Poradnik 14.04.2017 8 min. czytania Tekst Image Niezależnie od tego, jak ostrożnie posługujesz się informacją ani jak wysublimowane środki profilaktyczne stosujesz, nie jesteś w stanie zabezpieczyć się przed każdym zagrożeniem. Dlatego zarządzanie ryzykiem polega nie tylko na zapobieganiu, ale też na przygotowaniu się na wystąpienie kryzysu – i wyciąganiu z niego wniosków. W tym odcinku Poradnika BINGO przyjrzymy się kilku sytuacjom związanym z bezpieczeństwem informacji. Oparliśmy się na prawdziwych historiach. 1. Przejęcie kontroli nad profilem społecznościowym Któregoś dnia wszyscy administratorzy facebookowego profilu Stowarzyszenia Aberracja zorientowali się, że nie mogą dodawać postów, a na profilu pojawiły się treści reklamowe. Uprawnienia stracili wszyscy dotychczasowi administratorzy – wykluczyli więc, że któryś z nich przejął profil. Diagnoza sytuacji Prawdopodobnie ktoś przejął hasło do Facebooka jednej z osób z uprawnieniami administratora. Scenariusz zarządzania kryzysem Co można zrobić: Zgłoście sprawę do Facebooka, na policję. W zależności od diagnozy sytuacji próbujcie negocjować ze sprawcami. Zadbajcie o komunikację z odbiorcami: zdejmijcie ze strony internetowej organizacji link do Facebooka, załóżcie nowy profil, poinformujcie na stronie lub innym kanałem, którym organizacja komunikuje się z odbiorcami, że straciliście dostęp do dotychczasowego profilu i – jeśli nie ma szans na jego odzyskanie – że zapraszacie na nowy. Lekcje po kryzysie By uniknąć podobnych kryzysów w przyszłości: Zrewidujcie, kto ma jakie uprawnienia dostępu do profilu organizacji – nie każdy musi być administratorem. Wprowadźcie dwustopniową autoryzację – logowanie do serwisu za pomocą hasła użytkownika i kodu SMS. Przestrzegajcie – indywidualnie i na poziomie organizacji – zasad bezpiecznego korzystania z urządzeń, tworzenia i przechowywania haseł. Budujcie inną formę komunikacji z odbiorcami, korzystając z kanałów, nad którymi organizacja ma większą kontrolę (np. strona internetowa). Kontrolę nad profilem na Facebooku można utracić także w przypadku arbitralnej decyzji tego portalu (jak w przypadku blokowania stron organizacji narodowców). Zasady te warto rozciągnąć na inne usługi online, wprowadzając dodatkowe zabezpieczenia: na stronie internetowej, w CRM-ie, poczcie elektronicznej, Slacku, Instagramie, banku… Przejęcie kontroli nad profilem organizacji może nastąpić też bez utraty hasła: np. gdy administrator odchodzi z organizacji wraz z profilem, odbierając uprawnienia innym, zmieniając hasła. Eksperci od bezpieczeństwa są w takich przypadkach bezradni, ale „Lekcje po kryzysie” mogłyby być pomocne (np. budowanie komunikacji z odbiorcami poza Facebookiem). Jak poradzilibyście sobie z taką sytuacją w swojej organizacji? 2. Wyciek prywatnej korespondencji Członkowie i członkinie Stowarzyszenia „Zwierzę też Człowiek” często występują w mediach w dyskusjach z przedstawicielami firmy, której nieetyczne działania wobec zwierząt krytykuje organizacja. Podczas ostatniego występu reprezentant Stowarzyszenia odniósł wrażenie, że przedstawiciel firmy doskonale wiedział, co ma on zamiar powiedzieć; że wyprzedzał przygotowane przez niego wcześniej argumenty. Rozmówca wspomniał też o planach organizacji, o których zespół nigdy nie rozmawiał z osobami z zewnątrz. Zespół wykluczył, że ktoś osobiście przekazał firmie informacje. Diagnoza sytuacji Wszystko wskazuje na to, że firma zdobyła informacje, czytając korespondencję między członkami Stowarzyszenia. Scenariusz zarządzania kryzysem Działania, które należy podjąć: „Zarchiwizujcie” wyciek: uważnie sprawdźcie i zapiszcie, jakie informacje wyciekły. Przeanalizujcie, którędy mógł nastąpić wyciek. Czy to kradzież hasła? A może do wspólnego dysku podpięte są osoby, które już od dawna nie współpracują z organizacją? Działania naprawcze powinny być adekwatne do tej analizy. Warto sprawdzić, czy procedury są aktualne i kompletne i czy zespół (oraz współpracownicy, którzy mają dostęp do informacji) się do nich stosuje. Podejmijcie działania komunikacyjne (kryzysem komunikacyjnym zajmiemy się w późniejszych odcinkach Poradnika BINGO). Lekcje po kryzysie Warto przypomnieć sobie podstawowe zasady bezpiecznej komunikacji: przekazywanie wrażliwych informacji tylko szyfrowanym kanałem komunikacji (szyfrowanym mailem, aplikacją taką jak Signal, szyfrowanym komunikatorem Jitsi, Pidgin) albo na żywo; trudne do odgadnięcia, regularnie zmieniane i bezpiecznie przechowywane hasła do usług; regularne sprawdzanie logów najważniejszych miejsc dostępu do wewnętrznych informacji w celu szybkiego wykrycia nieautoryzowanego wejścia. Te zasady trzeba rozciągnąć na inne usługi: wspólny dysk, wspólną chmurę, wspólne dokumenty. 3. Podstawiona strona internetowa Fundacja Panorama otrzymała mail z ofertą pomocy w przygotowaniu wniosku do konkursu o grant na działania rzecznicze. Z oferty wprawdzie nie skorzystała, ale przygotowała wniosek. Opisała w nim swoje plany kontroli władz centralnych i samorządowych oraz pomysł na kampanię społeczną, w której chciała nagłośnić nadużycia. Kilka godzin przed upływem terminu na składanie wniosków koordynator zaczął przenosić treść wniosku do elektronicznego systemu podawczego, do którego link był podany w mailu z ofertą. Gdy skończył, otrzymał komunikat, że aby złożyć wniosek, musi wysłać przelew na konto nieznanej mu wcześniej firmy. W tym momencie zorientował się, że nie jest w systemie podawczym grantodawcy, ale na stronie, która go świetnie udaje. Koordynator zorientował się również, że treść wniosku przesłana przez „system” jest widoczna publicznie w sieci. Diagnoza sytuacji Fundacja Panorama padła ofiarą phishingu: trafiła na podstawioną stronę udającą stronę grantodawcy, której twórca chciał zarobić na nieuwadze odbiorcy. Chociaż organizacja zorientowała się w porę i nie straciła pieniędzy, jej wewnętrzne plany i informacje wyciekły. Mogło też dojść do zainstalowania na komputerze złośliwego oprogramowania. Scenariusz zarządzania kryzysem Gdy do zdarzenia już doszło, niewiele da się z tym zrobić – poza zgłoszeniem tego faktu prawdziwemu grantodawcy. Jeśli dane zostały opublikowane w sieci, można zgłosić się na policję w sprawie wyłudzania informacji. Phishing często wiąże się z próbą zainfekowania komputerów złośliwym oprogramowaniem – konieczne będzie zatem dokładne przeskanowanie urządzeń. Lekcje po kryzysie Warto przypomnieć sobie zasady bezpiecznego korzystania z sieci: Nie klikaj w linki zamieszczone w wyglądających podejrzanie mailach reklamowych wysłanych z niezaufanych adresów; w powiadomieniach o fakturach czy przesyłkach kurierskich – lepiej samodzielnie wyszukaj firmę/organizację, która Cię interesuje. Sprawdzaj domenę i certyfikat strony. Słowem: ostrożność i ograniczone zaufanie. Jeśli zagrożenie już wystąpi, jedynym ratunkiem może okazać się backup. Jeśli nie uda się oczyścić komputera ze złośliwego oprogramowania, trzeba będzie od nowa postawić system, a dane odzyskać z kopii zapasowej. Dlatego należy wykonywać ją regularnie. -- Kryzys może wystąpić w każdej chwili – nawet w organizacji, która dobrze dba o bezpieczeństwo. Jednak taka, w której jest to temat obecny na co dzień, łatwiej go opanuje i wyciągnie z niego wnioski na przyszłość. Dbałości o bezpieczeństwo nie da się jednak zadekretować. Warto zacząć od rozmowy, a zmiany wdrażać stopniowo, przyzwyczajając współpracowników do nowych rozwiązań. Osoby o większych kompetencjach technicznych mogą pomagać pozostałym, w ten sposób zdejmując część tego niełatwego zadania z barków administratora/informatyka. Anna Obem Współpraca: Małgorzata Szumańska, Izabela Meyza Konsultacja merytoryczna: Marcin Karpezo, Kamil Śliwowski Poradnik BINGO powstaje w ramach projektu „BINGO, czyli bezpieczne organizacje” finansowanego ze środków Fundacji im. S. Batorego. Możesz dołożyć się do naszych działań, wspierając nas darowiznami i przekazując 1% na rzecz Panoptykonu. << Poradnik BINGO 2. Bezpieczeństwo informacji: wybrane narzędzia Poradnik BINGO 4. Bezpieczna siedziba organizacji: ewakuacja i pierwsza pomoc >> Anna Obem Autorka Małgorzata Szumańska, Izabela MeyzaWspółpraca Temat bezpieczeństwo media społecznościowe Poprzedni Następny Newsletter Otrzymuj informacje o działalności Fundacji Twoje dane przetwarza Fundacja Panoptykon w celu promowania działalności statutowej, analizy skuteczności podejmowanych działań i ewentualnej personalizacji komunikacji. Możesz zrezygnować z subskrypcji listy i zażądać usunięcia swojego adresu e-mail. Więcej informacji o tym, jak przetwarzamy twoje dane i jakie jeszcze prawa ci przysługują, w Polityce prywatności. Zapisz się Zapisz się Akceptuję Regulamin usługi Leave this field blank Zobacz także Artykuł BINGO, czyli bezpieczna organizacja – zapraszamy do udziału w drugiej edycji programu! Praca w organizacji społecznej to ciąg wyzwań – jednym z nich jest bezpieczeństwo. W niektórych aspektach zapewnienie bezpieczeństwa wynika z prawa – tak jest z ochroną danych osobowych czy przepisami BHP. Jednak bezpieczeństwo ma wiele wymiarów i warto zainwestować czas i energię w poprawianie… 12.01.2018 Tekst Artykuł Czy da się uchronić przed Pegasusem? Znamy sposób Najnowsze dziennikarskie śledztwo ujawnia, że program Pegasus wykorzys 19.07.2021 Tekst Artykuł Reklama polityczna na Facebooku: zmowa milczenia Polskie partie polityczne nie korzystają z precyzyjnego kierowania komunikatów do wyborców na Facebooku, ale to nie powód do odetchnięcia z ulgą. Od skandalu Cambridge Analytica minęły niemal dwa lata, ale narzędzia wprowadzone przez Facebooka, które miały pozwolić na większą przejrzystość reklam… 27.04.2020 Tekst