Współczesne środowisko pracy coraz bardziej opiera się na technologiach cyfrowych. Ochrona danych firmowych i prywatnych to obowiązek każdego pracownika – niezależnie od stanowiska. Celem tego materiału jest przedstawienie praktycznych zasad, które pomogą Ci bezpiecznie korzystać z komputera, Internetu i narzędzi pracy zdalnej.
Aktualizacje – pierwsza linia obrony
Aktualizacje systemu operacyjnego i programów to najprostszy sposób na zapobieganie atakom. Zawierają poprawki błędów i luk bezpieczeństwa, które cyberprzestępcy często wykorzystują. Zaleca się włączanie automatycznych aktualizacji oraz regularne ponowne uruchamianie komputera, aby wszystkie poprawki zostały zastosowane.
Przykład: w 2017 roku wiele firm padło ofiarą wirusa WannaCry takie jak Nissan, Telefonica, FedEx, brytyjska służba zdrowia czy indyjskie linie lotnicze Shaheen Airlines¹. Wirus atakował systemy bez zainstalowanych aktualizacji Windows.
Silne i unikalne hasło
Hasła to klucz do Twoich danych. Powinny być długie, trudne do odgadnięcia i inne dla każdego konta. Używaj kombinacji małych i dużych liter, cyfr oraz symboli. Nigdy nie zapisuj haseł w notatniku albo na biurku. Warto korzystać z programów, takich jak KeePass, które ułatwią zarządzanie hasłami czym zwiększą bezpieczeństwo naszych kont oraz uproszczą proces uwierzytelniania, oraz włączyć uwierzytelnianie dwuskładnikowe (2FA). 2FA to metoda zabezpieczania kont, która wymaga podania dwóch rożnych form potwierdzenia tożsamości zamiast jednego. Pierwszym składnikiem jest Twój login i hasło, drugim przykładowo może być jednorazowy kod z aplikacji mobilnej lub przesłany w wiadomości SMS. Zachęcamy także do ćwiczeń naszego umysłu za pomocą mnemotechnik. Jedną z wielu metod jest także utworzenie hasła z pierwszych liter, z wyrazów tworzących wymyślone przez nas zdanie.
Przykład: Rzhngnu2025! – Regularnie zmieniam hasło nikomu go nie ujawniam 2025!
VPN – bezpieczne połączenie z siecią
Podczas pracy zdalnej lub korzystania z publicznych Sieci Wi-Fi używaj VPN (Virtual Private Network). VPN szyfruje połączenie między twoim komputerem, a serwerem, chroniąc dane przed przechwyceniem. VPN tworzy zaszyfrowany tunel między twoimi urządzeniami, a serwerem VPN.
Zastosowania VPN w pracy:
1. Bezpieczna praca zdalna – VPN pozwala łączyć się z siecią firmową jakbyś był w biurze.
2. Dostęp do zasobów wewnętrznych – pliki, bazy danych, serwery, intranet.
3. Ochrona przed podsłuchem – szczególnie ważna przy pracy z publicznych sieci Wi-Fi.
4. Segmentacja sieci – dział IT może tworzyć osobne połączenia VPN dla różnych działów (np. HR, finanse).
Zastosowania VPN w domu:
1. Ochrona prywatności (np. ukrywani lokalizacji i adresu IP).
2. Bezpieczne korzystanie z bankowości online w sieciach publicznych.
3. Uniknięcie śledzenia reklamowego.
Szyfrowanie danych
Szyfrowanie to proces zmiany danych w formę nieczytelną dla osób nieuprawnionych. Pliki, dokumenty i system operacyjny są zaszyfrowane tak, że bez odpowiedniego klucza lub hasła nie da się ich odczytać. Szyfrowanie sprawia, że nawet jeśli ktoś ukradnie twój komputer lub pendrive, dane pozostaną nieczytelne. Włącz szyfrowanie dysków (BitLocker w Windows, FileVault w macOS) i nośników przenośnych.
Dobre praktyki przy szyfrowaniu:
1. Nie zapomnij klucza odzyskiwania (recovery key).
2. Nie przechowuj klucza na tym samym dysku – w razie kradzieży zabezpieczenie nie spełni swojej roli.
3. Szyfruj również dyski zewnętrzne i pendrive’y.
4. Nie wyłączaj szyfrowania w celu „przyspieszenia pracy”.
5. Sprawdzaj status szyfrowania – m.in. za pośrednictwem działu IT.
Ciekawostka: Program BitLocker został po raz pierwszy wprowadzony w systemie Windows Vista (2007 rok).
Phishing i fałszywe wiadomości
Phishing polega na wysyłaniu wiadomości e-mail, które udają autentyczne komunikaty np. od banku albo działu IT. Celem jest nakłonienie użytkownika do kliknięcia w link lub podania danych logowania. Zawsze sprawdzaj adres nadawcy, uważaj na błędy językowe i nie otwieraj załączników od nieznanych osób.
Kieruj się zasadą 3 sekund – przed każdym kliknięciem zatrzymaj się na 3 sekundy i zadaj sobie pytanie: Czy ta wiadomość wygląda wiarygodnie? Jeśli masz cień wątpliwości – zgłoś, nie klikaj.
Ciekawostka: pierwszy atak systematyczny atak phisingowy miał miejsce w 1995 roku, którego ofiarą był amerykański dostawca usług internetowych America Online (AOL)². Przestępcy podszyli się pod pracowników AOL, by wykradać dane logowania.
Kopie zapasowe – plan awaryjny
Regularne tworzenie kopii zapasowych chroni przed utratą danych spowodowanych awarią, błędem użytkownika lub atakiem ransomware. Kopię warto przechowywać w chmurze lub na zewnętrznym, zaszyfrowanym dysku. Stosuj zasadę 3-2-1: trzy kopie danych, na dwóch różnych nośnikach, jedna w innej lokalizacji.
Backup to nie wszystko – liczy się także test przywracania. Wielu użytkowników robi kopie zapasowe, ale nigdy nie sprawdza czy uda się je odzyskać.
Ochrona danych w chmurze
Chmura to nie powietrze. Dane przechowywane w chmurze nie unoszą się w eterze. Znajdują się w prawdziwych centrach danych rozsianych po całym świecie. Korzystanie z chmur (OneDrive, Google, DropBox) jest wygodne, ale wymaga ostrożności. Nie udostępniaj plików publicznie, używaj uprawnień dostępu i kontroluj, kto może edytować lub pobierać dokumenty. Dane firmowe przechowuj wyłącznie w zatwierdzonych rozwiązaniach chmurowych.
Wiele naruszeń danych w chmurze wynika z kompromitacji konta użytkowania (słabe lub ujawnione hasło). Dlatego zawsze warto włączyć:
1. Uwierzytelnianie wieloskładnikowe.
2. Alerty logowania z nowych urządzeń.
3. Menedżera haseł (Keepass).
Sprawdzenia i audyty
Cyklicznie sprawdzaj jakość wprowadzanych przez Ciebie środków bezpieczeństwa. Comp-Net współpracując ze swoimi Klientami wykonuje różne formy sprawdzeń i audytu stosowanych zabezpieczeń. Doskonałymi przykładami są ABS – Audyt Bezpieczeństwa Sieci oraz Audyt SAM – Software Asset Managment. Pierwszy z nich ma na celu zidentyfikowanie krytycznych oraz słabych punktów w Twoich systemach i sieciach, drugi jest procesem regularnego audytu oprogramowania obejmującym zarządzanie, optymalizację nabycia, instalację, stosowanie oraz usuwanie oprogramowania w organizacji.
Praktyka
Bezpieczeństwo komputerowe to codzienna praktyka. Każdy z nas odgrywa kluczową rolę w ochronie danych firmowych. Stosowanie zasad opisanych powyżej pozwala zmniejszyć ryzyko incydentów i buduje kulturę bezpieczeństwa w organizacji.
Źródło:
¹https://cert.pl/posts/2017/05/wannacry-ransomware/
²https://www.eset.com/pl/phishing/
Autor:
Maciej Klimkowski
Ekspert ochrony danych osobowych. Audytor wiodący ISO/IEC 27001:2022