Bezpieczna chmura i użytkownik – czyli małżeństwo z rozsądku

Według raportu o cloud-computingu przygotowanego przez firmę McAfee, nawet 87% ankietowanych firm uważa, że wykorzystanie chmury przyczyniło się do wzrostu wydajności pracy. Więcej niż połowa respondentów zanotowała z kolei poprawę bezpieczeństwa danych umieszczanych w chmurze. Technologia jest coraz bardziej niezawodna. Jednak na pełne bezpieczeństwo informacji składają się dodatkowe czynniki.

W cyfrowym świecie panuje dziś konsensus co do tego, że cloud-computing to rozwiązanie bezpieczne. Eksperci wymieniają szereg istotnych przewag tego rozwiązania nad metodami takimi jak sieci hybrydowe i wewnętrzne serwery. To między innymi większa wiedza ludzi pracujących nad usługą chmurową, aktualność technologii i oprogramowania czy niższy koszt dla firm. O zaletach rozwiązań chmurowych piszemy więcej w artykule „Przechowywanie danych w chmurze a bezpieczeństwo plików„. Stopień bezpieczeństwa danych zależy dziś jednak w równej mierze od technologii, jak i tego, czy przedsiębiorstwa i ich pracownicy korzystający z usług online będą w stanie rozpoznać zagrożenie, a twórcy zadbają o odpowiedni design usługi.

UI/UX powinien wspierać bezpieczeństwo danych

W tym kontekście błąd ludzki jest jednym z najpoważniejszych wyzwań dla bezpieczeństwa poufnych danych. W dobie rosnącego znaczenia UX (user experience), potrzeby użytkowników dotyczące prostoty i intuicyjności oprogramowania nie mogą naruszać technologicznych podstaw bezpieczeństwa cyfrowych rozwiązań. System musi być więc na tyle prosty, by użytkownik nie miał problemów z jego obsługą, ale na tyle złożony, by przeciwdziałał zagrożeniom. Powinien również wspierać eliminację najczęściej występujących zagrożeń leżących po stronie operacyjnej, niejako skłaniając użytkownika do stosowania dobrych praktyk i edukując go.

Deweloperzy zwracają uwagę na dwie podstawowe cechy bezpiecznego designu: identyfikację i uwierzytelnienie. W praktyce przekłada się to na tradycyjną metodę stosowania loginu i hasła. O ile hasła nie są najbardziej komfortowym rozwiązaniem z perspektywy użytkownika, szczególnie na urządzeniach mobilnych, istnieje uzasadnienie dla ich stosowania, zwłaszcza w przypadku przedsiębiorstw, które muszą dbać o ochronę strategicznych danych podczas ich udostępniania.

Metodą, którą stosujemy w systemie FORDATA to linki dostępowe wysyłane do użytkowników, umożliwiające logowanie do Data Roomu. Jako że nasz system nie wymaga instalacji, możemy dodatkowo ukryć fakt, że ktoś z niego w ogóle korzysta, ograniczając się do komunikacji mailowej na linii Zespół Obsługi Klienta – Użytkownik. Praca w systemie odbywa się poprzez przeglądarkę. Po wstępnym zalogowaniu użytkownik proszony jest o ustawienie własnego, bezpiecznego hasła i informowany jest o sekwencjach znaków, których powinien unikać, by lepiej zabezpieczyć dostęp. Dodatkowo ma możliwość zastosowania uwierzytelnienia dwuskładnikowego poprzez SMS.

Stosowanie haseł to dopiero początek

Nawet jeśli oba warunki zostają spełnione, a więc gdy użytkownik zostanie poprawnie zidentyfikowany (login) i uwierzytelniony (hasło), nie możemy jednak mówić o jego pełnym bezpieczeństwie. Zagrożenia wykraczają daleko poza mechanizm logowania, a zadaniem designera jest ciągłe szukanie kompromisu między komfortem pracy użytkownika i jego ochroną. Idealna sytuacja to taka, w której użytkownik w ogóle nie musi myśleć o swoim bezpieczeństwie. W praktyce, gdy w grę wchodzi ochrona prywatności czy tajemnicy firmowej, takie rozwiązanie nie istnieje. W końcu dane logowania i uwierzytelnione sesje także muszą podlegać ochronie.

Do mechanizmów wspierających bezpieczne logowanie i chroniących dane, które wykorzystujemy w systemie FORDATA należą np. konieczność okresowej zmiany hasła, brak możliwości równoczesnego logowania z użyciem tego samego loginu czy ograniczenie puli adresów IP, z których możliwe jest zalogowanie do systemu. Każde z tych zabezpieczeń będzie w mniejszym lub większym stopniu ograniczać swobodę użytkownika, jednak korzyści płynące z ich zastosowania są dużo większe.

Powyższa lista nie jest bynajmniej wyczerpująca. W zależności od naszego środowiska pracy i istniejących zagrożeń konieczne jest ciągłe dostosowywanie technologii. Jednak wykorzystanie nawet najbardziej zaawansowanych metod ochrony danych może nie wystarczyć. Dość powiedzieć, że najczęstszym powodem naruszenia poufności jest zwykła nieuwaga użytkowników. W tym kontekście warto skupić się na kolejnym, szczególnie istotnym obszarem bezpieczeństwa.

Użytkownik ma bezpośredni wpływ na bezpieczeństwo danych

Z dużą pewnością można stwierdzić, że kluczem do bezpieczeństwa danych jest kompromis między technologią i właściwymi praktykami użytkowania. Wzrastający poziom integracji przyjaznego designu i bezpieczeństwa oprogramowania oraz stosowania dobrych praktyk wystawia jednak firmy na wciąż rosnące niebezpieczeństwo phishingu, czyli próby wyłudzenia elektronicznych danych. Te, niestety, stają się coraz bardziej kreatywne i wyrafinowane. Dane migrują na coraz bezpieczniejsze chmury, przez co przestępcy szukają sposobów na dotarcie do nich podszywając się na przykład pod dostawcę usługi, klienta firmy, kolegę z pracy, czasem wręcz przełożonych i stosują milion innych metod opartych na psychologii. Tak zwane ataki BEC (business email compromise) zakładają m.in. whaling, czyli spersonalizowane ataki na osoby decyzyjne w przedsiębiorstwie oraz spear phishing, którego celem są pracownicy niższego szczebla.

Aby przeciwdziałać tego typu atakom, przedsiębiorstwa powinny korzystać z usług online oferujących ochronę antyphishingową i wprowadzać wspomniane już standardowe procedury operacyjne do swojej aktywności, a przy tym bacznie zwracać uwagę na każdy mejl i każdy link, w jaki klikamy. Czym może grozić nieuwaga, dobrze pokazują artykuły zamieszczone w serwisie Niebezpiecznik. W przystępny i atrakcyjny sposób uczą one, jak ustrzec się cyberprzestępczości i jak małe niedopatrzenie może zakończyć się totalną katastrofą.

Rok 2020 ma upłynąć pod znakiem zwiększonego zagrożenia phishingiem. Trzeci filar bezpieczeństwa, który omawiamy, to właśnie budowanie świadomości na temat tego zagrożenia – na każdym poziomie funkcjonowania firmy. Internet jeszcze długo nie będzie wolny od zagrożeń cyberprzestępczością, a być może nie będzie od niej wolny nigdy. Dlatego bezpieczna i nawet najlepiej zaplanowana technologia nie uchroni nas w pełni, jeśli sami nie będziemy w stanie przeciwdziałać zagrożeniom.

Przesyłaj dane w chmurze bezpiecznie

z najlepszą obsługą klienta w branży

Jeśli artykuł był dla Państwa wartościowy, proszę o udostępnienie dalej, np. poprzez Facebook czy LinkedIn!
Share on facebook
Facebook
Share on linkedin
LinkedIn

Zdjęcie główne: Unsplash.com

Może Cię też zainteresować
Ta strona używa ciasteczek (cookies), dzięki którym nasz serwis może działać lepiej. Nie akceptuję / AKCEPTUJĘ Polityka prywatności