Cyberbezpieczeństwo
Realizując zadanie wynikające z art. 22 ust. 1 pkt 4 ustawy z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2023 r., poz. 913 z późn. zm.) publikujemy informacje pozwalające na zrozumienie zagrożeń cyberbezpieczeństwa oraz sposoby przeciwdziałania tym zagrożeniom.
Cyberbezpieczeństwo jest to „odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy” (art. 2 pkt 4 w/w ustawy).
Najpopularniejsze zagrożenia występujące w cyberprzestrzeni:
- kradzieże tożsamości;
- kradzieże/ wyłudzenia, modyfikacje bądź niszczenie danych;
- ataki z użyciem szkodliwego oprogramowania (malware, wirusy, robaki, itp.);
- blokowanie dostępu do usług (mail bomb, DoS oraz DDoS19);
- spam czyli niechciane lub niepotrzebne wiadomości elektroniczne;
- ataki socjotechniczne (np. phishing, czyli wyłudzenie poufnych informacji przez podszywanie się pod godną zaufania instytucję lub osobę).
Sposoby zabezpieczenia się przed zagrożeniami:
- Chroń swój komputer oraz urządzenia mobilne programem antywirusowym zabezpieczającym przed zagrożeniami typu: wirusy, robaki, trojany, niebezpieczne aplikacje (np. ransomware, adware, keylogger, spyware, dialer), phishing, narzędziami hakerskimi, backdoorami, rootkitami, bootkitami i exploitami. Najlepiej stosuj ochronę w czasie rzeczywistym.
- Aktualizuj bez zbędnej zwłoki system operacyjny, aplikacje, programy antywirusowe. Brak aktualizacji zwiększa podatność na cyberzagrożenia.
- Nie korzystaj ze stron banków, poczty elektronicznej czy portali społecznościowych, które nie mają ważnego certyfikatu SSL, chyba, że masz stuprocentową pewność z innego źródła, że strona ta jest bezpieczna.
- Stosuj zasadę ograniczonego zaufania do odbieranych wiadomości e-mail, połączeń telefonicznych, SMS, stron internetowych nakłaniających do podania danych osobowych, osób podających się za przedstawicieli firm, instytucji, którzy żądają podania danych autoryzacyjnych lub nakłaniających do instalowania aplikacji zdalnego dostępu.
- Nie ujawniaj danych osobowych w tym danych autoryzacyjnych dopóki nie ustalisz czy rozmawiasz z osobą uprawnioną do przetwarzania Twoich danych.
- Instaluj programy czy aplikacje tylko ze znanych i zaufanych źródeł.
- Nie otwieraj wiadomości e-mail oraz nie korzystaj z przesłanych linków od nadawców, których nie znasz.
- Pamiętaj - każdy e-mail można sfałszować, więc sprawdzaj w nagłówku wiadomości pole „Received: from” tzn. otrzymane od, w tym polu znajdziesz rzeczywisty adres serwera nadawcy.
- Porównaj adres konta e-mail nadawcy z adresem w polu „From” oraz „Reply to” – różne adresy w tych polach mogą wskazywać na próbę oszustwa.
- Nie otwieraj plików nieznanego pochodzenia.
- Pliki pobrane z Internetu sprawdzaj za pomocą skanera antywirusowego.
- Nie wysyłaj w e-mailach żadnych poufnych danych w formie otwartego tekstu. Zawsze szyfruj dane poufne wysyłane pocztą elektroniczną np. za pomocą 7-Zip a hasło przekazuj w sposób bezpieczny np. telefonicznie.
- Bezpieczeństwo wiadomości tekstowych (SMS) – sprawdź adres url, z którego domyślnie dany podmiot/instytucja wysyła do Ciebie smsy, cyberprzestępca może podszyć się pod dowolną tożsamość (odpowiednio definiując numer lub nazwę), otrzymując smsa, w którym cyberprzestępca podszywa się pod numer zapisany w książce adresowej, telefon zidentyfikuje go jako nadawcę wiadomości sms.
- Nie używaj niesprawdzonych programów do publikowania własnych plików w Internecie gdyż mogą one np. podłączać niechciane linijki kodu do źródła strony.
- Jeśli na podejrzanej stronie podałeś swoje dane do logowania lub włamano się na Twoje konto e-mail – niezwłocznie zmień hasło.
- Logowanie do e-usług publicznych, bankowości elektronicznej bez aktualnego tzn. wspieranego przez producenta systemu operacyjnego stanowi duże ryzyko.
- Stosuj inne hasła do różnych usług elektronicznych.
- Logując się na konta społecznościowe, konta email, usługi e-administracji, usługi finansowe, stosuj weryfikację dwuetapową np. za pomocą kod sms, pin, odciska palca, aplikacji generującej jednorazowe kody autoryzujące.
- Regularnie zmieniaj hasła.
- Nie udostępniaj nikomu swoich haseł.
- Wykonuj kopie bezpieczeństwa czyli kopie zapasowe ważnych danych.
- Skanuj podłączane do komputera urządzenia zewnętrzne np. pendrive.
- Skanuj regularnie programem antywirusowym wszystkie dyski twarde komputera i urządzeń mobilnych.
- Kontroluj uprawnienia instalowanych na komputerze czy urządzeniu mobilnym aplikacji.
- Unikaj korzystania z otwartych sieci Wi-Fi.
- Podając poufne dane sprawdź czy strona internetowa posiada certyfikat SSL. Protokół SSL to standard kodowania (zabezpieczania) przesyłanych danych pomiędzy przeglądarką a serwerem.
- Jeśli używasz sieci Wi-Fi, to zadbaj o bezpieczeństwo routera (ustal silne hasło, zmień nazwę sieci Wi-Fi, zmień hasło do panelu administratora, ustaw poziom zabezpieczeń połączenia z siecią Wi-Fi np. WPA2 i wyższe, aktualizuj oprogramowanie routera, wyłącz funkcję WPS, aktywuj funkcję Gościnna Sieć Wi-Fi „Guest Network”).
- Szyfruj dyski komputerów i urządzeń przenośnych.
- Pamiętaj o uruchomieniu firewalla (zapora ogniowa) na komputerze.
- Pamiętaj. Żaden bank czy Urząd nie wysyła e-maili do swoich klientów/ interesantów z prośbą o podanie hasła lub loginu w celu ich weryfikacji.
Więcej informacji oraz porad o cyberbezpieczeństwie można uzyskać na poniższych stronach:
- zestaw porad bezpieczeństwa dla użytkowników komputerów prowadzony na stronie internetowej CSIRT NASK – Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego działającego na poziomie krajowym: https://cert.pl/ouch/
- poradniki na witrynie internetowej Ministerstwa Cyfryzacji: https://www.gov.pl/web/baza-wiedzy/cyberbezpieczenstwo
- publikacje z zakresu cyberbezpieczeństwa: https://cert.pl/
- strona internetowa akademii NASK https://cyberprofilaktyka.pl/publikacje/
Zgłaszanie incydentów bezpieczeństwa: https://incydent.cert.pl/#!/lang=pl