Βέλτιστες πρακτικές ασφάλειας στον κυβερνοχώρο
Σύμφωνα με έρευνες που έχουν γίνει, το 82% των παραβιάσεων αφορούσε ανθρώπινο λάθος. Οι επιτιθέμενοι στοχεύουν υπαλλήλους με καμπάνιες ηλεκτρονικού ψαρέματος ή μέσω κακόβουλου λογισμικού και πολλές άλλες τεχνικές για να επιτύχουν διείσδυση στο σύστημα παρακάμπτοντας κάθε ασφάλεια, αποκτώντας πρόσβαση σε ευαίσθητα δεδομένα. Ως Αρχή Ψηφιακής Ασφάλειας ενθαρρύνουμε την κουλτούρα ευαισθητοποίησης για την κυβερνοασφάλεια και είναι σημαντικό οι εργαζόμενοι να εκπαιδεύονται σχετικά με τις βέλτιστες πρακτικές ασφάλειας στον κυβερνοχώρο.
Ακολουθούν 10 συμβουλές για την κυβερνοασφάλεια που κάθε εργαζόμενος πρέπει να γνωρίζει και να εφαρμόζει:
1. Χρησιμοποιείτε ισχυρούς κωδικούς πρόσβασης: Όλοι έχουμε ακούσει ότι είναι σημαντικό να έχετε ισχυρό κωδικό πρόσβασης, αλλά τι χαρακτηρίζεται ως ισχυρός κωδικός πρόσβασης;
Ισχυροί κωδικοί πρόσβασης:
- Θα πρέπει να αποτελούνται από τουλάχιστον 16 χαρακτήρες και συστήνεται να μην είναι οι ίδιοι χαρακτήρες σε ακολουθία.
- Να περιέχουν και να συνδυάζουν γράμματα, σύμβολα, αριθμούς και ειδικούς χαρακτήρες.
- Αποφύγετε να χρησιμοποιείτε λέξεις, ειδικά ουσιαστικά.
- Μην συμπεριλάβετε ποτέ στοιχεία προσωπικής ταυτοποίησης.
- Να μην επαναχρησιμοποιούνται.
- Εάν δημιουργείτε ασφαλείς κωδικούς πρόσβασης, μπορεί να είναι δύσκολο να τους παρακολουθείτε όλους. Η χρήση μιας εφαρμογής διαχείρισης κωδικών πρόσβασης για την αποθήκευση και τη διαχείριση των διαφορετικών κωδικών πρόσβασης μπορεί να σας βοηθήσει να οργανωθείτε με ασφάλεια.
2. Χρησιμοποιήστε τη μέθοδο SLAM για να εντοπίσετε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου: Οι επιθέσεις ηλεκτρονικού «ψαρέματος» είναι ένα τεράστιο μέρος των σύγχρονων επιθέσεων στον κυβερνοχώρο – ορισμένες είναι εξαιρετικά εξατομικευμένες και μπορεί να περιέχουν αναφορές στους συναδέλφους σας, τα μέλη της οικογένειάς σας, τα χόμπι σας και πολλά άλλα. Ο καλύτερος τρόπος για να μετριαστεί αυτό είναι η ευαισθητοποίηση και η διαρκής ενημέρωση. Χρησιμοποιήστε τη μέθοδο SLAM για να βοηθήσετε στον εντοπισμό επιθέσεων ηλεκτρονικού ψαρέματος:
- Sender: Ελέγξτε τη διεύθυνση (email) του αποστολέα
- Links: Τοποθετήστε το δείκτη του ποντικιού και ελέγξτε τυχόν συνδέσμους πριν κάνετε κάποιο κλικ.
- Attachment: Μην ανοίγετε συνημμένα από κάποιον που δεν γνωρίζετε ή συνημμένα που δεν περιμένατε.
- Message: Ελέγξτε το περιεχόμενο του μηνύματος και προσέξτε για κακή γραμματική ή ορθογραφικά λάθη.
3. Ασφαλίστε το πρόγραμμα περιήγησής σας: Τα προγράμματα περιήγησης ιστού χρησιμοποιούνται συχνά σε εταιρικές και οικιακές συσκευές και οι επιτιθέμενοι θα προσπαθήσουν να εκμεταλλευτούν τις ευπάθειες και κενά ασφαλείας σε αυτά για να πάρουν τον έλεγχο κάποιου λογαριασμού σας (για παράδειγμα, η ευπάθεια του φετινού Google Chrome Zero-Day). Ο καλύτερος τρόπος για να ασφαλίσετε το πρόγραμμα περιήγησής σας στον ιστό είναι να διαμορφώσετε τις αυτόματες ενημερώσεις, να αποφύγετε την αποθήκευση κωδικών πρόσβασης στο πρόγραμμα περιήγησής σας, να χρησιμοποιήσετε αξιόπιστα πρόσθετα προγράμματος περιήγησης ιστού από καταστήματα εφαρμογών προγράμματος περιήγησης ιστού και να περιορίσετε τις ρυθμίσεις ασφαλείας και δεδομένων που ανταλλάσσονται με παρόχους προγράμματος περιήγησης.
4. Διατηρήστε το πιο πρόσφατο λογισμικό στις έξυπνες συσκευές σας: Για να αποτρέψετε τους εισβολείς να επωφεληθούν από ευπάθειες στις έξυπνες συσκευές σας, ενημερώστε τηλέφωνα, tablet, τηλεοράσεις, ηχεία κ.λπ. με το πιο πρόσφατο διαθέσιμο λογισμικό. Εάν είναι διαθέσιμη μια λειτουργία αυτόματης ενημέρωσης, ενεργοποιήστε την. Αυτές οι συσκευές μπορεί ενδεχομένως να αποτελέσουν πηγή μόλυνσης όπως και κάθε άλλος υπολογιστής.
Για περαιτέρω ασφάλεια των συσκευών σας, βεβαιωθείτε ότι χρησιμοποιείτε τις δυνατότητες κωδικού πρόσβασης ξεκλειδώματος οθόνης όπου είναι διαθέσιμες. Οι οργανισμοί θα πρέπει επίσης να εξετάσουν λύσεις διαχείρισης κινητών συσκευών που θα συμβάλουν στην αύξηση της ασφάλειας του περιβάλλοντος της κινητής συσκευής τους, ώστε να διασφαλίζεται η συμμόρφωση συσκευών και εφαρμογών και να ελέγχουν τη ροή δεδομένων εκτός αξιόπιστων εφαρμογών και συσκευών για κινητές συσκευές.
5. Χρησιμοποιήστε τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA): Τόσο για εταιρικές όσο και για προσωπικές εφαρμογές, είναι επιτακτική ανάγκη να επιτραπεί στο MFA να επικυρώσει ότι το άτομο που καταγράφει είναι αυτό που ισχυρίζεται ότι είναι και να αποτρέψει τους κακόβουλους χάκερ από τον έλεγχο ταυτότητας στο δίκτυό σας.
6. Ασφαλίστε το οικιακό σας δίκτυο: Εάν αφεθεί ανασφαλές, το οικιακό σας δίκτυο μπορεί να θέσει σε κίνδυνο τόσο τα προσωπικά όσο και τα εταιρικά σας δεδομένα εάν εργάζεστε εξ αποστάσεως.
Ακολουθούν μερικές συμβουλές για να ασφαλίσετε το οικιακό σας δίκτυο:
- Συνδέστε τους υπολογιστές στον δρομολογητή σας και όχι στο μόντεμ σας
- Αλλάξτε τον προεπιλεγμένο κωδικό πρόσβασης στον δρομολογητή σας
- Βεβαιωθείτε ότι το υλικολογισμικό είναι ενημερωμένο, επιλέγοντας αυτόματες ενημερώσεις εάν είναι διαθέσιμες
- Απενεργοποιήστε την απομακρυσμένη διαχείριση δρομολογητή – δεν χρειάζεται να κάνετε αλλαγές όταν λείπετε και αυτό αυξάνει την ασφάλεια αφαιρώντας μια εύκολη διαδρομή προς τη συσκευή σας
7. Χρησιμοποιήστε ένα VPN: Τα εικονικά ιδιωτικά δίκτυα (VPN) παρέχουν έναν εξαιρετικό τρόπο για τους υπαλλήλους να έχουν ασφαλή πρόσβαση σε απομακρυσμένους πόρους από πολλές τοποθεσίες, συνδέοντας δύο ιδιωτικά δίκτυα με ασφάλεια μέσω Διαδικτύου. Η χρήση του δημόσιου Wi-Fi σε αεροδρόμια, ξενοδοχεία και καφετέριες χωρίς VPN μπορεί να δώσει ακούσια πολλές λεπτομέρειες σχετικά με το τι συσκευές έχετε και τι κάνετε στο Διαδίκτυο. Στα χέρια ενός χάκερ, αυτές οι πληροφορίες μπορούν να χρησιμοποιηθούν για τη διαμόρφωση μιας επίθεσης.
8. Μην ξεχνάτε τη φυσική ασφάλεια: Καθώς όλο και περισσότεροι υπάλληλοι επιστρέφουν στο γραφείο, είναι σημαντικό να θυμάστε ότι η φυσική ασφάλεια στο γραφείο είναι επίσης σημαντική.
Οι υπενθυμίσεις για φυσική ασφάλεια περιλαμβάνουν:
- Κλειδώστε τον υπολογιστή σας όταν βγαίνετε από το γραφείο σας
- Εάν ο οργανισμός σας χρησιμοποιεί πρόσβαση σήματος, μην επιτρέψετε την ουρά – κάθε άτομο θα πρέπει να σαρώσει το δικό του σήμα
- Προστατέψτε και κλειδώστε τα χάρτινα αρχεία με ευαίσθητα δεδομένα
9. Να γνωρίζετε ποιες πληροφορίες μοιράζεστε στα μέσα κοινωνικής δικτύωσης: Τα μέσα κοινωνικής δικτύωσης μπορεί να είναι ένας πολύ καλός τρόπος για να μοιράζεστε πληροφορίες με την οικογένεια και τους φίλους σας, αλλά μοιράζεστε και πληροφορίες με τους εισβολείς;
Οι απατεώνες και οι εισβολείς μπορούν να χρησιμοποιήσουν τις πληροφορίες που δημοσιεύετε στα μέσα κοινωνικής δικτύωσης για να αποκτήσουν PII για εσάς που μπορούν να χρησιμοποιηθούν εναντίον σας. Ελέγξτε τις ρυθμίσεις απορρήτου σας σε επαναλαμβανόμενη βάση, διαγράψτε παλιούς και αχρησιμοποίητους λογαριασμούς και ελέγξτε τις φωτογραφίες και τα βίντεο σας στο προσκήνιο και στο παρασκήνιο πριν δημοσιεύσετε, για να βεβαιωθείτε ότι δεν μοιράζεστε τίποτα που θα μπορούσε να αποκαλύψει βασικά στοιχεία προσωπικής ταυτοποίησης.
Πριν πάτε να δημοσιεύσετε στα μέσα κοινωνικής δικτύωσης, αναρωτηθείτε – θα μπορούσαν αυτές οι πληροφορίες που πρόκειται να δημοσιεύσετε να χρησιμοποιηθούν εναντίον σας;
10. Αν δεις ή κάνεις κάτι, πες κάτι!: Τελευταίο αλλά εξίσου σημαντικό, εάν παρατηρήσετε κάτι ύποπτο, είτε πρόκειται για email, μήνυμα κειμένου ή μη εξουσιοδοτημένο επισκέπτη στο γραφείο, είτε καταλήξετε να κάνετε κλικ κατά λάθος σε έναν σύνδεσμο ηλεκτρονικού «ψαρέματος» (phishing), ειδοποιήστε τον προϊστάμενό σας, το τμήμα IT ή την εταιρεία σας για να διασφαλίσετε ότι το περιστατικό αντιμετωπίζεται γρήγορα και οι ζημιές περιορίζονται στο ελάχιστο.
Η κυβερνοασφάλεια μάς επηρεάζει όλους και εναπόκειται τόσο στους εργαζομένους όσο και στους εργοδότες να παραμείνουν ενημερωμένοι σχετικά με τις βέλτιστες πρακτικές ασφάλειας στον κυβερνοχώρο για να προστατεύσουμε εμάς και τις εταιρείες μας από κακόβουλες επιθέσεις.
Πηγή: Αρχή Ψηφιακής Ασφάλειας