Cyfrowa transformacja to nie tylko nowe możliwości, ale też nowe wyzwania i zagrożenia. A jednym z największych jest bezpieczeństwo danych. Bo choć technologia otwiera przed nami drzwi do niesamowitych możliwości, to jednocześnie stwarza ryzyko, że ktoś nieproszony może przez te drzwi wejść. I nie, nie mówimy tutaj o wrednym sąsiedzie, który podkrada Wi-Fi. Chodzi o cyberprzestępców, którzy są znacznie bardziej niebezpieczni. Dlatego dziś podpowiadamy, na co zwrócić uwagę, żeby Twoje dane były bezpieczne. Zanim dojdziemy do tego co do ChatGPT można wrzucać, a czego nie przejdźmy sobie przez te bardziej przyziemne aspekty bezpieczeństwa.
Hasła – nie tylko „123456”
Zacznijmy od podstaw. Hasła. Wiem, wiem, każdy o tym mówi, ale czy na pewno stosujesz się do tych zasad? Bo jeśli Twoje hasło to ciągle „admin123” albo data urodzenia Twojego psa, to mamy problem. Cyberprzestępcy uwielbiają łatwe cele, a słabe hasła to dla nich jak otwarte drzwi.
- Co robić? Używaj silnych haseł, które składają się z liter, cyfr i znaków specjalnych. I nie, „Qwerty123!” nie jest silnym hasłem.
- Oprogramowania: Osobiście korzystam z 1password i polecam. Raczej nie polecam tych „darmowych”, chociaż znam kilka osób które korzystają i nic złego póki co się nie wydarzyło.
- ProTip: Jeśli myślisz że zapamiętywanie haseł w przeglądarce to dobry pomysł to niestety muszę Cię zmartwić! Zmień to szybko!
Zerknij tutaj 👉 Have I Been Pwned: Check if your email has been compromised in a data breach wpisz swój adres mailowy i sprawdź czy Twoje dane gdzieś wyciekły
2021 rok: Wyciekło ponad 8,4 miliarda haseł w ramach różnych globalnych incydentów
Szyfrowanie – Twój cyfrowy kłódka
Szyfrowanie to jak kłódka na Twoich danych. Nawet jeśli ktoś je przechwyci, bez klucza nie będzie w stanie ich odczytać. Dlatego warto zadbać o to, żeby zarówno dane w ruchu (przesyłane przez internet), jak i dane w spoczynku (przechowywane na serwerach) były szyfrowane. Co ciekawe spora część sprzedawców posiada certyfikat SSL bo ktoś napisał że ma to realny wpływ na SEO 😁 Wiadomo widoczność najważniejsza, a bezpieczeństwo też ale później.
- Przykłady narzędzi: SSL/TLS do szyfrowania komunikacji, BitLocker do szyfrowania dysków.
- Kiedy warto wdrożyć? Zawsze. Bez wyjątków. Nawet jeśli myślisz, że Twoje dane nie są interesujące dla hakerów, lepiej dmuchać na zimne.
O certyfikatach na pewno powstanie jakiś osobny wpis, ponieważ sporo osób nie rozumie dlaczego część jest darmo, za inne trzeba płacić co roku i co tak w zasadzie mi to daje.
Backup – Twój plan awaryjny
Backup – to pojęcie wielu polskich sprzedawców poznało 10 marca 2021. Cóż to za wyjątkowa data? Otóż płonęły wtedy serwery firmy OVH zlokalizowane w Strasburgu. Pech chciał że w tych serwerowniach były również serwery Baselinkera który co by nie mówić odpowiada za obsługę pewnie z 70% a może i więcej polskiego ecommerce. Dane o klientach, zamówieniach, produktach itd ulotniły się wraz z dymem. Płacz, lament, pretensje, to było słychać i widać na społecznościach zrzeszających sprzedawców. Tylko garstka osób albo siedziała cicho, albo tłumaczyła magiczne pojęcie backup.
Backup to jak ubezpieczenie na życie – miejmy nadzieję, że nigdy nie będziesz go potrzebować, ale lepiej go mieć. Regularne tworzenie kopii zapasowych danych to absolutna podstawa. Bo nawet jeśli padniesz ofiarą ataku ransomware (gdzie hakerzy blokują dostęp do danych i żądają okupu), backup pozwoli Ci odzyskać dane bez płacenia haraczu.
- Przykłady narzędzi: Veeam, Acronis, Google Drive, Dropbox lub Twój serwer ftp (do mniejszych firm).
- Jak często robić backup? To zależy od tego, jak często zmieniają się Twoje dane. Ale zasada jest prosta: im częściej, tym lepiej.
Z reguły myślimy o backupie, w momencie gdy straciliśmy ważne dane
Aktualizacje – nie ignoruj ich
Wiem, aktualizacje potrafią być irytujące. Zwłaszcza gdy pojawiają się w najmniej odpowiednim momencie. Ale ignorowanie ich to jak zostawianie otwartych drzwi w domu. Wiele aktualizacji zawiera poprawki bezpieczeństwa, które naprawiają luki, z których mogą korzystać hakerzy. Ale co hakera interesuje jakaś Mariolka z Pcimia małego? No ona sama pewnie mało go interesuje, ale dziurawe aplikacje na komputerze lub telefonie już bardziej.
- Co robić? Aktualizuj systemy operacyjne, oprogramowanie antywirusowe i wszystkie inne aplikacje. I tak, to dotyczy też Twojego smartfona.
Szkolenia dla pracowników – bo ludzie to najsłabsze ogniwo
Nawet najlepsze zabezpieczenia nie pomogą, jeśli pracownicy nie będą świadomi zagrożeń. Phishing, czyli wyłudzanie danych przez fałszywe maile, to jedna z najpopularniejszych metod ataku. A wystarczy, że jeden pracownik kliknie w podejrzany link, żeby narazić całą firmę na ryzyko. Zrobiłem małe badanie na grupie 33 osób i okazuje się że aż 26 miało z tym styczność, a aż 18 padło ofiarą z różnym (również finansowym) skutkiem.
- Co robić? Regularnie szkol pracowników z zakresu cyberbezpieczeństwa. Pokaż im, jak rozpoznawać podejrzane maile i co robić w przypadku ataku.
- Bonus: Możesz przeprowadzać symulacje ataków phishingowych, żeby sprawdzić, jak pracownicy reagują. Tylko nie zdziw się, jeśli ktoś się obrazi, że go „wystawiłeś”.
Firewall i antywirus – Twój cyfrowy płot
Firewall to jak płot wokół Twojej posesji – chroni przed nieproszonymi gośćmi. Antywirus to zaś Twój cyfrowy pies stróżujący, który wykrywa i neutralizuje zagrożenia. Oba narzędzia są niezbędne, żeby zapewnić podstawowy poziom bezpieczeństwa. I jeśli wydaje Ci się że skoro „nie przeglądasz tych stronach www”, gdzie zagrożenie jest największe, to niestety muszę Cię zmartwić, zagrożenie może być w najnowszym oprogramowaniu z przepisami kulinarnymi.
- Przykłady narzędzi: Norton, Kaspersky, McAfee (antywirusy), Fortinet, Cisco (firewalle).
- Kiedy warto wdrożyć? Od razu. Bez dyskusji.
Monitorowanie – zawsze bądź czujny(a)
Bezpieczeństwo to nie jednorazowy projekt, a ciągły proces. Dlatego warto monitorować, co dzieje się w Twojej sieci. Dzięki temu szybko wykryjesz podejrzane aktywności i zareagujesz, zanim będzie za późno. W Polsce są również serwisy typu Niebezpiecznik które na bieżąco informują o zagrożeniach i wyciekach danych.
- Przykłady narzędzi: Splunk, Nagios, PRTG Network Monitor.
- Bonus: Niektóre narzędzia oferują alerty w czasie rzeczywistym. Czyli zamiast dowiadywać się o ataku po fakcie, możesz zareagować od razu.
Prompty i dane użyte w rozmowie z ChatGPT czy innym DeepSeek
Każda firma która przyjmuje od Ciebie jakieś dane musi poinformować Cię o tym w jaki sposób będą przetwarzane. Oczywiście jak przychodzi hype na dane narzędzie to nikt tych ich regulaminów nie czyta. Czy zatem Twoje dane które przekazujesz do LLM czytaj AI są bezpieczne? I tak i nie. Raczej mało prawdopodobne by dostęp do nich uzyskał ktoś z zewnątrz (chyba że sam(a) tego chcesz). No ale korporacje te dane mają. Często na podstawie tych danych modele są uczone. Teoretyczne OpenAI umożliwia wyłączenia funkcji uczenia się na podstawie Twoich danych, ale czy to działa? No nie sądzę. Dlatego dane przekazywane do zewnętrznych systemu LLM powinny być zanonimizowane (np umowy). Zdecydowanie nie wrzucaj tam screenów z banku, zdjęć karty kredytowej, ani nic innego czego nie podał(a)byś obcej osobie.
Zachowaj spokój – nie panikuj, ale bądź przygotowany(a)
Bezpieczeństwo danych to poważna sprawa, ale nie musisz od razu zatrudniać armii ekspertów. Wystarczy, że podejdziesz do tematu odpowiedzialnie i wdrożysz podstawowe zabezpieczenia. A jeśli nie jesteś pewien, od czego zacząć, zawsze możesz skonsultować się z ekspertami. Bo lepiej zapobiegać, niż leczyć. Zwłaszcza gdy chodzi o dane.
A teraz wyobraź sobie, że zamiast martwić się o bezpieczeństwo danych, siedzisz z kubkiem kawy i patrzysz, jak Twoja firma działa jak w zegarku. Brzmi jak marzenie? Dzięki odpowiednim zabezpieczeniom może stać się rzeczywistością. I to bez konieczności zatrudniania ninja od cyberbezpieczeństwa.
