W firmach bardzo często pracownicy przesyłają pliki z danymi osobowymi. Zazwyczaj przesyłają je działy zajmujące się sprawami kadrowymi lub finansowymi. Dane osobowe powinny być zabezpieczone, ponieważ jeśli korespondencja zostanie przechwycona przez osobę, która nie powinna jej otrzymać, to nie może ona uzyskać do nich dostępu. Pamiętajmy, że nie powinno się także przesyłać służbowych dokumentów z danymi na prywatne skrzynki mailowe. W tym tekście dowiesz się jak skutecznie zabiezpieczyć dokumenty wytwarzane w Twojej firmie.
Błędy w zabezpieczeniu plików z danymi
Przy przekazywaniu plików z danymi nie powinno się posługiwać ciągle tym samym szablonem hasłowym, jakim często posługują się firmy, Bardzo częstym błędem jest korzystanie z pierwszych lub ostatnich 4 lub 6 cyfr numeru PESEL, a złą praktyką jest także podawanie informacji o tym jak wygląda hasło w tej samej wiadomości, w której przesyłamy dokumenty. Nie powinno się także używać żadnych danych osobowych pracownika, takich jak imię czy nazwisko przy budowaniu haseł zabezpieczających pliki. Nie używajmy także nazw firmy czy aktualnej daty. Takie hasła można złamać w kilka sekund odpowiednim oprogramowaniem, a inny pracownik znając klucz tworzenia hasła, bo sam przecież otrzymywał takie dokumenty, może bez problemu odczytać treści dla niego nieprzeznaczone.
Pamiętajmy, że jeśli przesyłamy dane osobowe drogą elektroniczną to zawsze jest szansa na przejęcie tych danych przez nieuprawnioną osobę. Administrator musi stosować odpowiednie zabezpieczenia chroniące te dane, aby nawet w razie ich przechwycenia nie zostały one odczytane. Przesyłanie takowych danych powinno być szczegółowe opisane w polityce bezpieczeństwa i instrukcji zarządzania systemem informatycznym, który służy do ich przetwarzania i obsługi.
Jak zabezpieczać dane?
Całe wiadomości e-mail mogą być szyfrowane, ale mało która firma korzysta z tego rozwiązania. Ponieważ metoda ta jest dość skomplikowana techniczne i mało popularna. W większych korporacjach, gdzie często wymieniane są poufne dane z innymi partnerami stosowane są do tego specjalne programy szyfrujące. Skupmy się jednak na mniejszych przedsiębiorstwach, gdzie przesyła się pojedyncze pliki z danymi. Firmy zazwyczaj korzystają z kilku podstawowych narzędzi, które pozwalają na użycie hasła aby odczytać ich zawartość.
Pierwszym z takich narzędzi jest pakiet Office. Obojętnie czy używamy OpenOffice, LibreOffice czy Microsoft Office. Każdy z tych pakietów wyposażony jest w możliwość zastosowania hasła. Jeśli więc korzystacie z tych narzędzi pamiętajcie, aby poszukać i używać tej funkcji, którą znaleźć można zazwyczaj w menu kontekstowym po wybraniu opcji „Zapisz jako” lub „Eksportuj do”.
Kolejnem rodzajem plików używanych przez firmy są pliki PDF, programy do obsługi/edycji/tworzenia tego rodzaju plików także posiadają wbudowane narzędzia do zabezpieczania plików hasłami. Tak jak w pakietach Office należy tej opcji szukać po wybraniu „Zapisz jako” lub „Eksportuj do”.
Jeśli zaś przesyłamy kilka plików to warto zastanowić się nad spakowaniem całej paczki za pośrednictwem programów obsługujących rozszerzenia ZIP, 7Zip albo RAR. Przy pakowaniu całości także można wybrać opcję ochrony plików hasłem, które należy będzie wpisać aby móc wypakować pliki.
Część firm korzysta także z serwerów typu FTP do przesyłania tego typu plików, w takim rozwiązaniu także warto pamiętać o haśle dla dokumentu, a jeśli już wykorzystujemy serwer FTP to pamiętajmy aby pliki umieszczać w katalogach, do których dostęp ma tylko ten pracownik, do którego kierowana jest korespondencja.
Jakimi hasłami zabezpieczać pliki?
^¨Do lamusa odchodzą metody zabezpieczania plików hasłami składającymi się z 8 znaków, nawet jeśli zawierają małe i wielkie litery oraz znaki specjalne i cyfry. Hasła też nie powinny się powtarzać chyba, że w ramach jednego pracownika. Z początku tego artykułu wiemy też jakich praktyk nie powinno się stosować. Jak więc budować bezpieczne hasła, które zapobiegną wyciekowi danych? Najnowsze wytyczne jak budować hasła znajdziecie w innym moim wpisie, gdzie szczegółowo zostało to opisane.
Do firmowego zabezpieczenia plików z danymi w zupełności wystarczy długie hasło budowane na zasadzie pełnych zdań. Jest to zasada, gdzie buduje się hasła, które są długie i mają dać nam pełne zdanie. Przykładem niech będzie hasło Ziel()naGitaraMa3Struny. Czy jest to silne hasło? Zdecydowanie BYŁO MOCNE – zanim nie zostało upublicznione. Czy łatwo go zapamiętać? Pewnie, że tak, chociaż jest dość nietypowe. Takie hasło ciężko jest też złamać dostępnymi publicznie programami.
Pamietać należy, że hasło powinno być przekazane odbiorcy dokumentu w całkowicie odrębnej korespondencji, wysłanej inną drogą komunikacji! Jeśli więc przesyłamy pliki zabezpieczone hasłem mailowo, to hasło powinno zostać podane telefonicznie, SMSowo bądź za pośrednictwem wewnątrzfirmowego komunikatora. Nie możemy przesyłać haseł w tej samej bądź odrębnej wiadomości. Nie wysyłamy plików i hasła tą samą drogą komunikacji!
Bartosz Polak – Wykłady z cyberbezpieczeństwa – Rybnik / Wodzisław Śląski / Jastrzębie Zdrój / Województwo Śląskie