Навчання співробітників з кібербезпеки

Ісідоро Лопес Бріонес Сантос -

Кібербезпека допомагає запобігти втраті інформації компанії (про співробітників, клієнтів, постачальників, бухгалтерію, проекти, планування, дослідження тощо), запобігає перебоям у виробництві компанії та допомагає дотримуватися Органічного закону про захист персональних даних та гарантування цифрових прав.

Кібербезпека — це благо кожного, і кожен є відповідальністю.

Основні вразливості виникають через недбалу поведінку, яка є найпоширенішою причиною порушень безпеки, застаріле програмне забезпечення, яке часто містить діри в безпеці, фішингові атаки та неправильне налаштування мереж, серверів та обладнання.

Основи кібербезпеки для співробітників

Кібербезпека : практика захисту інформації, комунікацій та пристроїв від зловмисних атак за допомогою широкого спектру складних інструментів, політик та процесів.

Постачальник послуг Інтернету (ISP) : компанія, яка надає підключення до Інтернету.

Віртуальна приватна мережа (VPN) : система, яка встановлює безпечне мережеве з’єднання під час використання загальнодоступних мереж. VPN шифрують інтернет-трафік і приховують вашу особу, що ускладнює для третіх осіб відстеження вашої онлайн-активності та крадіжку ваших даних. Для злому VPN використовуються передові методи кібербезпеки.

Хакер : особа, яка намагається вирішити, полегшити або повідомити про проблеми безпеки, виявлені в програмах, сервісах, платформах чи інструментах.

Кіберзлочинець: особа, яка намагається використати ці проблеми або недоліки безпеки за допомогою різних методів, таких як соціальна інженерія або шкідливе програмне забезпечення.

Мобільні пристрої: мобільні телефони, планшети та ноутбуки.

Брандмауер : апаратне або програмне забезпечення, призначене для захисту мережі від небажаних користувачів.

Маршрутизатор : пристрій, який дозволяє з’єднувати мережі. Наприклад, внутрішню мережу компанії або дому з Інтернетом.

Wi-Fi : бездротове з'єднання, яке дозволяє нам підключати наші пристрої до мережі.

Антивірус : програма, яка виявляє та видаляє загрози та віруси з пристрою. Важливо постійно оновлювати її.

Автентифікація : процес перевірки особи людини, коли вона намагається отримати доступ до комп’ютера або файлів.

Двофакторна перевірка, 2FA або двофакторна автентифікація: увімкнення двофакторної перевірки передбачає додавання додаткового кроку до введення імені користувача та пароля для отримання доступу. Ця подвійна перевірка може мати форму коду, надісланого на мобільний телефон, фізичного ключа безпеки, підключеного до пристрою для доступу, відбитка пальця, розпізнавання обличчя тощо. Це захищає вас, використовуючи щось, що ви знаєте (ім'я користувача та пароль), і щось, що у вас є (мобільний телефон або ключ безпеки), що ускладнює несанкціонований доступ. Це також корисно для запобігання спробам фішингу.

Резервне копіювання : зберігання копій ваших файлів на сервері, жорсткому диску, комп’ютері, знімному диску або в хмарі для їх відновлення у разі втрати. Часто поєднуються кілька методів зберігання резервних копій.

Цифровий сертифікат : дозволяє, серед іншого, шифрувати повідомлення, щоб запобігти перегляду інформації неавторизованими третіми особами, перевіряти домени, щоб продемонструвати їхню надійність та автентичність, перевіряти користувачів в електронних листах та підписувати документи для виявлення змін та забезпечення автентичності.

Шифрування: процес кодування інформації (документа або повідомлення) для запобігання її доступу до сторонніх осіб. Доступ до вмісту можуть отримати лише ті, хто володіє ключем.

HTTP/HTTPS: HTTPS – це безпечна версія HTTP, тобто HTTP-зв’язок шифрується для отримання HTTPS. Він найчастіше використовується під час перегляду веб-сторінок. Використовуючи HTTPS, ми шифруємо навігацію між користувачем і веб-сайтом, що ускладнює її перехоплення третіми особами. Хоча HTTPS не містить конфіденційної інформації, він може розкрити інформацію про відвідувача під час заповнення форми.

Різниця між https та http

Значок блокування браузера поруч із URL-адресою: вказує на те, що веб-сайт використовує сертифікат для створення протоколу зашифрованого з’єднання, що забезпечує безпечний зв’язок. Це не означає, що сторінка, до якої ви підключаєтеся, є надійною.

reCaptcha: Система для виявлення та блокування трафіку від автоматизованих програм або ботів. Вона може відображатися щоразу, коли здійснюється доступ до веб-ресурсу або коли є підозра на наявність бота.

Спливаючі вікна : спливаючі вікна або сповіщення, які зазвичай містять інформацію чи рекламу та з’являються на наших пристроях. Вони можуть містити рекламу, інформаційні повідомлення та шкідливі або шахрайські посилання.

Файли cookie : невеликі файли, що містять інформацію, зібрану певним веб-сайтом, який ми відвідували, та збережену на наших пристроях. Вони в основному використовуються для збору інформації про наші звички перегляду веб-сайтів, покращення зручності використання під час наступного відвідування веб-сайту та показу нам цільової реклами з інформацією, яка може нас зацікавити.

Спам : небажана реклама або шкідливі електронні листи, що надходять до нашої поштової скриньки з метою продажу нам товару, обману нас або зараження наших пристроїв.

Соціальна інженерія : обманлива стратегія, яку використовують кіберзлочинці, щоб завоювати нашу довіру та переконати нас поділитися своїми даними, такими як паролі чи дані кредитних карток, або надати їм доступ до наших пристроїв.

DDoS (розподілена відмова в обслуговуванні): атака, під час якої намагаються зробити сервіс непридатним для використання шляхом перевантаження його робочими навантаженнями. Використовуючи кілька хостів або користувачів та шляхом експоненціального збільшення кількості запитів, вони намагаються тимчасово заблокувати систему. Іноді це трапляється, коли система не готова обробляти високі пікові навантаження, такі як купівля квитків, голосування, заявки на гранти тощо.

Фішинг : техніка, яка передбачає надсилання електронного листа користувачеві, який видає себе за законну особу, з метою крадіжки конфіденційної інформації, стягнення плати або зараження пристрою. Для цього вони додають до електронного листа заражені файли або посилання на шахрайські веб-сайти.

Кейлогер : апаратний або програмний пристрій, який записує натискання клавіш для таємного захоплення інформації, такої як паролі.

Піратське програмне забезпечення : програма, отримана через неофіційний канал від розробника, виробника, дистриб'ютора або офіційного репозиторію програм , яка може містити шкідливе програмне забезпечення.

Шкідливе програмне забезпечення : програмне забезпечення, розроблене для роботи без відома чи дозволу власника чи користувача, яке виконує в системі функції, шкідливі для користувача або системи.

Шпигунське програмне забезпечення : шкідливе програмне забезпечення, яке відстежує діяльність або інформацію комп’ютера без його згоди та надсилає її віддаленій особі.

Вірус : Шкідливе програмне забезпечення, призначене для автоматичного поширення.

Черв'як : Шкідливе програмне забезпечення, яке встановлюється на комп'ютер і копіюється на інші комп'ютери.

Програма-вимагач: шкідливе програмне забезпечення, яке повністю контролює комп’ютер, блокуючи або шифруючи інформацію користувача та вимагаючи плату за звільнення або розшифрування файлів на пристрої.

Сексуальне штурмування: Зловмисник погрожує жертві вжити певних заходів, щоб перешкодити жертві оприлюднити зображення чи відео із сексуальним підтекстом, які зловмисник раніше надіслав.

Військове судноплавство: це тип атаки, під час якої компанії надсилається пакет, що містить електронні пристрої. Після того, як одержувач підключить пристрій до комп'ютера організації, пристрій викраде інформацію.

Ботнет: боти, заражені певним типом шкідливого програмного забезпечення, якими зловмисник керує дистанційно та які можуть бути використані разом для виконання шкідливих дій.

Типосквотінг: це тип атаки, під час якої кіберзлочинець використовує друкарську помилку користувача під час введення URL-адреси у браузері.

Діпфейки: відео, маніпульовані таким чином, щоб користувачі повірили, що вони бачать певну особу, яка робить заяви або здійснює дії, яких ніколи не було.

Процедура покращення кібербезпеки

1. Інвентаризація облікових записів та пристроїв

  • Складіть список усіх ваших цифрових облікових записів (особистих та робочих), таких як ваш банківський рахунок, електронна пошта, соціальні мережі, торговельний майданчик та будь-які інші облікові записи доступу до цифрових послуг.
  • Складіть список усіх пристроїв, які у вас є (особистих та робочих).

2. Захистіть облікові записи

  • Не змішуйте інформацію з особистих та робочих облікових записів.
  • Паролі мають бути унікальними, не використовуйте один і той самий пароль для одного облікового запису.
  • Ніколи не використовуйте особисті паролі в компанії. Вже було зазначено, що вони мають бути унікальними, але якщо ви це робите, не використовуйте їх в облікових записах компанії, і особливо не використовуйте повторно особистий пароль в обліковому записі компанії.
  • Використовуйте двофакторну аутентифікацію, коли це можливо.
  • Створюйте надійні паролі, намагайтеся використовувати паролі, що поєднують великі літери, малі літери, цифри та символи, і, якщо можливо, довжиною більше 10 символів.
  • Змініть свій пароль, щойно ви підозрюєте, що його могли зламати.
  • Не використовуйте паролі, які може вгадати знайомий, друг чи член родини.
  • Не використовуйте особисту інформацію, поширені слова або послідовні літери на клавіатурі.
  • Бажано використовувати генератор паролів.

3. Контролюйте доступ до своїх пристроїв і даних

  • Не використовуйте один і той самий пристрій для професійного та особистого використання, зокрема мобільні телефони. Якщо це складно, пристрій має мати окремі облікові записи та обмежений доступ, щоб можна було розділити професійне та особисте використання.
  • Створення політик доступу
  • Мобільні пристрої, такі як ноутбуки, планшети та мобільні телефони, повинні мати зашифровану інформацію, щоб запобігти доступу у разі втрати або крадіжки. Контролю доступу лише імені користувача та пароля недостатньо.
  • Переконайтеся, що ви знаєте, хто має доступ до ваших документів і даних.
  • Чітко визначте, хто може переглядати, редагувати та ділитися вашою інформацією.
  • Увімкніть лише ті програми та дані, які необхідні для виконання завдання
  • Перевірте налаштування безпеки ваших пристроїв.
  • Не використовуйте зовнішню пам'ять, якщо ви не впевнені в надійності джерела.
  • Не завантажуйте конфіденційну інформацію на зовнішню пам'ять, якщо вона не буде зашифрована.
  • Обмежте обсяг даних, що зберігаються на обладнанні компанії. Чим менше даних, тим менший ризик того, що вони потраплять у чужі руки.
  • Контролюйте мережу вашої компанії та всі підключені пристрої.

4. Контролюйте доступ до дистанційної роботи та мобільних телефонів

Окрім вищезазначених заходів контролю, ми повинні враховувати інші політики безпеки. Ми повинні запитати себе: що станеться, якщо мобільний пристрій буде викрадено або втрачено? Що станеться, якщо хтось поза компанією отримає доступ до інформації?

  • Переконайтеся, що ніхто інший, навіть довірені люди, такі як родина чи друзі, не мають доступу до пристрою чи його даних, оскільки це буде порушенням безпеки та політики компанії.
  • Якщо служба технічної підтримки запитує доступ до вашого комп’ютера, переконайтеся, що це уповноважений технічний персонал компанії, а не кіберзлочинець.
  • Мобільні пристрої повинні мати можливість шифрування даних та віддаленого стирання.
  • Мобільні телефони повинні мати доступ до PIN-коду.

5. Підтримуйте своє програмне забезпечення в актуальному стані

  • Уникайте піратського програмного забезпечення
  • Використовуйте сумісне програмне забезпечення, яке дозволяє регулярно оновлюватися.
  • Увімкніть автоматичні оновлення, щоб отримувати найновіші засоби безпеки та вбудований захист від шкідливих програм, програм-вимагачів та фішингу.
  • Оновіть своє обладнання, якщо воно не дозволяє встановлювати оновлене програмне забезпечення.
  • Видаліть програми, якими ви не користуєтеся.
  • Уникайте програмного забезпечення, яке не пропонує опцій безпеки.
  • Уникайте застарілого програмного забезпечення, яке не можна оновити

Тести кібербезпеки

Загальний тест

Яка правильна відповідь?

1. Добре переконатися, що порушення безпеки фіксуються, але не згадуйте про них, щоб уникнути паніки серед співробітників.

  • Так, поширення паніки було б гіршим.
  • Ні, краще обговорити це, щоб ми могли діяти за потреби та сприяти розвитку культури кібербезпеки.

2. Рекомендується, щоб усі співробітники мали спільні паролі для підвищення продуктивності роботи.

  • Так
  • Ні

3. Якщо мій ноутбук із конфіденційними даними вкрали, але в мене є безпечне ім’я користувача та пароль, а також резервна копія всієї системи

  • Вам доведеться купити ще один ноутбук, але дані в безпеці.
  • Вони зможуть легко отримати дані, якщо інформація не зашифрована.

4. Чи може несанкціонований доступ надходити від інших співробітників компанії?

  • Ні, оскільки ми команда і працюємо разом на компанію.
  • Так, це можна вважати витоком інформації.

5. Який перший крок у плануванні онлайн-безпеки?

  • Встановлення оновлень для всього програмного забезпечення
  • Визначте доступні цифрові ресурси

6. Яка з перелічених нижче є головною перевагою переходу вебсайту на протокол HTTPS?

  • Потенційні зловмисники не зможуть прочитати інформацію, якою обмінюються веб-сайт та браузери користувачів.
  • Для зручності використання веб-сайту можна застосувати адаптивний дизайн.
  • Якщо використовується HTTPS, вебсайт зареєстровано як комерційний.

Відповіді:

  1. Ні, краще обговорити це, щоб ми могли діяти за потреби та сприяти розвитку культури кібербезпеки.
  2. Ні
  3. Вони зможуть легко отримати дані, якщо інформація не зашифрована.
  4. Так, це можна вважати витоком інформації.
  5. Визначте доступні цифрові ресурси
  6. Потенційні зловмисники не зможуть прочитати інформацію, якою обмінюються веб-сайт та браузери користувачів.

Тест на фішинг

Натисніть на це посилання