CYBERBEZPIECZEŃSTWO
Realizując zadania wynikające z ustawy o krajowym systemie cyberbezpieczeństwa przekazujemy Państwu informacje pozwalające na zrozumienie zagrożeń występujących w cyberprzestrzeni oraz porady jak skutecznie stosować sposoby zabezpieczenia się przed tymi zagrożeniami.
Cyberbezpieczeństwo - zgodnie z obowiązującymi przepisami to „odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy” (art. 2 pkt 4) Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2020 r. poz. 1369)
Najpopularniejsze zagrożenia w cyberprzestrzeni:
- ataki z użyciem szkodliwego oprogramowania (malware, wirusy, robaki, itp.),
- kradzieże tożsamości,
- kradzieże (wyłudzenia), modyfikacje bądź niszczenie danych,
- blokowanie dostępu do usług,
- spam (niechciane lub niepotrzebne wiadomości elektroniczne),
- ataki socjotechniczne (np. phishing, czyli wyłudzanie poufnych informacji przez podszywanie się pod godną zaufania osobę lub instytucję.
Podstawowe sposoby zabezpieczenia się przed zagrożeniami:
- Używanie oryginalnego oprogramowania, czy to system operacyjny, czy to dowolna aplikacja którą instalujemy na urządzeniu.
- Zastosowanie oprogramowania przeciw wirusom i spyware. Najlepiej stosować aplikacje z płatną subskrypcją, które posiadają rozbudowaną ochronę o kolejne moduły np. ochrona stron bankowych podczas przeglądania w czasie rzeczywistym, (czego nie posiadają darmowe aplikacje)
- Dbanie o częste aktualizacje oprogramowania antywirusowego oraz systemu.
- Nie otwieranie plików nieznanego pochodzenia. A przynajmniej ich przeskanowanie oprogramowanie antywirusowym,
- Nie instalowanie aplikacji otrzymanych z niewiadomego źródła. Polecamy wyszukanie w oparciu o nazwę programu oryginalnej strony producenta, zapoznanie się z licencję i pobranie instalacji z oryginalnego źródła.
- Zwracanie uwagi podczas odwiedzania stron internetowych, czy mają one ważny certyfikat SSL (kłódeczka). Zwłaszcza podczas używania stron bankowych lub innych portali wymagających logowania.
- Warto sprawdzić na kogo jest wydany certyfikat SSL, klikając na ikonce kłódeczki, gdyż strony szkodliwe również mogą posiadać wykupiony certyfikat, a ich nazwa może być celowo imitująca nazwę innej strony (poprzez zastosowanie np. "literówki" w nazwie)
- Jeśli strona internetowa nie posiada certyfikatu SSL, korzystanie z niej tylko w sytuacji, kiedy ma się stuprocentową pewność z innego źródła, że strona taka jest bezpieczna,
- Niektóre nośniki danych przenoszą w sobie ukryte trojany. np. pobierane zdjęcie, film może zawierać w sobie ukryty szkodliwy kod. Często szukamy np. grafiki do wykorzystania w projekcie i chcąc uniknąć opłat licencyjnych pobieramy je z innych stron, na których są one udostępnione do pobrania. Zalecamy pobieranie treści ze stron zapewniających oryginalność nośnika treści.
- Czasami złośliwe oprogramowanie nawiązuje własne połączenia z Internetem, wysyłając twoje hasła i inne prywatne dane do sieci może się zainstalować na komputerze mimo dobrej ochrony – należy je wykryć i zlikwidować. Zalecamy dokonywanie okresowo konserwacji systemu operacyjnego poprzez skanowanie procesów. Ostatecznie organoleptyczne przejrzenie zainstalowanych aplikacji i usunięcie tych nieznanych, nie używanych, itp. Ewentualnie skorzystanie z usług serwisów, lub osób które posiadają wiedzę w tym zakresie.
- Często pobierane pliki, zwłaszcza z nieoficjalnych stron producenta, zawierają szkodliwe sygnatury. Większość zaktualizowanych przeglądarek ostrzega podczas pobierania plików o stwierdzonym niebezpieczeństwie. Jeśli nie jest się pewnym pobieranych danych, należy zaufać tym ostrzeżeniom i przerwać pobieranie, lub usunąć już pobrane pliki.
- Należy unikać stron, które oferują niesamowite atrakcje (darmowe filmiki, muzykę, lub łatwy zarobek przy rozsyłaniu spamu) - często na takich stronach znajdują się ukryte wirusy, trojany i inne zagrożenia,
- Należy chronić swoje konto internetowe poczty. Polecamy utworzyć kilka kont pocztowych. Jedno, główne, na usługi sieciowe wykorzystywane do realizacji spraw osobistych przez internet (bank, epuap). Drugi konto na eskapady internetowe (fora internetowe, portale społecznościowe itp.).
- Należy minimalizować przekazywanie swoich danych osobowych w niesprawdzonych serwisach i na stronach. Jeśli jakaś strona wymaga rejestracji, logowania, uzupełnienia formularza, a my chcemy z niej skorzystać, warto podać dane na wcześniej utworzony inny adres mailowy.
- Pamiętajmy, aby podczas udostępniania danych na różnego portalach społecznościowych (np. FB), minimalizować, lub anonimizować, w tle informacje mogące ujawnić ważne informacje (np. zdjęcie na którym widać w tle zapisane hasła na kartkach, nr. kart bankowych itp.)
- Kategorycznie nie wysyłać w e-mailach żadnych poufnych danych w formie otwartego tekstu – załączone dokumenty przed wysyłką poddać np. spakowaniu z hasłem i tak wysłać do odbiorcy. A hasło przekazać inną droga np. telefonicznie, lub ustalić pomiędzy sobą tajne hasło stałe.
- Tworzyć listę spamu i blokować niechcianych nadawców. Z czasem ułatwi to codzienne przeglądanie poczty. Zalecamy też wypisywanie się z różnego rodzaju, zwłaszcza nie zamawianych, newsletterów.
- Korzystać z domyślnych ustawień systemu i nie dokonywać rekonfiguracji firewalla we własnym zakresie. Jednocześnie we wszystkich konfigurowalnych urządzeniach (router, kamera IP, drukarka itd.) koniecznie zmienić domyśle dane logowania.
- Świadomi użytkownicy komputerów, smatrfonów, tabletów, laptopów itd. dzielą się na tych co wykonują kopie zapasowe, lub zaczną je wykonywać. W końcu nadejdzie taka chwila kiedy uszkodzi sie urządzenie lub je zagubimy. Podstawą ochrony danych jest wykonywanie kopii zapasowych ważnych danych np. na zewnętrznym zaszyfrowanym nośniku, w wykupionej chmurze, dysku sieciowym itp.
- Należy wszystkie posiadane urządzenia mobilne zabezpieczyć przed dostępem przez osoby nieuprawnione. Realizujemy to poprzez zastosowanie haseł, kodów PIN, odcisków palca, lub innych metod identyfikacji jakie oferuje urządzenie.
- Nie należy udostępniać swoich urządzeń mobilnych nieznanym przypadkowym osobom, które mogą w chwili naszej nieuwagi pobrać, wysłać nasze dane, czy zainstalować szkodliwą aplikację. A tym bardziej pozwalać im podłączać do urządzeń własnych nośników.
- Korzystając z internetu unikajmy darmowych hotspotów. Często otwarte sieci są używane przez hakerów nasłuchujących ruch sieciowy. Korzystajmy z własnej sieci WIFI, choćby udostępnionej z smartfona. Jeśl już nie mamy innej możliwości, uruchamiajmy internet z usługą VPN, korzystając z niej tymczasowo w ograniczonym zakresie.
- Należy pamiętać, że żaden bank, czy Urząd nie wysyła e-maili do swoich klientów/interesantów z prośbą o podanie hasła lub loginu w celu ich weryfikacji,
- Użytkownikom zaawansowanym polecamy korzystanie z gotowych list stron niebezpiecznych i implementowanie ich w systemach zabezpieczeń. Takie listy są udostępniane np. na tej stronie: https://cert.pl/posts/2020/03/ostrzezenia_phishing/ . Prawidłowo skonfigurowany plik host, lub firewall w routerze automatycznie zablokuje otwieranie tych stron.
W związku z powyższym, celem szerzenia wiedzy i świadomości użytkowników, korzystających z usług świadczonych przez Urząd, opartych o systemy informacyjne, zachęcamy i rekomendujemy do zapoznania się z licznymi informacjami dostępnymi na poniższych stronach WWW:
- cert.pl - strona działającego w strukturach NASK - Państwowego Instytutu Badawczego, zespołu CERT obsługującego incydenty bezpieczeństwa. Strona zawiera szereg informacji nt. cyberbezpieczeństwa w sieciach teleinformatycznych.
- cert.pl/ouch - strona CERT z darmowymi cyklicznymi poradami bezpieczeństwa.
- dyzurnet.pl - strona NASK na której możemy zgłaszać zauważone nielegalne treści w internecie.
- it-szkola.edu.pl -Strona Ogólnopolskiej Sieci Edukacyjnej (OSE IT) z darmowymi kursami e-lerningowymi dla uczniów i nauczycieli