Polityka haseł w firmie
Firmowe hasła to przeważnie fundament systemu ochrony wrażliwych danych, systemów, urządzeń i innych zasobów. Liczy się jednak nie tylko odpowiednie zarządzanie dostępem, lecz także samo bezpieczeństwo haseł. Aby o nie zadbać, niezbędna będzie rzetelna, solidna polityka haseł. Co to właściwie jest? To nic innego, jak zbiór zasad, które pozwolą zapewnić, że firmowe hasła będą ciężkie do złamania w razie ataków hakerskich. Mogą one dotyczyć na przykład długości, wymaganych znaków, czy zalecanej częstotliwości zmiany haseł.
Dlaczego warto szczególnie zadbać o ten aspekt? Przede wszystkim ze względu na fakt, że liczne typy ataków skupiają się właśnie na przechwyceniu danych dostępowych wykorzystywanych w firmie. Należą do nich między innymi:
- pretexting – atak hakerski z kategorii socjotechniki, który polega na uzyskaniu danych przez przedstawienie wiarygodnie brzmiącego pretekstu (np. przekazanie informacji do banku, pod który podszywa się haker);
- phishing – próba wyłudzenia informacji przez wykorzystanie błędów użytkownika, preparując wiadomość przypominającą informację od rzetelnej instytucji (np. banku) wraz z linkiem, który prowadzi do spreparowanej strony;
- vishing – wariant phishingu, który zamiast wiadomości e-mail, czy SMS-ów wykorzystuje połączenia głosowe.
Co więcej, niedostatecznie silne hasła sprawiają, że hakerom znacznie łatwiej jest przeprowadzić ataki typu ransomware, które polegają na przejęciu kontroli nad urządzeniem użytkownika i żądaniem okupu za przywrócenie dostępu. Aby skutecznie wykorzystać usługi online dla firm bez ryzyka wycieku cennych informacji, niezbędna będzie zatem solidna polityka haseł.
Czytaj również: Rola cyberbezpieczeństwa w firmie okiem eksperta INEA
Czym powinno się charakteryzować silne hasło?
Cyberbezpieczeństwo nadal w dużej mierze opiera się na rozsądnym zarządzaniu danymi dostępowymi, spośród których najważniejszą rolę w przedsiębiorstwie odgrywają właśnie firmowe hasła. Jak powinna wyglądać skuteczna polityka haseł? Oto kilka zasad, które pozwolą na zmniejszenie ryzyka ze strony ataków hakerskich.
1. Pamiętaj o odpowiedniej długości. Krótkie hasła będą łatwiejsze do odgadnięcia, podpatrzenia, czy nawet złamania przez automatyczne skrypty bazujące na atakach słownikowych.
2. Zadbaj o odpowiedni poziom skomplikowania haseł. Mieszanie dużych i małych liter, cyfry, znaki specjalne, znaki diakrytyczne – to wszystko skutecznie zwiększa tzw. entropię hasła, czyli jego stopień skomplikowania (wyrażany w bitach, które wyznaczają liczbę prób potrzebnych do jego złamania), przekładając się na znacznie większe trudności w złamaniu.
3. Wymagaj okresowej zmiany haseł, ale nie za często. Krótki okres może sprawiać, że pracownicy będą stawiać na proste, łatwe hasła lub nawet zapisywać je w miejscu, w którym osoby trzecie będą mieć do nich dostęp. Z tego względu zaleca się zmianę minimum co 3 miesiące. Część ekspertów od cyberbezpieczeństwa uważa, że przy odpowiednio silnych hasłach wystarczy zrobić to dopiero po naruszeniu zabezpieczeń.
4. Silne hasło musi być unikatowe. Dobrym pomysłem będzie uniemożliwienie ponownego wykorzystania haseł, który były już użyte wcześniej przez danego użytkownika.
5. Idealne hasło jest trudne do odgadnięcia, ale łatwe do zapamiętania – z perspektywy użytkownika dobrym wyborem będą zatem na przykład frazy złożone z kilku słów.
6. Unikaj haseł, które zawierają prywatne informacje, takie jak data urodzenia, miejsce zamieszkania, imię czy nazwisko. Hakerzy często zaczynają właśnie od prób obejmujących tego typu hasła.
7. Nie używaj tego samego hasła w wielu miejscach.
Tworzenie i przechowywanie haseł – jak to robić?
Polityka haseł powinna obejmować jednak nie tylko zasady dotyczące bezpośrednio danych dostępowych, lecz także ich przechowywania. Przede wszystkim należy podkreślić, że zapisywanie haseł w jakiejkolwiek lokalizacji pozbawionej szyfrowania to ogromne ryzyko. Najlepiej całkowicie unikać umieszczania ich w pamięci komputera, a tym bardziej na fizycznych obiektach, takich jak zeszyty czy karteczki na monitorze. Idealnie sprawdzi się z kolei menedżer haseł – dedykowane oprogramowanie, które wyręczy pracowników w wielu aspektach związanych z zarządzaniem danymi dostępowymi.
Warto przy tym zwrócić uwagę, że menedżer haseł może służyć również do generowania odpowiednio trudnych do złamania zabezpieczeń. Są one tworzone w formie losowych znaków, które następnie są chronione pojedynczym, głównym hasłem, znanym tylko użytkownikowi – przy jego tworzeniu warto trzymać się zasad wskazanych wyżej.
Poziom dostępu dla pracowników
To czynnik, który nie jest bezpośrednio związany z polityką haseł, jednak zdecydowanie powinien towarzyszyć solidnym zasadom w tym zakresie. Bezpieczna firma powinna trzymać się reguły przyznawania dostępu jedynie do tych zasobów, które będą realnie potrzebne dla danej grupy użytkowników. Dla przykładu: osoby odpowiedzialne za obsługę magazynu nie powinny mieć możliwości podglądu ani tym bardziej edytowania danych z działu HR. Warto zatem stawiać na systemy, które pozwalają na precyzyjne ustawianie i monitorowanie ról oraz przywilejów osób zatrudnionych w firmie.
Wsparcie dla bezpiecznego logowania
Aby firma mogła działać z pełną efektywnością i skuteczną ochroną, warto zwrócić uwagę również na kwestie takie jak transmisja danych. W przypadku działań online niezwykle przydatne będą rozwiązania takie jak VPN – wirtualna sieć prywatna, która będzie szyfrować dane przesyłane przez Internet. Biznesowy VPN może korzystać z technologii takich jak VPLS czy IPVPN: transmisja danych VPLS pozwala na opracowanie dedykowanej sieci łączącej poszczególne urządzenia firmy w środowisku odseparowanym od głównego ruchu sieciowego.
W kwestii samego sposobu przesyłania danych odpowiednią opcją będzie transmisja danych na łączu światłowodowym. Transmisja danych dla firm może wykorzystywać również zaawansowane rozwiązania, takie jak ŁTD dla firm, czyli łącze transmisji danych. ŁTD to dedykowane połączenie dla firmy w systemie punkt–punkt lub punkt–wielopunkt, które – podobnie jak VPLS – pozwala oddzielić ruch od Internetu. Propozycje takie jak VPLS, IPVPN, ŁTD czy biznesowy VPN można znaleźć u dostawców kierujących swoją ofertę do przedsiębiorstw – jednym z nich jest poznańska INEA.