Wielu incydentów związanych z cyberbezpieczeństwie można by uniknąć, gdyby nie rutynowe, pozornie niewinne błędy popełniane przez pracowników. Choć często nie wynikają one ze złej woli,
a raczej z braku wiedzy, pośpiechu lub przyzwyczajeń, ich skutki mogą być bardzo poważne. W tym rozdziale omówimy najczęstsze błędy i pokażemy, jak ich unikać.
- używanie słabych i powtarzalnych haseł „123456”, „haslo”, „qwerty” – to nadal jedne z najczęściej używanych haseł na świecie. Wielu użytkowników stosuje jedno hasło do wielu kont, co oznacza, że złamanie jednego zabezpieczenia daje przestępcom dostęp do szeregu systemów. To szczególnie niebezpieczne, gdy mówimy o kontach służbowych.
- zapisywanie haseł w widocznych miejscach Kartka z hasłem przyklejona do monitora, plik o nazwie „loginy.docx” na pulpicie czy notatka w telefonie – to proszenie się o kłopoty. W razie utraty urządzenia lub nieautoryzowanego dostępu, wszystkie dane stają się łatwym łupem.
- klikanie w podejrzane linki Brak dokładnej analizy wiadomości e-mail, klikanie w linki z SMS-ów od „kurierów” lub „banków”, otwieranie załączników z nieznanych źródeł – to jedne z głównych dróg, przez które złośliwe oprogramowanie trafia do firmowych systemów.
- brak blokowania komputera po odejściu od stanowiska Pozostawienie komputera bez zabezpieczenia to ryzyko, że ktoś niepowołany uzyska dostęp do firmowych danych. Nawet kilka minut wystarczy, by skopiować dokumenty lub wysłać e-mail podszywający się pod właściciela konta.
- używanie prywatnych urządzeń do celów służbowych Praca z domowego laptopa czy telefonu, który nie ma aktualnych zabezpieczeń, może narazić dane firmowe na przechwycenie. Takie urządzenia często nie mają szyfrowanych dysków, odpowiednich zapór sieciowych czy aktualizacji.
- ignorowanie aktualizacji systemów i aplikacji Aktualizacje nie są tylko estetycznymi usprawnieniami – często łatają poważne luki bezpieczeństwa. Opóźnianie ich instalacji to otwieranie drzwi dla atakujących.
- udostępnianie danych osobowych lub służbowych przez telefon lub e-mail Przestępcy coraz częściej podszywają się pod zaufane instytucje. Podanie danych przez telefon „pracownikowi banku” lub „działowi IT” może skutkować utratą kontroli nad kontem lub dostępem do systemów.
- brak zgłaszania incydentów Wielu pracowników wstydzi się przyznać, że kliknęło w podejrzany link lub niechcący ujawniło dane. Tymczasem szybkie zgłoszenie problemu do działu IT może zapobiec poważnym konsekwencjom.
- korzystanie z publicznych sieci Wi-Fi bez zabezpieczeń Łączenie się z darmowym Wi-Fi w kawiarni lub na dworcu bez użycia VPN to zaproszenie dla cyberprzestępców. Takie sieci mogą być monitorowane lub fałszywe.
- brak świadomości i szkolenia Wielu pracowników po prostu nie wie, jak postępować bezpiecznie. Brakuje im wiedzy, jak rozpoznać zagrożenia i jak reagować. Regularne szkolenia, materiały edukacyjne i testy wiedzy mogą znacząco zmniejszyć liczbę błędów.
Podsumowując: większość incydentów nie wynika z wyrafinowanych ataków, ale z prostych błędów ludzi. Dlatego edukacja, budowanie świadomości i wypracowanie dobrych nawyków to kluczowe elementy skutecznej strategii cyberbezpieczeństwie.
