fbpx

„Cyfrowa higiena” – 5 zasad bezpieczeństwa

Lepiej jest zapobiegań niż leczyć – koszty utraty reputacji, pieniędzy, kradzieży tożsamości mogą narażać nas na skutki finansowe i prawne, dlatego powinniśmy w sposób ciągły podnosić swoją świadomość w zakresie cyberbezpieczeństwa oraz przestrzegając zasady „higieny cyfrowej”. Prawdą również jest fakt, że najsłabszym ogniwem jest człowiek i poprzez zaniedbania, zaniechania lub zwyczajny brak wiedzy na temat technik działania przestępców powoduje, że stajemy się ich ofiarami.

Powszechne korzystanie ze smartfonów i internetu, z e-usług i serwisów społecznościowych, możliwości nieograniczonego poszukiwania informacji oraz porozumiewanie się na odległość za pomocą komunikatorów, telekonferencji – w dobie przyspieszonej pandemią cyfryzacji stanowi z jednej strony ułatwienie ale i powoduje zagrożenia z których należy sobie zdawać sprawę – należy się przed nimi zabezpieczać i wyrabiać w sobie dobre praktyki.

Poniższe zasady i rozwiązania stanowią „elementarz”, który powinniśmy stosować i który pozwoli skutecznie ograniczyć ryzyko, choć nigdy w pełni nie daje gwarancji, gdyż bezpieczeństwo jest stanem, a podjęte mechanizmy bezpieczeństwa można przełamać – dlatego należy w sposób ciągły doskonalić zabezpieczenia, aby ograniczyć możliwość wystąpienia ale i ograniczenia skutków.

Bezpieczne korzystanie z komputerowych urządzeń i urządzeń przenośnych

Urządzenia z których korzystamy są pierwszym punktem, które należy bezwzględnie zabezpieczać.

Podstawowe środki bezpieczeństwa to:

  • urządzenie (stacja robocza, smartfon) powinno mieć zainstalowane i aktywne oprogramowanie antywirusowe;
  • podłączać się należy tylko do bezpiecznych sieci WiFi;
  • nie należy pozostawiać urządzenia bez opieki – należy je zabezpieczyć przed kradzieżą lub nieuprawnionym użyciem,
  • stosować szyfrowanie nośników w urządzeniach mobilnych;
  • wykonywać regularne kopie;
  • regularnie aktualizować system oraz aplikacje;
  • wykonywać kopie bezpieczeństwa w innym miejscu (np. do chmury);

Stosowanie środków uwierzytelnienia

Przejęcie zasad postępowania ze środkami logowania pozwala nam ograniczyć w istotny sposób podszycie się pod nas i wykonania w naszym imieniu czynności i jest kolejnym istotnym elementem higieny. Można sobie wyobrazić sytuację kluczy do zamków fizycznych i tego jak z nimi postępujemy.

Zasady dotyczące loginów, haseł i kluczy uwierzytelniających:

  • nie udostępniać loginów oraz haseł;
  • stosować skomplikowane i unikalne hasła zawierające kombinacje liter, cyfr i znaków specjalnych;
  • używać do przechowywania haseł „managerów haseł”, np. KeePass i synchronizować między urządzeniami (smartfon, komputer) – pomyślmy również o bezpiecznym haśle głównym oraz zabezpieczeniu jego kopii;
  • używać uwierzytelnienia dwuskładnikowego – o ile to możliwe z użyciem aplikacji (np. FreeOTP+, Google Authenticator) – zadbać należy bezwzględnie o bezpieczne przechowywanie kopii kodów jednorazowych/tokenów – na nośniku lub w postaci drukowanej i ich zabezpieczeniu;
  • bezwzględnie zmieniać domyślne hasła do urządzeń i systemów informatycznych dostarczonych przez producentów;
  • częsta zmiana haseł powoduje większe zagrożenie – istotniejszym jest stopień skomplikowania, unikalność oraz zapewnienie jego poufności;

Nośniki wymienne

Nośniki wymienne stanowią elastyczną formę do przenoszenia danych, niemniej jednak powinno się z nich korzystać ostrożnie, m.in.:

  • usuwać ważne dane z nośników po użyciu,
  • zachować ostrożność podłączając nośnik wymienny do „cudzych” urządzeń – lepiej korzystać z usługi dysku w chmurze do udostępniania lub przesyłania danych niż podłączać pendrive;

Bezpieczne korzystanie z Internetu i poczty elektronicznej

Nasze zachowanie ma niebagatelny wpływ na to, przez czym chcemy się zabezpieczyć – warto więc przyjąć szereg zasad „must have”.

Nasze rekomendacje:

  • wybierając usługodawców usług cyfrowych podchodzących w odpowiedzialny sposób do bezpieczeństwa informacji i prywatności – posiadających deklaracje polityk bezpieczeństwa, certyfikaty ISO 27001, polityki prywatności, regulaminy świadczenia usług – unikać bezwzględnie należy podmioty nieudostępniające informacji o sobie, w szczególności nazwy podmiotu, adresu prowadzenia działalności, danych kontaktowych;
  • zapoznajemy się z regulaminami usług, polityką prywatności, z umiarem wyrażając zgodę na przetwarzanie danych osobowych;
  • korzystając z „obcych” urządzeń (w bibliotece, na uczelni) wylogowywać się z usług lub korzystać z trybu „incognito” w przeglądarce, którą należy zamknąć po zakończeniu pracy;
  • konfigurując program pocztowy starajmy się korzystać z bezpiecznych protokołów SSL/TLS – nie powinno się używać komunikacji nieszyfrowanej;
  • podczas użytkowania serwisów internetowych stosować szyfrowanie połączeń (SSL) – szczególnie podczas logowania;
  • podczas logowania sprawdzać adres strony internetowej usługi (w pasku adresu) – szczególnie kiedy odsyłani jesteśmy z innych serwisów, wiadomości e-mail lub SMS – zwracajmy uwagę na nietypowe nazewnictwo domen w adresie;
  • podczas pobierania plików z Internetu zachować szczególną ostrożność i posiadać aktywny program antywirusowy;
  • nie wysyłać wiadomości na wiele adresów w sposób ujawniający innych adresatów – może to spowodować zagrożenie dla ich interesów lub prywatności;
  • kontrolować załączane pliki do wiadomości e-mail na obecność wirusów i złośliwego oprogramowania;
  • stosować ogólnie przyjęte zasady netykiety;
  • korzystając z dysku w chmurze należy zadbać, aby nie udostępniać zasobów (folderów, plików) w trybie „publicznym”, lecz wyłącznie dla wskazanych adresatów;
  • uczyć się rozpoznawania „fake-newsów” – sprawdzać prawdziwość informacji;
  • unikać oraz nie być sprawcą hejtu;

Ograniczone zaufanie

Socjotechnika to podstawa działań przestępców – próbują nas przestraszyć, odwrócić uwagę, przyciągnąć uwagę. Za każdym razem podając nasze dane należy mieć świadomość, że ktoś może wykorzystać pozysane od nas dane do przejęcia naszej tożsamości lub niekontrolowanej dystrybucji naszych danych kontaktowych.

Co powinno wzbudzić nasze podejrzenia:

  • natknięcie się na artykuł mający na celu wywołanie naszych emocji lub pożądania powinno wywoływać w nas wyższą podejrzliwość;
  • atrakcyjna oferta kupna produktu w korzystnej cenie, zainwestowania naszych oszczędności, otrzymania „gratisu”, wygrania atrakcyjnej nagrody – powinna ZAWSZE budzić u nas „czerwoną lampkę” ostrzegawczą;
  • prośba o ustanowienie nowego hasła do usługi lub przedłużenie ważności;
  • dopłata do usług kurierskich;
  • prośby o pożyczenie pieniędzy za pośrednictwem komunikatorów, SMS, e-mail należy potwierdzać poprzez skontaktowanie się inną drogą – niezwłocznie należy się skontaktować ze znajomym bezpośrednio lub telefonicznie;

Nasze rekomendacje:

  • stosujemy zasadę ograniczonego zaufania – wobec osób obcych, ale również w stosunku do przyjaciół i znajomych;
  • nie instalujemy oprogramowania pozwalającego na zdalny dostęp do naszego komputera (TeamViewer, itp.) , a jeśli już to korzystamy z profesjonalnej pomocy firm i to wyłącznie na nasze żądanie;
  • sprawdzamy dane potwierdzające wykonanie przelewów przez internet i płatnościach on-line – kwotę przelewu, adresata;
  • dbamy o naszą prywatność – podajemy minimalne dane lub nie podajemy ich wcale – szczególnie dane z kart płatnych (w tym tych odnalezionych), PESEL, dowodu osobistego, adresu zamieszkania, zdjęć z wakacji w czasie pobytu, wyposażenia mieszkania;
  • rodzice dzieci powinni monitorować aktywność dzieci w Internecie, instalowanych aplikacji i aktywności oraz edukować w zakresie higieny oraz cyberprzemocy – jak nie stać się ofiarą ale również tego, że mogą stać się sami sprawcami cyberprzemocy wobec rówieśników lub nauczycieli;

Postępowanie w przypadku podejrzenia lub naruszenia

Prawda jest taka, że bezpieczeństwo to wypadkowa zagrożeń, podatności (luk), wdrożonych zabezpieczeń, posiadanej wiedzy i postępowania – co pozwala ograniczyć ryzyko. Zdarza się jednak, że spotykamy się z w sposób bezpośredni z takimi działaniami – ważne jest, aby na nie w sposób odpowiedni zareagować.

Żadnej podejrzanej sytuacji – zagrożenia lub skutecznego ataku nie powinno się bagatelizować – powinniśmy na nie reagować i należy je zgłaszać:

  • w firmach w których jesteśmy zatrudnieni – powiadomić przełożonych zgodnie z przyjętą procedurą;
  • uzyskać poradę specjalisty ds. cyberbezpieczeństwa;
  • zgłaszać administratorom/właścicielom e-usług;
  • Zespołowi Reagowania Na Incydenty Komputerowe CERT NASK https://incydent.cert.pl;
  • na policję – złożenie wniosku o ściganie;

Do CERT NASK zgłaszać należy:

  • podszywanie się pod sklepy internetowe
  • podejrzane wiadomości e-mail – poprzez przesłanie pliku wiadomości (nie tylko samych załączników);
  • oszustwa – fałszywe sklepy i serwisy internetowe i próby podszywania się pod nie;
  • złośliwe oprogramowanie – próbki plików;
  • złośliwe domeny – domeny wyłudzające dane osobowe lub loginy i hasła;
  • nielegalne treści

W przypadku ataków cyberprzestępców jeśli atak zostanie zgłoszony, możliwe będzie jego identyfikacja oraz monitorowanie przez zespół CERT NASK (https://incydent.cert.pl), będzie istniała realna szansa na zidentyfikowanie sprawców i podjęcie przeciw nim działań – zablokowania i pociągnięcia do odpowiadzialności.

Marcin Kazimierczak

Marcin Kazimierczak

CEO/owner w make-SOFT

m.kazimierczak@make-soft.pl

Audytor wiodący systemu zarządzania bezpieczeństwem informacji ISO 27001, Inspektor Ochrony Danych. Posiada doświadczenie w zakresie integracji systemów i danych, wdrażania rozwiązań Business Intelligence, projektowania procesów ETL oraz hurtowni danych.