Październik – miesiącem bezpieczeństwa

Postanowienia noworoczne w październiku?!? 

Więcej sportu. Rodzina jest najważniejsza. Zdrowe odżywianie. Dbanie o zdrowie. Praktykowanie wdzięczności. Lista książek do przeczytania. Nowe hobby lub przebranżowienie. Więcej czasu dla siebie. 

Postanowienia noworoczne, to deklaracje zmiany zachowań lub osiągnięcia celów, które często formułujemy podczas rozpoczęcia nowego roku. Choć stanowią tradycyjny element kalendarza noworocznego, rzadko udaje się je zrealizować.  

Podobnie jest z kończącym się dzisiaj Cybersecurity Awareness Month, który już po raz dwudziesty jest obchodzony w październiku. Inicjatywa powstała w 2004 r. w ramach wspólnego wysiłku amerykańskiego rządu i przemysłu, którego celem jest zapewnienie każdemu Amerykaninowi zasobów potrzebnych do zapewnienia większego bezpieczeństwa w Internecie. Od lat jest trwale wpisany w kalendarz nie tylko amerykański, ale europejski i wreszcie polski. W ramach działań różnych firm i organizacji powstaje wiele cennych inicjatyw budujących wiedzę na temat cyberbezpieczeństwa i podnoszących świadomość na temat cyberzagrożeń. Odbyły się konferencje, wykłady, w Internecie powstało wiele wartościowych artykułów, postów, filmików, audiobooków. I pewnie każdy z nas z zaciekawieniem wsłuchiwał się w treści płynące z aktywności, które miały miejsce w tym tygodniu. I być może każdy z nas mówił sobie: Faktycznie, to ma sens! I z przekonaniem myślał, że trzeba by coś zmienić w swoim cyberzachowaniu. Tylko czy z tymi postanowieniami nie będzie tak, jak z naszymi postanowieniami noworocznymi? 

Statystycznie większość z nas trzyma się swoich postanowień noworocznych około trzy miesiące. Zastanówmy się co zrobić, aby nasze postanowienia październikowe, mające na celu podnieść nasze osobiste bezpieczeństwo  ale i naszych rodzin i firm, w których pracujemy było trwałe.  

Postanawiaj konkretnie 

Najłatwiej zarzucić postanowienia, które są zbyt ogólne. Łatwo obejść obietnicę, że np. muszę mieć lepsze hasła. Bo co to znaczy lepsze hasła? O jakich hasłach mówię? Wszystkich? Do banku? Przy ogólnie opisanym wyzwaniu, dużo trudniej na zacząć od zaraz. A w postanowieniach dotyczących bezpieczeństwa czas jest bardzo ważny.  

To może spróbuj tak: „Już dziś zmienię wszystkie hasła w aplikacjach, z których korzystam na dwunastoznakowe!” W październiku na pewno się spotkałaś/łeś z informacją jak ważna jest długość hasła oraz jakie są „przyjazne” metody tworzenia i zapamiętywania dłuższych haseł. Jak tych haseł będzie sporo to zainstaluj manager haseł. Nie jutro, ale konkretnie dziś!. 

Zapisz swoje postanowienia 

Samo myślenie raczej nie wystarczy, warto spisać swoje postanowienia, a najlepiej  napisać konkretny plan z datami –  harmonogram. To pomoże Ci uczynić swoje plany bardziej realnymi i trudniej będzie przymykać oko na opóźnienia w realizacji planu/harmonogramu. 

To może spróbuj tak: „Wypisz obszary, które po Cybersecurity Awareness Month wymagają poprawy, np., hasła – musze mieć w każdej aplikacji inne hasło – i wpisuje deadline, wiedza – muszę znaleźć szkolenie z zakresu przeciwdziałania atakom socjotechnicznym jak phishing – i wpisuje deadline, bezpieczeństwo urządzeń mobilnych  – muszękupić oprogramowanie do ochrony urządzeń mobilnych – i deadline.  

Wprowadź swój własny system motywacyjny 

Niestety najczęściej w zakresie cybezbezpieczeństwa najbardziej motywują udane cyberataki. I choć wtedy znajduje się czas, pieniądze, ponadstandardowa motywacja to jednak nie jest to delikatnie mówiąc miła sytuacja. Dlatego warto spróbować opracować sobie system nagród za sukcesy w realizacji postanowień i ewentualnie kar za odpuszczenie postanowienia. To dodatkowa motywacja, a także sposób na uświadomienie sobie, w jakim punkcie jesteśmy oraz jak ważne  są te postanowienia dla nas. Każdy z nas jest w stanie zrobić szybką analizę ryzyka i skutków zaniechań w zakresie cyberbezpieczeństwa. Myślę, że wszyscy mamy świadomość, że lepiej jest motywować się analizą ryzyka niż realną stratą np. finansową. 

Poniżej przestawiam Wam  10 popularnych działań poprawiających cyberbezpieczeństwo, które warto wziąć pod uwagę robiąc październikowe postanowienie Secuirty Awareness Month: 

1. Nauczę się rozpoznawać podejrzane e-maile, wiadomości sms i linki. Wezmę udział w szkoleniu w zakresie rozpoznawania zagrożeń (security awareness) 

2. Będę używał długich dwunastoznakowych, unikalnych i trudnych do odgadnięcia haseł do swoich kont, a także korzystał z menedżera haseł. 

3. Będę regularnie aktualizował/a system operacyjny, aplikacje i oprogramowanie, aby zabezpieczyć się przed lukami w zabezpieczeniach. 

4. Podczas korzystania z publicznych sieci Wi-Fi będę używał usługi VPN, aby zabezpieczyć swoje połączenie. 

5. Włączę autoryzację dwuskładnikową na wszystkich swoich kontach, które mają taką opcje, aby zwiększyć bezpieczeństwo logowania. 

6. Zasubskrybuję przynajmniej jedno z dostępnych źródeł informacji o naruszeniach danych i będę śledzić działania oszustów. 

7. Ograniczę dostęp do danych tylko do niezbędnych użytkowników i będę korzystać z zasady “najmniejszych uprawnień” (least privilege). 

8. Będę regularnie tworzyć kopie zapasowe swoich danych i przechowywać je w bezpiecznym miejscu. 

9. Zabezpieczę wszystkie swoje urządzenia mobilne hasłem, oprogramowaniem antywirusowym i zdalnym wyłączaniem w razie kradzieży. 

10. Zmienię domyślne ustawienia mojego routera WiFi: hasło administratora, nazwę sieci WiFi (SSID) oraz hasło. 

W artykule tym skupiam się na kilku podstawowych zmianach w cyberzachowaniach. Wybrałem działania, które można wykonać od razu i które nie wymagają kosztownych inwestycji. Według mnie są to działania, które każdy nie tylko może zrobić, ale powinien zrobić w dobie rosnących ataków. Pamiętajcie człowiek jest głównym wektorem ataków, a według raportów ponad 80% ataków zaczyna się od człowieka i wykorzystaniu jego podatności, lenistwa, roztargnienia, wygody, zmęczenia i wielu innych stanów i sytuacji, w których bywamy każdego dnia. 

W Internecie znajdziecie wiele artykułów analizujących przyczyny niskiej skuteczności obietnic noworocznych, wydobywając na światło dzienne psychologiczne i behawioralne mechanizmy, które wpływają na ich niepowodzenie. Mam nadzieje, że postanowienia październikowe poprzedzone miesiącem „indoktrynacji” przez świat cyberbezpieczników okażą się trwałe a Securty Awareness Month 2024 będzie tylko okazją do utrwalenia dobrych praktyk i podjęcia kolejnych postanowień październikowych, czego Wam i sobie życzę! 😊