του Αναστασίου Αραμπατζή[1]
Οι ευρυζωνικές διασυνδέσεις και η τεχνολογία της πληροφορίας (Information Technology) είναι πολύ χρήσιμα και δυναμικά εργαλεία για τις μικρές και μεσαίες επιχειρήσεις για να αποκτήσουν πρόσβαση σε νέες αγορές και να αυξήσουν τις πωλήσεις τους και την παραγωγικότητά τους. Εντούτοις, οι απειλές που σχετίζονται με την κυβερνοασφάλεια είναι αληθινές και οι επιχειρήσεις πρέπει να υλοποιήσουν τις καλύτερες πρακτικές και πολιτικές για να προστατέψουν τις ίδιες, τους πελάτες τους και τα δεδομένα τους. Είναι επίσης γεγονός ότι πλέον η πλειοψηφία των κυβερνοεπιθέσεων πραγματοποιούνται εναντίον των μικρών και μεσαίων επιχειρήσεων επειδή οι τελευταίες δεν επενδύουν αρκετά για την επαύξηση της ασφάλειάς τους.
Εικόνα 1: Προστασία Δεδομένων. Πηγή EU Parliament
Στο παρόν άρθρο θα αποτυπωθούν εν συντομία δέκα βασικές συμβουλές για την προστασία των μικρών και μεσαίων επιχειρήσεων από τις παραπάνω απειλές:
- Εκπαιδεύστε το προσωπικό σας. Δημιουργήστε βασικές και απλές πρακτικές και πολιτικές ασφαλείας για τους υπαλλήλους σας, όπως η υιοθέτηση ισχυρών κωδικών πρόσβασης (passwords) και αναπτύξτε κατάλληλες πολιτικές χρήσης του Διαδικτύου (Internet). Οι εν λόγω πολιτικές θα πρέπει να περιέχουν λεπτομέρειες για τις ποινές που θα επισείουν τυχόν παραβιάσεις αυτών. Δημιουργήστε κανόνες συμπεριφοράς που να περιγράφουν τον χειρισμό και την προστασία πληροφοριών των πελατών και άλλων κρίσιμων δεδομένων.
- Προστατέψτε πληροφορίες, υπολογιστές και δίκτυα από τις κυβερνοεπιθέσεις. Κρατήστε καθαρούς τους υπολογιστές σας: τα ενημερωμένα λογισμικά ασφαλείας (antivirus), web browsers και λειτουργικά συστήματα είναι η καλύτερη άμυνα ενάντια σε ιούς, κακόβουλο λογισμικό και άλλες online απειλές. Παραμετροποιήστε το λογισμικό ασφαλείας να πραγματοποιεί σαρώσεις μετά από κάθε ενημέρωση. Εγκαταστήστε ενημερώσεις άλλων λογισμικών μόλις είναι διαθέσιμες. Ενεργοποιήστε την επιλογή αυτόματης ενημέρωσης όπου αυτή είναι διαθέσιμη. Διαγράψτε ύποπτα μηνύματα (emails), καθότι αυτά μπορεί να είναι φορείς κακόβουλου λογισμικού.
- Εγκαταστήστε firewall για τη σύνδεσή σας στο Internet. Firewall είναι το σύνολο των προγραμμάτων που αποτρέπουν άτομα εκτός της επιχείρησης να αποκτούν πρόσβαση σε δεδομένα του ιδιωτικού δικτύου της επιχείρησης. Βεβαιωθείτε ότι το firewall του λειτουργικού συστήματος είναι ενεργοποιημένο, διαφορετικά εγκαταστήστε ελεύθερο λογισμικό firewall, το οποίο είναι διαθέσιμο στο Internet.
- Δημιουργήστε ένα σχέδιο δράσης για τις κινητές συσκευές (smartphones, tablets). Οι κινητές συσκευές μπορεί να δημιουργήσουν σημαντικές προκλήσεις διαχείρισης και ασφάλειας, ειδικά εάν σε αυτές αποθηκεύονται εμπιστευτικές πληροφορίες ή εάν από αυτές αποκτάται πρόσβαση στο δίκτυο της εταιρείας. Απαιτείστε από τους χρήστες να προστατεύουν με κωδικό τις συσκευές τους και να εγκαταστήσουν εφαρμογές που αποτρέπουν τη κλοπή πληροφοριών όταν το τηλέφωνο βρίσκεται σε (μη ασφαλή) δημόσια δίκτυα.
- Δημιουργήστε αντίγραφα ασφαλείας των σημαντικών δεδομένων σας. Δημιουργήστε αντίγραφα ασφαλείας των δεδομένων σε όλους τους υπολογιστές. Τα κρίσιμα δεδομένα περιλαμβάνουν έγγραφα, υπολογιστικά φύλλα (τύπου Excel), βάσεις δεδομένων, οικονομικά αρχεία, αρχεία με προσωπικά δεδομένα των υπαλλήλων και αρχεία πληρωμών. Η καλύτερη πρακτική είναι τα αντίγραφα ασφαλείας να δημιουργούνται αυτόματα και να φυλάσσονται σε χώρο εκτός της επιχείρησης.
- Ελέγξτε τη φυσική πρόσβαση στους υπολογιστές και δημιουργήστε λογαριασμούς για κάθε υπάλληλο. Αποτρέψτε την πρόσβαση ή τη χρήση των εταιρικών υπολογιστών από μη εξουσιοδοτημένα άτομα. Οι φορητοί υπολογιστές μπορεί να είναι εύκολοι στόχοι για κλοπή. Βεβαιωθείτε ότι κάθε υπάλληλος έχει ξεχωριστό λογαριασμό και απαιτείστε ισχυρούς κωδικούς πρόσβασης. Δικαιώματα διαχείρισης πρέπει να δίνονται μόνο σε εξουσιοδοτημένο προσωπικό.
- Ασφαλίστε τα ασύρματα δίκτυα (Wi–Fi). Εάν έχετε ασύρματο δίκτυο για το χώρο εργασίας, βεβαιωθείτε ότι είναι ασφαλές, κρυπτασφαλισμένο και κρυφό. Για να αποκρύψετε το ασύρματο δίκτυο, παραμετροποιείστε το router ώστε να μην αναμεταδίδει το όνομα του δικτύου, γνωστό και ως Service Set Identifier (SSID). Προστατέψτε με κωδικό την πρόσβαση στο router.
- Υιοθετήστε καλές πρακτικές για τις πιστωτικές κάρτες. Συνεργαστείτε με την τράπεζά σας και βεβαιωθείτε ότι χρησιμοποιούνται έμπιστα και πιστοποιημένα εργαλεία και υπηρεσίες αποφυγής της απάτης. Απομονώστε τα συστήματα πληρωμής από άλλα, λιγότερο ασφαλή προγράμματα και μη χρησιμοποιείτε τον ίδιο υπολογιστή για διενέργεια πληρωμών και για πλοήγηση στο Διαδίκτυο.
- Περιορίστε την πρόσβαση των υπαλλήλων σε δεδομένα και πληροφορίες και αποτρέψτε τη δυνατότητα εγκατάστασης λογισμικού. Μη δίνετε σε κανένα υπάλληλο πρόσβαση σε όλα τα συστήματα δεδομένων της επιχείρησης. Οι υπάλληλοι πρέπει να έχουν πρόσβαση μόνο στα δεδομένα που χρειάζονται για να κάνουν τη δουλειά τους. Δεν πρέπει να έχουν τη δυνατότητα να εγκαθιστούν οποιοδήποτε λογισμικό χωρίς πρότερη άδεια.
- Κωδικοί και ταυτοποίηση. Απαιτείστε οι υπάλληλοι να χρησιμοποιούν ισχυρούς κωδικούς και να τους αλλάζουν τουλάχιστον κάθε τρεις μήνες. Εξετάστε εάν απαιτείται η υλοποίηση πολυεπίπεδης ταυτοποίησης, η οποία απαιτεί επιπρόσθετες πληροφορίες εκτός από τον κωδικό για την πρόσβαση.
[1] Ο κ. Αναστάσιος Αραμπατζής, απόστρατος αξιωματικός της Πολεμικής Αεροπορίας, με 15ετή και πλέον εμπειρία σε θέματα διαχείρισης και ασφάλειας συστημάτων πληροφορικής, τα οποία επεξεργάζονται και αποθηκεύουν κρίσιμες και ευαίσθητες πληροφορίες. Είναι απόφοιτος της Σχολής Μηχανικών της Πολεμικής Αεροπορίας (γνωστή και ως ΣΜΑ) και έχει συμμετάσχει σε πληθώρα εκπαιδεύσεων τόσο στην Ελλάδα όσο και στο εξωτερικό με θέμα τη διαχείριση και την ασφάλεια συστημάτων πληροφορικής. Ταυτόχρονα, ήταν επιθεωρητής του ΝΑΤΟ σε θέματα ασφάλειας πληροφοριών (Information Security Evaluator), αποκτώντας τεράστια εμπειρία στο αντικείμενο.