Poradnik BINGO 3. Uwaga, kryzys!

Niezależnie od tego, jak ostrożnie posługujesz się informacją ani jak wysublimowane środki profilaktyczne stosujesz, nie jesteś w stanie zabezpieczyć się przed każdym zagrożeniem. Dlatego zarządzanie ryzykiem polega nie tylko na zapobieganiu, ale też na przygotowaniu się na wystąpienie kryzysu – i wyciąganiu z niego wniosków. W tym odcinku Poradnika BINGO przyjrzymy się kilku sytuacjom związanym z bezpieczeństwem informacji. Oparliśmy się na prawdziwych historiach.

1. Przejęcie kontroli nad profilem społecznościowym

Któregoś dnia wszyscy administratorzy facebookowego profilu Stowarzyszenia Aberracja zorientowali się, że nie mogą dodawać postów, a na profilu pojawiły się treści reklamowe. Uprawnienia stracili wszyscy dotychczasowi administratorzy – wykluczyli więc, że któryś z nich przejął profil.

Diagnoza sytuacji

Prawdopodobnie ktoś przejął hasło do Facebooka jednej z osób z uprawnieniami administratora.

Scenariusz zarządzania kryzysem

Co można zrobić:

• Zgłoście sprawę do Facebooka, na policję. W zależności od diagnozy sytuacji próbujcie negocjować ze sprawcami.
• Zadbajcie o komunikację z odbiorcami: zdejmijcie ze strony internetowej organizacji link do Facebooka, załóżcie nowy profil, poinformujcie na stronie lub innym kanałem, którym organizacja komunikuje się z odbiorcami, że straciliście dostęp do dotychczasowego profilu i – jeśli nie ma szans na jego odzyskanie – że zapraszacie na nowy.

Lekcje po kryzysie

By uniknąć podobnych kryzysów w przyszłości:

• Zrewidujcie, kto ma jakie uprawnienia dostępu do profilu organizacji – nie każdy musi być administratorem.
• Wprowadźcie dwustopniową autoryzację – logowanie do serwisu za pomocą hasła użytkownika i kodu SMS.
• Przestrzegajcie – indywidualnie i na poziomie organizacji – zasad bezpiecznego korzystania z urządzeń, tworzenia i przechowywania haseł.
• Budujcie inną formę komunikacji z odbiorcami, korzystając z kanałów, nad którymi organizacja ma większą kontrolę (np. strona internetowa). Kontrolę nad profilem na Facebooku można utracić także w przypadku arbitralnej decyzji tego portalu (jak w przypadku blokowania stron organizacji narodowców).

Zasady te warto rozciągnąć na inne usługi online, wprowadzając dodatkowe zabezpieczenia: na stronie internetowej, w CRM-ie, poczcie elektronicznej, Slacku, Instagramie, banku…

Przejęcie kontroli nad profilem organizacji może nastąpić też bez utraty hasła: np. gdy administrator odchodzi z organizacji wraz z profilem, odbierając uprawnienia innym, zmieniając hasła. Eksperci od bezpieczeństwa są w takich przypadkach bezradni, ale „Lekcje po kryzysie” mogłyby być pomocne (np. budowanie komunikacji z odbiorcami poza Facebookiem). Jak poradzilibyście sobie z taką sytuacją w swojej organizacji?

2. Wyciek prywatnej korespondencji

Członkowie i członkinie Stowarzyszenia „Zwierzę też Człowiek” często występują w mediach w dyskusjach z przedstawicielami firmy, której nieetyczne działania wobec zwierząt krytykuje organizacja. Podczas ostatniego występu reprezentant Stowarzyszenia odniósł wrażenie, że przedstawiciel firmy doskonale wiedział, co ma on zamiar powiedzieć; że wyprzedzał przygotowane przez niego wcześniej argumenty. Rozmówca wspomniał też o planach organizacji, o których zespół nigdy nie rozmawiał z osobami z zewnątrz. Zespół wykluczył, że ktoś osobiście przekazał firmie informacje.

Diagnoza sytuacji

Wszystko wskazuje na to, że firma zdobyła informacje, czytając korespondencję między członkami Stowarzyszenia.

Scenariusz zarządzania kryzysem

Działania, które należy podjąć:

• „Zarchiwizujcie” wyciek: uważnie sprawdźcie i zapiszcie, jakie informacje wyciekły.
• Przeanalizujcie, którędy mógł nastąpić wyciek. Czy to kradzież hasła? A może do wspólnego dysku podpięte są osoby, które już od dawna nie współpracują z organizacją? Działania naprawcze powinny być adekwatne do tej analizy.
• Warto sprawdzić, czy procedury są aktualne i kompletne i czy zespół (oraz współpracownicy, którzy mają dostęp do informacji) się do nich stosuje.
• Podejmijcie działania komunikacyjne (kryzysem komunikacyjnym zajmiemy się w późniejszych odcinkach Poradnika BINGO).

Lekcje po kryzysie

Warto przypomnieć sobie podstawowe zasady bezpiecznej komunikacji:

• przekazywanie wrażliwych informacji tylko szyfrowanym kanałem komunikacji (szyfrowanym mailem, aplikacją taką jak Signal, szyfrowanym komunikatorem Jitsi, Pidgin) albo na żywo;
• trudne do odgadnięcia, regularnie zmieniane i bezpiecznie przechowywane hasła do usług;
• regularne sprawdzanie logów najważniejszych miejsc dostępu do wewnętrznych informacji w celu szybkiego wykrycia nieautoryzowanego wejścia.

Te zasady trzeba rozciągnąć na inne usługi: wspólny dysk, wspólną chmurę, wspólne dokumenty.

3. Podstawiona strona internetowa

Fundacja Panorama otrzymała mail z ofertą pomocy w przygotowaniu wniosku do konkursu o grant na działania rzecznicze. Z oferty wprawdzie nie skorzystała, ale przygotowała wniosek. Opisała w nim swoje plany kontroli władz centralnych i samorządowych oraz pomysł na kampanię społeczną, w której chciała nagłośnić nadużycia. Kilka godzin przed upływem terminu na składanie wniosków koordynator zaczął przenosić treść wniosku do elektronicznego systemu podawczego, do którego link był podany w mailu z ofertą. Gdy skończył, otrzymał komunikat, że aby złożyć wniosek, musi wysłać przelew na konto nieznanej mu wcześniej firmy. W tym momencie zorientował się, że nie jest w systemie podawczym grantodawcy, ale na stronie, która go świetnie udaje. Koordynator zorientował się również, że treść wniosku przesłana przez „system” jest widoczna publicznie w sieci.

Diagnoza sytuacji

Fundacja Panorama padła ofiarą phishingu: trafiła na podstawioną stronę udającą stronę grantodawcy, której twórca chciał zarobić na nieuwadze odbiorcy. Chociaż organizacja zorientowała się w porę i nie straciła pieniędzy, jej wewnętrzne plany i informacje wyciekły. Mogło też dojść do zainstalowania na komputerze złośliwego oprogramowania.

Scenariusz zarządzania kryzysem

• Gdy do zdarzenia już doszło, niewiele da się z tym zrobić – poza zgłoszeniem tego faktu prawdziwemu grantodawcy. Jeśli dane zostały opublikowane w sieci, można zgłosić się na policję w sprawie wyłudzania informacji.
• Phishing często wiąże się z próbą zainfekowania komputerów złośliwym oprogramowaniem – konieczne będzie zatem dokładne przeskanowanie urządzeń.

Lekcje po kryzysie

Warto przypomnieć sobie zasady bezpiecznego korzystania z sieci:

• Nie klikaj w linki zamieszczone w wyglądających podejrzanie mailach reklamowych wysłanych z niezaufanych adresów; w powiadomieniach o fakturach czy przesyłkach kurierskich – lepiej samodzielnie wyszukaj firmę/organizację, która Cię interesuje.
• Sprawdzaj domenę i certyfikat strony.

Słowem: ostrożność i ograniczone zaufanie. Jeśli zagrożenie już wystąpi, jedynym ratunkiem może okazać się backup. Jeśli nie uda się oczyścić komputera ze złośliwego oprogramowania, trzeba będzie od nowa postawić system, a dane odzyskać z kopii zapasowej. Dlatego należy wykonywać ją regularnie.

--

Kryzys może wystąpić w każdej chwili – nawet w organizacji, która dobrze dba o bezpieczeństwo. Jednak taka, w której jest to temat obecny na co dzień, łatwiej go opanuje i wyciągnie z niego wnioski na przyszłość. Dbałości o bezpieczeństwo nie da się jednak zadekretować. Warto zacząć od rozmowy, a zmiany wdrażać stopniowo, przyzwyczajając współpracowników do nowych rozwiązań. Osoby o większych kompetencjach technicznych mogą pomagać pozostałym, w ten sposób zdejmując część tego niełatwego zadania z barków administratora/informatyka.

Anna Obem

Współpraca: Małgorzata Szumańska, Izabela Meyza

Konsultacja merytoryczna: Marcin Karpezo, Kamil Śliwowski

Poradnik BINGO powstaje w ramach projektu „BINGO, czyli bezpieczne organizacje” finansowanego ze środków Fundacji im. S. Batorego. Możesz dołożyć się do naszych działań, wspierając nas darowiznami i przekazując 1% na rzecz Panoptykonu.