Na področju kibernetske varnosti velja pravilo, da se priporočene prakse neprestano spreminjajo. Kar je nekoč veljalo za učinkovito zaščito, danes morda več ne zadostuje. SI-CERT je objavil zanimiv prispevek o varnostnih priporočilih, ki so včasih veljala za zlati standard, zdaj pa jih nadomeščajo sodobnejši pristopi.
Tudi pri Emigmi se v vsakodnevnem delu pogosto srečujemo z varnostnimi izzivi in vprašanji uporabnikov. Eden od največjih izzivov ostaja izobraževanje zaposlenih, ki pogosto podcenjujejo pomen varnosti – še vedno se srečujemo z uporabniki, ki mislijo, da je “geslo” lahko kar “geslo” ali “123456”. Da bi izboljšali splošno varnost, smo zato izpostavili nekaj varnostnih nasvetov, ki jih velja opustiti ali nadgraditi.
1. Redno menjajte gesla
Številne organizacije še vedno zahtevajo, da zaposleni vsake tri mesece menjajo gesla. A raziskave so pokazale, da to povzroča več škode kot koristi – uporabniki si namreč začnejo izmišljevati enostavna in predvidljiva gesla, ki jih lažje zapomnijo. Namesto tega je veliko boljša rešitev uporaba upravljalnikov gesel, ki omogočajo ustvarjanje unikatnih, dolgih in varnih gesel za vsako storitev posebej.
Še bolje je, če gesla nadomestimo s frazami (t.i. passphrase), kot je npr. “KavaZjutrajDišiBolje” – daljše fraze so namreč precej težje za vdor. Seveda pa tudi to ne pomaga, če ne uporabljamo večfaktorske avtentikacije (MFA), kjerkoli je to mogoče.
2. Vedno preverite ključavnico v brskalniku
Dolgo je veljalo, da je simbol ključavnice v brskalniku zanesljiv pokazatelj varne spletne strani. A časi so se spremenili – danes imajo tudi lažne spletne strani veljavne varnostne certifikate, zato je ključavnica le indikator šifrirane povezave, ne pa nujno tudi verodostojnosti spletne strani.
Namesto, da se zanašamo zgolj na simbol ključavnice, preverimo tudi naslov spletne strani, njeno vsebino in, če gre za občutljive podatke, obiščimo stran tako, da njen naslov vnesemo ročno.
3. Phishing lahko prepoznate po povezavi v sporočilu
Nekoč so bile phishing prevare očitne – povezave so vodile na povsem drugačne domene, ki niso imele nobene povezave s pravimi storitvami. Danes so napadi bolj prefinjeni: napadalci registrirajo domene, ki so skoraj identične legitimnim (npr. paypall.com namesto paypal.com).
Zato pravilo zdaj velja takole: nikoli ne klikajmo na povezave v e-pošti ali SMS sporočilih, ki od nas zahtevajo prijavo ali vnos občutljivih podatkov. Spletno stran vedno obiščimo preko zaznamkov v brskalniku ali naslov vnesimo ročno.
… na Emigmi se vsakodnevno srečujemo s temi izzivi in izobraževanjem uporabnikov poskušamo zmanjšati tveganja – pa naj gre za opozarjanje na nevarne prakse ali za osveščanje o tem, da geslo res ne more biti “123456”.
4. Ne uporabljajte javnih Wi-Fi omrežij
V preteklosti je veljalo opozorilo, da se je treba izogibati javnim Wi-Fi omrežjem, saj lahko nepridipravi prestrežejo podatke. Danes je večina spletnih storitev zaščitenih s šifriranimi povezavami (HTTPS), kar pomeni, da je prestrezanje podatkov precej težje.
Seveda še vedno velja previdnost – če brskalnik prikaže opozorilo o varnostnem certifikatu, povezavo takoj prekinimo. Za dodatno zaščito pa uporabimo VPN povezavo, ki ves naš promet dodatno šifrira.
5. Aplikacije iz uradnih trgovin so varne
Prenos aplikacij iz uradnih trgovin, kot sta Google Play in Apple App Store, je bolj varen kot prenos iz neznanih virov, a to ne pomeni, da je popolnoma varen. V preteklosti smo že videli primere aplikacij, ki so se izdajale za legitimne, v resnici pa so v ozadju vsebovale škodljivo kodo, ki je okužila naprave in kradla podatke.
Torej, čeprav je priporočljivo uporabljati uradne trgovine, moramo biti še vedno pozorni: preverimo ocene aplikacije, preberimo dovoljenja, ki jih zahteva, in spremljajmo obnašanje naprave po namestitvi.
Ne pozabite …
Pri varnosti ne gre za slepo sledenje zastarelim pravilom, ampak za razumevanje, kako se grožnje razvijajo in kako se jim lahko prilagodimo. Sodelavci na Emigmi se vsakodnevno srečujemo s temi izzivi in izobraževanjem uporabnikov poskušamo zmanjšati tveganja – pa naj gre za opozarjanje na nevarne prakse ali za osveščanje o tem, da geslo res ne more biti “123456”.
Kibernetska varnost ni enkratna akcija, temveč neprestan proces prilagajanja in ozaveščanja. Zato je ključnega pomena, da tudi v letu 2025 opustimo slabe prakse in jih nadomestimo z boljšimi.
