Realizując zadania wynikające z Ustawy o krajowym systemie cyberbezpieczeństwa, przekazujemy Państwu informacje pozwalające na zrozumienie zagrożeń występujących w cyberprzestrzeni oraz porady jak przeciwdziałać tym zagrożeniom.
Cyberbezpieczeństwo zgodnie z obowiązującymi przepisami, to odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy. Wszelkie zdarzenia mające lub mogące mieć niekorzystny wpływ na cyberbezpieczeństwo nazywane są zagrożeniami lub incydentami.
Najpopularniejsze zagrożenia w cyberprzestrzeni:
• ataki z użyciem szkodliwego oprogramowania (malware, wirusy, robaki, itp.);
• kradzieże tożsamości;
• kradzieże (wyłudzenia), modyfikacje bądź niszczenie danych;
• blokowanie dostępu do usług;
• spam (niechciane lub niepotrzebne wiadomości elektroniczne);
• ataki socjotechniczne (np. phishing, czyli wyłudzanie poufnych informacji przez podszywanie się pod godną zaufania osobę lub instytucję).
Sposoby zabezpieczenia się przed zagrożeniami:
- stosuj zasadę ograniczonego zaufania do: odbieranych wiadomości e-mail, sms, stron
internetowych nakłaniających do podania danych osobowych, osób podających się za
przedstawicieli firm, instytucji, które żądają podania danych autoryzacyjnych lub nakłaniają
do instalowania aplikacji zdalnego dostępu; - nie ujawniaj danych osobowych, w tym danych autoryzacyjnych dopóki nie ustalisz czy rozmawiasz z osobą uprawnioną do przetwarzania Twoich danych;
- instaluj aplikacje tylko ze znanych i zaufanych źródeł;
- nie otwieraj wiadomości e-mail i nie korzystaj z linków przesłanych od nadawców, których nie znasz;
- każdy e-mail można bardzo łatwo sfałszować. To, że w polu nadawca jest znany ci adres wcale nie oznacza, że ten nadawca go wysłał;
- porównaj w źródle wiadomości adres konta e-mail nadawcy z adresem w polu „From” oraz „Reply to” – różne adresy w tych polach mogą wskazywać na próbę oszustwa;
- szyfruj dane poufne wysyłane pocztą elektroniczną. Hasło do odszyfrowania najlepiej wyślij inną drogą (np. sms’em);
- bezpieczeństwo wiadomości tekstowych (SMS) – sprawdź adres url, z którego domyślnie dany podmiot/instytucja wysyła do Ciebie sms-y, cyberprzestępca może podszyć się pod dowolną tożsamość (odpowiednio definiując numer lub nazwę), otrzymując sms-a, w którym cyberprzestępca podszywa się pod numer zapisany w książce adresowej, telefon zidentyfikuje jako zaufanego nadawcę wiadomości sms;
- jeśli na podejrzanej stronie podałeś swoje dane do logowania lub jeżeli włamano się na Twoje konto e-mail – jak najszybciej zmień hasło;
- chroń swój komputer, urządzenie mobilne programem antywirusowym zabezpieczającym przed zagrożeniami typu: wirusy, robaki, trojany, niebezpieczne aplikacje (typu ransomware, adware, keylogger, spyware, dialer), phishing, narzędziami hakerskimi, backdoorami, rootkitami, bootkitami i exploitami;
- aktualizuj system operacyjny, aplikacje użytkowe, programy antywirusowe. Brak aktualizacji zwiększa podatność na cyberzagrożenia. Hakerzy, którzy znają słabości systemu/aplikacji, mają otwartą furtkę do korzystania z luk w oprogramowaniu;
- pamiętaj, że logowanie do e-usług publicznych, bankowości elektronicznej bez aktualnego (wspieranego przez producenta) systemu operacyjnego to duże ryzyko;
- korzystaj z różnych haseł do różnych usług elektronicznych;
- tam gdzie to możliwe (konta społecznościowe, konto email, usługi e-administracji, usługi finansowe) stosuj dwuetapowe (2FA) uwierzytelnienie za pomocą np. sms, pin, aplikacji generującej jednorazowe kody autoryzujące, tokenów, klucza fizycznego;
- regularnie zmieniaj hasła;
- nie udostępniaj nikomu swoich haseł;
- pracuj w systemach na najniższych możliwych uprawnieniach użytkownika;
- wykonuj kopie bezpieczeństwa;
- skanuj podłączane urządzenia zewnętrzne;
- skanuj regularnie wszystkie dyski twarde, zainstalowane w Twoim komputerze;
- kontroluj uprawnienia instalowanych aplikacji;
- unikaj korzystania z otwartych (publicznych) sieci Wi-Fi;
- podając poufne dane sprawdź czy strona internetowa posiada certyfikat SSL. Protokół SSL to standard szyfrowania (zabezpieczania) przesyłanych danych pomiędzy przeglądarką a serwerem;
- zadbaj o bezpieczeństwo routera (ustal silne hasło do sieci Wi-Fi, zmień nazwę sieci Wi-Fi, zmień domyślne hasło do panelu administratora, ustaw poziom zabezpieczeń połączenia z siecią Wi-Fi np. WPA2 i wyższe, aktualizuj oprogramowanie routera, wyłącz funkcję WPS, aktywuj funkcję Gościnna Sieć Wi-Fi „Guest Network”;
- pamiętaj, że żaden bank czy Urząd nie wysyła e-maili do swoich klientów/interesantów z prośbą o podanie hasła lub loginu, w celu ich weryfikacji.
Zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami to wiedza niezbędna każdemu użytkownikowi komputera, smartphona czy usług internetowych.
Ważne zasady bezpiecznego użytkowania poczty elektronicznej i mediów społecznościowych:
• nie używaj prywatnych kont poczty elektronicznej i komunikatorów do korespondencji służbowej;
• nie używaj prywatnych komputerów i telefonów do spraw służbowych;
• nie używaj służbowych komputerów i telefonów do spraw prywatnych (w szczególności do czytania prywatnej poczty elektronicznej), nie udostępniaj ich członkom rodziny;
• logując się na konto zawsze sprawdź czy domena danego portalu jest prawidłowa. Domena to nazwa zawierająca się między https://, a pierwszym kolejnym znakiem / ;
• ignoruj wszystkie inne prośby o podanie swojego hasła, nawet jeżeli komunikat wygląda oficjalnie, wymaga natychmiastowej reakcji i grozi dezaktywacją konta;
• wszystkie podejrzane wiadomości na skrzynce służbowej zgłaszaj administratorom w swojej organizacji;
• o wszystkie podejrzane wiadomości na prywatnej skrzynce możesz zapytać CERT Polska ( https://incydent.cert.pl / cert@cert.pl ). Szczególnie podejrzane są wiadomości: zawierające załączniki, a zwłaszcza archiwa i dokumenty Office z hasłem podanym w treści wiadomości oraz wiadomości zmuszające do podjęcia natychmiastowej reakcji;
• stosuj długie hasła (powyżej 14 znaków);
• dobrą metodą na długie hasło jest wymyślenie całej frazy, składającej się z kilku słów, np. 2CzerwoneRoweryJezdzapoUlicy;
• unikaj haseł, które łatwo powiązać z publicznymi informacjami na temat Twojej osoby, np. zawierających nazwisko, datę urodzenia itp.;
• hasło zmieniamy wtedy, gdy mamy podejrzenie, że mogła poznać je inna osoba. Nie ma potrzeby cyklicznej zmiany hasła;
• nie używaj tego samego hasła więcej niż raz (w szczególności do konta email, banku i innych wrażliwych kont);
• dla ułatwienia korzystaj z menedżerów haseł. Te wbudowane w przeglądarkę czy telefon są bezpieczne i proste w użyciu;
• włącz uwierzytelnianie dwuskładnikowe (tzw. 2FA) tam gdzie jest to możliwe. Uwierzytelnianie dwuskładnikowe w poczcie elektronicznej i w kontach społecznościowych jest konieczne. Jeżeli obecny dostawca Twojej poczty nie udostępnia uwierzytelniania dwuskładnikowego, zmień go;
• najlepszym drugim składnikiem uwierzytelniania i jedynym odpornym na ataki phishingowe jest token sprzętowy U2F (np. YubiKey);
• zweryfikuj wszystkie dane kontaktowe w ustawieniach profilu poczty elektronicznej i mediów społecznościowych. Dobra, alternatywna metoda kontaktu ułatwi odzyskanie utraconego konta;
• jeżeli podejrzewasz, że ktoś mógł włamać się na twoje konto, zmień hasło, sprawdź dostępną w profilu historię logowania i zakończ wszystkie aktywne sesje;
• nie zaniedbuj aktualizacji systemu operacyjnego i programów na używanym komputerze;
• posiadaj aktualny program antywirusowy;
• pamiętaj, że VPN nie chroni przed atakami phishingowymi i złośliwym oprogramowaniem;
• do wrażliwej, prywatnej komunikacji używaj komunikatorów szyfrowanych end-to-end, np. Signala;
• używaj opcji automatycznego kasowania wiadomości po upływie określonego czasu – nie da się ukraść czegoś, czego już nie ma.