S obzirom na globalno širenje koronavirusa, imamo sve manje prilike sastajati se uživo, a rad od kuće postao je nužan. To može dovesti do ozbiljnih sigurnosnih incidenata koje se ne smije olako shvatiti. Stoga želimo iskoristiti ovu priliku i podsjetiti na sigurnosti e-pošte i mrežne komunikacije.

Tradicionalno su dani uoči Božića period kada se prepuštamo opuštanju i planiranju kupovine. Ove godine je zbog epidemije COVIDA-19 odlazak u klasičnu kupovinu za mnoge izazov koji mogu nadomjestiti klikanjem na česte ponude koje nam svakodnevno dolaze na e-mail. Jednako tako nove navike nas sve više povezuju s drugim osobama putem raznih internet aplikacija.

Kako bi ovaj period učinili sigurnijim za vas, vaše suradnike i poslovne partnere, donosimo upute za sigurniji rad i komunikaciju putem interneta.

PRAKTIČNE/KORISNE SMJERNICE

Korištenje službenih uređaja:

Ne koristite službena računala i telefone u privatne svrhe. To se posebice odnosi za korištenje društvenih mreža, privatnog e-maila, posjete neprovjerenim web stranicama i skidanje aplikacija. Nepouzdan rad može dovesti do ozbiljnih kompromitacija za tvrtku. Službene uređaje i software koristite samo prema uputama tvrtke.

Provjera prijelazom miša

U slučaju sumnjivih poruka e-pošte dodatno provjerite e-mail adresu u polju "Pošiljatelj" tako da prijeđete mišem preko njega. Naime, u nekim se pokušajima krađe identiteta upotrebljava adresa e-pošte koja je slična službenoj adresi e-pošte određene tvrtke, ali ne i istovjetna.

Nikada ne dijelite zaporku

Sjetite se redovito koristiti dostupne opcije za ponovno postavljanje lozinke. U tim opcijama od vas se ne traži da kliknete na vezu u poruci e-pošte ili podijelite svoju lozinku sa nekim vanjskim.

Koristite složene zaporke

Koristite zaporke na način kako su određene pravilima zaporki i sigurnog korištenja računala a to prije svega znači one koje sadrže velika i mala slova, brojeve i posebne znakove te su dovoljno duge (npr. 10 i više znakova). Preporučena zaporka, koja je dovoljno duga i složena da ju je teško pogoditi i istovremeno lakša za zapamtiti, je fraza sastavljena od nasumičnih (ili čak nepostojećih) riječi uz dodavanje specijalnih znakova po želji. U internetskim preglednicima nemojte koristiti mogućnost pamćenja zaporke (opcija "remember password") i nemojte koristiti jednaku zaporku ili jednak PIN za više različitih računa, aplikacija ili web usluga. Zaporke redovito mijenjajte, svakih 3 ili najviše 6 mjeseci. Možete koristiti i programe koji upravljaju zaporkama (tzv. password manager programe). Takav program pamti i pohranjuje sve Vaše zaporke, a pristupate mu korištenjem jedne tzv. glavne zaporke. Vodite računa da ćete u ovom slučaju morati zapamtiti samo jednu zaporku koja mora biti uistinu vrlo složena što na prvi pogled može djelovati kao povećani rizik. No, ako koristite veliki broj zaporki, i ako su sve složene, teško ćete ih moći zapamtiti i vjerojatno ćete zaporke ili negdje zapisati ili koristiti istu zaporku za više usluga/računa ili na neki drugi način doskočiti objektivnoj teškoći pamćenja velikog broja složenih zaporki. U tom slučaju, ako ste svjesni da ne možete zapamtiti sve svoje zaporke, korištenje programa koji upravlja zaporkama predstavlja manji rizik od korištenja zaporki koje ste negdje zapisali ili korištenje lako predvidljivih jednostavnih zaporki.

Provjera hitnosti

Hitnost komunikacije dobar je pokazatelj sumnjive prirode poruke. Ako imalo sumnjate u pogledu izvora komunikacije, zaustavite se, izbrišite poruku e-pošte i telefonski se obratite osobi za koju smatrate da je pošiljatelj. Ako je pitanje stvarno hitno, legitimni pošiljatelj povratno će vam se javiti.

Zaštitite se od tzv. phishing napada

Phishing je vrsta kibernetičkog napada u kojem napadač socijalnim inženjeringom pokušava doći do Vaših zaporki, korisničkih imena i sličnih podataka. Najčešće se realizira na način da korisnik (potencijalna žrtva napada) zaprimi poruku elektroničke pošte s uputom da na poveznici (linku) koji je dio poruke provjeri ili ponovo upiše pristupne podatke za korištenje nekog servisa/usluge. Odabirom (klikanjem) na takvu poveznicu korisnik stječe dojam da je na legitimnoj stranici npr. banke, portala za on-line kupovinu i slično. Međutim, niti jedan pružatelj usluga neće nikada od Vas tražiti da pristupite njihovoj usluzi kroz poveznicu koju ste zaprimili elektroničkom poštom, niti će na takav način tražiti da "provjerite" svoju zaporku i slično. Takve poveznice Vas preusmjeravaju na maliciozne stranice koje su oblikovane na način da nalikuju službenim stranicama neke tvrtke/servisa, no one su u vlasništvu napadača. Svrha phishing napada je krađa i iskorištavanje Vaših podataka za razne maliciozne radnje ili ostvarivanje koristi na Vaš račun. Ne vjerujte neprovjerenim porukama.

Provjera vjerodostojnosti

Neočekivana poruka sa zahtjevom koji ne odgovara funkciji pošiljatelja je dobar indikator sumnjive poruke. To može bit primjerice da zaprimite e-mail s prikazanim imenom direktora financija (ali lažnom e-mail adresom) sa zahtjevom da pošaljete koji su djelatnici odjela Prodaje danas u uredu. Posebice treba obratiti pažnju na sve zahtjeve za plaćanjima kompanije koji odstupaju od uobičajene prakse. Jednaku pozornost treba obratiti ako vas kontaktira telefonom osoba koja se lažno predstavlja kao vaš šef i hitno traži da izdiktirate financijske ili druge osjetljive poslovne informacije. Uzmite par sekundi pauzu i zatražite da ga nazovete na službeni telefonski broj.

Provjera ispravnosti

Razlikovanje podataka o uredu/tituli pošiljatelja koje navodi tvrtka i onih iz sadržaja poruke mogu ukazivati na mogući problem s komunikacijom.

Koristite anitvirusne programe

Instalirajte i redovito ažurirajte antivirusne programe na svim osobnim uređajima, uključujući i pametne telefone.

Koristite vatrozid

Koristite programski ili sklopovski vatrozid, i osigurajte da je isti na odgovarajući način konfiguriran i uključen.

Instalirajte redovno sigurnosne nadogradnje

Ako je to moguće, na svojim uređajima omogućite automatsko preuzimanje programskih i sigurnosnih nadogradnji.

Isključite mogućnost nepotrebnog pristupa podacima o Vašoj lokaciji (tj. lokaciji uređaja) te ugrađenoj kameri i mikrofonu

Provjerite sva dopuštenja koja pojedina aplikacija zahtijeva od uređaja, posebno ona koja se odnose na pristup podacima o Vašim kontaktima, lokaciji, kameri ili mikrofonu uređaja. Ako takav pristup nije opravdan funkcionalnošću aplikacije, takva dopuštenja isključite.

Uklonite aplikacije koje vam nisu potrebne

Svaka aplikacija u određenoj mjeri predstavlja rizik od kibernetičkog napada. U tom smislu, što više instaliranih aplikacija imate na Vašem uređaju – i rizik kojim ste izloženi je veći. Ako Vam neka aplikacija više nije potrebna, uklonite je (deinstalirajte) s uređaja.

Pažljivo i odgovorno koristite društvene mreže

Razmislite o postavkama sigurnosti na svakom Vašem profilu na bilo kojoj društvenoj/socijalnoj mreži. Budite svjesni rizika kojem se izlažete te mogućnosti kompromitacije osobnih podataka koje na takvim mrežama pohranjujete te svjesno i odgovorno odlučite o svakoj mogućoj sigurnosnoj postavci. Preporuka je odabrati sigurnosne postavke koje u najvećoj mogućoj mjeri štite Vašu privatnost te ne iznositi nikakve podatke koji bi u trenutku objavljivanja, ili bilo kada kasnije, mogli naškoditi Vašem ugledu ili ugledu osoba/organizacija koje spominjete ili s kojima ste povezni.

Pažljivo odaberite kada i gdje punite uređaje

Spajanje uređaja na stanicu za punjenje na javnom mjestu (npr. u javnom prostoru, zrakoplovnoj luci i slično) predstavlja rizik i postoji mogućnost neovlaštenog pristupa Vašem uređaju i podacima na njemu. Koristite vlastite punjače ili razmislite o korištenju aplikacija koje mogu onemogućiti prijenos podataka preko ulaza za punjenje uređaja.

Isključite WI-FI i BLUETOOTH kada vam ne trebaju

Hakeri mogu pristupiti Vašem uređaju korištenjem uključenog wi–fi ili bluetooth prijemnika. Isključite ih u postavkama uređaja za vrijeme dok Vam nisu potrebni.

Vjerujte svojim instinktima

Kako biste ostali zaštićeni, sumnjive poruke e-pošte uvijek tretirajte kao prijetnje. Nikada ne odgovarajte na sumnjivu poruku e-pošte. Najbolja je praksa služiti se samo poznatim načinima komunikacije kojima tvrtka može precizno upravljati.

Ne postoji popis proizvođača, usluga ili uređaja kojima možete sa 100% sigurnošću vjerovati. Niti jedna od predloženih mjera ne može u potpunosti ukloniti rizik niti Vam jamčiti da nećete biti predmet napada. Međutim, svaka od predloženih mjera, ako je primjenjiva za pojedinu vrstu uređaja, može i hoće smanjiti rizik kojem se izlažete, a u slučaju da se napad ipak dogodi, posljedice tj. prouzročena šteta bit će manja. Na Vama je odgovornost da osobne uređaje koristite savjesno, pažljivo i odgovorno i da ne ignorirate rizike kojima se izlažete.

Ako u bilo kojem trenutku sumnjate na pokušaj krađe identiteta, obratite se službeniku za zaštitu podataka kako bi se pravovremeno poduzeli potrebni koraci i obavijestili svi u tvrtki i na taj način otklonila mogućnost da se prijetnja dogodi drugim zaposlenicima.

I ne zaboravite: čovjek je najvažnija karika u očuvanju sigurnosti radnog okruženja.

www.feralis.hr

Povezane vijesti

• Prvo veliko kršenje osobnih podataka ZAPOSLENIH I U JAVNOM SEKTORU GRADA PULE I POREČA
• Ines Bolkovac, direktorica hrvatskog Centra za zaštitu osobnih podataka "Feralis": POLITIČARI NISU JEDNAKO ZAŠTIĆENI KAO DRUGI GRAĐANI
• Mini vodič za samostalno uređenje web stranice U SKLADU S GDPR-om