przejdź
przejdź
  2. Serwis Biznesu
  3. Cyberbezpieczeństwo
  4. Cyberbezpieczeństwo w mediach społecznościowych – jak chronić firmę?

Cyberbezpieczeństwo w mediach społecznościowych – jak chronić firmę?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Media społecznościowe często pełnią funkcję wizytówki firmy. Konto na Facebooku, Instagramie czy LinkedInie niejednokrotnie stanowi podstawę działania przedsiębiorstw. Kluczowe zatem staje się cyberbezpieczeństwo w mediach społecznościowych, rozumiane jako zbiór dobrych praktyk i procedur chroniących profile firmowe. Jednocześnie zaniedbanie pewnych obszarów może doprowadzić do poważnych skutków dla organizacji.

Odpowiednie zabezpieczenia

Podstawą podczas korzystania z mediów społecznościowych, zarówno w zastosowaniach prywatnych, jak i służbowych, powinno być odpowiednie zabezpieczenie konta. Obecnie rekomenduje się przede wszystkim wykorzystywanie dwuetapowego uwierzytelniania, czyli konieczności podania innego składnika logowania niż hasło – np. jednorazowego kodu z SMS bądź aplikacji czy wykorzystanie klucza fizycznego (U2F). Dzięki temu będziemy mogli zapobiec nieuprawnionemu dostępowi do naszego konta w przypadku wycieku naszego hasła.

Bardzo ważnym aspektem jest również tworzenie odpowiednio skomplikowanego hasła. Zaleca się tworzenie długich fraz z kilku słów – CERT Polska jako przykład podaje „2CzerwoneRoweryJedzaNalesniki”. Każde hasło powinno być unikalne, czyli wykorzystywane maksymalnie dla jednego portalu. Najlepszą metodą na korzystanie z odpowiednio złożonych fraz jest wykorzystywanie menedżerów haseł.

Walka z phishingiem

Nie można zapominać o próbach phishingu, czyli podszywania się pod inny podmiot w celu wymuszenia na użytkowniku danej akcji, m.in. podania swoich danych logowania. Każde przedsiębiorstwo jest narażone na ten rodzaj ataku, a scenariusze mogą być skrojone pod konkretną osobę (tzw. spear phishing).

W 2023 roku Niebezpiecznik opisywał kampanię wymierzoną w zarządzających stronami na Facebooku, która nakłaniała użytkowników do podania swoich danych na fałszywej stronie logowania. Pretekstem były fałszywe informacje m.in. o naruszeniu zasad korzystania z Facebooka, przełamaniu zabezpieczeń czy nałożeniu ograniczeń na konta reklamowe. Autorzy artykułu stwierdzili, że kampania oszustów może prowadzić do strat finansowych wskutek uruchomienia kampanii reklamowych opłacanych z kart płatniczych ofiar ataków.

Jedną z najlepszych metod obrony przed takimi próbami przejęcia kont w mediach społecznościowych jest wykorzystywanie wspomnianego wcześniej dwuetapowego uwierzytelniania. Warto również podkreślić, że wszystkie prośby o podanie loginu i hasła, nawet z pozornie bardzo wiarygodnego i poważnego powodu (np. dezaktywacji konta), mogą być próbą wyłudzenia danych.

Zarządzanie stronami

Kolejnym ważnym aspektem jest zarządzanie stroną w mediach społecznościowych – np. na Facebooku, gdzie można przypisać danej osobie określone uprawnienia. W tym przypadku wykorzystuje się prywatne konta użytkowników, dlatego zaleca się dodanie minimum dwóch takich kont z uprawnieniami administratora. Dzięki temu utrata jednego z nich (np. wskutek blokady od Meta) nie skutkuje utratą dostępu do zarządzania stroną.

Bardzo ważnym aspektem jest skrupulatna kontrola dostępu do kont w mediach społecznościowych. Nigdy nie powinno dochodzić do sytuacji, gdzie byli pracownicy wciąż mają dostęp do kont firmowych. Jeśli dane logowania były współdzielone (czego należy bezwzględnie unikać), konieczna jest zmiana hasła do konta, aby nieuprawnione osoby nie mogły publikować treści w imieniu firmy.

Warto również podkreślić, że do zakładania profili firmowych rekomenduje się wykorzystywanie służbowych adresów e-mail. Nie powinniśmy dopuszczać do sytuacji, gdzie profil firmowy jest zarządzany z prywatnego adresu e-mail pracownika. To samo dotyczy numeru telefonu w przypadku dwuetapowego uwierzytelniania.

Zarządzanie na podstawie uprawnień

Nie powinniśmy udostępniać szerokiemu gronu osób danych logowania do kont firmowych. Co ważne – nie musimy tego robić, aby umożliwić innym osobom publikowanie treści czy zarządzanie stroną firmową w mediach społecznościowych. Znacząco ułatwia to nadawanie oraz odbieranie określonych ról. Należy pamiętać o zasadzie nadawania najmniejszych wymaganych uprawnień – nie powinniśmy nadawać użytkownikom dostępu administratora, jeśli nie jest to konieczne.

W środowisku Meta, obejmującym Facebooka i Instagrama, zaleca się przypisanie użytkownika do strony za pomocą Meta Business Suite. Dzięki temu możemy zarządzać jego uprawnieniami bez podawania żadnych danych logowania.

W przypadku portalu X (dawniej Twitter) można skorzystać z X Delegate, które pozwala przypisanie danym osobom możliwość zarządzania określonym kontem. LinkedIn pozwala na wysłanie wniosku o dostęp do konta, który musi być zaakceptowany przez superadministratora.

Podobnie sytuacja wygląda na YouTubie – właściciel konta może zaprosić osobę do zarządzania kontem, podając adres e-mail użytkownika. W przypadku TikToka zaleca się wykorzystanie TikTok Business Center.

Media społecznościowe i ochrona danych

Niektóre przedsiębiorstwa wykorzystują media społecznościowe do kontaktu z klientami. W takiej sytuacji nie wolno zapominać o RODO. Artykuł 6 Rozporządzenia nakazuje konieczność posiadania jasnej podstawy przetwarzania danych osobowych. Orzeczenie UODO z 30 listopada 2022 roku (DKN.5112.5.2021) opisuje przypadek kancelarii zajmującej się odszkodowaniami, która pozyskiwała nowych klientów na podstawie m.in. postów w mediach społecznościowych. Spółka bazowała na doniesieniach dotyczących m.in. wypadków, przez co – według Urzędu – przetwarzała dane o zdrowiu bez podstawy prawnej. UODO uznało ustną zgodę na przetwarzanie za niewystarczającą, ponieważ kancelaria nie mogła udowodnić faktu jej uzyskania oraz zakresu przetwarzanych informacji – zostało to poparte art. 9 RODO.

Ważnym aspektem jest również wykorzystanie komunikatorów. W grudniu 2023 roku Urząd wydał decyzję w sprawie udostępnienia danych dot. zdrowia jednego z lekarzy przez ówczesnego ministra zdrowia (DKN.5131.32.2023). Wówczas dane medyczne zostały udostępnione na portalu X oraz uprzednio przekazane za pomocą WhatsAppa (komunikatora od Meta). UODO podkreśliło, że ten środek komunikacji nie może być uznany za możliwy do stosowania przez administrację publiczną z uwagi na „wykazane naruszenia przepisów rozporządzenia 2016/679”. Jednocześnie uznano, że administrator danych osobowych dopuścił do możliwej utraty kontroli nad bezpieczeństwem danych.

Świadomość użytkowników

Podczas korzystania z mediów społecznościowych, szczególnie w zakresie tworzenia postów, przydatne może być wykorzystywanie zewnętrznych narzędzi. W tym zakresie często wykorzystywane są narzędzia ramach „shadow IT” bez wiedzy przedsiębiorstwa. Aby temu zaradzić, warto określić zakres wykorzystywanych aplikacji wraz z nadawaniem odpowiedniego dostępu. W tym przypadku wspomóc nas może single sign-on (SSO), czyli logowanie się z wykorzystaniem konta Google czy Microsoftu, które pozostaje pod kontrolą przedsiębiorstwa.

Cyberbezpieczeństwo jako proces

Nie wolno zapominać, że cyberbezpieczeństwo to nie stan, lecz proces. W przypadku mediów społecznościowych powinniśmy cyklicznie weryfikować przyznawane uprawnienia. Odbieranie dostępu do mediów społecznościowych powinno być uwzględnione w procedurze offboardingu, czyli zakończenia współpracy pracownika z firmą. W przypadku wielu przedsiębiorstw, które korzystają z mediów społecznościowych, konieczne może być przeprowadzenie audytu pod kątem uprawnień do kont firmowych. 

Podczas prowadzenia kampanii reklamowych konieczne jest weryfikowanie obecnie stosowanych metod płatności. Warto również zwracać uwagę na czas trwania danej kampanii, aby np. nie promować wydarzenia, które już miało miejsce.

Podczas publikacji zdjęć warto zwrócić uwagę na ochronę danych osobowych, szczególnie wizerunku. Art. 81 Ustawy o prawie autorskim i prawach pokrewnych dopuszcza publikowanie zdjęć osób stanowiących „szczegół całości” na fotografii (np. podczas zgromadzeń publicznych), lecz w przypadku organizowania wydarzeń zaleca się uzyskanie zgody od uczestników na publikację zdjęć, na których mogą być uwiecznieni. 

Co ważne – samo uczestnictwo w imprezie masowej nie jest jednoznaczne ze zgodą na publikację wizerunku. Pamiętajmy przy tym, że wizerunek jest daną osobową (pozwala na zidentyfikowanie osoby fizycznej) i jego przetwarzanie podlega pod RODO.

Przykład realnego incydentu

W 2013 roku Forbes opisał przypadek nietypowych tweetów na koncie HMV, brytyjskiej sieci handlowej, która zwolniła 190 pracowników. Jedna z byłych pracowniczek opisywała na bieżąco proces zwolnień w emocjonalny sposób, który nie pasował do profesjonalnego profilu firmy. Incydent pokazał rolę odpowiedniego zarządzania dostępem do kont w mediach społecznościowych w przypadku byłych pracowników.

Cyberbezpieczeństwo w mediach społecznościowych - kluczowe rekomendacje

Podobnie jak w przypadku kont domenowych w systemach informatycznych, powinniśmy stosować dwuetapowe uwierzytelnianie, co pozwoli zapobiec wielu próbom nieuprawnionego dostępu do konta. Jednocześnie powinniśmy pamiętać o tym, że w przypadku wykorzystywania którejkolwiek z metod konieczne jest wygenerowanie i odpowiednie przechowywanie kodów odzyskiwania, pozwalających zachować dostęp do konta w przypadku utraty danego składnika uwierzytelniania (np. telefonu czy klucza fizycznego).

Jednocześnie powinniśmy cyklicznie weryfikować konta pod kątem dostępu, aby upewnić się, że byli pracownicy nie mogą publikować postów w imieniu firmy.

Polecamy:

Jak sprawdzić NIP, czyli Numer Identyfikacji Podatkowej?

Dyrektywa NIS 2 – jakie obowiązki czekają małe i ś...
Jak powinno wyglądać szkolenie pracowników w zakre...
Luty 2026
02
Poniedziałek
  • PIT 4R
  • PIT 8AR
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT UE (elektroniczna)
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. System Zarządzania Bezpieczeństwem Informacji (SZBI) w praktyce
  2. Dyrektywa NIS 2 – jakie obowiązki czekają małe i średnie firmy?
  3. Jak powinno wyglądać szkolenie pracowników w zakresie cyberbezpieczeństwa?
  4. Analiza ryzyka – jakie elementy są konieczne?
  5. Ciągłość działania NIS 2. Jak przygotować plany BCP i DRP?
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Cyberbezpieczeństwo

Ciągłość działania NIS 2. Jak przygotować plany BCP i DRP?

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

3. Expo HR: TYLKO! SPRAWDZONE ROZWIĄZANIA DLA HR I BIZNESU!
RODO 2.0 – Ochrona danych osobowych na rozdrożu: modernizacja, deregulacja czy zmiana paradygmatu?
VII FORUM HR CHALLENGE POLAND 2026: Jak HR sprosta wyzwaniom nieustającej transformacji?
Mobile Trends Conference 2026 – Najważniejsze wydarzenie technologiczne nadchodzącego roku
Specjaliści SEO i marketerzy spotkają się w Katowicach - nadchodzi 5. edycja CTRL+GROW! Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów