Cyberbezpieczeństwo

Realizując zadania, wynikające z art. 22 ust. 1 pkt 4 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2020 r. poz. 1369, z późn.zm.), przekazujemy Państwu informacje pozwalające na zrozumienie zagrożeń występujących w cyberprzestrzeni oraz porady jak skuteczne stosować sposoby zabezpieczenia się przed tymi zagrożeniami.

Cyberbezpieczeństwo, zgodnie z obowiązującymi przepisami, to „odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy” (art. 2 pkt 4) ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. W prostym języku jest to odporność systemów informatycznych tj. serwery, witryny internetowe, komputery czy smartphony przed nieautoryzowanym dostępem do nich oraz praktyki stosowane w celu ochrony tych systemów.

Najpopularniejsze zagrożenia w cyberprzestrzeni:

• ataki z użyciem szkodliwego oprogramowania (malware, wirusy, robaki, itp.),
• kradzieże tożsamości, kradzieże (wyłudzenia), modyfikacje bądź niszczenie danych,
• blokowanie dostępu do usług,
• spam (niechciane lub niepotrzebne wiadomości elektroniczne),
• ataki socjotechniczne (np. phishing), czyli wyłudzanie poufnych informacji przez podszywanie się pod godną zaufania osobę lub instytucję.

Sposoby zabezpieczenia się przed zagrożeniami:

• Pierwsza i najważniejsza rzecz jaką musimy pamiętać że w prawie każdym przypadku to człowiek czyli my jesteśmy najsłabszym łańcuchem cyberbezpieczeństwa. Znacznie w ochronie pomaga podstawowa wiedza cyberhigeny:
• Aktualizuj system operacyjny oraz aplikacje na bieżąco (wiele aplikacji obsługuje już automatyczne aktualizacje ale w wielu przypadkach musimy na nie zezwolić). Hakerzy ciągle szukają luk w oprogramowaniu czy systemach operacyjnych a producenci starają się uszczelniać wykryte luki oprogramowania. 
• Zabezpiecz się w antywirusa. Antywirusy będąc aktualizowane mając dostęp do Internetu będą o wiele szybciej wykrywać nowsze zagrożenia niż wbudowane antywirusy systemowe.
• Sprawdzaj nazwy stron. W przypadku logowania do banków czy poufnych stron poprzez wyszukanie przez przeglądarkę strony upewnij się że jesteś na prawdziwej stronie podmiotu. Istnieje szansa że strona może być graficzną kopią a pojawiła się w wyszukiwaniu jako pierwsza z powodu błędu lub jako fałszywie przygotowana przez cyberprzestępców reklama.
• Sprawdzaj źródła. Dzisiaj przez działanie algorytmów które mogą skategoryzować nas do bombardowania naszej osoby konkretnymi informacjami to dodatkowo każdy może tworzyć treści w Internecie tworzy różnego rodzaje komplikacje. Między innymi problemem który powoduje ta sytuacja jest tworzenie "baniek informacyjnych" lub nieprawdziwych informacji. Również wiele popularnych serwisów internetowych publikujących wiadomości tworzy tytuły i treści mające wywołać u nas emocje i kliknięcie odnośnika do wiadomości aby zarobić na nas (choćby w postaci reklam lub linków afilacyjnych) gdzie treść i tytuł nie mają wiele wspólnego z rzeczywistością lub potrafią być opłacone. Aby mieć pewność że nie jesteśmy manipulowani ani oszukiwani powinniśmy nauczyć się weryfikować informację jak najbliżej źródła bazując na osobie która miała wypowiedzieć dane słowa (czy rzeczywiście to zrobiła) lub na podstawie badań naukowych które jednoznacznie są w stanie stwierdzić fakt. 
• Czytaj adresy maili z których dostajesz wiadomości. Często mail może być dla nas losowym ciągiem znaków (38fdw@137.polonia.wp) ale jest podpisany imieniem i nazwiskiem osoby z rodziny lub szefa który prosi o przelew. Początkowo możemy się nabrać na tego typu kampanie phishingową ponieważ widzimy tylko adresata wyświetlanego jako "Marek Kowalski" nie zwracając uwagi na samego maila. Również może być to fałszywy mail z banku lub strony o zamknięciu naszego konta.
• Bez pewności źródła pochodzenia staramy się nie otwierać linków czy załączników z maili bez skanowania. Mogą one zawierać wirusy lub trojany.
• Staraj się pobierać oprogramowanie ze strony producenta lub z wbudowanego sklepu z aplikacjami (na telefonie). Strony pośrednie mają szansę na posiadanie zainfekowanej wersji oprogramowania. W wypadku niepewności co do pobranego pliku możemy użyć do przeskanowania antywirusa lub w przypadku braku antywirusa możemy się posłużyć stroną Virustotal.
  Uwaga! Trzeba pamiętać że jeżeli prześlemy plik do skanera w sieci inni też mogą mieć do niego dostęp.
• Internecie nic nie ginie. Upubliczniając nasze zdjęcia, filmy, przemyślenia itd. są one upubliczniane w sieci więc inni mogą je zobaczyć lub zapisać. Także używając stron internetowych do edycji naszych zdjęć, plików Word czy PDF rzeczy te mogą zostać zapisane na serwerze przez co niepowołane osoby mogą mieć dostęp do naszych danych które te pliki zawierały. Pamiętajmy również że usunięte przez nas pliki na stronach nawet gdy powołujemy się na prawo do bycia zapomnianym, nie zawsze zostają fizycznie usunięte przez np. "szemranych przedsiębiorców".
• Twórz odpowiednie hasła. Twórz hasła które zawierają małą i dużą literę, znak specjalny oraz cyfrę i długość 12 znaków. Jest również prostszy sposób tworzenia haseł, możemy stworzyć hasło z co najmniej 4 słów np. MałyPulchnyZłyKociak lub KaczkaPływaPodStawem. Jest to o tyle istotna rzecz że istnieją listy wyciekłych haseł tzw. słowniki haseł oraz urządzenia które w sensownie krótkim czasie są w stanie złamać z powodzeniem większość haseł z 8 znakami. Tworzenie haseł z np. 4 słów zaczyna być promowane ale wiele stron oraz aplikacji nadal jest ustawione na wymaganie dużego, małego znaku czy cyfry lub/i znaku specjalnego. W takim wypadku możemy dodać cyfrę i znak specjalny na końcu.
• Stosujmy rozsądnie hasła. Z reguły każdy powinien mieć do każdego konta osobne hasło. Z perspektywy spamiętania tego jest to dla nas niewykonalne przy dużej ilości kont na różnych stronach. Tu z pomocą może przyjść menadżer haseł opisany w punkcie poniżej. W wypadku stosowania tego samego hasła mimo przeciwwskazań należy nadać priorytet kontom. Zaleca się używać za wszelką cenę osobnego w miarę skomplikowanego hasła do naszej poczty mailowej czy konta bankowego. Bezpieczeństwo maila powinniśmy traktować równie priorytetowo jak konta bankowego ponieważ właśnie przy użyciu maila jesteśmy w stanie zresetować nasze hasło na danej stronie. Jeżeli ktoś włamie się na naszą pocztę lub stracimy do niej dostęp, cyberprzestępca może zresetować nasze hasła na stronach i wykraść rzeczy, pieniądze lub nasze dane czy karty bankowej. 
• Używaj menadżera haseł. Menadżery haseł ułatwiają nam używanie różnych haseł na innych stronach czy aplikacjach bez konieczności pamiętania ich wszystkich. Dobrze wytłumaczone działanie menadżerów haseł jest na stronie cert.pl, polskiej instytucji badającej oraz pracującej nad bezpieczeństwem i awariami sieci w Polsce.
  Link do Artykułu -> CERT. 
• Przekonaj się do weryfikacji dwuetapowej. Jest to zabezpieczenie które warto dodatkowo stosować przynajmniej dla najważniejszych dla nas kont internetowych (np. konto mailowe lub bankowe, dysk w chmurze). Najpopularniejszymi opcjami weryfikacji dwuetapowej (2FA) jest otrzymanie kodu SMS-em podczas logowania, drugą opcją jest aplikacja która posiada automatycznie generowane klucze zmieniające się po pewnym czasie (lub jak w przypadku aplikacji bankowych konieczność logowania do aplikacji banku w celu potwierdzenia logowania i operacji), jest też rzadziej spotykana opcja otrzymania kodu na mail.
• Bankowość jest dziś wystarczająco zaawansowana żeby utrudnić nam łatwo nabrać się na oszustwo. Jedna z ważniejszych rzeczy to posiadanie aplikacji na telefon. Większość najpopularniejszych banków wdraża zabezpieczenia w postaci informowania nas przez aplikację o nowościach, aktualnościach czy zbliżających się terminach płatności, wyłączeniach systemu na czas konserwacji itd.. Dodatkowo banki wprowadzają informację o kontakcie telefonicznym który możemy zweryfikować w aplikacji aby być w pełni pewnym że rozmawiamy z osobą pracująca w banku. Często też przy logowaniu, przeprowadzaniu przelewów lub większych płatności, zmian limitów wypłat wymagane jest potwierdzenie tego w aplikacji co jest następną przeszkodą w próbie kradzieży.
  Pamiętaj! Jeżeli chcesz pobrać aplikację banku wejdź na stronę banku jeżeli nie jesteś pewny/a czy aplikacja w sklepie aplikacji jest prawdziwa.  
• Nie klikaj we wszystkie linki. Warto sprawdzić nazwę linku który klikamy, zwłaszcza w wypadku takich skróconych odnośników -> Super Zdjęcia Kociaków . W większości przeglądarkach po najechaniu kursorem na hiperłącze (link) wyświetla się nam w lewym dolnym rogu przeglądarki link docelowy. 
• Wykonuj kopie zapasowe ważnych rzeczy. Warto wykonywać kopie zapasowe zdjęć, dyplomów czy plików związanych z naszą pracą. Najlepszym rozwiązaniem jest system dysków który codziennie automatycznie synchronizuje nasze urządzenia z kopią. Prostszym sposobem może być używanie zewnętrznego dysku lub karty SD lecz wymaga to od nas wykonywania kopii ręcznie.
• Rejestruj co dzieje się na stronie. Po wejściu na stronę część z nas klika automatycznie akceptacje różnych rzeczy bez spojrzenia na co się zgadzamy. Zdarza się że nie zawsze są to tylko ciasteczka ale również mogą to być złośliwe powiadomienia które będą wyświetlały się np. w prawym dolnym rogu ekranu wyglądające jak wirus na naszym komputerze lub telefonie. Tutaj znajdziemy jak wyłączyć męczące powiadomienia ze stron w przeglądarce Chrome, Brave, Opera... należy wybrać zakładkę z naszym urządzeniem czy jest to Android, Komputer czy iPhone -> LINK
• Świadomość. Warto być świadomym zagrożeń które mogą spotkać nas lub osoby dookoła nas. Również przy zabezpieczaniu naszych kont warto zadać sobie pytanie czy np. będziemy wiedzieli jak możemy odzyskać konto po kradzieży lub zniszczeniu telefonu którego używamy do autoryzacji w różnych serwisach (dlatego warto robić backup lub synchronizować aplikacje i ustawienia w chmurze). W Internecie powinniśmy zachować ostrożność na zagrożenia w postaci:  hakerów i przestępców po fake newsy, farmy trolli czy manipulacje.

Zasad których dobrze się stosować jest wiele więcej. Najaktualniejsze i pełne informacje na temat cyberbezpieczeństwa znajdziemy na stronach podmiotów: Baza Wiedzy Cyberbezpieczeństwa gov.pl oraz w postaci miesięcznika OUCH publikowanego przez CERT przedstawiającego wiele zagadnień w prosty do zrozumienia sposób czy również strony z gotowymi materiałami edukacyjnymi Cyperprofilaktyce NASK. Informacje znajdziemy też na stronie sekurak.pl na której pojawia się wiele szkoleń trochę tych prostszych jak i z reguły bardziej zaawansowanych.

Incydenty związane z próbą oszustw, złośliwymi stronami, fałszywymi mailami lub SMS'ami można zgłaszać na stronie do tego przeznaczonej: https://incydent.cert.pl/