Bezpieczne konto Google i Microsoft – dlaczego to podstawa ochrony danych w firmie i urzędzie?

Niemal wszystkie firmy i urzędy w Polsce korzystają z usług Google lub Microsoft. Za pomocą indywidualnych kont pracownicy wysyłają e‑maile, współdzielą dokumenty w chmurze i zarządzają kalendarzami. Niestety, konta te często stają się celem cyberataków i stanowią źródło wycieków danych. W tym artykule opisuję, jak w pięciu krokach zwiększyć stopień ich ochrony. Wskazuję na zalety uwierzytelniania dwuskładnikowego, a także konieczność weryfikacji urządzeń i uprawnień aplikacji zewnętrznych. Podpowiadam, jak dokonać korekty ustawień prywatności i ustalać silne, unikalne hasła. Warto przeszkolić pracowników w zakresie bezpieczeństwa informacji, aby byli oni świadomi metod omawianych w tym artykule.

1. Uwierzytelnianie dwuskładnikowe

Włączenie uwierzytelniania dwuskładnikowego (z ang. 2FA, czyli Two‑Factor Authentication) natychmiast podnosi poziom ochrony zarówno konta Google, jak i Microsoft. Dla pracownika to pewność, że poczta, dokumenty i zasoby w chmurze pozostaną bezpieczne nawet w przypadku wycieku hasła, a dla firmy lub urzędu – zapewnienie zgodności z wewnętrzną polityką bezpieczeństwa informacji oraz wymogami RODO i dyrektywy NIS2.

Standardowo logowanie wymaga jedynie „czegoś, co znasz”, czyli hasła. 2FA dodaje do tego „coś, co masz” – najczęściej jednorazowy kod z wiadomości SMS lub aplikacji typu Authenticator. Dobrym, choć nieco droższym rozwiązaniem jest fizyczny klucz bezpieczeństwa, czyli urządzenie z wyglądu przypominające pendrive, który trzeba wpiąć do komputera podczas logowania. Wbrew pozorom wszystkie wymienione metody 2FA są szybkie i wygodne. Działają one offline, a zatem pracownik może się zalogować w każdym miejscu – wystarczy, aby miał przy sobie telefon lub klucz fizyczny.

Wdrożenie 2FA na koncie Google i Microsoft jest łatwe – wystarczy zalogować się, a następnie wybrać preferowaną metodę w ustawieniach zabezpieczeń i ją aktywować.

W przypadku konta służbowego Microsoft należy odszukać w ustawieniach konta sekcję „Informacje zabezpieczające”.

Widok strony informacje zabezpieczające
Źródło: https://support.microsoft.com/

W przypadku konta Google należy kliknąć „Zarządzaj kontem Google”, a następnie przejść do zakładki „Bezpieczeństwo” i dalej „Weryfikacja dwuetapowa” – włącz.

Schemat uzyskania dostępu do ustawień weryfikacji dwuetapowej na koncie Google
Źródło: oprac. własne

2. Weryfikacja urządzeń, które mają dostęp do konta

Regularne sprawdzanie, które urządzenia są zalogowane na Twoje konto Google i Microsoft, to prosty sposób na wykrycie nieautoryzowanego dostępu oraz ograniczenie jego skutków. Dzięki niemu możesz szybko wylogować obce urządzenie, uniemożliwiając atakującemu kolejne logowania i przejęcie kontroli nad danymi. Ze względów bezpieczeństwa należy odłączyć od konta wszystkie urządzenia już nieużytkowane, utracone lub skradzione.

Aby to zrobić na koncie służbowym Microsoft, należy przejść do ustawień konta i wybrać pozycję „Urządzenia” w lewym okienku nawigacji lub kliknąć link „Zarządzaj urządzeniami” w środkowej sekcji. Tam można przejrzeć i ewentualnie usunąć niechciane urządzenia.

Widok strony ustawień konta służbowego Microsoft
Źródło: https://support.microsoft.com/

W przypadku konta Google należy kliknąć „Zarządzaj kontem Google”, a następnie przejść do zakładki „Bezpieczeństwo” i wybrać „Zarządzaj wszystkimi urządzeniami”.

Schemat uzyskania dostępu do ustawień zarządzania urządzeniami na koncie Google
Źródło: oprac. własne

3. Zarządzanie aplikacjami i uprawnieniami stron zewnętrznych

Integracja z narzędziami zewnętrznymi może ułatwiać pracę, ale jednocześnie otwiera drzwi do niechcianych operacji na firmowym koncie. Warto okresowo sprawdzać, jakie uprawnienia mają poszczególne aplikacje i usługi, aby ograniczyć ich dostęp tylko do niezbędnych danych. Trzeba usuwać te integracje, które nie są już używane. Ponadto podczas szkolenia pracowników należy pouczyć ich, że każda nowa integracja musi być zgłoszonainformatykowi lub Inspektorowi Ochrony Danych.

W przypadku konta służbowego Microsoft należy przejść do portalu Moje Aplikacje. Uzyskamy tam podgląd wszystkich połączonych aplikacji, a po wybraniu jednej z nich będziemy mogli odwołać jej uprawnienia.

Przykład usługi na koncie Microsoft, której można odebrać uprawnienia
Źródło: https://support.microsoft.com/

W przypadku konta Google należy kliknąć „Zarządzaj kontem Google”, a następnie przejść do zakładki „Bezpieczeństwo” i wybrać „Zobacz wszystkie połączenia”.

Źródło: oprac. własne

4. Ustawienia prywatności i udostępniania danych

Domyślne ustawienia prywatności na koncie Google i Microsoft mogą pozwalać na zbyt szerokie zbieranie informacji o użytkowniku – od historii lokalizacji po szczegóły pracy w dokumentach. Dostawcy usług i zewnętrzne aplikacje gromadzą i wykorzystują te dane, często w sposób niekontrolowany. Warto więc wyłączyć śledzenie aktywności i historii wyszukiwania oraz ograniczyć dostęp do danych o lokalizacji.

W przypadku konta Microsoft na komputerze z systemem Windows należy wyszukać „Ustawienia”, a następnie wybrać z menu po lewej stronie „Prywatność i zabezpieczenia”. Tam będziemy mogli sprawdzić, do jakich uprawnień dostęp mają aplikacje. Ustawienia prywatności znajdziemy też na stronach poszczególnych usług (np. Microsoft 365 czy Azure).

Widok sekcji Prywatność i zabezpieczenia na komputerze z systemem Windows 11
Źródło: oprac. własne

Widok sekcji „Prywatność i zabezpieczenia” na komputerze z systemem Windows 11

W przypadku konta Google należy odwiedzić stronę „Moja aktywność w Google” i dostosować wybrane ustawienia prywatności.

Widok strony Moja aktywność w Google
Źródło: oprac. własne

5. Silne, unikalne hasło

Bezpieczne hasło to takie, które składa się z co najmniej 12 znaków, łączy wielkie i małe litery, cyfry oraz znaki specjalne, a przy tym unika oczywistych słów czy danych użytkownika. Dzięki takiemu połączeniu elementów hasło staje się odporne na ataki siłowe i słownikowe, co znacznie utrudnia przejęcie konta przez niepowołane osoby.

Stosowanie różnych haseł do różnych usług to podstawowa sprawa w każdej firmie i urzędzie. Jeśli pracownik używa tego samego hasła do kilku systemów i jedno z nich wycieknie, cyberprzestępcy uzyskają dostęp do wszystkich pozostałych kont. Aby ograniczyć to ryzyko, należy wdrożyć unikalne hasła i uwierzytelnianie dwuskładnikowe, o którym była mowa w pierwszym punkcie tego artykułu.

Zalecanym rozwiązaniem jest również korzystanie z menedżera haseł, takiego jak np. KeePass, Bitwarden, LastPass czy 1Password. Narzędzie to automatycznie generuje silne hasła do różnych serwisów, przechowuje je w postaci zaszyfrowanej i automatycznie wypełnia dane logowania w przeglądarce czy aplikacji. Dzięki niemu pracownik musi zapamiętać tylko jedno hasło – do menedżera haseł.

Podsumowanie

Każdy pracownik może i powinien zadbać o bezpieczeństwo swoich kont Google i Microsoft. Proste działania, takie jak korekta ustawień i używanie silnych haseł, znacząco zmniejszają ryzyko utraty danych i naruszenia poufności. Nie należy zapominać o regularnym szkoleniu pracowników – najwygodniej uczynić to z pomocą naszej platformy szkoleniowej. Poruszamy tam szerzej zagadnienia ochrony systemów informatycznych i bezpieczeństwa informacji.

Autor: Artur Janicki

To może Cię zainteresować: