Get Adobe Flash player

Cyberbezpieczeństwo

Informacje o cyberbezpieczeństwie –

 Realizując zadania, wynikające z art. 22 ust. 1 pkt 4 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2020 r. poz. 1369, z późn.zm.), przekazujemy Państwu informacje pozwalające na zrozumienie zagrożeń występujących w cyberprzestrzeni oraz porady jak skuteczne stosować sposoby zabezpieczenia się przed tymi zagrożeniami.

Cyberbezpieczeństwo, zgodnie z obowiązującymi przepisami, to „odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy” (art. 2 pkt 4) ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.

 Realizując zadania wynikające z ustawy o krajowym systemie cyberbezpieczeństwa przekazujemy Państwu informacje pozwalające na zrozumienie zagrożeń występujących w cyberprzestrzeni oraz porady jak skuteczne stosować sposoby zabezpieczenia się przed tymi zagrożeniami:

Do najpopularniejszych zagrożeń w cyberprzestrzeni, z którymi mogą się Państwo spotkać, należą:

  • ataki z użyciem szkodliwego oprogramowania (malware, wirusy, robaki, itp.),
  • kradzieże tożsamości,
  • kradzieże (wyłudzenia), modyfikacje bądź niszczenie danych,
  • blokowanie dostępu do usług,
  • spam (niechciane lub niepotrzebne wiadomości elektroniczne),
  • ataki socjotechniczne (np. phishing, czyli wyłudzanie poufnych informacji przez podszywanie się pod godną zaufania osobę lub instytucję).

Sposoby zabezpieczenia się przed zagrożeniami:

  • Zainstaluj i używaj oprogramowania przeciw wirusom i spyware. Najlepiej stosuj ochronę w czasie rzeczywistym.
  • Aktualizuj oprogramowanie oraz bazy danych wirusów (dowiedz się czy twój program do ochrony przed wirusami posiada taką funkcję i robi to automatycznie).
  • Nie otwieraj plików nieznanego pochodzenia.
  • Nie korzystaj ze stron banków, poczty elektronicznej czy portali społecznościowych, które nie mają ważnego certyfikatu, chyba, że masz stuprocentową pewność z innego źródła, że strona taka jest bezpieczna.
  • Nie używaj niesprawdzonych programów zabezpieczających czy też do publikowania własnych plików w Internecie (mogą one np. podłączać niechciane linijki kodu do źródła strony).
  • Co jakiś czas skanuj komputer i sprawdzaj procesy sieciowe – jeśli się na tym nie znasz poproś o sprawdzenie kogoś, kto się zna. Czasami złośliwe oprogramowanie nawiązujące własne połączenia z Internetem, wysyłające twoje hasła i inne prywatne dane do sieci może się zainstalować na komputerze mimo dobrej ochrony – należy je wykryć i zlikwidować.
  • Sprawdzaj pliki pobrane z Internetu za pomocą skanera.
  • Staraj się nie odwiedzać zbyt często stron, które oferują niesamowite atrakcje (darmowe filmiki, muzykę, albo łatwy zarobek przy rozsyłaniu spamu) – często na takich stronach znajdują się ukryte wirusy, trojany i inne zagrożenia.
  • Nie zostawiaj danych osobowych w niesprawdzonych serwisach i na stronach, jeżeli nie masz absolutnej pewności, że nie są one widoczne dla osób trzecich.
  • Nie wysyłaj w e-mailach żadnych poufnych danych w formie otwartego tekstu.
  • Aktualizuj system operacyjny i aplikacje bez zbędnej zwłoki.
  • Pamiętaj o uruchomieniu firewalla.
  • Wykonuj kopie zapasowe ważnych danych.
  • Pamiętaj, że żaden bank czy Urząd nie wysyła e-maili do swoich klientów/interesantów z prośbą o podanie hasła lub loginu w celu ich weryfikacji.

Zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami to wiedza niezbędna każdemu użytkownikowi komputera, smartphona czy też usług internetowych.

  • STÓJ. POMYŚL. POŁĄCZ. jest polską wersją międzynarodowej kampanii STOP. THINK. CONNECT.™, mającej na celu zwiększanie poziomu świadomości społecznej i promowanie bezpieczeństwa w cyberprzestrzeni. Zapoznaj się z dobrymi praktykami opublikowanymi na stronach kampanii oraz z dostępnymi na niej materiałami do pobrania.
  • OUCH! To cykliczny, darmowy zestaw porad bezpieczeństwa dla użytkowników komputerów. Każde wydanie zawiera krótkie, przystępne przedstawienie wybranego zagadnienia z bezpieczeństwa komputerowego wraz z listą wskazówek jak można chronić siebie, swoich najbliższych i swoją organizację. Zobacz wszystkie polskie wydania OUCH! na stronie CERT Polska.
  • Zespół CERT Polska działa w strukturach NASK (Naukowej i Akademickiej Sieci Komputerowej) – państwowego instytutu badawczego prowadzącego działalność naukową, krajowy rejestr domen .pl i dostarczającego zaawansowane usługi teleinformatyczne. CERT Polska jest zespołem specjalistów zwalczających zagrożenia w sieciach komputerowych. Zapoznaj się z rocznymi raportami z działalności CERT Polska zawierającymi zebrane dane o zagrożeniach dla polskich użytkowników Internetu, w tym również opisy najciekawszych nowych zagrożeń i podatności.

Hasła

Hasła to powszechnie wykorzystywany, prosty i wszystkim znamy sposób chronienia dostępu do poufnych danych i usług. Aby jednak działały skutecznie, muszą być tworzone i stosowane w sposób prawidłowy, w tym dostosowany do aktualnych wymogów technicznych i organizacyjnych. Zmieniają się urządzenia, pojawiają się nowe usługi, dotychczasowa wiedza na temat skuteczności procedur uwierzytelniania jest weryfikowana. Stąd potrzeba aktualizacji rekomendacji dla użytkowników i organizacji przede wszystkim w zakresie tworzenia i stosowania haseł oraz projektowania procedur logowania. W ciągu ostatnich kilku lat zmienione zostały obowiązujące od długiego czasu zalecenia mówiące między innymi o potrzebie cyklicznej, profilaktycznej zmiany hasła lub stosowania znaków specjalnych i cyfr w celu jego wzmocnienia. W wielu organizacjach procedury te jednak nadal są stosowane, co ma negatywny wpływ na bezpieczeństwo polskich instytucji oraz użytkowników. Poniżej prezentujemy rekomendacje CERT Polska, mające na celu uporządkowanie i aktualizację wiedzy na ten temat oraz przybliżające inne niż samo hasło metody uwierzytelniania i ochrony dostępu. Zalecenia te bazują na eksperckiej wiedzy i uwzględniają doświadczenia zgromadzone w ciągu ostatnich lat.

Uwierzytelnianie

Bezpieczny dostęp do informacji przeznaczonych dla określonej grupy osób zawsze wymaga weryfikacji, czy osoba ubiegająca się o ten dostęp jest tym, za kogo się podaje. Proces udowadniania swojej tożsamości nazywamy uwierzytelnianiem. Najczęściej wymaga on przekazania i weryfikacji tzw. sekretu. Może nim być np. hasło, czy kod PIN. Najważniejszą cechą sekretu jest jego tajność – powinien on być znany tylko uprawnionym osobom. Jest to prosty technicznie mechanizm, który ma jednak pewne mankamenty. Szybki rozwój technologii oraz przenoszenie coraz większej części naszego życia do sfery cyfrowej spowodowały, że liczba systemów, w których musimy się regularnie uwierzytelniać, znacząco wzrosła. Sprawia to, że zapamiętanie silnych, unikalnych haseł do każdego z nich może okazać się problematyczne, bądź wręcz niemożliwe. Z pomocą przychodzą różne mechanizmy i technologie, które mogą sprawić, że będzie to prostsze.

Menedżery haseł

Jednym z narzędzi ułatwiających użytkownikom radzenie sobie z dużą liczbą kont i powiązanych z nimi haseł są programy do zarządzania hasłami, popularnie zwane menedżerami haseł. Istnieje wiele rozwiązań tego typu – od narzędzi wbudowanych w przeglądarkę, po rozwiązania działające w chmurze. Zadaniem tych programów jest umożliwienie bezpiecznego przechowywania haseł, dzięki czemu nie trzeba ich zapamiętywać. Pozwalają one również na generowanie haseł oraz często umożliwiają automatyczne wpisanie hasła, gdy zajdzie potrzeba uwierzytelnienia się. Najczęściej spotykanym przykładem menedżera haseł jest ten wbudowany w przeglądarkę internetową. Jest to rozwiązanie dość powszechnie stosowane i pozwalające na zwiększenie siły haseł niewielkim kosztem. Istnieje jednak pewne ryzyko utraty dostępu do danych przechowywanych w menedżerze haseł. Może to nastąpić np. w przypadku awarii bądź utraty sprzętu. Jeżeli nie zadbaliśmy o przygotowanie kopii zapasowej, odzyskanie dostępu do wielu kont może wymagać przejścia procedur odzyskiwania konta u dostawców usług. To ryzyko jest mniejsze w przypadku rozwiązań chmurowych, gdyż dane nie są bezpośrednio przechowywane na naszym urządzeniu.

Dostawcy tożsamości

Innym rozwiązaniem odciążającym użytkowników są technologie nazywane “dostawcami tożsamości” (ang. identity providers). Są to mechanizmy, umożliwiające stworzenie jednego miejsca zarządzającego tożsamościami oraz udostępnianie ich innym usługom w celu uwierzytelnienia użytkowników. Przykładem takiego mechanizm jest Single Sign-On (SSO), powszechnie stosowany w środowiskach korporacyjnych. Pozwala on na oddelegowanie konta użytkownika z jednego miejsca w taki sposób, aby inne usługi mogły nas rozpoznać i uwierzytelnić. Podobnym rozwiązaniem jest wykorzystanie mechanizmu OAuth do udostępniania tożsamości zewnętrznym usługom. Jest to obecnie bardzo popularne rozwiązanie, dzięki któremu możemy np. zalogować się do platformy dostawcy muzyki, używając konta w portalu społecznościowym. W ten sposób użytkownik otrzymuje dostęp do wielu usług, wykorzystując tylko jedno hasło, które potwierdza jego tożsamość u dostawcy.

Biometria

Biometria to metoda uwierzytelnienia wykorzystująca “coś czym jesteś” jako czynnik poddawany weryfikacji. Najczęściej stosowane w tym zakresie są odcisk palca, skan twarzy bądź obraz tęczówki oka. Duża dostępność urządzeń biometrycznych w telefonach oraz komputerach osobistych, jej wygoda oraz dojrzałość, jaką technologia ta osiągnęła w sprzęcie konsumenckim po wielu latach udoskonaleń, sprawia, że jest to wygodna oraz często bezpieczna forma uwierzytelnienia. Nie wszystkie systemy i urządzenia jednak pozwalają na uwierzytelnienie z użyciem tej technologii i nie wszędzie jest to najlepsze rozwiązanie.

Uwierzytelnienie dwuskładnikowe

Uwierzytelnianie użytkowników dzieli się na 3 grupy ze względu na weryfikowany czynnik. Sprawdzeniu mogą podlegać:

  • Coś, co znasz – np. hasło lub kod PIN
  • Coś, co posiadasz – np. token sprzętowy, telefon, karta Smart Card
  • Coś, czym jesteś – np. odcisk palca lub skan tęczówki oka

Metoda uwierzytelnienia dwuskładnikowego polega na weryfikacji dwóch z trzech powyższych elementów. Najczęściej stosowaną kombinacją jest hasło (coś co znasz) plus jeden z czynników z którejś z pozostałych grup. Drugi składnik stanowi dodatkową warstwę bezpieczeństwa. Popularnie stosowanym drugim składnikiem są m.in. kody SMS, kody generowane przez token sprzętowy albo potwierdzenie operacji w odpowiednio skonfigurowanej wcześniej aplikacji. Zastosowanie tego rozwiązania uniemożliwia atakującemu, który pozyskał nasz login i hasło, uwierzytelnienie się w usłudze, jeżeli nie zdobędzie on również drugiego składnika.

Polityka haseł

Zalecenia zawarte w tym dokumencie bazują na aktualnych publikacjach międzynarodowych takich jak NIST Digital Identity Guidelines czy materiałach opublikowanych przez FBI w ramach akcji Protected Voices, oraz na obserwacjach i doświadczeniu CERT Polska, zbudowanemu podczas własnych badań i obsługi licznych incydentów bezpieczeństwa. Pełna lista użytych źródeł oraz materiałów, z których korzystano, została zamieszczona na końcu tego artykułu.

Rekomendacje CERT Polska

Poniżej prezentujemy rekomendowane wymagania dla polityki haseł. Pełne wymagania techniczne dla systemów informatycznych wymagających kontroli dostępu użytkowników i pozwalających na uwierzytelnienie z użyciem hasła przedstawiono w osobnym dokumencie.

  • Brak wymuszonej okresowej zmiany haseł użytkowników1
  • Blokada tworzenia hasła znajdującego się na liście słabych/często używanych haseł2
  • Blokada hasła zawierającego przewidywalne człony (np. nazwa firmy, usługi)
  • Minimalna długość hasła – co najmniej 12 znaków3
  • Limit znaków w haśle nie mniejszy niż 64 znaki
  • Brak dodatkowych kryteriów złożoności, np. znaków specjalnych, cyfr czy dużych liter

Ad. 2: CERT Polska publikuje polską wersję słownika haseł będącą wynikiem analizy danych upublicznionych w wyciekach. Zawiera on zestaw około miliona najpopularniejszych haseł, posortowanych malejąco od haseł najbardziej popularnych. Może on posłużyć administratorom systemów przy wdrożeniu polityki haseł zgodnej z zaleceniami.

Ad. 3: Limit 12 znaków jest minimalną długością hasła np. dla serwera danych, standardowo hasło ma mieć minimum 8 znaków. CERT Polska zaleca ustawianie haseł dłuższych, budowanych w oparciu o całe zdanie. Więcej o tworzeniu haseł piszemy w sekcji Hasła silne i łatwe do zapamiętania.

Uzasadnienie rekomendacji

Skupiono się na długości hasła zamiast jego złożoności, ponieważ badania wskazują, że jest to znacznie ważniejszy czynnik, wpływający na jego bezpieczeństwo. Zrezygnowano również z wymuszania okresowej zmiany haseł, ponieważ powstające w jej wyniku nowe hasła są najczęściej wariacją poprzednich, zazwyczaj skonstruowane w łatwy do przewidzenia sposób. Badania pokazują, że użytkownicy nie są w stanie zapamiętać całkiem nowego silnego hasła np. co miesiąc. Zamiast wymogów złożoności hasła, skupiono się na wykluczeniu haseł w oczywisty sposób prostych, najczęściej używanych, przewidywalnych, bądź ujawnionych w wyciekach. Należą do tej grupy hasła, które są np. zbudowane według prostych schematów, ale także najpopularniejsze imiona, zwroty czy nazwy własne. W zasadzie wszystkie słowniki używane do łamania haseł zawierają na początku listy hasła typu 123456, zaq1@WSX, albo słowo password. Należy również uwzględnić łatwe do przewidzenia składowe hasła, jak nazwa firmy, czy usługi. Dodawanie tego typu elementów do hasła tylko nieznacznie zwiększa jego bezpieczeństwo. Przykładowo, hasło zaq1@wsxCERT, można uznać za równie słabe jak zaq1@wsx, w przypadku użycia przez pracownika CERT Polska.

Hasła silne i łatwe do zapamiętania

Silne hasło można zbudować na wiele sposobów. Najbardziej oczywistym wydaje się wylosowanie bardzo długiego ciągu znaków i wykorzystanie menedżera haseł do jego zapisania. Takie hasło jest jednak trudne do zapamiętania przez człowieka. Przykładem sytuacji, w której potrzebne jest silne, łatwe do zapamiętania hasło jest hasło do bazy danych menedżera haseł, albo do konta użytkownika w systemie operacyjnym – gdy nie mamy jeszcze dostępu do menedżera.

Jak budować silne hasła

W celu stworzenia silnego hasła, które będziemy w stanie zapamiętać, można używać zasady pełnych zdań. Należy unikać znanych cytatów czy powiedzeń, ale po modyfikacji mogą nam one posłużyć jako inspiracja. Tak stworzone hasło powinno składać się z przynajmniej pięciu słów. Przykładowo:

WlazlKostekNaMostekIStuka – jest (to znaczy było, przed opublikowaniem go tutaj) silnym hasłem, które można łatwo zapamiętać.

Inną wartą polecenia metodą jest budowanie hasła z opisu wyimaginowanej sceny, której obraz jest łatwy do zapamiętania i jednoznacznego opisania:

zielonyParkingDla3malychSamolotow – jest przykładem takiego hasła. Przy czym należy zwrócić uwagę, że scena, którą opisuje nasze hasło, powinna zawierać jakiś element nierealistyczny albo abstrakcyjny. Wynika to z tego, że ludzie mają tendencję do używania obiektów, z którymi mieli ostatnio styczność, widzą je, albo są w ich pobliżu, jako składowe wymyślonego hasła. Pozwala to na użycie mniejszego słownika przy próbie łamania haseł, poprzez dostosowanie go pod konkretną osobę lub grupę osób.

Kolejnym pomysłem na generowanie silnego hasła jest użycie słów z kilku języków. Przykładem takiego hasła może być:

DwaBialeLatajaceSophisticatedKroliki. Jego siła bierze się z tego, że próby łamania haseł opartych o całe zdanie muszą zostać wykonane metodą słownikową, a takie słowniki najczęściej zawierają słowa/zwroty z jednego języka.

Przygotowaliśmy plakaty informacyjne, które mogą być wykorzystane aby promować opisane podejście do tworzenia haseł. Zachęcamy do wydrukowania i powieszenia ich w przestrzeni biurowej.

Hasła pozornie silne

Dotychczasowe, powszechnie stosowane zalecenia tworzenia haseł nie prowadziły do budowania haseł silnych. Pozornie silne hasła, takie jak:

  • Galwaniczny123$
  • zaq1@WSXcde3$RFV
  • admin.1admin.1admin.1admin.1

nie są dostatecznie silne, aby oprzeć się atakowi w przypadku wycieku bazy danych, w której się znajdują. W bazach danych hasła zazwyczaj są przechowywane w formie zabezpieczonej – w postaci hasha, ale odkrycie ich pierwotnej formy jest możliwe. Hasła schematyczne i tworzone zgodnie z przewidywalnymi regułami są proste do “złamania” za pomocą coraz doskonalszych narzędzi wykorzystujących słowniki i listy reguł modyfikujących każde słowo ze słownika. Takie podejście do łamania zabezpieczonych haseł pozwala w prosty sposób wygenerować powyższe hasła, nawet jeśli w pełnej formie nie były dostępne w użytym słowniku. Zarówno słowniki jak i zestawy reguł są publicznie dostępne a moc obliczeniowa potrzebna do przeprowadzenia skutecznego ataku jest stosunkowo niewielka. Znikomy jest też czas na to potrzebny i koszt takiej operacji.

Przykład:

Powyższe hasła są przykładami haseł złamanych podczas z testu wewnętrznego. Pracownicy CERT Polska zostali poproszeni o wygenerowanie prawdopodobnych do użycia haseł i zabezpieczenie ich przestarzałym algorytmem SHA1. Złamanie powyższych haseł zajęło poniżej 5 minut.

Natomiast w przypadku haseł odpowiednio długich, zbudowanych zgodnie z przedstawionymi wcześniej zaleceniami, potrzeba użycia mocy obliczeniowej a także czas i koszt ataku rosną wielokrotnie.

UWAGA!

Według naszej najlepszej wiedzy nie istnieje aktualnie publicznie dostępne narzędzie oraz metoda pozwalająca na skuteczny atak na hasła zbudowane zgodnie z przedstawionymi wcześniej rekomendacjami. Teoretyczny, optymalnie przeprowadzony atak na przykładowe hasło WlazlKostekNaMostekIStuka, zabezpieczone przestarzałym algorytmem SHA1 zająłby co najmniej setki lat. Oczywiście od momentu publikacji go w tym artykule, jego wartość jako sekretu jest znikoma.

Podsumowanie

Odpowiednie podejście zarówno do polityki haseł jak i ich tworzenia i zarządzania nimi jest istotnym problemem dla administratorów i użytkowników systemów informatycznych. W tym dokumencie zostały przedstawione i omówione rekomendacje, które powinny spełniać systemy, aby zapewnić odpowiedni poziom bezpieczeństwa haseł użytkowników. Ponadto przedstawione zostały porady jak tworzyć i zarządzać silnymi hasłami, wraz z przykładami rozwiązań technologicznych upraszczających ten proces. Zwrócono również uwagę na przestarzałe zalecenia i ich negatywny wpływ na bezpieczeństwo. Na przykładzie haseł pozornie silnych pokazano, jak niewielkie nakłady finansowe w połączeniu ze standardowymi metodami, stanowią realne zagrożenie w przypadku wycieków haseł nieodpowiednio zabezpieczonych oraz niedostatecznie silnych.

Źródła:

Kilka przydatnych informacji w zakresie cyberbezpieczeńśtwa, w załączniku materiały informacyjno-szkoleniowe, również dla osób korzystających z Państwa serwisów www, można zamieścić je na stronie w aktualnościach lub w zakładce cyberbezpieczeństwo np. do pobrania. Oczywiście tylko te które Państwa dotyczą.

  1. CERT Polska ostrzega przed nową odsłoną oszustwa. Przestępcy udają Urząd Skarbowy i rozsyłają wiadomości SMS z informacją o konieczności opłacenia zaległego podatku.CERT Polska poinformował o kolejnej akcji oszustów, którzy tym razem podszywają się pod Urząd Skarbowy. Ich działania polegają na rozsyłaniu fałszywych SMS-ów z treścią sugerującą, że odbiorca wiadomości ma opłacić zaległy podatek w kwocie 4,91 zł. Jeśli go nie opłaci w podanym terminie, ma mu grozić windykacja. Strona, o której mowa powyżej, to fałszywy panel płatności, udający serwis PayU. CERT Polska ostrzega, że wprowadzenie danych w tym panelu może umożliwić przestępcom przejęcie naszego konta bankowego oraz kradzież pieniędzy.
  2. Rekomendacje w związku ze zwiększonym zagrożeniem w cyberprzestrzeni wywołanym sytuacją na Ukrainie

Rekomendacje dla obywateli

  • Zapoznaj się z poradnikiem dotyczącym bezpieczeństwa skrzynek pocztowych i kont w mediach społecznościowych oraz zastosuj się do jego rekomendacji.
  • Bądź wyczulony na sensacyjne informacje, w szczególności zachęcające do natychmiastowego podjęcia jakiegoś działania. Weryfikuj informacje w kilku źródłach. Upewnij się, że informacja jest prawdziwa przed podaniem jej dalej w mediach społecznościowych. Jeśli masz jakieś wątpliwości, wstrzymaj się.
  • Uważaj na wszelkie linki w wiadomościach mailowych i SMS-ach, zwłaszcza te sugerujące podjęcie jakiegoś działania, np. konieczność zmiany hasła, albo podejrzaną aktywność na koncie. Obserwowaliśmy w przeszłości tego typu celowane ataki na prywatne konta, gdzie celem było zdobycie informacji zawodowych.
  • Upewnij się, że posiadasz kopię zapasową wszystkich ważnych dla siebie plików i potrafisz je przywrócić w przypadku takiej potrzeby.
  • Śledź ostrzeżenia o nowych scenariuszach ataków na naszych mediach społecznościowych: Twitter, Facebook.
  • Zgłaszaj każdą podejrzaną aktywność przez formularz na stronie incydent.cert.pl lub mailem na cert@cert.pl. Podejrzane SMS-y prześlij bezpośrednio na numer 799 448 084. Rekomendujemy zapisanie go w kontaktach.

Rekomendacje dla firm

Należy:

  • Przetestować przywracanie infrastruktury z kopii zapasowych. Kluczowe jest, żeby zostało to wykonane w praktyce na wybranych systemach, nie tylko proceduralnie.
  • Upewnić się, że posiadane kopie zapasowe są odizolowane i nie ucierpią w przypadku ataku na resztę infrastruktury.
  • Upewnić się, że dokonywane są aktualizacje oprogramowania, w szczególności dla systemów dostępnych z internetu. Należy zacząć od podatności, które są na liście obecnie aktywnie wykorzystywanych w atakach.
  • Upewnić się, że wszelki dostęp zdalny do zasobów firmowych wymaga uwierzytelniania dwuskładnikowego.
  • Przejrzeć usługi w adresacji firmowej dostępne z internetu i ograniczyć je do niezbędnego minimum. Można w tym celu wykorzystać np. portal Shodan. W szczególności nie powinny być bezpośrednio dostępne usługi pozwalające na zdalny dostęp jak RDP czy VNC.
  • Aktualizować w sposób automatyczny sygnatury posiadanych systemów bezpieczeństwa typu AV, EDR, IDS, IPS, itd.
  • Wdrożyć filtrowanie domen w sieci firmowej na bazie publikowanej przez nas listy ostrzeżeń. Dzięki temu w szybki sposób zablokowane zostaną zaobserwowane przez nas złośliwe domeny.
  • Zapoznać się z przygotowanym przez CSIRT KNF poradnikiem dotyczącym obrony przed atakami DDoS i wdrożyć jego rekomendacje.
  • Zapoznać się z naszym poradnikiem omawiającym sposoby wzmocnienia ochrony przed ransomware i wdrożyć jego rekomendacje.
  • Zapoznać się z naszymi materiałami dotyczącymi bezpieczeństwa haseł.
  • Zapoznać się z naszym artykułem dotyczącym mechanizmów weryfikacji nadawcy wiadomości i wdrożyć je dla domen wykorzystywanych do wysyłki poczty.
  • W przypadku posiadania własnego zakresu adresów IP zalecamy dołączenie do platformy N6. Za jej pośrednictwem udostępniamy na bieżąco informacje o podatnościach i podejrzanej aktywności obserwowanej przez nas w podanym zakresie adresowym.
  • Wyznaczyć osobę odpowiedzialną za koordynację działań w przypadku wystąpienia incydentu i przećwiczyć procedury reagowania.
  • Uczulić pracowników na obserwację podejrzanej aktywności oraz poinformowanie o sposobie jej zgłaszania do wyznaczonej w firmie osoby.
  • Zgłosić do nas osobę kontaktową, nawet jeśli nie zobowiązuje do tego ustawa. Dzięki temu będziemy w stanie szybko skontaktować się z właściwą osobą w celu przesłania ostrzeżenia.
  • Zgłaszać każdą podejrzaną aktywność do właściwego CSIRT-u, tj.:

Uwaga! Jeśli Twoja firma współpracuje z podmiotami na Ukrainie lub ma tam oddziały, dodatkowo:

  • Sprawdź reguły dla dostępu sieciowego, ogranicz dozwolony ruch do minimum.
  • Monitoruj ruch sieciowy, w szczególności na styku sieci z tymi firmami/oddziałami.
  • Obejmij szczególnym monitoringiem hosty, na których jest zainstalowane oprogramowanie, które otrzymuje automatyczne aktualizacje od podmiotów na Ukrainie.
  • Ostrzeż pracowników, aby byli szczególnie wyczuleni na informacje nakłaniające ich do podjęcia jakiegoś działania.

Jak korzystać z praw gwarantowanych przez RODO?

Ogólne rozporządzenie o ochronie danych osobowych (RODO) to akt, który bezpośrednio obowiązuje we wszystkich państwach członkowskich Unii Europejskiej, w sposób jednolity regulując prawa obywateli i obowiązki administratorów.

Dane osobowe to informacje, które pozwalają na ustalenie Twojej tożsamości. To Twoje imię, nazwisko, miejsce zamieszkania, numer telefonu czy Twój adres e-mail lub dane o lokalizacji.

Przetwarzanie danych to z kolei wszystkie działania, które wykorzystują dane osobowe, jak np. ich zbieranie, utrwalanie, porządkowanie, przechowywanie, przeglądanie, wykorzystywanie czy udostępnianie. 

RODO przyznaje osobom fizycznym wiele praw, które pozwalają na większą kontrolę nad danymi osobowymi.

UODO przygotował 10 wskazówek, jak korzystać z praw gwarantowanych przez RODO.

Masz prawo wiedzieć, co będzie się działo z Twoimi danymi

Powinieneś wiedzieć, kto, na jakiej podstawie i po co przetwarza Twoje dane osobowe. Firma bądź instytucja, która nimi dysponuje, powinna Cię o tym poinformować. Ma też obowiązek wskazać, jakie prawa daje Ci RODO. A masz prawo m.in. do: dostępu do swoich danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu czy do tego, by być poinformowanym o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu. Realizując obowiązek informacyjny, administrator musi też wskazać, jak długo będzie przechowywał Twoje dane, oraz podać dane kontaktowe inspektora ochrony danych (IOD), jeśli go wyznaczył.

Masz prawo w każdej chwili wycofać zgodę

Jeśli podstawą przetwarzania Twoich danych jest wyrażona przez Ciebie – świadomie i dobrowolnie – zgoda, masz prawo w dowolnym momencie ją wycofać i nie może to rodzić dla Ciebie żadnych negatywnych konsekwencji (np. podwyższenia opłaty za usługi powyżej jej standardowej wysokości). Pamiętaj, że cofnięcie zgody powinno być równie łatwe, jak jej udzielenie.

Powinieneś być informowany w sposób dla Ciebie zrozumiały

Wszelkie przekazywane Ci informacje związane z przetwarzaniem Twoich danych powinny być sformułowane jasnym i prostym, zrozumiałym dla Ciebie językiem. Dotyczy to również komunikatów informacyjnych związanych z korzystaniem z usług internetowych czy aplikacji mobilnych. Jeśli ich nie rozumiesz lub nie są dla Ciebie wystarczająco zrozumiałe, zwracaj się do administratora o przekazanie dodatkowych wyjaśnień. W Polsce językiem urzędowym jest język polski. Wszystkie komunikaty muszą być w tym języku, ale mogą być dodatkowo tłumaczone także w innych językach.

Masz prawo do bycia zapomnianym, ale nie zawsze

Wprawdzie RODO przyznało Ci prawo do bycia zapomnianym (usunięcia danych), ale pamiętaj, że nie jest ono bezwzględne. Możesz żądać jego realizacji np. wówczas, gdy: dane stały się zbędne do realizacji zakładanych celów, dane były przetwarzane niezgodnie z prawem albo wycofałeś swoją zgodę i nie ma innej przesłanki legalizującej ich wykorzystywanie.

Pamiętaj jednak, że nie w każdej sytuacji masz prawo do bycia zapomnianym. Tak jest choćby wtedy, gdy dany podmiot (np. szkoła, gmina czy przychodnia) musi wykorzystywać Twoje dane, by zrealizować nałożony na niego obowiązek prawny.

Masz prawo do informacji o naruszeniu Twoich danych

Wyciek danych, ich zagubienie czy udostępnienie osobom niepowołanym – to się zdarza. I jeżeli rodzi to dla Ciebie poważne zagrożenie, to nie dziw się, że administrator Cię o tym informuje – taki ma obowiązek. Zastosuj się więc do jego wskazówek, dzięki którym możesz zminimalizować zagrożenie. Czasami np. zmiana hasła w systemie internetowym czy zastrzeżenie dokumentów pozwoli Ci zabezpieczyć swoje dane i uniknąć np. kradzieży tożsamości i związanych z tym konsekwencji, jak np. zaciągnięcie w Twoim imieniu pożyczki.

W razie wątpliwości kontaktuj się z administratorem lub z wyznaczonym przez niego inspektorem ochrony danych (IOD), który ma Ci w takiej sytuacji pomóc.

Jeśli wniesiesz sprzeciw – marketing nie może być prowadzony

Jeżeli Twoje dane są wykorzystywane w celach marketingowych, a więc do przedstawiania Ci oferty towarów czy usług, w dowolnym momencie możesz się temu sprzeciwić. Jeżeli to zrobisz, Twoich danych nie wolno już wykorzystywać do takich celów.

Chroń dzieci przed nieuczciwymi praktykami

Jeśli jesteś rodzicem lub opiekunem prawnym osoby poniżej 16. roku życia, pamiętaj, że gdy korzysta ona z tzw. usług społeczeństwa informacyjnego (świadczonych drogą elektroniczną), a więc portali społecznościowych, aplikacji czy gier, to Ty decydujesz o udzieleniu zgody na przetwarzanie jej danych osobowych. To ważne, bo dzieci często są mniej świadome ryzyka i konsekwencji przetwarzania ich danych osobowych. RODO wskazuje, że należy im zapewnić szczególną ochronę, gdy ich dane są wykorzystywane do celów marketingowych czy tworzenia profili osobowych. Zwracaj uwagę, czy komunikaty kierowane do nich przez administratora są sformułowane językiem, który są one w stanie zrozumieć.

Realizacji swoich praw żądaj najpierw od administratora

Jeżeli uważasz, że ktoś nieprawidłowo postępuje z Twoimi danymi, to z nim (lub z wyznaczonym przez niego IOD) skontaktuj się w pierwszej kolejności i zażądaj wyjaśnień lub spełnienia Twojego żądania, np. sprostowania danych, odnotowania sprzeciwu, usunięcia danych.

Możesz dochodzić odszkodowania przed sądem

Pamiętaj! Jeśli podmiot, który dysponuje Twoimi danymi, wykorzystuje je niezgodnie z RODO, a Ty poniosłeś przez to szkodę majątkową lub niemajątkową, możesz dochodzić od niego odszkodowania, wszczynając postępowanie przed sądem. Masz do tego prawo niezależnie od tego, czy zamierzasz złożyć skargę do Prezesa UODO.

Jak złożyć skargę do Prezesa UODO?

Każdy, kto uważa, że jego prawa w zakresie ochrony danych osobowych nie są respektowane, może złożyć na administratora skargę do Prezesa Urzędu Ochrony Danych Osobowych. Skargi mogą być kierowane w formie pisemnej lub elektronicznej. Kierowanie skargi następuje przez Elektroniczną Skrzynkę Podawczą Prezesa Urzędu, po wypełnieniu formularza, wykorzystując w tym celu dokument pn. „Pismo ogólne do podmiotu publicznego” dostępny na portalu ePUAP2.

Pamiętaj, aby każda skarga zawierała:

• Twoje imię i nazwisko oraz adres zamieszkania;

•  wskazanie podmiotu, na który składasz skargę (nazwę/imię i nazwisko oraz adres siedziby/zamieszkania);

•  dokładny opis naruszenia;

•  Twoje żądanie – jakich działań oczekujesz od UODO (np. usunięcia danych, wypełnienia obowiązku informacyjnego, sprostowania danych, ograniczenia przetwarzania danych itd.);

•  własnoręczny podpis;

Pamiętaj, by dołączyć dowody potwierdzające nieprawidłowe działanie administratora (np. korespondencję z administratorem, umowy, zaświadczenia). Ułatwi to pracownikom Urzędu ocenę.

Skargi niezawierające Twojego imienia i nazwiska (nazwy) oraz adresu pozostawiamy bez rozpoznania z uwagi na brak możliwości kontaktu.

Jak chronić dane osobowe?

Dane osobowe, są bardzo cenne, bo dzięki nim można uzyskać dostęp do wielu dóbr. Mogą one też być wykorzystywane w celach marketingowych i sprzedażowych czy także, niestety, w celach przestępczych. Aby lepiej chronić dane osobowe każdej osoby i bezpiecznie je przetwarzać w Unii Europejskiej obowiązują specjalne przepisy, które temu służą. To ogólne rozporządzenie o ochronie danych (RODO).

UODO przedstawia kilka najważniejszych porad, w jaki sposób zadbać o swoje dane osobowe.

Uważaj, co i komu udostępnisz o sobie w Internecie

Zdarza się, że nadmiernie dzielisz się informacjami na swój temat, a w mediach społecznościowych dzielisz się informacjami o Tobie, o Twoim stanie majątkowym, miejscu pracy, wydarzeniach z Twojego codziennego życia, udostępniasz swoją lokalizację, wrzucasz zdjęcia. Przez to Internet jest źródłem wiedzy także o Twoich poglądach, zachowaniach konsumenckich, zainteresowaniach. Dane te pozwalają, np. działom marketingowym różnych firm, dostosować ofertę kierowaną do Ciebie. Ale też z takich informacji mogą skorzystać oszuści w celach przestępczych. Szczególnie gdy profil, który Ciebie dotyczy jest w pełni publiczny, możesz być narażony na użycie Twoich danych bez Twojej wiedzy i przyzwolenia niezgodnie z celami, dla których dane udostępniłeś.

Nie zostawiaj dokumentów w zastaw

Zgodnie z prawem zatrzymywanie dowodu osobistego czy paszportu bez podstawy prawnej jest karane. Utrata kontroli nad dowodem osobistym czy paszportem  naraża Cię na posłużenie się tym dokumentem bez Twojej wiedzy i woli, co z kolei stwarza niebezpieczeństwo kradzieży tożsamości.

Nie pozwól robić kopii

Co do zasady nie powinieneś się godzić na kopiowanie Twojego dokumentu tożsamości. Tylko w niektórych sytuacjach jest to wyjątkowo dopuszczalne, gdy pozwalają na to przepisy prawa. Gdy administrator domaga się kopii np. Twojego dowodu osobistego, poproś, aby wskazał Ci podstawę prawną, która nakłada na niego obowiązek takiego działania.

W innych wypadkach, jak np. wypożyczenie sprzętu, w dalszym ciągu taka praktyka naraża nas na te same niebezpieczeństwa. Dlatego nie gódźmy się na to. 

Nie podawaj danych przez telefon

Unikaj przekazywania danych telefonicznie – szczególnie, gdy to nie Ty inicjujesz rozmowę, ale ktoś dzwoni do Ciebie. Udostępnianie danych na odległość obarczone jest ryzykiem, brakiem pewności co do tego komu faktycznie dane są przekazane.

Upewnij się, komu faktycznie udostępniasz dane w trakcie rozmowy telefonicznej, a jeżeli trzeba zweryfikuj kontakt, np. oddzwaniając i sprawdzając, czy dany numer i osoba faktycznie reprezentuje podmiot, na który się powołała.

Uważaj na różne formularze, poprzez które udostępniasz dane

Zachowaj rozwagę przy wypełnianiu i podpisywaniu różnego rodzaju ankiet, formularzy czy umów. Zastanów się, czy faktycznie chcesz założyć kartę lojalnościową w sklepie, by mieć rabaty lub dodatkowe promocje. W takich sytuacjach podajesz sklepom imię, nazwisko, adres zamieszkania, datę urodzenia, adres e-mail, numer telefonu, a w zamian otrzymujesz promocje, bony rabatowe, dodatkowe upominki przy zakupach.

Należy pamiętać, że administrator musi spełnić wobec Ciebie obowiązek informacyjny, czyli przekazać Ci niezbędne informacje na swój temat, podając m.in. swoją tożsamość, dane kontaktowe oraz dane kontaktowe swojego inspektora danych osobowych (o ile go wyznaczył), po co, czyli w jakim celu i na jakiej podstawie prawnej przetwarzają dane.

Unikaj podawania nadmiarowych danych

Nie podawaj wszelkich danych (danych nadmiarowych), które pozwalają na pełną identyfikację, jeżeli w danej sytuacji nie jest to konieczne. Jeśli musisz skorzystać z danej usługi, to podaj tylko dane niezbędne do jej wykonania – dobrze przemyśl przekazanie tych, których przekazanie oznaczone jest jako opcjonalne.

Wyrażam zgodę na…

Zanim zaznaczysz wszystkie zgody pozwalające na przetwarzania Twoich danych osobowych, upewnij się czego dotyczą. Zwróć uwagę, czy w formularzu zgody nie są zaznaczone one w sposób domyślny.

Dokładnie też czytaj, czego dotyczą klauzule zgód. W przypadku wątpliwości, zadawaj pytania administratorom. Powinni Cię poinformować o okresie przez jaki dane będą przetwarzane oraz o przysługujących Ci prawach, w tym dostępu do danych, ich sprostowania, usunięcia czy wniesienia sprzeciwu wobec przetwarzania, a także, czy Twoje dane będą komuś innemu (innym odbiorcom) przekazywane.

Pamiętaj, że często udzielasz zgód na wykorzystywanie danych w celach marketingowych nie tylko administratora, ale i jego partnerów biznesowych. O ile możesz, zweryfikuj, kim oni są, jakie to są firmy. Zgody na marketing „cudzy” powinny być nieobowiązkowe, powinna być Ci pozostawiona możliwość wyboru co do tego, czy taką zgodę wyrazisz.

Administrator powinien Ci zapewnić, by możliwość wycofania zgody była równie łatwa, jak jej udzielenie oraz powinieneś być poinformowany o prawie do cofnięcia zgody nim ją wyrazisz.

Nie wyrzucaj danych do śmieci, dopóki ich nie zniszczysz

Wszelkie dokumenty z Twoimi danymi, to kolejne źródło wiedzy o Tobie, zwłaszcza gdy zawierają one wiele różnych informacji umożliwiających wyciągania wniosków na Twój temat. Dlatego też – zanim wyrzucisz dokumenty do kosza – należy je zniszczyć (np. faktury, rachunki), zapiski, naklejki na opakowaniach od korespondencji czy po dostarczonych towarach, w sposób uniemożliwiający odtworzenie zawartych w nich danych osobowych.

Usuwaj trwale dane z nośników

Ogrom danych o Tobie może znajdować się na Twoich starych dyskach twardych, kartach pamięci, pendrive’ach czy innych nośnikach. Zwróć uwagę, że coraz więcej informacji na Twój temat jest zapisanych w komputerach, smartfonach, aparatach fotograficznych czy tabletach. Zanim się pozbędziesz takich urządzeń lub nośników, trwale usuń z nich dane. Jednak zwykłe ich skasowanie nie będzie wystarczające, gdyż wiele danych da się odzyskać. Dlatego zanim wyrzucisz nośnik albo go sprzedasz, usuń z niego dane, korzystając przy tym z odpowiedniego do tego oprogramowania. Warto też przywrócić ustawienia fabryczne urządzenia, aby nie było w nim zapamiętanych loginów i haseł do różnych usług i aplikacji, z jakich korzystałeś, a zwłaszcza z takich, z których nadal korzystasz.

Używaj programów chroniących urządzenia mobilne

Używaj oprogramowania chroniącego urządzenia mobilne, np. smartfon czy komputer, przed niepożądanymi działaniami z zewnątrz, np. złośliwego oprogramowania. Oprócz popularnych programów antywirusowych przydatne mogą być również te, które zabezpieczą przed ingerencją z zewnątrz tzw. firewall. Ważna jest bieżąca aktualizacje. Złośliwe oprogramowanie, przed którym chronią nas takie narzędzia, powstaje codziennie. Dlatego bez aktualnej bazy wirusów i bazy złośliwych aplikacji program antywirusowy nie będzie w pełni spełniał swojej roli.

Unikaj publicznych hotspotów

Należy unikać „otwartych” hotspotów dostępnych dla wszystkich w zatłoczonych miejscach. W przypadku korzystania z sieci w hotelu lub kawiarni należy upewnić się czy punkt dostępu, do którego się logujemy, na pewno należy do miejsca, w którym właśnie przebywamy. Jeśli nie mamy pewności, ograniczmy się do wyszukiwania informacji i nie korzystajmy z usług, które wymagają podania hasła. Należy ograniczyć się do korzystania wyłącznie ze stron internetowych obsługujących protokół HTTPS lub używając tunelu VPN.

Zadbaj o hasła

Dobrze jest, aby nie miały one nic wspólnego z Twoimi życiem osobistym, miejscem zamieszkania, Twoim imieniem i nazwiskiem, datą urodzin, imionami Twoich bliskich czy Twoich zwierząt itp., tj. informacjami, które łatwo można skojarzyć z Tobą obserwując Twoje zachowania w sieci, czy połączyć z innymi informacjami o Tobie.

Nie powinno się też zapisywać ich na kartce papieru czy w notesie. Najlepiej jest je zapamiętywać, co jest dużą sztuką, gdy musimy logować się do wielu serwisów. Pomocne w tym zakresie mogą być np. darmowe menadżery haseł, które umożliwiają nie tylko generowanie odpowiednio trudnych do złamania haseł, ale i zapamiętują je za nas. Tym samym łatwiejsza jest częstsza zmiana haseł, a ryzyko, że ktoś je pozna maleje.

Na bieżąco zmieniaj hasła dostępu do swojego komputera, do poczty elektronicznej, systemów bankowości elektronicznej, ale nawet sklepów internetowych, w których masz konto użytkownika. Staraj się przy tym korzystać z różnych haseł.

Wprowadź uwierzytelnianie wieloskładnikowe

Uwierzytelnianie wieloskładnikowe jest niezbędne, gdyż zapewnia dodatkową ochronę podczas logowania. Podczas uzyskiwania dostępu, oprócz wpisania hasła, użytkownicy muszą przejść dodatkową weryfikację tożsamości, np. poprzez wprowadzenie kodu otrzymanego na numer telefonu.

Uważaj na ogłoszenia

Przykładem sytuacji, gdy jesteśmy narażeni na utratę danych jest poszukiwanie pracy. Niestety, wśród prawdziwych ogłoszeń są i takie, których celem jest pozyskanie jak najdokładniejszych informacji na nasz temat. Warto więc bardzo dokładnie analizować takie treści i szczególną ostrożność zachować, gdy potencjalny pracodawca chce byśmy oprócz podstawowych danych na swój temat i wskazania danych do kontaktu, także np. udostępnili skany naszych dokumentów tożsamości, co nie jest niezbędne w procesie rekrutacji. Warto korzystać z oficjalnych serwisów pośrednictwa pracy.

Bądź czujny

Zachowaj ostrożność, która może uchronić Twoje dane osobowe przed dostaniem się w ręce nieupoważnionych podmiotów lub osób, gdyż wśród nich mogą znaleźć się takie (np. grupy przestępcze, złodzieje, porywacze), które pozyskane w ten sposób informacje wykorzystają niezgodnie z prawem.

•  Nie odpowiadaj na maile od osób, których nie znasz, zwłaszcza gdy domagają się podania jakichś informacji o Tobie czy namawiają do kliknięcia w przesłany link lub otwarcia przesłanego załącznika, sugerują zmianę identyfikatora i hasła.

•  Zachowaj ostrożność także przy korzystaniu z usług bankowości elektronicznej i dokonywaniu zakupów przez Internet.

•  Zwracaj uwagę czy aby na pewno logujesz się do serwisu bankowości internetowej ze strony banku, która ma certyfikat SSL (widoczny w pasku adresu przeglądarki).

•  Weryfikuj sklepy, w których chcesz coś kupić: czy w ogóle istnieją, czy i jakie mają opinie, czy są to podmioty zidentyfikowane, gdzie mają siedzibę, czy podany jest kontakt z ich właścicielem i czy kontakt ten nie jest ograniczony tylko do elektronicznego. Jeśli masz wątpliwości co do bezpieczeństwa Twoich danych zastanów się, czy koniecznie musisz dokonać zakupów u tego sprzedawcy.

•  Weryfikuj regulaminy i polityki prywatności – unikaj sprzedawców nieprzedstawiających takich dokumentów czy też prezentujących w nich postanowienia zbyt ogólne, niejasno czy nieprecyzyjnie brzmiące, sformułowane niepoprawnie gramatycznie czy językowo, może to bowiem oznaczać, że są to podmioty niepodlegające polskiemu czy europejskiemu prawu.

Ochrona danych osobowych jest bardzo ważna. Odpowiednio chroniąc swoje dane osobowe, możemy ograniczyć ryzyko ich wykorzystania przez osoby do tego nieuprawnione.

Tomasz Więckowski – Inspektor Ochrony Danych, Koordynator ds. Cyberbezpieczeństwa