12 padomi efektīvai datu drošībai digitalajā laikmetā

Digitālajā laikmetā, kad dati ir zelta vērtē, datu drošība kļūst par vienu no būtiskākajiem jautājumiem gan uzņēmumiem, gan privātpersonām. Kā IT uzņēmums, mēs apzināmies savu lomu klientu datu aizsardzībā, taču datu drošība ir kopīga atbildība. Šajā rakstā apskatīsim būtiskākos principus un dalīsimies praktiskos padomos, kas palīdzēs Tev kļūt par aktīvu sava digitālā drošības vairoga līdzautoru.

1. Nedalīšanās ar parolēm

Tava parole ir Tavas privātās telpas atslēga. Tā nav dalāma ar kolēģiem, ģimenes locekļiem vai klientu atbalsta darbiniekiem. Pat ja uzticies kādam cilvēkam, paroles nodošana jebkurā formā palielina risku. Ja sistēmu izmanto vairāki lietotāji, katram jāreģistrē savs lietotājvārds un parole, jo sistēmā tiek reģistrētas darbības pēc lietotājvārda — kurš veidojis dokumentu, veicis labojumu, dzēsis dokumentu u.c. Ja gadās negodprātīgs darbinieks, dati var tikt dzēsti, vai apzināti bojāti, un bez unikālas identifikācijas nevarēs noteikt, kurš tieši veicis šīs darbības.

Padoms: izmanto paroles pārvaldniekus (piemēram, 1Password), lai izvairītos no vāju vai atkārtotu paroļu izmantošanas.

Katram lietotājam jāreģistrē savs konts un jāpatur savas administratora tiesības tikai sev, lai Tu varētu pilnībā kontrolēt darbības kontā.

2. Divfaktoru autentifikācija (2FA)

2FA ir viens no efektīvākajiem līdzekļiem, lai pasargātu kontu pat tad, ja parole ir noplūdusi. Tas nozīmē, ka piekļuve tiek apstiprināta tikai tad, kad papildus parolei tiek ievadīts arī unikāls kods no ierīces vai lietotnes.

Mēs ļoti iesakām aktivizēt 2FA visur, kur tas ir iespējams. Tā pieejama arī mūsu risinājumā. Vairāk informācijas par to, kā pieslēgt 2FA, lasi šeit.

3. Sesijas noslēgšana

Pēc darba pabeigšanas izrakstīšanās no sistēmām (log out) ir svarīga – īpaši, ja tiek izmantots koplietojams vai publisks dators. Pat ja izmanto savu ierīci un ir palikusi atvērta sesija, tā ir iespēja uzbrucējiem.

Padoms: ieslēdz automātisku sesijas izbeigšanu pēc X minūtēm neaktivitātes, ja tas pieejams.

4. Sīkdatņu pārvaldība un dzēšana

Sīkdatnes jeb cookies saglabā Tavu pārlūkošanas informāciju, lai uzlabotu lietotāja pieredzi. Tomēr tās var uzkrāt arī sensitīvus datus un radīt drošības riskus.

Informāciju par to, kā tīrīt sīkdatnes, vari apskatīt šeit.

5. Arhīvu glabāšana un pieejas kontrole

Bieži vien tiek saglabāti arhīvi ar sensitīvu informāciju, piemēram, klientu vēsture vai finanšu dati.

Šiem failiem jābūt:

• šifrētiem;
• glabātiem tikai uzticamās vietās;
• ar ierobežotu piekļuvi.

Padoms: nekad nesaglabā paroles vai sensitīvus datus nešifrētā Excel failā savā darbvirsmā.

Ieteikums: izmanto drošas un profesionālas platformas, piemēram:

• Microsoft OneDrive for Business vai Google Drive ar uzņēmuma kontu, kur pieejams auditējams piekļuves režīms;
• SharePoint – īpaši komandām ar vairākiem lietotājiem un vajadzību kontrolēt piekļuvi;
• Proton Drive vai Tresorit – ja nepieciešama pilnīga šifrēšana (end-to-end encryption);
• Failu šifrēšana lokāli ar BitLocker (Windows) vai FileVault (Mac), ja tiek glabāts ārpus mākoņa.

Ja arhīvi tiek glabāti lokāli (piemēram, uz servera vai ārējā diska), tiem obligāti jābūt šifrētiem, un regulāri jāveido rezerves kopijas, ko glabā atsevišķā, drošā vietā.

6. Viena lietotājvārda un paroles izmantošana vairākos portālos

Ja viena vietne tiek uzlauzta un parole noplūst, krāpnieki var piekļūt visiem kontiem, kur izmantota tā pati kombinācija.

Padoms: izmanto unikālu paroli katrai sistēmai. Paroļu pārvaldnieki palīdz to viegli īstenot.

7. Kāpēc ir svarīgi izmantot antivīrusu?

Pat visapzinīgākais lietotājs var kļūdīties – piemēram, saņemot e-pastu no krāpnieka, kas uzdodas par kolēģi vai partneri. Antivīruss darbojas kā automātisks aizsardzības slānis, kas Tevi pasargā tieši tajā brīdī, kad notiek uzbrukums.

Ko antivīruss dara?

• Uzrauga visas darbības, lai uzreiz pamanītu aizdomīgu uzvedību;
• Pārbauda failus pirms to atvēršanas: noņem riskus, pirms vēl esi kaut ko klikšķinājis;
• Aizsargā pret nezināmiem draudiem ar mākslīgā intelekta un mašīnmācīšanās palīdzību;
• Brīdina par aizdomīgām saitēm un lejupielādēm – īpaši, ja pārlūko internetu.

Padoms: Pārliecinies, ka Tavs antivīruss ir aktīvs un atjaunināts – tikai tā tas var pasargāt pret jaunākajiem draudiem. Ja nelieto papildu programmatūru, vismaz Windows Defender (iebūvēts Windows datoros) ir jābūt ieslēgtam.

8. Nezināmu saišu atvēršana e-pastā (phishing)

Ļoti bieži lietotāji uzķeras uz šķietami ticamiem e-pastiem no "banka.lv" vai "Jūsu sistēmas atbalsta komandas", kas satur ļaunprātīgas saites.

Padoms: vienmēr pārbaudi sūtītāja adresi, uzmanies, ja tiec steidzināts (“jārīkojas nekavējoties!”), un neievadi paroles pēc klikšķināšanas uz saites.

9. Failu lejupielāde bez pārbaudes

Klienti mēdz augšupielādēt failus (piemēram, dokumentus, izrakstus u.c.), kas satur vīrusus vai makroskriptus.

Padoms: pirms failu augšupielādes pārliecinies, ka tie ir pārbaudīti ar antivīrusu. Nelejupielādē failus no nezināmiem avotiem.

Kā pārliecināties, ka antivīruss tiešām pārbauda failu?

1. Reāllaika aizsardzība ir ieslēgta

Pārliecinies, ka Tavs antivīruss darbojas reāllaikā (real-time protection)

2. Pārbaudi failu manuāli

Ja neesi drošs, vari veikt manuālu pārbaudi: ar peles labo pogu klikšķini uz faila > izvēlies “Skenēt ar [antivīrusa nosaukumu]”.

3. Lieto tiešsaistes pārbaudi

Ja nav antivīrusa uz datora, izmanto VirusTotal bezmaksas tiešsaistes rīku: augšupielādē failu un dažu sekunžu laikā redzēsi, vai kāda no vairākām drošības sistēmām konstatē problēmu vai aizdomīgu saturu.

Svarīgi: Arī dokumenti (Word, Excel) var saturēt makrovīrusus. Ja fails liek Tev ieslēgt “Enable macros” — esi ļoti piesardzīgs, ja tas nav no uzticama avota. 

Ja antivīruss tiek atspējots, piemēram, instalējot citu programmu, noteikti to atjauno pēc iespējas ātrāk.

10. Publisku Wi-Fi tīklu izmantošana bez VPN

Pieslēgšanās, piemēram, lidostas vai kafejnīcas Wi-Fi un autorizēšanās sistēmās bez šifrēta savienojuma atver iespēju “man-in-the-middle” uzbrukumiem. Tā ir situācija, kurā trešā persona (uzbrucējs) slepus iekļaujas starp divām saziņā iesaistītām pusēm — piemēram, starp Tevi un kādu tīmekļa vietni — un pārķer vai pat maina pārsūtīto informāciju.

Īsumā: Tu domā, ka pieslēdzies drošai, pārbaudītai vietnei, bet patiesībā uzbrucējs "seko līdzi" un var piekļūt Taviem datiem — piemēram, lietotājvārdiem, parolēm vai kredītkartes informācijai.

Padoms: vienmēr izmanto VPN, ja jāstrādā publiskā tīklā.

11. Nepiešķirtās piekļuves izplatīšana trešajām pusēm

Bieži tiek dalītas pieejas ar ārpakalpojumu sniedzējiem vai kolēģiem bez atbilstošām lomām, pārraudzības vai termiņa ierobežojuma.

Padoms: piešķir piekļuves tikai nepieciešamajiem lietotājiem, izmantojot “minimālo piekļuves tiesību” principu. Tas nozīmē to, ka lietotājam, programmai vai sistēmai tiek piešķirtas tikai tās piekļuves tiesības, kas nepieciešamas konkrētā uzdevuma veikšanai – ne vairāk.

Īsumā: katrs saņem tikai tik daudz piekļuves, cik viņam reāli vajag, lai izdarītu savu darbu. Neviens nesaņem “visu atslēgu saišķi”, ja nepieciešama tikai viena atslēga.

Obligāti dzēs pieejas, kad tās vairs nav nepieciešamas.

12. Vecu kontu vai lietotāju neatspējošana

Piemēram, darbinieki nomaina darbu, bet viņu konti netiek slēgti, ļaujot piekļūt sistēmām mēnešiem ilgi.

Padoms: veido procesu, kur darbinieku konti tiek automātiski deaktivēti, ja nav izmantoti konkrētu dienu/nedēļu/mēnešu skaitu.

Datu drošība nav vienreizēja darbība – tā ir ikdienas apņemšanās. Tā sākas ar izpratni, turpinās ar apmācību, un kļūst par uzņēmuma kultūras daļu, ja to ievēro visa komanda. Mēs esam šeit, lai atbalstītu, sniegtu risinājumus un palīdzētu ieviest labākās prakses, taču Tava aktīva līdzdalība ir neaizstājama.

Lai cik tehnoloģiski attīstīta būtu sistēma, cilvēka rīcība joprojām ir vājākais posms datu drošības ķēdē. Pat viens neapdomāts solis — paroles pierakstīšana uz lapiņas, koplietošana ar kolēģi vai klikšķis uz šķietami nevainīgas saites — var atvērt durvis ļaunprātīgai piekļuvei un sensitīvu datu noplūdei.

Tieši tāpēc datu drošība nav tikai IT speciālistu uzdevums — tā ir ikviena lietotāja atbildība.

Esi uzmanīgs ikdienā: pārdomā, kam un kādā veidā Tu piešķir piekļuvi. Neignorē drošības ieteikumus. Ievies divfaktoru autentifikāciju, izmanto unikālas paroles un regulāri pārskati savus digitālos ieradumus. Tava apzinātā rīcība var būt izšķirošais faktors, kas novērš incidentu un nodrošina mierīgu darba vidi gan Tev, gan visai komandai.

Ja rodas jautājumi par to, kā uzlabot savu drošības praksi – sazinies ar mūsu klientu atbalstu!