• admin@kibc
• 6 lipca 2021
• Brak komentarzy

Podstawowe środki bezpieczeństwa stosowane przy pracy zdalnej znajdą Państwo w naszej info-grafice – KLIKNIJ TUTAJ. W dzisiejszym artykule chcielibyśmy skupić się na zagrożeniach zaprezentowanych w formie Case Study. 1. Najczęstszym, globalnym problemem jest stosowanie słabych haseł, które z łatwością są łamane przez hakerów.

Case Study – p. Katarzyna, która obejmowała stanowisko asystentki lekarza, który udzielał prywatnych wizyt odpowiedzialna była m.in. za rejestrowanie pacjentów. Swoje czynności asystenckie w 60% wykonywała zdalnie – w tym prace na systemie rejestracyjnym i kalendarzu. Pewnego dnia otrzymała telefon od szefa, że dane z systemu zostały shakowane. Wyciekły takie dane jak: Imię, Nazwisko, Data urodzenia, Pesel , Numer telefonu, Adres e-mail, Terminy wizyt. Po wyciszeniu sytuacji i sprawdzeniu systemu okazało się, że p. Katarzyna ustawiła proste hasło. Pierwszą odpowiedzią p. Kasi było „ ale przecież zastosowałam wielką literę, liczbę, znak specjalny, a hasło miało aż 8 liter ! „.

Hasło p. Katarzyny to mju7MJU& – mimo spełnienia minimalnych wymagań co do projektu hasła, jest to prosta kombinacja z klawiatury. Prawdopodobnie ataku dokonano metodą Brute Force co przy takim haśle wydaje się dziecinnie proste.
W jaki sposób haker zgaduje takie hasło ?

Wchodzi na stronę ogólnodostępną z listą haseł np. password list , ściąga plik z listą na której znajdują się setki tysięcy popularnych haseł, a następnie przy użyciu programu do ataków Brute Force uruchamia plik, który za poleceniem sprawdza kolejno każde hasło i próbuje dostać się do naszego systemu. Oczywiście proste hasło p. Katarzyny nie było jedynym uchybieniem w zabezpieczeniach stanowiska pracy. Błędem było również nie korzystanie z VPN oraz brak zabezpieczeń sieci domowej. Jednak, gdyby hasło było silne, najlepiej utworzone losowo przy użyciu managera haseł to atak zostałby wstrzymany.
Zasady bezpiecznego hasła:
Nie udostępniaj swojego hasła i nie przechowuj go w widocznym miejscu !
Nie używaj w haśle zwrotów i nazw kojarzących się z działalnością, imion, nazwisk czy lokalizacji.
Korzystaj z managera haseł – pozwoli Ci on na korzystanie z silnych i skomplikowanych haseł.
Nie powielaj haseł w różnych miejscach logowania.

Hasło zawsze powinno być unikalne. 2. Dość rozpowszechnioną metodą jest również presja i odgórny nacisk za pomocą wysyłania wiadomości do zrobienia natychmiastowego przelewu. Case Study- W wyniku pandemii i wysokiego poziomu ryzyka zarażenia, szef, który pracował hybrydowo wysłał p. Ewę z płatności oraz połowę osób z działu księgowo-kadrowego na dwutygodniowy okres pracy zdalnej, aby zabezpieczyć część zespołu przy jednoczesnym zachowaniu pracowników w biurze. P. Ewa pewnego dnia otrzymała wiadomość e-mail z prośbą od przełożonego działu o pilne uregulowanie należności w wysokości 12 tysięcy złotych. Wiadomość była skonstruowana dokładnie tak jak zawsze zwracał się do niej szef. P. Ewa nie wahając się przelała pieniążki i odpisała wiadomość, że transakcja już została zrealizowana. Nie minęło kilka minut i odkryto, że wiadomości nie pisał przełożony tylko oszust, który skutecznie przeprowadził atak.

Jest to typowy przykład ataku BEC (Business Email Compromise) tj. ataku na skrzynkę e-mail. Po analizie zdarzenia wyszło sporo błędów i braków w zabezpieczeniach, jednak na pierwszy rzut oka już widać 2 czynniki, które przyczyniły się do udanej akcji cyberprzestępcy :

– „Natychmiastowość” i „nacisk z góry”– Nadając sytuacji presji czasowej i polecenia od przełożonego oszust przybliża się do osiągnięcia swojego celu tj. p. Ewa skupiała się, aby szybko i zgodnie z poleceniem wykonać zadanie, zamiast na spokojnie je przeanalizować.

– Brak procedur dotyczących zleceń przelewów – Polecenia związane z przelewem środków powinny odbywać się w ściśle określony i spisany sposób. Można wybrać metodę potwierdzania ich dwuetapowo, albo nadawanie przez jednoznaczny kanał np. rozmowę telefoniczną.

W tym przykładzie znaleziono szereg błędów, które przyczyniły się do udanego ataku np. poczta e-mail przełożonego służyła mu do wszystkich czynności tj. prywatnych, służbowych, zakupowych itd. Należy pamiętać, że poczty służbowe powinny być przeznaczone tylko i wyłącznie do czynności służbowych.

– Brak przygotowania stanowisk do pracy zdalnej i hybrydowej tj. brak zabezpieczeń sieci, możliwość korzystania z sieci domowych (niezabezpieczonych).
– Brak stosowania polityki silnych haseł.

Powyższe przykłady to tylko kropla w morzu pomysłów i możliwości cyberprzestępców. Należy pamiętać, że wysyłając pracownika na pracę zdalną albo hybrydową należy go do tego przygotować. Powinno się zabezpieczyć technicznie sprzęt i sieć ale przede wszystkim ustanowić ogólne zasady bezpieczeństwa z którymi powinni zaznajomić się pracownicy- a najlepszym rozwiązaniem byłoby przeprowadzenie szkolenia. Nie jednokrotnie słyszy się od pracodawców „Moi pracownicy mieli profesjonalne, całodzienne szkolenie z cyberbezpieczeństwa 2 lata temu”. Należy Pamiętać, że przestępczość w sieci jest „niewidzialna” i pracownicy bardzo szybko tracą czujność, więc przy pracownikach szczególnie nietechnicznych powinno przeprowadzać się szkolenia przystępne i zrozumiałe w częstych cyklach. Nie zawsze muszą to być szkolenia, dobrą praktyką jest wplatanie edukacji i przypominanie o zagrożeniu np. poprzez wysłanie krótkiego filmu instruktażowego do wszystkich pracowników, albo wysłanie testu, który zajmie 5 minut i zwróci ponownie ich uwagę na zagrożenia przy jednoczesnym zwrocie informacji o poziomie wiedzy. Pamiętaj !

Aby zabezpieczyć stanowiska pracy zdalnej i hybrydowej.
Najczęściej niedopełnienie obowiązków związanych z zabezpieczeniami jest widoczne w przypadku „pojedynczych” pozwoleń na pracę zdalną np. podczas kilku dniowej kwarantanny. Nawet jeśli pracownik ma zdalnie pracować poza firmową siecią w drodze wyjątku np. 2-3 dni to należy przygotować go na tą pracę tak samo jak gdyby miał to robić cały miesiąc czy rok.