W ramach naszej witryny stosujemy pliki cookies w celu świadczenia Państwu usług na najwyższym poziomie, w tym w sposób dostosowany do indywidualnych potrzeb. Korzystanie z witryny bez zmiany ustawień dotyczących cookies oznacza, że będą one zamieszczane w Państwa urządzeniu końcowym. Możecie Państwo dokonać w każdym czasie zmiany ustawień dotyczących cookies.

Cyberbezpieczeństwo

XML A Zmniejsz tekst na stronie A domyślna wielkość tekstu na stronie A Powiększ tekst na stronie

Lead

Realizując zadania wynikające z Ustawy o krajowym systemie cyberbezpieczeństwa, przekazujemy Państwu informacje pozwalające na zrozumienie zagrożeń występujących w cyberprzestrzeni oraz porady jak przeciwdziałać tym zagrożeniom.

Cyberbezpieczeństwo zgodnie z obowiązującymi przepisami, to odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy. Wszelkie zdarzenia mające lub mogące mieć niekorzystny wpływ na cyberbezpieczeństwo nazywane są zagrożeniami lub incydentami.

Najpopularniejsze zagrożenia w cyberprzestrzeni:

  • ataki z użyciem szkodliwego oprogramowania (malware, wirusy, robaki,  itp.);
  • kradzieże tożsamości;
  • kradzieże (wyłudzenia), modyfikacje bądź niszczenie danych;
  • blokowanie dostępu do usług;
  • spam (niechciane lub niepotrzebne wiadomości elektroniczne);
  • ataki socjotechniczne (np. phishing, czyli wyłudzanie poufnych informacji przez podszywanie się pod godną zaufania osobę lub instytucję).​

Sposoby zabezpieczenia się przed zagrożeniami:

  • stosuj zasadę ograniczonego zaufania do: odbieranych wiadomości e-mail, sms, stron internetowych nakłaniających do podania danych osobowych, osób podających się za przedstawicieli firm, instytucji, które żądają podania danych autoryzacyjnych lub nakłaniają
    do instalowania aplikacji zdalnego dostępu;
  • nie ujawniaj danych osobowych, w tym danych autoryzacyjnych dopóki nie ustalisz czy rozmawiasz z osobą uprawnioną do przetwarzania Twoich danych;
  • instaluj aplikacje tylko ze znanych i zaufanych źródeł;
  • nie otwieraj wiadomości e-mail i nie korzystaj z linków przesłanych od nadawców, których nie znasz;
  • każdy e-mail można bardzo łatwo sfałszować. To, że w polu nadawca jest znany ci adres wcale nie oznacza, że ten nadawca go wysłał;
  • porównaj w źródle wiadomości adres konta e-mail nadawcy z adresem w polu „From” oraz „Reply to” – różne adresy w tych polach mogą wskazywać na próbę oszustwa;
  • szyfruj dane poufne wysyłane pocztą elektroniczną. Hasło do odszyfrowania najlepiej wyślij inną drogą (np. sms’em);
  • bezpieczeństwo wiadomości tekstowych (SMS) – sprawdź adres url, z którego domyślnie dany podmiot/instytucja wysyła do Ciebie sms-y, cyberprzestępca może podszyć się pod dowolną tożsamość (odpowiednio definiując numer lub nazwę), otrzymując sms-a, w którym cyberprzestępca podszywa się pod numer zapisany w książce adresowej, telefon zidentyfikuje jako zaufanego nadawcę wiadomości sms;
  • jeśli na podejrzanej stronie podałeś swoje dane do logowania lub jeżeli włamano się na Twoje konto e-mail – jak najszybciej zmień hasło;
  • chroń swój komputer, urządzenie mobilne programem antywirusowym zabezpieczającym przed zagrożeniami typu: wirusy, robaki, trojany, niebezpieczne aplikacje (typu ransomware, adware, keylogger, spyware, dialer), phishing, narzędziami hakerskimi, backdoorami, rootkitami, bootkitami i exploitami;
  • aktualizuj system operacyjny, aplikacje użytkowe, programy antywirusowe. Brak aktualizacji zwiększa podatność na cyberzagrożenia. Hakerzy, którzy znają słabości systemu/aplikacji, mają otwartą furtkę do korzystania z luk w oprogramowaniu;
  • pamiętaj, że logowanie do e-usług publicznych, bankowości elektronicznej bez aktualnego (wspieranego przez producenta) systemu operacyjnego to duże ryzyko;
  • korzystaj z różnych haseł do różnych usług elektronicznych;
  • tam gdzie to możliwe (konta społecznościowe, konto email, usługi e-administracji, usługi finansowe) stosuj dwuetapowe (2FA) uwierzytelnienie za pomocą np. sms, pin, aplikacji generującej jednorazowe kody autoryzujące, tokenów, klucza fizycznego;
  • regularnie zmieniaj hasła;
  • nie udostępniaj nikomu swoich haseł;
  • pracuj w systemach na najniższych możliwych uprawnieniach użytkownika;
  • wykonuj kopie bezpieczeństwa;
  • skanuj podłączane urządzenia zewnętrzne;
  • skanuj regularnie wszystkie dyski twarde, zainstalowane w Twoim komputerze;
  • kontroluj uprawnienia instalowanych aplikacji;
  • unikaj korzystania z otwartych (publicznych) sieci Wi-Fi;
  • podając poufne dane sprawdź czy strona internetowa posiada certyfikat SSL. Protokół SSL to standard szyfrowania (zabezpieczania) przesyłanych danych pomiędzy przeglądarką a serwerem;
  • zadbaj o bezpieczeństwo routera (ustal silne hasło do sieci Wi-Fi, zmień nazwę sieci Wi-Fi, zmień domyślne hasło do panelu administratora, ustaw poziom zabezpieczeń połączenia z siecią Wi-Fi np. WPA2 i wyższe, aktualizuj oprogramowanie routera, wyłącz funkcję WPS, aktywuj funkcję Gościnna Sieć Wi-Fi „Guest Network”;
  • pamiętaj, że żaden bank czy Urząd nie wysyła e-maili do swoich klientów/interesantów z prośbą o podanie hasła lub loginu, w celu ich weryfikacji.

Zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami to wiedza niezbędna każdemu użytkownikowi komputera, smartphona czy usług internetowych.

Ważne zasady bezpiecznego użytkowania poczty elektronicznej i mediów społecznościowych:

  • nie używaj prywatnych kont poczty elektronicznej i komunikatorów do korespondencji służbowej;
  • nie używaj prywatnych komputerów i telefonów do spraw służbowych;
  • nie używaj służbowych komputerów i telefonów do spraw prywatnych (w szczególności do czytania prywatnej poczty elektronicznej), nie udostępniaj ich członkom rodziny;
  • logując się na konto zawsze sprawdź czy domena danego portalu jest prawidłowa. Domena to nazwa zawierająca się między https://, a pierwszym kolejnym znakiem / ;
  • ignoruj wszystkie inne prośby o podanie swojego hasła, nawet jeżeli komunikat wygląda oficjalnie, wymaga natychmiastowej reakcji i grozi dezaktywacją konta;
  • wszystkie podejrzane wiadomości na skrzynce służbowej zgłaszaj administratorom w swojej organizacji;
  • o wszystkie podejrzane wiadomości na prywatnej skrzynce możesz zapytać CERT Polska ( https://incydent.cert.pl / cert@cert.pl ). Szczególnie podejrzane są wiadomości: zawierające załączniki, a zwłaszcza archiwa i dokumenty Office z hasłem podanym w treści wiadomości oraz wiadomości zmuszające do podjęcia natychmiastowej reakcji;
  • stosuj długie hasła (powyżej 14 znaków);
  • dobrą metodą na długie hasło jest wymyślenie całej frazy, składającej się z kilku słów, np. 2CzerwoneRoweryJezdzapoUlicy;
  • unikaj haseł, które łatwo powiązać z publicznymi informacjami na temat Twojej osoby, np. zawierających nazwisko, datę urodzenia itp.;
  • hasło zmieniamy wtedy, gdy mamy podejrzenie, że mogła poznać je inna osoba. Nie ma potrzeby cyklicznej zmiany hasła;
  • nie używaj tego samego hasła więcej niż raz (w szczególności do konta email, banku i innych wrażliwych kont);
  • dla ułatwienia korzystaj z menedżerów haseł. Te wbudowane w przeglądarkę czy telefon są bezpieczne i proste w użyciu;
  • włącz uwierzytelnianie dwuskładnikowe (tzw. 2FA) tam gdzie jest to możliwe. Uwierzytelnianie dwuskładnikowe w poczcie elektronicznej i w kontach społecznościowych jest konieczne. Jeżeli obecny dostawca Twojej poczty nie udostępnia uwierzytelniania dwuskładnikowego, zmień go;
  • najlepszym drugim składnikiem uwierzytelniania i jedynym odpornym na ataki phishingowe jest token sprzętowy U2F (np. YubiKey);
  • zweryfikuj wszystkie dane kontaktowe w ustawieniach profilu poczty elektronicznej i mediów społecznościowych. Dobra, alternatywna metoda kontaktu ułatwi odzyskanie utraconego konta;
  • jeżeli podejrzewasz, że ktoś mógł włamać się na twoje konto, zmień hasło, sprawdź dostępną w profilu historię logowania i zakończ wszystkie aktywne sesje;
  • nie zaniedbuj aktualizacji systemu operacyjnego i programów na używanym komputerze;
  • posiadaj aktualny program antywirusowy;
  • pamiętaj, że VPN nie chroni przed atakami phishingowymi i złośliwym oprogramowaniem;
  • do wrażliwej, prywatnej komunikacji używaj komunikatorów szyfrowanych end-to-end, np. Signala;
  • używaj opcji automatycznego kasowania wiadomości po upływie określonego czasu – nie da się ukraść czegoś, czego już nie ma.