Bezpieczeństwo biznesu
Zasilacze do urządzeń przeciwpożarowych – wymagania CNBOP
- Szczegóły
- Nadrzędna kategoria: Bezpieczeństwo publiczne
- Kategoria: Bezpieczeństwo biznesu
Zabezpieczenie przeciwpożarowe to jedno z najważniejszych zabezpieczeń budynku mające bezpośredni wpływ na bezpieczeństwo jego użytkowników. Odpowiednio zaprojektowana instalacja zasilająca urządzenia przeciwpożarowe zapewnia ich właściwe funkcjonowanie zarówno w stanie gotowości, jak i w czasie pożaru.
Wygodne sterowanie SSWIN i automatyką budynkową
- Szczegóły
- Nadrzędna kategoria: Bezpieczeństwo publiczne
- Kategoria: Bezpieczeństwo biznesu
Technologia stale się rozwija, a wraz z nią postępuje automatyzacja wielu dziedzin życia – przybywa także inteligentnych budynków. Inwestorzy chcąc zadbać o ochronę swoich obiektów szukają rozwiązań z zakresu sygnalizacji włamania i napadu oferujących wysoki poziom bezpieczeństwa i możliwość integracji z automatyką budynkową. Wszystko po to, aby zapewniony był najwyższy komfort korzystania z budynku oraz wygodna obsługa pracujących w nim, zintegrowanych systemów.
Bezpieczeństwo IT w zakresie komunikacji intekomowej
- Szczegóły
- Nadrzędna kategoria: Bezpieczeństwo publiczne
- Kategoria: Bezpieczeństwo biznesu
Zakorzenione w 50-letnim doświadczeniu w projektowaniu i innowacjach rozwiązań interkomowych, portfolio produktów Commend pokrywa wszystkie potrzeby interkomowe, od systemów domofonowych do złożonych, zintegrowanych rozwiązań. Koncepcja projektowania rozwiązań interkomowych Commend zapewnia, że różne systemy bezpieczeństwa, takie jak telewizja przemysłowa, kontrola dostępu, komunikacja mobilna itp., łączą się w jedną, łatwą w użyciu i zarządzaniu platformę. Nasze rozwiązania są zaprojektowane tak, aby zapewnić korzyści płynące z profesjonalnego bezpie-czeństwa i komunikacji interkomowej w wielu różnych środowiskach. Rozwiązania komunikacji interkomowej doskonale sprawdzają się w wielu codziennych sytuacjach. Są stosowane wszędzie tam, gdzie niezbędna jest niezawodna łączność. Działają jako urządzania SOS służące do niesienia pomocy i wsparcia. Są stosowane w takich miejscach, jak podziemne stacje kolejowe, parkingi, tunele drogowe, obiekty o wysokim poziomie bezpieczeństwa, tereny przemysłowe lub po prostu przy wejściu do budynków biurowych.
SGU, czyli bezpieczeństwo pracy i biznesu
- Szczegóły
- Nadrzędna kategoria: Bezpieczeństwo publiczne
- Kategoria: Bezpieczeństwo biznesu
SGU – Storm Gray Unit – to firma, która powstała z powołania i potrzeby odpowiedzialności za życie, zdrowie i mienie. Postanowiliśmy rozszerzyć tradycyjne podejście do ochrony i wprowadzić własne, nowatorskie rozwiązania. Dążymy do tego, aby przejąć możliwie największą odpowiedzialność za bezpieczeństwo interesów Klienta. Dzięki temu możemy działać w trybie natychmiastowym i faktycznie zapewniać bezpieczeństwo. Na czym polega przyjęcie odpowiedzialności?
Podnoszenie świadomosci użytkowników, jako niezbędny element cyberbezpieczeństwa organizacji
- Szczegóły
- Nadrzędna kategoria: Bezpieczeństwo publiczne
- Kategoria: Bezpieczeństwo biznesu
Jak już pisałem w poprzednim numerze przedstawię cykl artykułów mających na celu zwrócenie uwagi na fakt, że ofiarą ataku hackerskiego może paść każdy z nas, zarówno indywidualna osoba, firma jak i instytucja publiczna. Edukacja, a co za tym idzie podnoszenie świadomości odgrywają role prewencyjną i są o wiele tańsze niż usuwanie późniejszych skutków ataków hackerskich. 21 lutego br. NASK na twiterze opublikował listę przykładowych fałszywych i niebezpiecznych SMSów – uważam, że warto się z tym zaznajomić, ponieważ ukazują one pewien schemat działania przestępców.
Z inicjatywy Komisji Europejskiej od 2004 roku w pierwszej połowie lutego obchodzony jest „Dzień Bezpiecznego Internetu”. W tym roku przypadł on na 10 lutego. W jego obchody włączyły się zarówno firmy prywatne, fundacje i stowarzyszenia oraz instytucje państwowe publikując wiele wskazówek mających na celu podniesienie świadomości użytkowników na temat zagrożeń płynących z internetu.
Liczba przestępstw w cyberprzestrzeni z roku na rok jest coraz większa. Hakerzy bardzo szybko odkrywają nowe podatności, prowadząc swojego rodzaju analizę ryzyka. Zupełnie inaczej wygląda atak na „kowalskiego” a inaczej na dużą organizację. W świadomość większości ludzi jest wizerunek hakera siedzącego w kapturze nad klawiaturą, który włamuje się do naszego komputera i kradnie środki z konta. Jest to wielkie uproszczenie. Inną motywację będzie miał nastolatek piszący pierwsze kody jako haker, inną organizacje hackerskie wspierane przez różne instytucje, a jeszcze inną fanatyk. W rzeczywistości atak jest starannie przygotowany, przeanalizowany pod kątem podatności, zasobów i szkód dla organizacji, wysokości zysku jaki może przynieść oraz prawdopodobieństwa ujęcia sprawców. Hakerzy wyszukują słabych punktów prowadząc rozpoznanie i analizę podatności wykorzystując wiele technik. Dzięki tym działaniom mogą zainstalować w sieci komputerowej ofiary jakieś urządzenie czy specjalistyczne oprogramowanie szpiegujące, które w odpowiednim momencie uaktywni się i wykona zaprogramowane działanie.
Zapewne zadajecie sobie Państwo pytanie jak zainstalować urządzenie w organizacji? A ilu z Państwa sprawdza, co pracownik wnosi do firmy? Co pracownik robi z pamięcią USB, którą dostał na konferencji? Czy taki pendrive przechodzi przez dział IT? Czy od razu pracownik wkłada go do komputera służbowego? Latem 2019 roku miał miejsce atak metodą „na pizzę”. Celem była filia znanej międzynarodowej korporacji. Na firmowe adresy email pracowników, (które dość łatwo zdobyć) przyszła informacja o nowo otwartej pizzerii w okolicy. W mailu było menu, adres stronny WWW z zamieszczonym telefonem i informacją, że dla pierwszych 10 osób pizzeria przygotowała niespodziankę. Pracownicy szybko dokonali zamówienia 8 pudełek i w ciągu 50 minut pojawił się dostarczyciel pizzy z zamówieniem i niespodzianką – gadżetem w postaci wiatraczków na USB dodawanym do każdego pudełka pizzy. Następnie wszystkie wiatraczki w gorący letni dzień zostały podłączone do komputerów. Poza przyjemnym uczuciem chłodzenia urządzenia te posiadały złośliwe oprogramowanie pozwalające hakerom sparaliżować firmę. Całe szczęście sytuacja ta była kontrolowanym audytem zamówionym przez ową korporację. Jak wiele firm prywatnych zamawia takie audyty? Czy poza firmami prywatnymi instytucje państwowe przeprowadzają podobne testy?
Cechą dobrego hackera poza wiedzą z zakresu m.in. informatyki, socjotechniki, jest także analiza zmieniających się przepisów. Przykład: od 1 stycznia br. obowiązuje Indywidualny Rachunek Podatkowy (IRP). Już 22 stycznia na stronie www. gov.pl ukazał się komunikat: „Ostrzegamy przed fałszywymi SMSami z informacją o zadłużeniu na indywidualnym rachunku podatkowym, tzw. mikro rachunku podatkowym.” Cytuje Państwu treść fałszywego SMSa z pisownią oryginalną: „Twój indywidualny rachunek podatkowy wykazuje obciazenie w kwocie 6.18 PLN.
Prosimy splacic zadluzenie, aby uniknac egzekucji”. Oczywiście do wiadomości dołączony jest link do „łatwej wpłaty”. Haker posiadając kilka tysięcy numerów telefonu ofiar wysyła SMSy z taką informacją – dużo osób woli zapewne zapłacić niż mieć problemy z fiskusem. W praktyce wiadomo, że Urzędy Skarbowe wysyłają korespondencję listami poleconymi a nie SMSami.
Jak bronić się przed atakiem? Przede wszystkim stale podnosić świadomość zarówno szeregowych pracowników jak i kadry zarządzającej. Pamiętając, że przykład powinien iść z góry. Zastanowić się, kto może być dla nas zagrożeniem (atak zewnętrzny – hacker czy wewnętrzny – nieuczciwy, sfrustrowany pracownik). Następnie zidentyfikować nasze zasoby w kontekście wartość dla atakującego. Ocenić, jakie są możliwości obronne naszej organizacji (edukacja, sprzęt, procedury, możliwości, budżety, kadra informatyczna). Jednocześnie pamiętać należy o zachowaniu zdrowego rozsądku.
Przypomnę, że 22 stycznia 2020 roku po 10 latach funkcjonowania Microsoft zakończył wsparcie dla systemów Windows Server 2008 i Windows 7. W praktyce oznacza to, że w przypadku odnalezienia nowych błędów w tych systemach nie będzie możliwe zainstalowanie łatki. W związku z powyższym hakerzy po odnalezieniu luki będą mogli dokonywać infiltracji na skale masową w/w systemach. Trzeba zastanowić się czy w Państwa korporacjach lub instytucjach mamy jakieś siódemki lub serwer 8? Czy nie warto zaktualizować ich do wersji wyższej. Uważam, że na pewno warto uwzględnić tą informację w analizie ryzyka organizacji odbierając odpowiednie środki ochrony oraz akceptując ryzyko z tym związane.
Cyberprzestępcy bardzo szybko dostosują się do zmiany trendów biznesowych lub społecznych. Świadczy o tym fakt sprytnego wykorzystywania przez nich sytuacji związanej z COVID19. W ostatnim czasie powstało wiele oszustw, przed którymi ostrzega m.in. UOKiK. Zaczynając od złodziei podszywających się pod pracowników sanepidu, którzy pod pretekstem odkażenia mieszkania okradają je, przez rożnego rodzaju okazyjne inwestycje finansowe na ciężkie czasy, piramidy finansowe, fałszywe zbiórki pieniędzy na szczytne cele, skuteczne leki na nową chorobę, fake newsy siejące panikę oraz oszustwa komputerowe wykorzystujące złośliwe kody. Jak pisałem wcześniej przestępcy bazują na braku wiedzy oraz wysokich emocjach związanych ze zdrowiem naszym lub naszych najbliższych. Bądźmy uważni i czujni, nie wierzmy w obietnice i zapewnienia, nie podejmujmy decyzji pod wpływem chwili, zawsze starajmy się zweryfikować źródło informacji. Ostrzeżenia zamieszczają m.in.: UOKIK https://www.uokik.gov.pl , NASK https://www.nask.pl , CERT https://www. cert.pl , Serwis Rzeczypospolitej Polskiej https://www.gov.pl.
W marcu CERT na swojej stronie zamieścił ostrzeżenie przed niebezpiecznymi stronami i domenami. Można także zgłaszać podejrzane witryny. Lista WWW jest możliwa do pobrania w różnych formatach TXT, TSV, JSON, XLM, przez co można ją łatwo zaimportować do systemów monitorujących ruch internetowy. Dodam, że rejestr jest na bieżąco weryfikowany i bezpiecznie rozbudowywany przez pracowników CERT.
Na stronie Ministerstwa Finansów znajduje się ostrzeżenie przed fałszywymi SMSami dotyczącymi wprowadzenia Tarczy Antykryzysowej o treści: „Ostrzegamy przed podejrzanymi SMSami, które dotyczą Tarczy Antykryzysowej związanej z epidemią koronawirusa. Fałszywa wiadomość SMS informuje o przeterminowanym zadłużeniu w urzędzie skarbowym w związku z wprowadzeniem Tarczy Antykryzysowej od 1 kwietnia 2020 r. W treści znajduje się odnośnik, który prowadzi do strony z informacją o rzekomym zadłużeniu i ostrzeżeniu o zmniejszeniu wynagrodzenia o 60 proc. w przypadku braku reakcji na wezwanie. Tego typu wiadomości są fałszywe i nie zostały wysłane przez organy Krajowej Administracji Skarbowej. Należy je traktować jako niebezpieczne i usuwać.” Jak widać hakerzy działają niezwykle szybko.
W ostatnim czasie powstaje bardzo dużo stron na temat koronawirusa. Niestety wiele z nich pomimo wiarygodnych danych w nich zawartych jest wprowadzanych przez hakerów i służy m.in. wyłudzaniu danych osobowych oraz danych uwierzytelniających użytkowników. Podstawą działania jest zaciekawienie użytkownika, oswojenie go i uwiarygodnienie witryny. Podczas poruszania użytkownik może pobrać bezpłatnie i niezobowiązująco mapę koronawirusa na komputer lub telefon. Jak się łatwo domyślić poza mapą instaluje się złośliwe oprogramowanie typu AZORult, które zakłada tajne konto administratora systemu. Tego typu oprogramowanie służy do przeprowadzania zdalnych ataków oraz kradzieży danych.
Dlatego należy stosować się do wytycznych publikowanych przez UODO dotyczących ochrony danych osobowych, ponieważ zdalna praca nie zwalnia z nieprzestrzegania rozporządzenia RODO.
W kolejnym artykule zajmę się tematem „pracy zdalnej” i „nauki zdalnej” – zagrożeniach i problemach z tym związanych. Co to jest cyberprzestrzeń i jak szybko się w niej znaleźliśmy. Oczywiście nie zabraknie ciekawych przykładów ataków hackerskich zawiązanych z COVID19 i nie tylko. Niestety cyberprzestępcy nieustannie dostarczają nowych przykładów. Proszę o tym pamiętać.
Życzę Państwu zdrowia i rozwagi w tym trudny okresie.
Piotr Słupczyński
Biznes w czasach niepewności
- Szczegóły
- Nadrzędna kategoria: Bezpieczeństwo publiczne
- Kategoria: Bezpieczeństwo biznesu
Weszliśmy w okres głębokich przemian, niepewności i braku stabilizacji, co w oczywisty sposób utrudnia racjonalne planowanie działalności biznesowej. Dotyczy to nie tylko dużego biznesu, działającego na poziomie międzynarodowym, ale i małych i średnich przedsiębiorstw – w czasach globalizacji trudno jest mówić o jakichkolwiek niszach zapewniających ochronę przed wpływem warunków zewnętrznych. Jakie czynniki należy wziąć pod uwagę ze strategicznego punktu widzenia? Warto zwrócić uwagę na szereg z nich.
Polityka bezpieczeństwa informacyjnego
- Szczegóły
- Nadrzędna kategoria: Bezpieczeństwo publiczne
- Kategoria: Bezpieczeństwo biznesu
Każdy podmiot gospodarczy dysponuje określoną ilością informacji; udowadnianie znaczenia informacji dla prowadzenia działalności gospodarczej, szczególnie w sferze szeroko rozumianego bezpieczeństwa, wydaje się być – z punktu widzenia Czytelnika – stratą czasu. Jeśli jednak zmienimy nieco perspektywę i spojrzymy na informacje stosując kryterium zasadności ich ochrony, a więc zachowania ich w poufności, sprawa staje się bardziej skomplikowana.
We współczesnym przedsiębiorstwie mamy do czynienia z kilkoma kategoriami informacji. Dostęp do części z nich podlega określonym ustawowo procedurom, które – pomimo wspólnego mianownika, jakim jest bezwzględna konieczność ich ochrony – różnią się między sobą. Mamy więc kategorię informacji niejawnych (ściśle tajnych, tajnych, poufnych i zastrzeżonych), które podlegają ochronie na mocy ustawy o ochronie informacji niejawnych. Mamy także dane osobowe, chronione na mocy RODO, mamy wreszcie cały szereg informacji objętych tzw. tajemnicą zawodową, np. radcy prawnego czy doradcy podatkowego. Mamy wreszcie tajemnicę przedsiębiorstwa, której ustawodawca nie zdefiniował, stanowiąc jedynie, iż są to informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, które jako całość lub w szczególnym zestawieniu i zbiorze ich elementów nie są powszechnie znane osobom zwykle zajmującym się tym rodzajem informacji albo nie są łatwo dostępne dla takich osób; warunkiem uznania ich za tajemnicę jest podjęcie przez przedsiębiorcę działań mających na celu zachowanie ich w tajemnicy. Różne zatem kategorie, różne wymagania, różne procedury.
Podnoszenie świadomości użytkowników, jako niezbędny element cyberbezpieczeństwa organizacji
- Szczegóły
- Nadrzędna kategoria: Bezpieczeństwo publiczne
- Kategoria: Bezpieczeństwo biznesu
Z uwagi na rosnąca liczbę przestępstw internetowych zaczynam cykl artykułów w celu zwrócenia uwagi czytelników na zagadnienie cyberbezpieczeństwa.
W kolejnych numerach dwumiesięcznika zamieszczę przykłady ataków hackerskich oraz skutki wycieku loginów i haseł użytkowników. W kolejnych artykułach przybliżę kim jest haker, jakie są najbardziej popularne grupy hackerskie, czym się kierują oraz jaką mają motywację. Ponadto w miarę pojawienia się oficjalnych raportów będę prezentował najciekawsze dane statystyczne.
Na stronie cert.pl został opublikowany bardzo interesujący dokument „Krajobraz bezpieczeństwa polskiego internetu. Raport roczny 2018 z działalności CERT Polska”. Instytucja ta obsługuje zgłoszenia incydentów informatycznych. Z dokumentu wynika, że z roku na rok rośnie liczba ataków hackerskich co przedstawia wykres. Ponadto warto zapoznać się z klasyfikacją incydentów ze względów na sektor gospodarki. Jasno widać, że atak może dotknąć każdą firmę, dlatego świadomość pracowników jest bardzo ważna.
Zarządzanie ciągłością działania – jeden z filarów bezpieczeństwa organizacji
- Szczegóły
- Nadrzędna kategoria: Bezpieczeństwo publiczne
- Kategoria: Bezpieczeństwo biznesu
Każdy podmiot działający na rynku, niezależnie od rodzaju, wielkości, przynależności do danego sektora lub gałęzi gospodarki, formy właścicielstwa czy pełnionej roli stale narażony jest na różnego typu „incydenty”, które mogą zakłócić lub nawet przerwać jego działalność operacyjną. Wachlarz tych zdarzeń jest szeroki – mogą to być sytuacje ekstremalne takie jak klęski żywiołowe, ale częściej jest to coś bardziej powszechnego i prawdopodobnego jak zanik zasilania czy pęknięta rura wodociągowa lub awaria serwera. Każda taka awaria to zakłócenie zdolności organizacji do wykonywania jej normalnych działań co w konsekwencji może wpłynąć na klientów i interesariuszy powodując dodatkowe koszty i tworząc potencjał strat finansowych i niefinansowych.
Na przestrzeni ostatnich kilkunastu lat Zarządzanie Ciągłością Działania (eng. business continuity management – BCM) rozwinęło się z ledwie tolerowanego dodatku do potężnego narzędzia pomagającego organizacjom nie tylko skutecznie reagować i zarządzać szkodliwym incydentem, ale także zabezpieczyć i aktywnie chronić je przed ich skutkami. Obecnie można obserwować dalszą ewolucję czyniącą z Zarządzania Ciągłością Działania zasadniczy fundament procesu kompleksowego i spójnego zarządzania ryzykiem i bezpieczeństwem – czyli tzw. budowanie odporności organizacji.
Twój współpracownik – twój wróg
- Szczegóły
- Nadrzędna kategoria: Bezpieczeństwo publiczne
- Kategoria: Bezpieczeństwo biznesu
Jakiś czas temu w prasie można było przeczytać, jak pewna firma spedycyjna, działająca w Trójmieście, nie musiała się domyślać, gdyż utratę pierwszych sześciu najważniejszych klientów i pół miliona złotych szybko skojarzyła z odejściem czterech pracowników, którzy zatrudnili się w przedstawicielstwie szwedzkiej konkurencji. Posługiwali się oni szczegółami dotyczącymi kontraktów, jakie ich były pracodawca zawarł z kontrahentami, tras przejazdów itd., mimo że podpisali wcześniej umowy o zakazie konkurencji i zachowaniu poufności informacji przez trzy lata od ustania stosunku pracy. Niestety, prokuratura odmówiła wszczęcia dochodzenia, gdyż firma nie mogła przedstawić „twardych dowodów”. Jej pliki, znalezione przez policję w komputerach konkurencji, nie miały znaczenia, bo podejrzani po prostu zaprzeczyli, że je wykradli. W Szwecji samo posługiwanie się takimi plikami wystarczyłoby, aby zamknąć nieuczciwe przedsiębiorstwo, ale u nas prawo o konkurencji jest tak skonstruowane, że bardzo trudno pociągnąć kogoś do odpowiedzialności karnej (prokuratura wszczyna dochodzenie tylko w kilku procentach zgłoszonych przypadków). Pozostaje droga cywilna, której firmy zazwyczaj unikają, gdyż jest długa i kosztowna. Poza tym informacja o tym, że firma dała się oszukać, co może wypłynąć do opinii publicznej, może zachęcić innych. Albo wygenerować kolejne straty, tym razem wizerunkowe. Przez to właśnie kradzież poufnych danych jest w Polsce tak nagminna – złodzieje często czują się bezkarni.
Strona 1 z 2
Wyszukiwarka
Polecamy
Najnowsze wydanie
Wydanie specjalne
Najczęściej czytane
- Nowość EVER – listwa antyprzepięciowa OPTIMA
- Zapraszamy do współpracy redakcyjnej
- Nowy oddział firmy SPY SHOP
- Zapraszamy do współpracy!
- Konferencja SATEL – „Nowości 2015”
- I Międzynarodowy zlot motocyklowy branży systemów bezpieczeństwa
- Letni PIKNIK SASMA
- Szkolenie II stopnia dla instalatorów firmy CIAS
- Wyłoniono zwycięzców AWARD SECURITY GIT 2013
- Zakończyło się 10. SPIN
- Biuro Bezpieczeństwa Narodowego dąży do poprawy współpracy służb państwowych z prywatnym sektorem ochrony i zabezpieczenia technicznego w Polsce
- Nowy rok – nowe wyzwania
Prenumerata
Patronaty
