Pracuję w NGO. Czy mam się czego obawiać?
Dlaczego organizacje pozarządowe mogą być przedmiotem zainteresowania przestępców? Po pierwsze dlatego, że często posiadają ciekawe informacje, po drugie – gromadzą kontakty do wpływowych osób a przede wszystkim: posiadają środki finansowe często znacznie większe niż niejedno przedsiębiorstwo.
Świadomość zagrożeń jest najważniejsza
Ważne jest, aby podnosić świadomości zagrożeń cyfrowych w całej organizacji i wychodzić z założenia, że zabezpieczenia są potrzebne, niezależnie od tego czy doświadczyło się ataków, czy udało się ich uniknąć.
Z drugiej strony, wiele organizacji pozarządowych zatrudnia jednego informatyka lub niewielki zespół do ogólnych spraw technicznych. Te osoby mają i tak wystarczająco dużo pracy, żeby zajmować się jeszcze kwestiami bezpieczeństwa, do których poza przeszkoleniem potrzebne jest też odpowiednie doświadczenie zawodowe.
Jakie mogą być zagrożenia?
Co może się wydarzyć? Przykładowo, luki w bezpieczeństwie strony domowej fundacji mogą zostać wykorzystane do zmiany numeru konta. Ile czasu minie zanim ktoś się zorientuje? Jakie środki mogą zostać utracone, szczególnie w czasie intensywnej kampanii?
Inny przykład: strona domowa Waszej organizacji jest zaufanym źródłem informacji. Czy nie ma grupy interesów, która skorzystałaby na rozpowszechnieniu fałszywej treści? Jaki byłby odbiór społeczny, gdyby za Waszym pośrednictwem opublikowano kontrowersyjne, dzielące środowisko oświadczenie? Ilu z potencjalnych darczyńców uwierzyłoby, że był to wynik elektronicznego ataku?
A może macie popularną stronę na Facebooku? Co by się stało, gdyby smartfon jednego z pracowników mających dostęp do profilu został przejęty i wykorzystany do zamieszczenia obrazka informującego o zbiórce dla chorego dziecka? W jakim czasie udałoby się taki atak zauważyć? Jakie miałoby to skutki wizerunkowe?
Pamiętajcie też, że sami możecie korzystać z najnowszego oprogramowania, dbać o złożoność haseł i przestrzegać wszelkich innych zasad, ale co, jeśli nie robi tego dostawca usług? Może atakujący nie musi szukać dziur w Waszej organizacji, ale u firmy, która np. zajmuje się utrzymaniem stron?
Sam pracujesz w NGO? Masz jakieś spostrzeżenia na temat zabezpieczeń w takich organizacjach? Czekamy na Twoje propozycje.
- Aktualizacje i jeszcze raz aktualizacje.
- Zabezpieczenie sieci wewnętrznej.
- Stosowanie komunikacji szyfrowanej (więcej pisaliśmy o tym tu).
- Regularne weryfikowanie wszystkich publicznie dostępnych danych, przede wszystkim numerów kont i narzędzi do obsługi wpłat.
- Sprawdzanie aktualizacji dla systemów zarządzania treścią (CMS), z wtyczkami włącznie.
Źródła: