Jak zabezpieczyć komputer zgodnie z wymaganiami RODO oraz ISO/IEC 27001
Radosław Szczerski
Świadomi kar w dobie RODO bardzo często zadajemy sobie pytanie: Jak prawidłowo zabezpieczyć komputer? Jak sprawić, aby informacje w tym dane osobowe o nas, o pracownikach, o naszych klientach były bezpieczne? Jak prawidłowo zabezpieczyć nasze systemy informatyczne, nasze serwery i komputery?
Dość często spotykamy się w trakcie audytów, szkoleń oraz wdrożeń ISO/IEC 27001 i RODO z opinią, że zabezpieczenia sieci informatycznej, serwerów, komputerów, systemu informatycznego – nigdy nie będą w pełni gwarantować bezpieczeństwa, więc po co je wdrażać? Po co inwestować w bezpieczeństwo informatyczne? Wiele organizacji zawierza w tej kwestii swojemu informatykowi, który opiekuje się systemami informatycznymi firmy. Warto zadać kolejne pytanie czy potrafimy samodzielnie ocenić poziom zabezpieczenia informacji zgromadzonych w naszych systemach informatycznych? Czy mamy świadomość istniejących ryzyk i konsekwencji ich wystąpienia (np. wizerunkowe, finansowe, prawne)? Czy nasz “biznes” nie wyprzedził zanadto naszego “bezpieczeństwa”?
Obrazowo przedstawię problem na przykładzie zabezpieczenia domu, stosując pewne uogólnienia:
Można zgodzić się ze stwierdzeniem, że samo zamontowanie zamka w drzwiach nie daje nam gwarancji bezpieczeństwa. Po pierwsze musimy nauczyć się i pamiętać o przekręceniu kluczyka w odpowiednim momencie. Co się stanie, gdy przy tych drzwiach zamontujemy dodatkowo kamerę, postawimy strażnika, który będzie obserwować kto przez te drzwi przechodzi. Wzmocnimy drzwi, zamontujemy dodatkowe zamki, blokady, łańcuchy, zabezpieczenia biometryczne. Czy możemy już czuć się bezpiecznie?
Pomyślmy o tym, czy zabezpieczając dom i wzmacniając drzwi zastanawialiśmy się nad konstrukcją budynku, kominem, oknami, kanalizacją? Jak zabezpieczyliśmy się przed zalaniem, pożarem, trzęsieniem ziemi lub huraganem? W jakim stopniu dom jest zabezpieczony przed niewłaściwym działaniem jego mieszkańców oraz gości (ludzie, owady, gryzonie, psy i koty itd.)?
Jeżeli mamy tyle zabezpieczeń to czy kiedykolwiek oceniliśmy ich skuteczność? Sama ilość zagrożeń i ich charakter będzie zawsze zróżnicowany i zależny od przeznaczenia i zawartości budynku, jego użytkowników oraz lokalizacji. Czy potrafimy oszacować ile powinno kosztować bezpieczeństwo naszej firmy?
Analogicznie możemy pomyśleć o tym, jak zabezpieczyć komputer.
Bezpieczeństwo informacji w tym bezpieczeństwo danych osobowych powinniśmy budować kompleksowo w oparciu o ocenę ryzyka.
Pamiętajmy: intruz z Internetu szuka przeważnie “uchylonych okien” i “szybkich pieniędzy”, nie zawsze ma czas na forsowanie solidnego muru. Niestety bardzo często to My sami dajemy mu klucz do drzwi.
Jak zabezpieczyć komputer przed niechcianym gościem, utratą danych i atakami na sieć informatyczną?
Poniżej przedstawiam krótką listę podstawowych zasad, o których powinniśmy pamiętać przy pracy w systemach informatycznych (z wykorzystaniem komputera, czy smartfona):
- System operacyjny komputera/serwera/smartfona powinien posiadać wsparcie techniczne dostawcy (aktualizacje i łatki). np starsze wersje jak Windows 7 czy XP, nie mają już wsparcia i stwarzają dodatkowe ryzyka dla wszystkich danych zgromadzonych w sieci informatycznej.
- Instaluj krytyczne aktualizacje wymagane przez producenta np. systemu operacyjnego, oprogramowania w tym sterowników komputera (to samo dotyczy urządzeń sieciowych: routery, UTM, serwery, Switche, drukarki sieciowe itp.)
- Stosuj oprogramowanie pochodzące z legalnego źródła – prawa autorskie, licencje.
- Szyfruj dyski w laptopie np. przez włączenie funkcji “Bitlocker” dostępnej w Windows 10 Pro.
- Szyfruj zewnętrzne nośniki pamięci np. pendrive. Zastanów się czy musisz ich używać (wyższe ryzyko utraty danych)?
- Zainstaluj oprogramowanie antywirusowe o szerokim spektrum ochrony. Warto sprawdzić przed instalacją opinie niezależnych ekspertów na temat jego skuteczności i funkcjonalności.
- Ważne dane zabezpiecz przez dodatkową kopię bezpieczeństwa, którą przechowujesz w innym miejscu/pomieszczeniu/budynku z uwagi na ryzyko pożaru, np. w chmurze. Pamiętaj że “jedyna kopia” danych na pendrive nie jest najbezpieczniejszym rozwiązaniem.
- Okresowo sprawdzaj, czy kopie bezpieczeństwa nie są uszkodzone.
- Przy pracy w systemie Microsoft Windows używaj konta z ograniczonymi uprawnieniami – jeżeli coś się stanie, straty mogą być mniejsze niż przy koncie z uprawnieniami administratora.
- Pamiętaj, że dane na “Pulpicie” są najbardziej zagrożone przy ataku – mamy przecież możliwość podzielania dysku na inne partycje i katalogi.
- Stosuj jedno silne hasło (np. 12-15 znaków w tym wielka i mała litera, cyfra i znak specjalny) do jednego systemu. Nie używaj tego samego hasła do komputera, do banku, do poczty, do Facebooka, do zakupów w Internecie itd. Zmieniaj hasła minimum raz w roku. Stosuj managera haseł np. KeePassXC (https://keepassxc.org/)
- Jeżeli możesz wdrożyć uwierzytelnienie dwuskładnikowe (ang. Two Factor Authenticaton, 2FA) do systemu informatycznego, poczty, komputera – koniecznie zrób to (np. hasło + SMS, hasło + token, hasło i klucz sprzętowy z protokołem U2F i FIDO2, hasło + Google Authenticator).
- Jeżeli podróżujesz z komputerem – zamontuj przed pracą w podróży filtr prywatyzujący na monitorze laptopa.
- Nie korzystaj z publicznych darmowych punktów WiFi (np. sklepy, hotele, lotniska) – otwórz dostęp do Internetu przez swój smartfon.
- Zrezygnuj z uruchamiania makra np. w plikach Microsoft Office – jeżeli nie wiesz co to jest makro i po co ono jest 😉
- Nie otwieraj załączników z poczty, ani nie klikaj w linki, gdzie nie jesteś pewien ich pochodzenia.
- Oprogramowanie pobieraj wyłącznie ze strony jego producenta. Nie korzystaj z portali typu www.superdobreprogramy.pl.
- Nie wkładaj do gniazda USB komputera nieznanych urządzeń np. wiatraczek (lub stosuj prezerwatywy na USB np. firm Portapow, Sabrent), nie wkładaj niezatwierdzonych nośników pamięci do portów USB oraz używaj programu antywirusowego (skanowanie zewnętrznego nośnika pamięci przed jego uruchomieniem).
- …
Lista potencjalnych zagrożeń jest otwarta, a proponowane powyżej zasady są przykładem i nie dają nam 100% gwarancji bezpieczeństwa.
Zadam na koniec jeszcze raz to samo pytanie: Czy pozostawienie otwartych drzwi lub zastosowanie tylko jednego zabezpieczenia wystarczy, aby ochronić nasz dom, naszą firmę i informacje, które posiadamy?
Eksperci Pure Quality mogą pomóc w ocenie wdrożenia zabezpieczeń technicznych oraz organizacyjnych w Państwa firmie.
O temacie pisaliśmy już wielokrotnie, między innymi z okazji Dnia Bezpiecznego Internetu 2021.