5 λάθη στην ασφάλεια πληροφοριακών συστημάτων
Πόσο ευάλωτες είναι οι επιχειρήσεις σε επιθέσεις hacking;
Όπως ισχυρίζονται πολλοί ειδικοί ασφάλειας, αλλά και οι ίδιοι οι hackers σχεδόν τα περισσότερα συστήματα μπορούν να παραβιαστούν πολύ εύκολα. Οι επιτιθέμενοι τις περισσότερες φορές χρειάζονται το πολύ μερικές ώρες ή λιγότερο, για την παραβίαση των πληροφοριακών συστημάτων μιας εταιρείας. Τα πράγματα όμως δεν είναι ανάγκη να είναι έτσι. Οι περισσότερες εταιρείες κάνουν συνεχώς συγκεκριμένα λάθη. Εάν αυτά τα ζητήματα επιλυθούν ο κίνδυνος των παραβιάσεων μειώνεται σε μεγάλο βαθμό.
Δείτε παρακάτω τα 5 πιο συχνά λάθη που γίνονται από τις επιχειρήσεις:
1) Υποθέτουν ότι οι επιδιορθώσεις λογισμικού (patches-updates) αρκούν Οι περισσότερες εταιρείες ισχυρίζονται ότι ενημερώνουν πλήρως τα συστήματά τους με αναβαθμίσεις, αλλά τις περισσότερες φορές εννοούν ότι ενημερώνουν μόνο το λειτουργικό σύστημα. Τι γίνεται όμως με τις υπόλοιπες εφαρμογές, τι συμβαίνει με αναβαθμίσεις στα Adobe Acrobat Reader, Adobe Flash ή Java. Τις περισσότερες φορές, οι εφαρμογές τέτοιου είδους είναι «ξεχασμένες» και αποτελούν τον πιο συχνό στόχο των hackers, και όχι άδικα.
2) Δεν γνωρίζουν ποιες εφαρμογές «τρέχουν» Τα τμήματα πληροφορικής πολλές φορές δεν έχουν ιδέα για τα προγράμματα που «τρέχουν» στους υπολογιστές τους. Οι νέοι υπολογιστές φτάνουν στην εταιρεία με προεγκατεστημένα δεκάδες προγράμματα που ο χρήστης δεν χρειάζεται. Τότε οι χρήστες συνήθως προσθέτουν ακόμη περισσότερα. Έτσι είναι πολύ συνηθισμένο ένα κανονικό PC να «τρέχει» εκατοντάδες προγράμματα και βοηθήματα από την αρχή. Αυτό όμως δεν είναι και ότι καλύτερο, καθώς πολλά από τα προγράμματα αυτά διαθέτουν ευπάθειες και κενά ασφάλειας, τα οποία ένας hacker μπορεί να εκμεταλλευτεί για να αποκτήσει μη εξουσιοδοτημένη πρόσβαση στο σύστημα της εταιρείας.
3) Αγνοούν τις δυσλειτουργίες Αν και τις περισσότερες φορές οι hackers παραβιάζουν ένα δίκτυο χωρίς να γίνουν αντιληπτοί, «μπαίνοντας» από τον έναν υπολογιστή στον άλλον, πολλές φορές χρησιμοποιούν μη αποδεκτές πρακτικές. Οι περισσότεροι τεχνικοί πληροφορικής αγνοούν αυτές τις δυσλειτουργίες, καθώς δεν έχουν θέσει εξ’ αρχής ποιες ενέργειες θεωρούνται κανονικές και ποιες μη αποδεκτές. Σύμφωνα με έρευνα της Verizon, αν οι διαχειριστές των δικτύων είχαν θέσει κάποιους κανόνες ασφάλειας, τότε σίγουρα θα είχαν ειδοποίηση σχετικά με οποιαδήποτε «ύποπτη» κίνηση πραγματοποιούνταν στο δίκτυο τους. Με αυτόν τον τρόπο πολλές παραβιάσεις θα μπορούσαν να είχαν αποφευχθεί.
4) Δεν ακολουθούν πολιτική ασφάλειας για τους κωδικούς πρόσβασης Πολλά τμήματα πληροφορικής ισχυρίζονται ότι χρησιμοποιούν «δυνατούς» κωδικούς πρόσβασης στις εφαρμογές τους, αλλά τις περισσότερες φορές αυτό δεν ισχύει. Συνήθως υπάρχουν ισχυροί κωδικοί, όπου δεν χρειάζεται και αδύναμοι κωδικοί σε κρίσιμες εταιρικές εφαρμογές. Επιπλέον οι περισσότεροι κωδικοί δεν αλλάζουν όσο συχνά θα έπρεπε ή καθόλου.
5) Έλλειψη ενημέρωσης των χρηστών για πρόσφατες απειλές Ενώ πολλοί υπάλληλοι είναι ενημερωμένοι για τους κινδύνους που μπορεί να έχει ένα e-mail και μαζί ένα επισυναπτόμενο αρχείο, πολλοί είναι εκείνοι που δεν γνωρίζουν για τους κινδύνους που ελλοχεύουν στο διαδίκτυο κατά την πλοήγησή τους σε κακόβουλες ιστοσελίδες. Επιπλέον κίνδυνοι υπάρχουν και στις διαφημίσεις που εμφανίζονται ξαφνικά στην οθόνη τους, σε μια εφαρμογή που τους στέλνει κάποιος φίλος μέσω facebook και αλλού. Οι παραπάνω ελλείψεις δεν είναι κάτι καινούργιο, υπάρχουν εδώ και δύο δεκαετίες σχεδόν. Τα περισσότερα τμήματα πληροφορικής ασχολούνται με νέα προγράμματα και τεχνολογίες και αγνοούν το θέμα της ασφάλειας που είναι εξίσου σημαντικό για τη λειτουργία των συστημάτων.
