Cyberprzestępczość to bardzo duże zagrożenie dla wszystkich organizacji pozarządowych. Warto być czujnym i działać proaktywnie, aby zapewnić bezpieczeństwo naszych danych. Cyberataki mogą zakłócić prace i uniemożliwią wypełnianie misji organizacji.
Zebraliśmy kilka podstawowych informacji na temat cyberprzestępczości i sposobu działania. Na koniec podajemy Wam ważne wskazówki, jak możecie chronić swoją organizację już teraz.
NGO niewarte hakowania?
Wiele przywódców organizacji pozarządowych uważa, że ich systemy i dane nie są warte hakowania. Skutkuje to brakiem działań, jak inwestycje w systemy ds. cyberbezpieczeństwa. Tak naprawdę, NGO mogą mieć zwiększone ryzyko cyberzagrożeń, gdyż posiadają poufne informacje o m.in. wolontariuszach, darczyńcach czy beneficjentach.
Na początek: czym jest cyberatak?
Cyberatak odnosi się ogólnie do nielegalnych działać, w sposób, który atakujący uzyskuje dostęp do danych lub systemu, zazwyczaj z zamiarem kradzieży, zaszyfrowania danych lub ich pozyskania. Jest to bardzo szeroki termin, a sprawcy mają wiele różnych sposobów i powodów popełniania tych przestępstw. Jednak na ogół celem jest zdobycie korzyści finansowych. Hakerzy będą używać oprogramowania ransomware do szyfrowania i wstrzymywania danych organizacji i żądania okupu. Innym celem może być również kradzież danych osobowych w celu sprzedania ich w ciemnej sieci lub popełnienia oszustwa dotyczącego tożsamości.
Cyberprzestępczość na większą skalę może mieć na celu infiltrację systemów finansowych, przejęcie kontroli nad sieciami lub zbieranie danych z organizacji rządowych.
Jak dochodzi do cyberataków
Najczęściej dzieją się one dzięki wykorzystaniu błędu ludzkiego. Hakerzy wykorzystują aspekty psychologiczne pracownika lub wolontariusza i zachęcają do kliknięcia w złośliwe łącza. Zazwyczaj są one wysyłane e-mailem. Często taki użytkownik klika w podany URL bez sprawdzenia poświadczeń nadawcy.
Na przykład, mogą wykorzystać "efekt halo" poprzez zaprojektowanie wiadomości e-mail tak, aby wyglądała na pochodzącą od uznanego i zaufanego nadawcy jak kolegi z działu lub prezesa. Kolejnym sposobem jest znalezienie luki w sieci, oprogramowaniu lub sprzęcie i w ten sposób włamanie się do systemu.
Najczęstszą metodą wykorzystywaną do przeprowadzenia cyberataku jest złośliwe oprogramowanie, zwykle umieszczane w postaci podejrzanego linku w wiadomości e-mail lub aplikacji. Jedną z popularnych form złośliwego oprogramowania jest ransomware, które szyfruje dane i żąda okupu, aby ofiara mogła odzyskać dostęp do nich. Inne to programy szpiegujące, które zbierają informacje z systemu docelowego oraz trojany, które wykonują nielegalne działania na zaatakowanych plikach. Formjacking może być wykorzystywany do uzyskiwania informacji bankowych, natomiast atak DDoS (distributed denial of service) powoduje awarię strony docelowej poprzez zalewanie jej żądaniami.
Konsekwencje cyberataków
Konsekwencje cyberataku mogą być niemałe. Wiele organizacji zamyka swoją działalność z powodu utraty informacji, wypływu danych bądź dużej straty finansowej. Ofiary ataku ransomware, które nie mają odpowiednich kopii zapasowych swoich danych, mogą skończyć płacąc duże sumy pieniędzy za bezpieczny zwrot swoich informacji. Nawet po zapłaceniu nie ma gwarancji, że hakerzy dotrzymają obietnicy odzyskania dostępu i mogą ponownie obrać zaatakowanego użytkownika za cel, jeśli wiedzą, że zapłaci.
Jeśli informacje bankowe zostały naruszone, może dojść do kradzieży pieniędzy z odpowiednich kont. Informacje umożliwiające identyfikację osoby, takie jak nazwiska i adresy, mogą zostać sprzedane lub wykorzystane do popełnienia oszustwa dotyczącego tożsamości.
Najlepsze praktyki cyberbezpieczeństwa
Ryzyko związane z cyberatakami jest bardzo realne, ale można je znacznie ograniczyć inwestując czas i środki w ochronę organizacji pozarządowej.
Edukacja i szkolenia
Organizacje pozarządowe często zapominają o konieczności regularnego szkolenia pracowników i wolontariuszy w zakresie wykrywania próby hackerskich. Większość udanych ataków wykorzystuje błędy ludzkie, dlatego edukacja jest niezbędnym narzędziem w zapobieganiu im. Możesz skorzystać z usługi firmy zewnętrznej, aby pomóc swojemu zespołowi w zdobyciu wiedzy na temat bezpieczeństwa, jak rozpoznać fałszywą wiadomość e-mail lub oznaki, że pliki zostały zaszyfrowane. Możesz też wykorzystać dostępne nagrania z webinarów np. ten linkowany na dole artykułu.
Podwójne uwierzytelnianie
Upewnij się, że Twoje hasła są unikalne, silne i regularnie zmieniane. Korzystanie z uwierzytelniania dwuskładnikowego (MFA) to także świetny sposób na zapobieganie nielegalnemu dostępowi do kont pracowników, nawet jeśli hakerowi uda się zdobyć hasło. Narzędzia takie jak Okta mogą umożliwić Ci dodanie dodatkowej warstwy ochrony poprzez ułatwienie MFA. Większość środowisk chmurowych, jak Microsoft 365 czy Google Workspace ma już wdrożone powyższe rozwiązanie.
Programy i narzędzia
Na rynku znajdziecie szeroką gamę oprogramowania, które pomoże Wam chronić organizację pozarządową. Filtry antyspamowe dla kont pocztowych pomagają odsiać potencjalnie złośliwe wiadomości. VPN i zapory sieciowe mogą blokować złośliwe linki przed otwarciem, nawet jeśli zostaną kliknięte. Bitdefender i Norton mogą zapewnić ochronę przed obcymi użytkownikami, wirusami i niepożądaną aktywnością.
Istotne jest również prawidłowe i regularne tworzenie kopii zapasowych danych. Przechowując wiele kopii informacji w różnych miejscach, możesz znacznie zmniejszyć ryzyko ich utraty. Oznacza to, że jeśli padniesz ofiarą ataku ransomware lub kradzieży informacji, możesz ograniczyć straty, przywracając dane z ostatniej kopii zapasowej. Veritas to niezwykle solidne narzędzie do tworzenia kopii zapasowych i odzyskiwania danych, które może działać w tle, zabezpieczając organizację przed atakami.
Poznaj swojego wroga
Inwestowanie w cyberbezpieczeństwo jest jedną z najlepszych rzeczy, jakie możecie zrobić, aby chronić swoje organizacje i ich działania, a także wolontariuszy i darczyńców. Naucz swoich pracowników tworzenia kopii zapasowych danych oraz uzbrój się w narzędzia z zakresu cyberbezpieczeństwa, które pomogą Wam wykryć złośliwe działania, obronić się przed cyberzagrożeniami i pomóc odzyskać zdrowie w przypadku, gdy padniesz ich ofiarą.
Zapraszamy do TechSoup Polska, gdzie pomożemy w wyborze oprogramowania i rozwoju cyfrowym.
Możecie skorzystać z:
· Webinar: Jak od ZARAZ poprawić bezpieczeństwo w sieci: własne oraz Twojego NGO: https://youtu.be/D9uhktKXng4
· Bezpłatny kurs Hive Mind: “Bezpieczeństwo i ochrona w przestrzeni cyfrowej”: https://pl.hive-mind.community/trainings/240
· Narzędzia, które pozwolą ochronić Wasze organizacje pozarządowe: https://bit.ly/NarzedziacybersecNGOPL
Źródło: TechSoup Polska