Zapisując się na to szkolenie liczyłem, że uporządkuję nieco swoją wiedzę w tym aspekcie mojego zawodowego, ale również prywatnego życia i… nie zawiodłem się. A przy okazji dowiedziałem się paru nowych i ciekawych rzeczy. A wszystko podane w dość przystępnej formie.
Szkolenie prowadził Michał Broniarz z Wydziału Psychologii i było podzielona na kilka części, dotyczących poszczególnych, dostępnych dla pracowników UW, serwisów informatycznych. Pokrótce omówię niektóre poruszone zagadnienia.
Pierwszym i najważniejszym serwisem z którego korzystamy jest poczta UW, która obecnie jest oparta na usłudze Gmail. Tu zostały poruszone takie zagadnienia jak spam oraz próby wyłudzenia danych do logowania do konta (kiedy to niby pisze do nas admin UW). W obu przypadkach, należy kliknąć zgłoś spam. Zestawienie z często oznaczanymi w ten sposób wiadomościami, trafi do prawdziwych administratorów poczty UW i oni podejmą odpowiednie działania.
Poruszony został temat przesyłania mailem danych wrażliwych, takich jak hasła, dane osobowe czy finansowe. Rada? Należy minimalizować ryzyko, przesyłając tylko niezbędne dane, najlepiej w zahasłowanych archiwach zip, do których hasło zostanie przesłane innym kanałem komunikacji (np. sms lub telefon).
Omówione zostało również konto Google, szczególnie zakresie bezpieczeństwa. Można na nim podejrzeć oraz zmieniać nasze zaufane urządzenia, dawać lub zabrać dostęp aplikacjom do naszych plików na różnych usługach Google itp.
Poruszony został temat haseł oraz tego, że na UW jest bardzo wiele serwisów, do których dane do logowania trzeba pamiętać. I tu bardzo kusi ustawiać to samo lub tylko lekko zmienione hasło do wielu serwisów, co jest oczywiście błędem. Podobnie jak używanie imion (także naszych pupili), nazwisk panieńskich itp. Zmian haseł można dokonać z poziomu portalu mojekonto.uw.edu.pl, a powinny one być alfanumeryczne i… muszą dać się zapamiętać. Zbyt trudne hasło może dobrze zabezpieczyć nasze konto, ale może też być uciążliwe odzyskiwanie dostępu, w przypadku jego zapomnienia. Niezbyt dobrym pomysłem jest też zapisywanie haseł na post-itach przyklejonych do monitora czy trzymanych na biurku.
Kolejnym tematem były aplikacje Google (a w nich dysk, ankiety/formularze) oraz część pakietu Office365 i opcje udostępniania poprzez różne usługi plików. Prowadzący przypomniał, że nie da się w stu procentach zabezpieczyć czegokolwiek, co przesyłamy lub pokazujemy innej osobie w sieci.
W dobie pandemii bardzo często spotykamy się online. Na rynku jest bardzo dużo narzędzi, które można wykorzystać w tym celu. W G Suite jest Google Meet, w ramach licencji UW można korzystać z Zooma czy z Teamsów. Ale organizując spotkanie online trzeba też pamiętać o bezpieczeństwie. Jeśli udostępniamy ekran, to koniecznie trzeba zamknąć niepotrzebne aplikacje, a niezbędne do pokazania okienka nie mogą zawierać danych wrażliwych (osobowych, zdrowotnych, finansowych). Trzeba też pamiętać, że korzystając z kamery, może być coś widać za naszymi plecami, nie tylko nasze notatki wiszące na ścianie, ale np. monitor współpracownika, na którym mogą pojawić się jakieś informacje, które nie powinny być rozpowszechniane.
Na szkoleniu przewijało się wiele uwag ogólnych dotyczących szeroko pojętego bezpieczeństwa IT na poziomie „szeregowego” użytkownika:
- co jakiś czas zmieniać hasła, szczególnie tam, gdzie nie jesteśmy do tego zmuszani przez systemy/serwisy, z których korzystamy,
- blokowanie komputera, zarówno w pracy, jak i na home office,
- szybkie zgłaszanie naruszeń bezpieczeństwa – pozwala to na ograniczenie strat
- krytyczne podchodzenie do otrzymywanych wiadomości mailowych
- często konieczne jest myślenie za innych (np. nie przesyłanie do kolegów informacji typu: „uważaj na tą wiadomość”, bo któryś ze współpracowników w końcu kliknie w niebezpieczny link).
Na koniec spotkania omówione zostało jeszcze bezpieczeństwo urządzeń mobilnych oraz jak nie stracić pieniędzy w życiu prywatnym, np. przy okazji zakupów online.
Szkolenie obfitowało w zanonimizowane anegdoty, udowadniające, że wszystko się może zdarzyć. Pozwoliło ono poukładać oraz poszerzyć wiedzę na temat bezpieczeństwa IT.
Na pewno temat jest jest bardzo ważny, ale też skomplikowany i czasochłonny. W powiązaniu z RODO i innymi obostrzeniami dotyczącymi różnych aspektów naszej pracy, wydaje się, że bezpieczeństwo IT zajmuje nam coraz więcej czasu i coraz bardziej kusi aby z jakichś jego cząstek rezygnować, upraszczać. Co może się skończyć bardzo źle.
Polecam udział w szkoleniu każdemu, kto styka się na co dzień z komputerem, pocztą elektroniczną lub innymi systemami informatycznymi. Ja tymczasem biorę się za zmianę haseł 😉
Grzegorz Kłębek, Odział Rozwoju Zasobów Elektronicznych