FAQ – cyberbezpieczeństwo
Poniżej prezentujemy najpopularniejsze pytania oraz odpowiedzi naszych Ekspertów. Zanim prześlecie Państwo pytanie, zachęcamy do sprawdzenia, czy nie mamy już na nie właściwej odpowiedzi.
1.Co zrobić jeśli moi pracownicy korzystają z tego samego telefonu do zadań służbowych jak i do celów prywatnych? Czy w takim przypadku da się odpowiednio zabezpieczyć jedne i drugie dane?
Tak jest to możliwe. W pierwszej kolejności należy zabezpieczyć całość danych telefonu poprzez włączenie szyfrowania dysku urządzenia (większość systemów obecnie robi to już domyślnie) oraz ustawienie zabezpieczenia dostępu najlepiej poprzez biometrię jeśli jest dostępna lub hasło albo PIN. Kolejno możemy pomyśleć o dodatkowym zabezpieczeniu oraz odizolowaniu danych i aplikacji służbowych. Służy do tego rozwiązanie nazywane kontenerem. Taki kontener posiada dodatkowe zabezpieczenie dostępu oraz często dodatkową warstwę szyfrowania. Komunikację z i do kontenera możemy zabezpieczyć jeszcze poprzez rozwiązania bezpiecznej transmisji danych np. VPN. Jeśli chodzi o dane prywatne to część producentów oferuje również kontenery do użytku konsumenckiego, w których możmy umieścić szczególnie wrażliwe dane i aplikacje jak np. aplikacje bankowe czy dane medyczne.
– Tomasz Chomicki, Przewodniczący Komitetu Administracji Cyfrowej PIIT
2. Jakie narzędzia i rozwiązania należy stosować przy zabezpieczaniu służbowych telefonów? Jak zabezpieczać dane na firmowych urządzeniach mobilnych z pozycji działu IT, administratora?
Przede wszystkim należy postawić na edukację użytkowników i narzędzia do zabezpieczenia danych, kontroli i monitoringu urządzeń. W przypadku urządzeń mobilnych jest to przede wszystkim oprogramowanie MDM / EMM. Służy do zarządzania i monitorowania urządzeń w naszej flocie. Możemy tworzyć tam czarne i białe listy aplikacji, blokować ich instalację i uruchamianie, a także monitorować użycie telefonu. Możemy też ustalać inne restrykcje i polityki dotyczące użytkowania urządzeń. Warto również odizolować środowisko firmowe od prywatnego na telefonie stosując kontener. Jeśli jednak coś umknie naszej uwadze warto być przygotowanym. Ważne jest posiadanie najnowszych aktualizacji, które naprawiają znane podatności. W tym celu potrzebne będzie rozwiązanie do zarządzania oprogramowaniem fabrycznym i aktualizacjami. Dodatkowo można zainstalować oprogramowanie MTD (Mobile Threat Defence), które na bieżąco monitoruje i blokuje niepożądane działanie aplikacji. W szczególnych przypadkach, gdy przez telefon wymieniamy poufne informacje przydatne będą szyfrowane komunikatory do bezpiecznej komunikacji tekstowej i głosowej. Na rynku dodatkowo dostępne są rozwiązania typu MDR (Manged Detection and Response) zapewniane np. przez operatorów telekomunikacyjnych. W dużych organizacjach procedury bezpieczeństwa i narzędzia dodatkowo są uzupełniane poprzez: oprogramowanie DLP, inwentaryzacje, monitorowanie sieci, systemy backupu danych często wykorzystujące rozwiązania chmury publicznej, szyfrowanie VPN, systemy antywirusowe czy rozwiązania typu mail security.
– Tomasz Chomicki, Przewodniczący Komitetu Administracji Cyfrowej PIIT
3.W jaki sposób najlepiej zabezpieczyć dostęp do telefonu dla osób trzecich?
Należy bezwzględnie stosować jakąś metodę uwierzytelnienia dostępu do telefonu. Najbardziej popularne i zalecane metody uwierzytelniania na urządzeniach mobilnych to: biometria, hasło i PIN. Uwierzytelnienie biometryczne (przez odcisk palca, skan oka lub twarzy) to najbardziej zalecana metoda, bezpieczna i wygodna oraz unika się w ten sposób niewłaściwych zachowań u użytkowników, takich jak zapisywanie haseł itd. Jeśli stosujemy hasło to najlepiej żeby było jak najdłuższe, przy czym może być opisowe np. łatwe do zapamiętania zdanie. Najlepiej, jeśli używamy nietypowych zwrotów oraz gdy hasła nie da sie wprost powiązać z nami (np. imię, data urodzin). Zalecane jest używanie menadżerów haseł oraz okresowe zmiany haseł. Nie zaleca się używania wielokrotnie tego samego hasła (np. do różnych serwisów). Jeśli używamy PINu to dobrze, żeby był co najmniej 6-cyfrowy.
– Tomasz Chomicki, Przewodniczący Komitetu Administracji Cyfrowej PIIT
Nie znaleźliście Państwo odpowiedzi na nurtujące pytania?
Prosimy o przesyłanie pytań na adres: zapytaj_eksperta@piit.org.pl.