CYBERBEZPIECZEŃSTWO

Realizując zadanie wynikające z art. 22 ust. 1 pkt 4 ustawy z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2023 r., poz. 913 z późn. zm.) publikujemy informacje pozwalające na zrozumienie zagrożeń cyberbezpieczeństwa oraz sposoby przeciwdziałania tym zagrożeniom.

Cyberbezpieczeństwo jest to „odporność  systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy” (art. 2 pkt 4 w/w ustawy).

Najpopularniejsze zagrożenia występujące w cyberprzestrzeni:

1. kradzieże tożsamości;
2. kradzieże/ wyłudzenia, modyfikacje bądź niszczenie danych;
3. ataki z użyciem  szkodliwego oprogramowania (malware, wirusy, robaki, itp.);
4. blokowanie dostępu do usług (mail bomb, DoS oraz DDoS19);
5. spam czyli niechciane lub niepotrzebne wiadomości elektroniczne;
6. ataki socjotechniczne (np. phishing, czyli wyłudzenie poufnych informacji przez podszywanie się pod godną zaufania instytucję lub osobę).

Sposoby zabezpieczenia się przed zagrożeniami:

1. Chroń swój komputer oraz urządzenia mobilne programem antywirusowym zabezpieczającym przed zagrożeniami typu: wirusy, robaki, trojany, niebezpieczne aplikacje (np. ransomware, adware, keylogger, spyware, dialer), phishing, narzędziami hakerskimi, backdoorami, rootkitami, bootkitami i exploitami. Najlepiej stosuj ochronę w czasie rzeczywistym.
2. Aktualizuj bez zbędnej zwłoki system operacyjny, aplikacje, programy antywirusowe. Brak aktualizacji zwiększa podatność na cyberzagrożenia.
3. Nie korzystaj ze stron banków, poczty elektronicznej czy portali społecznościowych, które nie mają ważnego certyfikatu SSL, chyba, że masz stuprocentową pewność z innego źródła, że strona ta jest bezpieczna.
4. Stosuj zasadę ograniczonego zaufania do odbieranych wiadomości e-mail, połączeń telefonicznych, SMS, stron internetowych nakłaniających do podania danych osobowych, osób podających się za przedstawicieli firm, instytucji, którzy żądają podania danych autoryzacyjnych lub nakłaniających do instalowania aplikacji zdalnego dostępu.
5. Nie ujawniaj danych osobowych w tym danych autoryzacyjnych dopóki nie ustalisz czy rozmawiasz z osobą uprawnioną do przetwarzania Twoich danych.
6. Instaluj programy czy aplikacje tylko ze znanych i zaufanych źródeł.
7. Nie otwieraj wiadomości e-mail oraz nie korzystaj z przesłanych linków od nadawców, których nie znasz.
8. Pamiętaj - każdy e-mail można sfałszować, więc sprawdzaj w nagłówku wiadomości pole „Received: from” tzn. otrzymane od, w tym polu znajdziesz rzeczywisty adres serwera nadawcy.
9. Porównaj adres konta e-mail nadawcy z adresem w polu „From” oraz „Reply to” – różne adresy w tych polach mogą wskazywać na próbę oszustwa.
10. Nie otwieraj plików nieznanego pochodzenia.
11. Pliki pobrane z Internetu sprawdzaj za pomocą skanera antywirusowego.
12. Nie wysyłaj w e-mailach żadnych poufnych danych w formie otwartego tekstu. Zawsze szyfruj dane poufne wysyłane pocztą elektroniczną np. za pomocą 7-Zip a hasło przekazuj w sposób bezpieczny np. telefonicznie.
13. Bezpieczeństwo wiadomości tekstowych (SMS) – sprawdź adres url, z którego domyślnie dany podmiot/instytucja wysyła do Ciebie smsy, cyberprzestępca może podszyć się pod dowolną tożsamość (odpowiednio definiując numer lub nazwę), otrzymując smsa, w którym cyberprzestępca podszywa się pod numer zapisany w książce adresowej, telefon zidentyfikuje go jako nadawcę wiadomości sms.
14. Nie używaj niesprawdzonych programów do publikowania własnych plików w Internecie gdyż mogą one np. podłączać niechciane linijki kodu do źródła strony.
15. Jeśli na podejrzanej stronie podałeś swoje dane do logowania lub włamano się na Twoje konto e-mail – niezwłocznie zmień hasło.
16. Logowanie do e-usług publicznych, bankowości elektronicznej bez aktualnego tzn. wspieranego przez producenta systemu operacyjnego stanowi duże ryzyko.
17. Stosuj inne hasła do różnych usług elektronicznych.
18. Logując się na konta społecznościowe, konta email, usługi e-administracji, usługi finansowe, stosuj weryfikację dwuetapową np. za pomocą kod sms, pin, odciska palca, aplikacji generującej jednorazowe kody autoryzujące.
19. Regularnie zmieniaj hasła.
20. Nie udostępniaj nikomu swoich haseł.
21. Wykonuj kopie bezpieczeństwa czyli kopie zapasowe ważnych danych.
22. Skanuj podłączane do komputera urządzenia zewnętrzne np. pendrive.
23. Skanuj regularnie programem antywirusowym wszystkie dyski twarde komputera i urządzeń mobilnych.
24. Kontroluj uprawnienia instalowanych na komputerze czy urządzeniu mobilnym aplikacji.
25. Unikaj korzystania z otwartych sieci Wi-Fi.
26. Podając poufne dane sprawdź czy strona internetowa posiada certyfikat SSL. Protokół SSL to standard kodowania (zabezpieczania) przesyłanych danych pomiędzy przeglądarką a serwerem.
27. Jeśli używasz sieci Wi-Fi, to zadbaj o bezpieczeństwo routera (ustal silne hasło, zmień nazwę sieci Wi-Fi, zmień hasło do panelu administratora, ustaw poziom zabezpieczeń połączenia z siecią Wi-Fi np. WPA2 i wyższe, aktualizuj oprogramowanie routera, wyłącz funkcję WPS, aktywuj funkcję Gościnna Sieć Wi-Fi „Guest Network”).
28. Szyfruj dyski komputerów i urządzeń przenośnych.
29. Pamiętaj o uruchomieniu firewalla (zapora ogniowa) na komputerze.
30. Pamiętaj. Żaden bank czy Urząd nie wysyła e-maili do swoich klientów/ interesantów z prośbą o podanie hasła lub loginu w celu ich weryfikacji.

Więcej informacji oraz porad o cyberbezpieczeństwie można uzyskać na poniższych stronach:

• zestaw porad bezpieczeństwa dla użytkowników komputerów prowadzony na stronie internetowej CSIRT NASK – Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego działającego na poziomie krajowym: https://cert.pl/ouch/
• poradniki na witrynie internetowej Ministerstwa Cyfryzacji: https://www.gov.pl/web/baza-wiedzy/cyberbezpieczenstwo
• publikacje z zakresu cyberbezpieczeństwa: https://cert.pl/
• strona internetowa akademii NASK https://cyberprofilaktyka.pl/publikacje/

Zgłaszanie incydentów bezpieczeństwa: https://incydent.cert.pl/#!/lang=pl