5 practici ne-bune de securitate ale utilizatorilor

Departamentul IT al companiei implementeaza echipamente si tehnologii de securitate cu rolul de a proteja retelele. Pentru ca aceste solutii sa aiba rezultatele asteptate, toata lumea trebuie sa isi aduca contributia. Managementul trebuie sa arate sustinere fata de politicile de securitate puse la punct de catre departamentul IT si sa incurejeze adoptia lor, iar utilizatorii trebuie sa inteleaga de ce sunt necesare aceste politici si sa le puna in practica.

Acesta ar fi scenariul ideal, in care oamenii si tehnologia lucreaza impreuna pentru a proteja reteaua si bunurile sale. In realitate insa, lucrurile stau cu totul altfel, utilizatorii putand cadea victimele unor atacuri de tip scamming sau exersand un “comportament” incongruent cu bunele practici de securitate.

Prezentam 5 greseli de securitate pe care utilizatorii le-ar putea face si cateva sugestii care sa ii ajute pe acesta sa scape de aceste obiceiuri nesanatoase.

  1. Deschiderea unui mail de phishing

Mailurile de phising sunt principala arma a atacatorilor folosita impotriva angajatilor, mai ales ca in ultima vreme se deruleaza campanii de phishing la nivel global care vizeaza in mod explicit anumite organizatii de interes. Email-urile primite sunt atat de bine construite incat par a veni din partea unor surse legitime. De exemplu, un mail primit de departamentul de finante de la un manager de nivel C care cere un transfer bancar catre un cont din strainate. Daca astfel de activitati sunt obisnuite in respectiva organizatie, sunt foarte mici sansele ca cineva sa isi dea seama ca ceva nu este chiar in regula. Sunt nenumarate astfel de cazuri de inselatorie, organizatia nemaiavand la dispozitie decat implicarea autoritatilor.

Un alt exemplu ar fi reprezentat de link-urile malitioase din mesajul emailului. Acest link-uri trimit utilizatorul catre site-uri care par legitime, insa de fapt ele sunt controlate de catre atacatori. Site-uri sunt atat de bine clonate, la nivel de pixel, incat si cei mai tech-savvy oameni de securitate au dificultati in ale distinge de cele originale. O data ajunsi pe site-urile malitoase, utilizatorii sunt invitati sa completeze un formular sau sa acceseze pagina de login, divulgand astfel informatii sensibile (vitale chiar, daca ne-am gandi la site-ul unei banci).

Atasamentele unor astfel de emailuri prefabricate sunt la fel de periculoase, ele putand fi adevarate “bombe” cibernetice, care odata descarcate si deschise sunt “detonate” pe dispozitivul utilizatorului, incepand sa provoace haos si distrugeri.

Toate lucrurile de mai sus pot fi evitate daca utilizatorii sunt circumspecti cu privire la continutul mesajului si atasamentele acestuia. Daca mailul este unul neobisnuit, ar trebui sa nu deschida atasamentele sau link-urile si sa alerteze departamentul IT.

  1. Sharing-ul parolelor

Aceasta practica este mult prea des intalnita in organizatiile de orice dimensiune si din orice industrie. Folosirea unui cont comun pentru a accesa o resursa din lipsa unui numar suficient de licente, sau faptul ca unii angajati isi stiu unul altuia credentialele de logare pe statii pentru situatia in care au nevoie de fisier, iar acea persoana este in concediu reprezinta amenintari serioase la securitatea organizatiei.

Utilizatorul nu trebuie sa ofere parola nimanui, nici macar cuiva din departamentul IT. Numai utilizatorul si numai el trebuie sa stie parola, de aceea trebuie exersata vigilenta cand primeste un mail de “resetare” a parolei din senin si dintr-o sursa dubioasa sau cand este sunat de un “inginer de suport” care are nevoie de parola pentru a verifica accesul la o anumita aplicatie sau site.

  1. Neblocarea calculatorului cand pleaca de langa el

Si aceasta este o practica nesanatoasa si deosebit de periculoasa. Poate mai putin in interiorul retelei, dar probabil user-ul procedeaza la fel si cand este la o cafenea. Lasand laptopul deschis, cat timp achita comanda, user-ul ofera pe tava acces oricarui trecator. Daca este utilizatorul este un manager care calatoreste mult, riscul creste exponential. Un manager are de obicei acces la mai multa informatie si la informatie confidentiala. Daca isi pierde laptopul sau ii este furat, organizatia poate avea probleme serioase.

Intotdeauna cand se paraseste laptopul, acesta se va bloca. Procesul de deblocare poate fi deranjant daca trebuie facut in mod repetat, insa astazi sunt metode mai rapide de autentificare, cu amprenta de exemplu, si cu siguranta avantajul securitatii eclipseaza “disconfortul” utilizatorului.

  1. Utilizarea parolelor simple

Astfel de parole sunt o joaca de copii pentru un atac de tipul “brute force”. Din cauza numarului mare de site-uri, aplicatii si servicii pe care un utilizatorul le foloseste intr-o zi, atat in scop personal, cat si la serviciu, acesta va tinde sa refoloseasca aceeasi parola de multe ori si chiar aceeasi parola pentru contul de Netflix poate fi folosita si pentru accesarea email-ului de companie. Not cool, not good. Acest lucru se intampla pentru ca responsabilitatea de a crea si mentine parolele cad in raspunderea utilizatorului. Pentru aplicatiile enterprise ar trebui impuse de catre departamentul IT reguli de formare pentru parole: sa aiba o lungime minima de 8-12 caractere si sa se foloseasca litere mici, litere mari, cifre si caractere speciale. Insa cel mai bun fail-safe este implementarea unei solutii de autentificare in doi pasi.

  1. Ignorarea update-urilor

Update-urile si patch-urile pentru sistemele de operare si pentru aplicatii folosite trebuie sa fie instalate imediat ce sunt disponibile. De cele mai multe ori aceste update-uri rezolva anumite vulnerabiltati software de securitate ca atacuri de tip 0 day pentru care nu exista remediere pana cand nu sunt instalate. Multi utilizatori amana momentul in care sa instaleze update-urile poate pentru ca sunt in mijlocul redactarii unui raport foarte important sau pentru ca va dura mult pana cand laptopul se reseteaza. Vor apasa “snooze for four hours”, “remind me tomorrow” sau chiar “do not install these updates”, marind fereastra de timp in care dispozitivul poate fi atacat si compromis.

Multe dintre practicile de securitate ne-bune de mai sus pot fi evitate, daca utilizatorul dezvolta un “apetit pentru bunele practici” de securitate si daca este sustinut si incurajat in acest sens de catre companie. Natura umana va cauta intotdeauna sa urmeze drumul de minima rezistanta, ocolind masurile de securitate instalate chiar cu scopul de a proteja utilizatorul. Insa cu cateva infografice, cu mini-training-uri, cu cateva newsletter-e periodice la care se adauga solutii si produse de securitate, echipa IT si utilizatorii se vor uni si vor pastra reteaua sanatoasa si in siguranta.

Mihai Dumitrascu, Sr Systems Engineer