Jako prowadzący small business, najprostszą metodą zabezpieczenia się przed cyber-zagrożeniami będzie przeprowadzenie szkoleń swoich pracowników związanych z cyberbezpieczeństwem osób fizycznych. Możesz też poprosić ich po prostu o zapoznanie się z regułami bezpiecznej pracy w sieci. Dla przykładu mogą się zapoznać z propozycjami na tej stronie: https://nety.pl/cyberbezpieczenstwo

zasady ceberbezpieczeństwa

Kopia zapasowa to podstawa

Niezależnie od tego jak wiele krytycznych zasobów i procesów przeniesiemy do wiarygodnych i sprawdzonych dostawców w chmurze, warto posiadać swój własny back-up na fizycznych nośnikach. Dobrym rozwiązaniem będzie np. zapasowy komputer, wyposażony w miarę możliwości w inny system operacyjny – np. Linux w popularnej i przyjaznej dla użytkownika dystrybucji Ubuntu.

Taki komputer powinien mieć zaszyfrowany dysk twardy i być podłączany do internetu wyłącznie dla wykonania okresowych aktualizacji systemu. W naszym kalendarzu bezpieczeństwa ustalmy back-up raz w miesiącu i zgrywajmy na niego najważniejsze pliki oraz dane. W sytuacji ataku wymuszeniowego typu ransomware pozwoli nam to na zachowanie ciągłości działania firmy oraz uniknięcie niepotrzebnych kosztów.

Zapewnienie cyberbezpieczeństwa w firmie jest procesem ciągłym i wymaga nieustannego uczenia się, ale zawsze jego podstawą jest zdrowy rozsądek. Po drugiej stronie ataku na końcu stoi człowiek, który chce wykorzystać nasze zasoby do swoich celów. Dlatego musimy sami wiedzieć, jakie dane są dla nas kluczowe i sami zapobiegać powstawaniu luk bezpieczeństwa.

Fot: pexels.com, pixabay.com, mat. własne

BizNews


© 2020 BizNews. Wszelkie prawa zastrzeżone

Do góry