Cyberbezpieczeństwo
Krajowy System Cyberbezpieczeństwa
Realizując zadania wynikające z Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeńśtwa (Dz. U. z 2018 r. poz. 1560 ze zm.) przekazujemy Państwu informacje pozwalające na zrozumienie zagrożeń występujących w cyberprzestrzeni oraz porady jak przeciwdziałać tymi zagrożeniom.
Cyberbezpieczeństwo – zgodnie z obowiązującymi przepisami (art. 2 pkt. 4 ww. ustawy) to „odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy”
I. Najpopularniejsze zagrożenia w cyberprzestrzeni:
- Ataki z użyciem szkodliwego oprogramowania ( tzw. malware, wirusy, robaki, itp.),
- Kradzieże tożsamości, kradzieże (wyłudzenia), modyfikacje bądź niszczenie danych, blokowanie dostępu do usług, spam (niechciane lub niepotrzebne wiadomości elektroniczne), ataki socjotechniczne (np. phishing czyli wyłudzanie poufnych informacji przez podszywanie się pod godną zaufania osobę lub instytucję.
II. Sposoby zabezpieczenia się przed zagrożeniami: - Stosuj zasadę ograniczonego zaufania do odbieranych wiadomości email, sms, stron internetowych nakłaniających do podania danych osobowych, osób podających się za przedstawicieli firm, instytucji, którzy żądają podania danych autoryzacyjnych lub nakłaniających do instalowania aplikacji zdalnego dostępu.
- Nie ujawniaj danych osobowych w tym danych autoryzacyjnych dopóki nie ustalisz czy rozmawiasz z osobą uprawnioną do przetwarzania Twoich danych.
- Instaluj aplikacje tylko ze znanych i zaufanych źródeł.
- Nie otwieraj wiadomości e-mail i nie korzystaj z przesłanych linków od nadawców, których nie znasz.
- Każdy email można sfałszować, sprawdź w nagłówku wiadomości pole Received: from (ang. otrzymane od) w tym polu znajdziesz rzeczywisty adres serwera nadawcy. 6. Porównaj adres konta email nadawcy adresem w polu „From” oraz „Reply to” – różne adresy w tych polach mogą wskazywać na próbę oszustwa.
- Szyfruj dane poufne wysyłane pocztą elektroniczną. 8. Bezpieczeństwo wiadomości tekstowych (SMS). – sprawdź adres url z którego domyślnie dany podmiot/instytucja wysyła do Ciebie smsy, cyberprzestępca może podszyć się pod dowolną tożsamość (odpowiednio definiując numer lub nazwę), otrzymując smsa, w którym cyberprzestępca podszywa się pod numer zapisany w książce adresowej, telefon zidentyfikuje go jako nadawcę wiadomości sms.
- Jeśli na podejrzanej stronie podałeś swoje dane do logowania lub jeżeli włamano się na Twoje konto email – jak najszybciej zmień hasło.
- Chroń swój komputer, urządzenie mobilne programem antywirusowym zabezpieczającym przez zagrożeniami typu; wirusy, robaki, trojany, robakami,
Krajowy System Cyberbezpieczeństwa
niebezpiecznymi aplikacjami typu ransomware, adware, keylogger, spyware, dialer, phishing, narzędziami hakerskimi, backdoorami. rootkitami, bootkitami i exploitami. - Aktualizuj system operacyjny, aplikacje użytkowe, programy antywirusowe, brak aktualizacji zwiększa podatność na cyberzagrożenia hakerzy, którzy znają słabości systemu/aplikacji , mają otwartą furtkę do korzystania z luk w oprogramowaniu.
- Logowanie do e-usług publicznych, bankowości elektronicznej bez aktualnego (wspieranego przez producenta) systemu operacyjnego to duże ryzyko.
- Korzystaj z różnych haseł do różnych usług elektronicznych.
- Tam gdzie to możliwe (konta społecznościowe, konto email, usługi e-administracji, usługi finansowe) stosuj dwuetapowe uwierzytelnienie za pomocą np. sms, pin, aplikacji generującej jednorazowe kody autoryzujące, tokenów, klucza fizycznego.
- Regularnie zmieniaj hasła.
- Nie udostępniaj nikomu swoich haseł.
- Pracuj na najniższych możliwych uprawnieniach użytkownika.
- Wykonuj kopie bezpieczeństwa.
- Skanuj podłączane urządzenia zewnętrzne.
- Skanuj regularnie wszystkie dyski twarde zainstalowane na Twoim komputerze.
- Kontroluj uprawnienia instalowanych aplikacji.
- Unikaj z korzystania otwartych sieci Wi-Fi.
- Podając poufne dane sprawdź czy strona internetowa posiada certyfikat SSL. Protokół SSL to standard kodowania (zabezpieczania) przesyłanych danych pomiędzy przeglądarka a serwerem.
- Zadbaj o bezpieczeństwo routera (ustal silne hasło do sieci WI-FI, zmień nazwę sieci WI-Fi zmień hasło do panelu administratora, ustaw poziom zabezpieczeń połączenia z siecią Wi-FI np. WPA2 i wyższe, aktualizuj oprogramowanie routera, wyłącz funkcję WPS, aktywuj funkcję Gościnna Sieć Wi-Fi „Guest Network”.
- Szyfruj dyski twarde komputera, przenośne.
III. Zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie sposobów zabezpieczania się przed zagrożeniami to wiedza niezbędna każdemu użytkownikowi komputera, smartphona czy też usług internetowych. Wszelkie porady bezpieczeństwa dla użytkowników tych urządzeń dostępne są na: - Witrynie internetowej CSIRT NASK – Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego działającego na poziomie krajowym pod adresem: https://www.cert.pl
- Witrynie internetowej Ministerstwa Cyfryzacji pod adresem: https://www.gov.pl/web/cyfryzacja/cyberbezpieczenstwo
- NASK – państwowy instytut badawczy nadzorowanym przez Kancelarię Prezesa Rady Ministrów – https://www.nask.pl/
Krajowy System Cyberbezpieczeństwa
IV. Zgłaszanie incydentów bezpieczeństwa: https://incydent.cert.pl/
Na osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami Krajowego Systemu Cyberbezpieczeństwa w zakresie zadań publicznych zależnych od systemów informacyjnych, wyznaczony został Pan Tomasz Więckowski, który w Urzędzie Miejskim pełni również rolę Inspektora Ochrony Danych Osobowych, dane kontaktowe z koordynatorem ds. cyberbezpieczeństwa – poczta e-mail: iod.um@brzegdolny.pl tel.: (+48) 693 337 954.
Podstawa prawna:
Ustawa z dnia 5 lipca 2018 r. o krajowym cyberbezpieczeństwa (Dz. U. z 2018 r. poz. 1560 ze zm.).
******
W związku z pojawiającymi się nowymi formami ataków cyberprzestęców zwracam Państwa uwagę na wiadomości e-mail w których przestępcy podszywają się pod rządowe serwisy lub policję.Dodatkowo wiadomość zawiera załącznik, którego nie wolno otwierać, może zawierać szkodliwe oprogramowanie. Treści rozsyłanej wiadomości mogą się różnić np. taka jak poniżej lub z policji o postępowaniu prowadzonym w naszej sprawie.
Czekamy na odpowiedź z szerszymi wyjaśnieniami dotyczącymi Twojej sprawy.
W przeciwnym razie będziemy zobowiązani do nieodwołalnego przystąpienia do aresztowania i interpelacji.
Skontaktuj się z nami poprzez następujący bezpieczny i prywatny adres : tu pojawia się link do możliwego zagrożenia
Adam CIEŚLAK – Komendant Centralnego Biura Zwalczania Cyberprzestępczości
From: CBZC POLICJA <12.cbzc.policja.gov.pl@gmail.com>
Sent: Monday, October 24, 2022 1:12 AM
To: undisclosed-recipients:
Subject: Odnośnik do pliku IC /14
Zagrożenie Samo otrzymanie e-maila i jego otworzenie/przeczytanie nie powoduje żadnych negatywnych skutków. Dopiero rozpakowanie i uruchomienie załącznika mogą spowodować zainfekowanie komputera ofiary złośliwym oprogramowaniem.Atak dotyczy tylko systemów Windows. Jeśli korzystasz z Windowsa, upewnij się, że masz włączony Windows Defender, gdyż ten program antywirusowy, w przeciwieństwie do wielu innych, już wykrywa to złośliwe oprogramowanie.W przypadku otwarcia załącznika lub kliknięcia w link należy dokonać skanowania komputera programem antywirusowym lub Windows Defender oraz zwrócić uwagę na możliwe zagrożenia.Widomość należy usunąć. W przypadku użytkowania portali społecznościowych zwracam uwagę na pojawiające się zagrożenie, proszę zapoznać się z poniższym artykułem. Uwaga na sprytny atak na użytkowników Facebooka https://niebezpiecznik.pl/post/uwaga-na-sprytny-atak-na-uzytkownikow-facebooka/
Uwaga na sprytny atak na użytkowników FacebookaDziwi mnie trochę, że na Facebooku można ukraść komuś sesję w tak łatwy sposób. Nawet ogólnodostępne skrypty typu phpBB, czy inne WordPressy zazwyczaj mają mechanizm weryfikacji, w którym ID sesji to jedno, ale jeśli aktywna sesja z danym ID nagle przeniosłaby się pod całkiem inny adres IP, to użytkownik i tak zostanie wylogowany.niebezpiecznik.pl |
Rządowy serwis eFaktura.gov[.]pl zhackowany. Dwa razyhttps://niebezpiecznik.pl/post/rzadowy-serwis-efaktura-gov-pl-zhackowany/
Informacje o cyberbezpieczeństwie –
Szanowni Państwo Aktualności z zakresu cyberbezpieczeńśtwa a w załączniku materiały szkoleniowo-edukacyjne które można cyklicznie zamieszczać na stronie . OUCH! to cykliczny, darmowy zestaw porad bezpieczeństwa dla użytkowników komputerów. Każde wydanie zawiera krótkie, przystępne przedstawienie wybranego zagadnienia z bezpieczeństwa komputerowego wraz z listą wskazówek jak można chronić siebie, swoich najbliższych i swoją organizację. Przeczytaj i przekaż dalej! Biuletyn OUCH! jest wydawany aż w 22 językach. Polska wersja biuletynu ukazuje się od kwietnia 2011 w ramach współpracy CERT Polska i SANS Institute. OUCH jest tworzony i konsultowany przez zespół ekspertów bezpieczeństwa z SANS Securing The Human. OUCH! jest rozprowadzany na licencji Creative Commons BY-NC-ND 4.0, co oznacza że biuletyn można udostępniać w ramach swojej organizacji dowolnie, pod warunkiem że nie jest używany do celów komercyjnych.
- Nieznany numer nęka Polaków. Parę słów i pieniądze znikają
- Lista ostrzeżeń przed niebezpiecznymi stronami
- Wzrost zagrożeń dla urządzeń mobilnych
- Kampanie phishingowe wykorzystujące wizerunek banków
Nieznany numer nęka Polaków. Parę słów i pieniądze znikają Coraz więcej mówi się o tym, by podchodzi z ograniczonym zaufaniem do wszelkich rozmów telefonicznych, gdy nie znamy rozmówcy. Niestety, nadal wiele osób daje się oszustom nabrać. CSIRT ostrzega. Wymagało to wiele wysiłku, lecz społeczeństwo jest nieco bardziej uświadomione, dlatego “metoda na wnuczka” nie jest już tak skuteczna, jak kiedyś. Oszuści znaleźli inny sposób na wyłudzenie pieniędzy od Polaków. Teraz nieświadoma niczego ofiara dostaje telefon od “pracownika banku”, a później z jej konta znikają oszczędności. CSIRT KNF ostrzega przed oszustwem Dzwoni telefon, odbierasz i przedstawia ci się “pracownik banku”. Informuje cię o tym, że była próba włamania na twoje konto, a środki na nim znalazły się w niebezpieczeństwie. Proponuje zainstalowanie specjalnej aplikacji lub wykonanie przelewu na “bezpieczne konto”. Właśnie tak wyglądają sytuacje, po których Polacy tracą oszczędności. CSIRT KNF, czyli organ zajmujący się cyberbezpieczeństwem, działający przy Komisji Nadzoru Finansowego, ostrzega przed tego typu zdarzeniami. Zespół przypomina, że prawdziwy pracownik banku nigdy nie poprosi klienta o zainstalowanie zewnętrznej aplikacji ani nie zapyta o dane logowania do konta. Do wszelkich sytuacji, w których dzwoni pracownik banku należy podchodzić bardzo ostrożnie. Zawsze można zakończyć połączenie i samemu skontaktować się z bankiem w przypadku jakichkolwiek wątpliwości. Niestety, ludzie nadal licznie nabierają się na tę metodę. Na łamach Telepolis opisaliśmy już wiele takich sytuacji i nie każda miała szczęśliwe zakończenie. Lista ostrzeżeń przed niebezpiecznymi stronami
Wspólnie z operatorami telekomunikacyjnymi rozpoczynamy walkę ze stronami wyłudzającymi dane osobowe, dane uwierzytelniające do kont bankowych i serwisów społecznościowych. Lista ostrzeżeń rozpoczyna funkcjonowanie w odpowiedzi na znaczący wzrost liczby wyłudzeń danych w związku z treściami dotyczącymi epidemii koronawirusa. W ramach współpracy będziemy publikować listę domen wykorzystywanych do nadużyć – każdy może ją pobrać i wdrożyć w swoich systemach bezpieczeństwa do blokady złośliwych treści. Operatorzy, którzy przystąpili do współpracy, będą uniemożliwiali dostęp do zidentyfikowanych i przeanalizowanych przez nas domen.
Strony wyłudzające dane osobowe oraz dane uwierzytelniające są obecnie zjawiskiem masowym, dotykającym różne grupy użytkowników Internetu w Polsce. Linki do nich przesyłane są różnymi kanałami: przez SMS, e-mail lub media społecznościowe. Strony te są rejestrowane w dużych ilościach i wykorzystywane w dość krótkim czasie od rejestracji, po czym są porzucane na rzecz nowych adresów. Adresy te mogą znajdować się w różnych domenach, nie tylko w domenie krajowej *.pl. Z tego powodu bardzo ważne jest szybkie rozpoznawanie, raportowanie oraz współdzielenie informacji o złośliwych domenach, tak by można było jak najszybciej zablokować do nich dostęp.
Każde zgłoszenie podejrzanej strony będzie weryfikowane ręcznie przez co najmniej dwie osoby zajmujące się w CERT Polska obsługą zgłoszeń. W przypadku, gdy mimo starannej weryfikacji strona zostanie niesłusznie wpisana na listę, jak najszybciej zrewidujemy pierwotną decyzję i strona zostanie usunięta z listy ostrzeżeń. Chcemy podkreślić, że lista obejmuje tylko strony wykorzystywane do wyłudzeń oraz jest publicznie dostępna w różnych formatach. Jej główne cele to sprawne dzielenie się informacjami o złośliwych stronach z wszystkimi zainteresowanymi podmiotami oraz ochrona użytkowników polskiego Internetu.
Współpraca z operatorami bazuje na Porozumieniu podpisanym pomiędzy Ministrem Cyfryzacji, Dyrektorem NASK PIB oraz Prezesem Urzędu Komunikacji Elektronicznej a Orange Polska S.A., Polkomtel Sp. z o.o., P4 Sp. z o.o., T-Mobile Polska S.A. Treść porozumienia została opublikowana na stronie Urzędu Komunikacji Elektronicznej. Operatorzy telekomunikacyjni przystąpili do Porozumienia dobrowolnie i mogą w dowolnej chwili je wypowiedzieć. Porozumienie nie ingeruje w prawa i obowiązki Operatorów wynikające z przepisów ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne. Porozumienie będzie funkcjonować w okresie stanów nadzwyczajnych, stanu epidemii lub stanu zagrożenia epidemicznego w Rzeczypospolitej Polskiej. Porozumienie obowiązuje do dnia jego odwołania przez Ministra Cyfryzacji lub odwołania stanu nadzwyczajnego, stanu epidemii lub stanu zagrożenia epidemicznego w Rzeczypospolitej Polskiej, nie dłużej jednak niż przez 3 miesiące od dnia jego podpisania.
Zgłaszanie podejrzanych stron
Każdy może zgłosić stronę, która może wyłudzać dane osobowe, dane uwierzytelniające do kont bankowych lub serwisów społecznościowych, za pomocą formularza dostępnego na https://incydent.cert.pl/phishing. W przypadku gdy źródłem podejrzanej strony jest wiadomość SMS, zachęcamy do przesłania jej na nasz numer jak opisano poniżej.
Zgłaszanie podejrzanych wiadomości SMS
Podejrzaną wiadomość SMS zawierającą link możesz przesłać na numer 799-448-084 wykorzystując funkcję “przekaż” albo “udostępnij” w swoim telefonie. Trafi ona bezpośrednio do naszych analityków, którzy zdecydują o dopisaniu podejrzanej domeny do listy ostrzeżeń. Z jednego numeru możesz zgłosić maksymalnie 3 wiadomości w ciągu 4 godzin.
Pamiętaj że numer służy wyłącznie do zgłaszania prób wyłudzeń internetowych (phishingu, fałszywych aplikacji) – nie przyjmujemy tą drogą zgłoszeń dotyczących usług SMS premium. Podany numer służy tylko do przyjmowania SMS-ów – numer do telefonicznego zgłaszania incydentów znajduje się na naszej stronie.
Lista ostrzeżeń
Lista ostrzeżeń zawierająca wykaz witryn stanowiących zagrożenie dostępna jest jako następujące pliki:
- format tekstowy, tylko aktywne domeny, jedna domena per linia: https://hole.cert.pl/domains/domains.txt
- format TSV (tab-separated values): https://hole.cert.pl/domains/domains.csv
- format JSON: https://hole.cert.pl/domains/domains.json
- format XML: https://hole.cert.pl/domains/domains.xml
- format kompatybilny z wtyczkami do przeglądarek: Adblock Plus, uBlock Origin, Adguard: https://hole.cert.pl/domains/domains_adblock.txt
- format hosts: https://hole.cert.pl/domains/domains_hosts.txt
- format .rsc, ograniczony do 4096 bajtów, dla systemów MikroTik/RouterOS: https://hole.cert.pl/domains/domains_mikrotik.rsc
Pliki są aktualizowane co 5 minut. Pełna specyfikacja naszego API dostępna jest tutaj.
Najczęściej zadawane pytania
Czy jako użytkownik domowy muszę za to płacić? Jak mam listę włączyć u siebie?
Lista może być wykorzystywana przez dostawców internetowych do blokowania stron wyłudzających dane w ich sieciach. Dostawca nie powinien pobierać z tego tytułu dodatkowych opłat. Zapytaj swojego dostawcę, czy korzysta z listy ostrzeżeń.
Którzy operatorzy używają listy ostrzeżeń do blokowania podejrzanych stron internetowych?
Sygnatariuszami porozumienia o stworzeniu listy są: Orange, Polkomtel (Plus), P4 (Play) i T-Mobile. Udział każdego z operatorów w programie jest dobrowolny.
Jestem użytkownikiem. W jaki sposób mogę sprawdzić, czy mój operator telekomunikacyjny blokuje domeny wpisane na Listę Ostrzeżeń?
Prosimy o wejście na adres lista.cert.pl, gdzie znajduje się usługa umożliwiająca sprawdzenie, czy w obecnie używanej sieci blokowane są domeny wpisane na Listę Ostrzeżeń.
Czy chodzi o cenzurę polskiego Internetu?
Zależy nam tylko i wyłącznie na ochronie polskich internautów przed nasilającymi się ostatnio zagrożeniami w postaci stron mogących wyłudzać dane osobowe, dane uwierzytelniające do kont bankowych lub serwisów społecznościowych. Lista domen jest zbiorem adresów wykorzystywanych do nadużyć rekomendowanych do ograniczenia dostępu – nie wymuszamy ich blokady przez operatorów.
Czy lista ostrzeżeń przed niebezpiecznymi stronami jest dostępna publicznie?
Tak, dostępna jest publicznie powyżej.
Czy każdy może zgłosić podejrzaną stronę do blokady?
Tak, można to zrobić pod adresem https://incydent.cert.pl/phishing.
W jaki sposób zgłoszenia są oceniane i kto podejmuje decyzję o blokadzie? Kto odpowiada za niewłaściwą klasyfikację? Jak wygląda proces weryfikacji zgłoszeń?
Zgłoszenia oceniane są ręcznie przez analityków CERT Polska, którzy analizując stronę bazują na wieloletnim doświadczeniu w walce z występującymi nadużyciami w polskim internecie. W procesie wpisania adresu każdej strony do rejestru wymagane jest działanie przynajmniej dwóch analityków. Sama blokada wejścia na stronę dokonywana jest poprzez operatorów telekomunikacyjnych. W ramach funkcjonowania listy ostrzeżeń CERT Polska i operatorzy nie dokonują zmian w rejestrach domen ani serwerach, na których umieszczone są treści.
W jaki sposób działa blokada stron?
Blokada realizowana jest przez operatorów telekomunikacyjnych poprzez zmianę adresu złośliwej strony w systemie cache DNS operatora. Zamiast wyświetlenia oryginalnej strony nastąpi przekierowanie do strony ostrzegającej o zagrożeniu prowadzonej przez danego operatora telekomunikacyjnego albo CERT Polska (która wygląda tak).
Strona znajduje się na liście, ale nadal mogę na nią wejść i nie pojawia się żadne ostrzeżenie. Dlaczego?
Ponieważ rozwiązanie bazuje na zmianie adresu IP zwracanego przez serwer DNS operatora, domena może być nadal dostępna z niektórych urządzeń, pomimo jej zablokowania na liście ostrzeżeń.
Możliwe powody są następujące:
- Twój dostawca internetu lub administrator Twojej sieci nie korzysta jeszcze z Listy Ostrzeżeń
- Twoje urządzenie ma ustawione alternatywne serwery DNS np. 8.8.8.8 lub używa rozwiązania DNS over HTTPS
- stary rekord DNS znajduje się jeszcze w pamięci podręcznej usługi DNS
Jestem właścicielem niesłusznie zablokowanej strony (np. moja strona została przejęta przez przestępców). Jak mogę się odwołać?
Prosimy o wysłanie wiadomości email na adres cert@cert.pl.
Jak długo może trwać weryfikacja odwołania o niesłuszne zablokowanie i jak szybko będę mógł znów używać mojej strony po pozytywnym jej rozpatrzeniu?
Dokładamy wszelkich starań, aby nastąpiło to jak najszybciej, jednakże rzeczywisty czas przywrócenia poprawnego rozwiązywania nazwy domenowej zależy od operatorów.
Czy ktoś może złośliwie zgłosić na listę moją domenę, np. konkurencja?
Każde zgłoszenie jest weryfikowane z najwyższą starannością i ostrożnością. Jeżeli na Twojej stronie nie ma treści, które służą do wyłudzania danych i środków finansowych internautów, nie powinieneś się niczego obawiać.
Jak mogę się bronić przed fałszywym zgłoszeniem mojej domeny?
Wszystkie zgłoszenia są ręcznie analizowane przez analityków CERT Polska, a fałszywe zgłoszenia będą odrzucane. W razie jakichkolwiek wątpliwości co do zasadności umieszczenia domeny na liście, prosimy o przesłanie informacji na cert@cert.pl.
Jestem właścicielem domeny *.pl, czy przed blokadą dostanę informację o tym fakcie?
Nie. Blokada realizowana jest dobrowolnie przez poszczególnych operatorów telekomunikacyjnych, a nie w ramach rejestru domeny .pl i jej regulaminu.
Jak często aktualizowana jest lista ostrzeżeń przed niebezpiecznymi stronami?
Po podjęciu decyzji o wpisaniu strony na listę, pojawi się na niej w ciągu 5 minut.
Czy ten mechanizm będzie wykorzystywany do walki z dezinformacją, fake newsami czy pornografią?
Nie. Programem objęte są tylko strony, które mogą wyłudzać dane osobowe, dane uwierzytelniające do kont bankowych lub serwisów społecznościowych.
Na jak długo blokowana jest domena?
Domena może być usunięta z listy po ustaniu przesłanek do jej umieszczenia. W takim przypadku operatorzy powinni niezwłocznie zaprzestać jej blokowania. Każdy operator może niezależnie podjąć decyzję o wcześniejszym odblokowaniu domeny.
Jestem firmą i otrzymuję dużo niechcianej korespondencji – czy mogę zgłaszać automatycznie złośliwe domeny, np. poprzez API?
Nie. Prosimy o zgłaszanie stron wstępnie zweryfikowanych poprzez formularz dostępny na stronie https://incydent.cert.pl/phishing.
Czy lista ostrzeżeń będzie działać już zawsze?
Na chwilę obecną porozumienie z operatorami przy blokowaniu złośliwych stron przewiduje współpracę w okresach stanów nadzwyczajnych, stanu epidemii lub stanu zagrożenia epidemicznego. Udział operatorów w programie jest dobrowolny i nie wykluczamy możliwości jego kontynuowania w innych okresach.
Jak szybko od mojego zgłoszenia strona zostanie zweryfikowana i zablokowana?
Dokładamy najwyższej staranności, aby weryfikacja zgłoszenia trwała najkrócej jak to możliwe.
Czy mogę pobierać listę automatycznie i np. wykorzystywać ją, aby chronić moich pracowników?
Tak.
- Wzrost zagrożeń dla urządzeń mobilnych
Rynek urządzeń mobilnych z roku na rok powiększa się i ten trend w 2021 r. również został zachowany. Według raportu Digital 2021 między styczniem 2020 r. a styczniem 2021 roku liczba użytkowników urządzeń mobilnych na świecie zwiększyła się o 93 miliony, co oznacza wzrost o 1,8 proc. Z raportu wynika, że rynek urządzeń mobilnych został zdominowany przez dwa systemy operacyjne – Android, który w grudniu 2020 r. wykorzystywany był przez 72,5 proc. urządzeń, oraz iOS, używany w 26,9 proc. smartfonów.
Według badania zleconego przez UKE, w roku 2021 96,9 proc. ankietowanych korzystało z telefonu komórkowego, z czego 80,4 proc. ze smartfona. Warto też odnotować, że blisko 74 proc. użytkowników spotkało się z usługą automatycznych SMS-ów. Zdecydowanie najwięcej respondentów (ponad 90 proc.) otrzymywało automatyczne powiadomienia dotyczące alertów RCB, zaś nieco ponad 50 proc. otrzymywało wiadomości systemowe od operatora (o aktywacji usługi czy płatności). Na trzecim miejscu (49,3 proc.) respondenci wskazali powiadomienia kurierskie i pocztowe.
Popularność smartfonów i automatycznych SMS-ów dostrzegli również przestępcy. Coraz częściej przygotowują kampanie phishingowe nakierowane na ich użytkowników oraz złośliwe oprogramowanie na platformy mobilne.
Rok 2021 cechował się znacznym wzrostem liczby zgłoszeń związanych z tym zagrożeniem. W tym okresie do zespołu zespołu CERT Polska trafiło ponad 17,5 tys. zgłoszeń dotyczących szkodliwych aplikacji na systemy operacyjne Android.
Przegląd zaobserwowanych nowych trojanów
Flubot
Po raz pierwszy Flubot, inaczej Cabassous, został zaobserwowany pod koniec 2020 r. w Finlandii i Hiszpanii , gdzie prowadzone były kampanie phishingowe wykorzystujące logotypy firm FedEx, DHL oraz Correos. Kampanie Flubota były przeprowadzane w kilkudziesięciu krajach, w tym w Polsce. CERT Orange Polska podczas analizy próbki Flubota w wersji 4.9 (przypis 75) wyszczególnił 28 krajów do których były wysyłane złośliwe SMSy.
Podstawową funkcją Flubota jest wstrzykiwanie podstawionych stron logowania do konkretnych aplikacji. Wpisane do takiego panelu login i hasło są wysyłane do serwera C&C.
Nazwa Flubot wywodzi się od sposobu propagowania tego złośliwego oprogramowania (od ang. flu oznaczającego grypę) i wynika ona z jego funkcji. Flubot wykorzystuje zainfekowany telefon do dalszego rozsyłania wiadomości phishingowych. Oznacza to, że wraz z każdą infekcją rośnie liczba botów wysyłających wiadomości phishingowe na losowe numery telefonów.
Warto zwrócić uwagę na fakt, że baza numerów telefonów, do których były wysyłane wiadomości, jest zasilana między innymi poprzez listę kontaktów z zainfekowanych telefonów.
Wraz z kolejnymi kampaniami realizowanymi w wielu krajach, funkcje Flubota rozwijały się. Między innymi utrudniano przechwytywanie komunikacji między botem a serwerem C&C, wprowadzając mechanizmy tunelowania ruchu DNS over HTTPS.
BlackRock
W drugim kwartale 2020 r. pojawiło się nowe szkodliwe oprogramowanie BlackRock, które w dużym stopniu opierało się na zapożyczeniu kodu oraz funkcji z rodziny Xerxes oraz LokiBot. Poza wspomnianym niżej incydentem, zespół CERT Polska w 2020 r. nie zaobserwował żadnej kampanii związanej z tą konkretną rodziną. W 2021 r. kampania była aktywna przez bardzo krótki okres.
Wśród możliwości BlackRocka można wyróżnić:
- logowanie wpisywanych danych,
- listowanie, przekazywanie oraz wysyłanie SMS-ów,
- blokowanie ekranu,
- zbieranie informacji na temat urządzenia oraz powiadomień,
- ukrywanie ikony aplikacji,
- umożliwienie usunięcia aplikacji,
- wstrzykiwanie fałszywych paneli logowania do konkretnych aplikacji.
ERMAC
We wrześniu 2021 r. CERT Polska zaobserwował nowy wariant opisywanego w 2020 r. trojana Cerberus – ERMAC. W porównaniu z poprzednimi wariantami, zmieniony został wykorzystywany do tej pory algorytm szyfrowania. Zaimplementowana została też funkcja raportowania listy kont dodanych w systemie. Podobnie jak w przypadku pierwszej wersji Cerberusa, kilka miesięcy wcześniej także pojawiła się oferta jego sprzedaży. ERMAC był prawdopodobnie wykorzystywany przez tego samego aktora, który stał za kampanią BlackRock.
Kampanie zaobserwowane w 2021 roku
Wzorem lat ubiegłych, w 2021 r. szkodliwe oprogramowanie na urządzenia mobilne było najczęściej dystrybuowane za pomocą fałszywych wiadomości SMS oraz e-maili, które posiadały odnośniki do odpowiednio spreparowanych stron internetowych. Chociaż witryny te prezentowały różne zawartości, wszystkie miały jeden cel: zachęcenie potencjalnej ofiary do pobrania szkodliwego pliku ze wskazanego zasobu. Poniżej, w kolejności chronologicznej, przedstawiony został przegląd najciekawszych kampanii, zaobserwowanych przez CERT Polska w 2021 r.
Odbiór paczki Inpost
W pierwszej połowie stycznia zespół CERT Polska zaobserwował kontynuację schematu dystrybucji szkodliwego oprogramowania z rodziny Alien, z wykorzystaniem logotypów firmy InPost. Sposób dystrybucji nie zmienił się w 2021 r., dalej na losowe numery wysyłane były SMS-y, które zawierały w swojej treści link do strony przypominającej portal wcześniej wspomnianego podmiotu. Wiadomości były tak skonstruowane, aby zachęcić użytkownika do pobrania aplikacji ze wskazanego zasobu. W tym celu przestępcy powoływali się na konieczność podjęcia działań względem wspomnianej sytuacji. Uznaje się, że w drugiej połowie stycznia, kampania została zakończona. Nasz zespół nie zaobserwował w 2021 r. kolejnych zgłoszeń związanych z Alienem.

Przykład wiadomości nakłaniającej do pobrania oraz zainstalowania szkodliwej aplikacji.

Fałszywa stronia nakłaniająca do instalacji szkodliwej aplikacj.
Aktualizacja regulaminu oraz Polityka antyspamowa
W pierwszej połowie 2021 r. CERT Polska zaobserwował kontynuację kampanii dystrybucji szkodliwego oprogramowania z rodziny Hydra, w których wykorzystano logotypy dostawców usługi poczty elektronicznej, takich jak WP, o2, Onet czy Interia. Losowi adresaci na swoje skrzynki pocztowe otrzymywali wiadomości od rzekomego administratora skrzynki. Zależnie od wariantu oszustwa, w treści e-maila znajdowały się informacje o konieczności zatwierdzenia zaktualizowanego regulaminu lub fałszywe powiadomienie o blokadzie konta, spowodowanej rzekomym spamem wychodzącym ze skrzynki. Cel oszustów, niezależnie od schematu, pozostawał ten sam – zachęcenie ofiary do pobrania i zainstalowania szkodliwej aplikacji. Ostatni raz ten schemat został użyty w maju 2021 r. więcej https://cert.pl/posts/2022/05/trojany-mobilne-2021/
Trojany mobilne w Polsce w 2021 r. | CERT Polska Rynek urządzeń mobilnych z roku na rok powiększa się, a w raz z nim liczba ataków na urządzenia mobilne. W 2021 r. do zespołu zespołu CERT Polska trafiło ponad 17,5 tys. zgłoszeń dotyczących szkodliwych aplikacji na systemy operacyjne Android. cert.pl |
4.Kampanie phishingowe wykorzystujące wizerunek banków
Głównym celem tego oszustwa jest zachęcenie potencjalnej ofiary do podania danych logowania do swojego konta bankowości internetowej, aby następnie wyłudzić przechowywane pieniądze. W tym schemacie oszuści wykorzystują wizerunek znanych banków oraz starają się masowo dotrzeć do dużej liczby odbiorców. Treść produkowanych przez nich tekstów zazwyczaj informuje o konieczności podjęcia działań na koncie lub o możliwości uzyskania dodatkowych pieniędzy. Wszystkie poniżej przedstawione schematy finalnie prowadzą do fałszywego panelu logowania do bankowości internetowej.

1.a. Wiadomości email i SMS
Jednym z głównych sposobów propagacji oszustwa są wiadomości email oraz SMS. Na losowe skrzynki lub numery telefonów docierają wiadomości, które zazwyczaj informują o konieczności podjęcia akcji na koncie. Do wiadomości zawsze dołączany jest link, dzięki któremu rzekomo można rozwiązać zaistniały problem.

1.b. Reklamy na portalach społecznościowych
Oszuści również wykorzystują dużą popularność mediów społecznościowych. Próbują oni dotrzeć do użytkowników konkretnego portalu społecznościowego, korzystając z dostępnych mechanizmów reklamowania wpisów. Zazwyczaj treść tych wpisów informuje o możliwości uzyskania pieniędzy po podjęciu akcji na wskazanej stronie.
1.c. Reklamy w rezultatach wyszukiwarek
Przestępcy zauważyli także istniejący trend, występujący wśród użytkowników bankowości internetowej, wykorzystywania wyszukiwarek internetowych do odnalezienia strony logowania do swojego konta w banku. W związku z tym, nadużywając mechanizm reklamowania, oszuści próbują podmienić pierwszy wynik wyszukania. Efekt tego działania można zaobserwować na poniższym zrzucie ekranu. Cyberprzestępcy w reklamie wpisują prawdziwą domenę bankowości, lecz przekierowują do fałszywej, zatem pamiętajcie o sprawdzeniu paska adresu, przed wpisaniem danych logowania do konta.

2. Wyłudzenie danych logowania do bankowości internetowej oraz kradzież środków
Linki podstawione przez przestępców prowadzą do fałszywego panelu logowania do bankowości internetowej. Podanie w nim danych da oszustom dostęp do konta bankowego oraz pozwoli im ukraść zgromadzone na koncie środki.

Co zrobić w przypadku, gdy wyłudzono dane logowania do bankowości internetowej
W przypadku, gdy oszust uzyska dostęp do danych logowania konta bankowości internetowej, zalecamy podjąć następujące kroki:
- jak najszybciej skontaktować się ze swoim bankiem,
- zmienić hasło do bankowości internetowej,
- jeżeli doszło do wyłudzenia środków finansowych, zgłosić ten fakt w najbliższym komisariacie Policji.
Ostrzeżenia
- https://www.facebook.com/CERT.Polska/posts/3500932313260467
- https://www.facebook.com/CERT.Polska/posts/480438564958178

Szanowni Państwo
Ruszyła kolejna fala ataków wyłudzających pieniądze pod pretekstem niedopłaty do rachunku za prąd — przestępcy w SMS-ach podszywają się pod PGE. Skala ataku wydaje się być większa niż w zeszłych tygodniach. Wiele osób dostaje też wiadomości po kilka razy z różnych numerów:

Treści wiadomości są natomiast dokładnie takie, jak zazwyczaj:

PGE: Na dzień XX.09.2022 zaplanowano odlaczenie energii elektrycznej! Prosimy o uregulowanie naleznosci LINK
Pod linkiem kryje się fałszywa strona, która podszywa się pod PGE a potem przekierowuje na fałszywą bramkę płatności:

- Samo otrzymanie SMS-a niczym nie grozi. Oszuści nie wiedzą, ile wynosi twój rachunek, te wiadomości wysyłają masowo, na ślepo.
- Jeśli ktoś kliknie w link z SMS-a, też nic się nie stanie. Dopiero jeśli na wskazanej stronie poda dane, o które proszą oszuści, to straci swoje oszczędności.
- Zalogowałeś się do banku po linku z tego SMS-a? Jak najszybciej skontaktuj się z infolinią swojego banku celem weryfikacji danych i zmień zasady logowania i hasło!
****************************************
Realizując zadania, wynikające z art. 22 ust. 1 pkt 4 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2020 r. poz. 1369, z późn.zm.), przekazujemy Państwu informacje pozwalające na zrozumienie zagrożeń występujących w cyberprzestrzeni oraz porady jak skuteczne stosować sposoby zabezpieczenia się przed tymi zagrożeniami.
Cyberbezpieczeństwo, zgodnie z obowiązującymi przepisami, to „odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy” (art. 2 pkt 4) ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.
Realizując zadania wynikające z ustawy o krajowym systemie cyberbezpieczeństwa przekazujemy Państwu informacje pozwalające na zrozumienie zagrożeń występujących w cyberprzestrzeni oraz porady jak skuteczne stosować sposoby zabezpieczenia się przed tymi zagrożeniami:
Do najpopularniejszych zagrożeń w cyberprzestrzeni, z którymi mogą się Państwo spotkać, należą:
- ataki z użyciem szkodliwego oprogramowania (malware, wirusy, robaki, itp.),
- kradzieże tożsamości,
- kradzieże (wyłudzenia), modyfikacje bądź niszczenie danych,
- blokowanie dostępu do usług,
- spam (niechciane lub niepotrzebne wiadomości elektroniczne),
- ataki socjotechniczne (np. phishing, czyli wyłudzanie poufnych informacji przez podszywanie się pod godną zaufania osobę lub instytucję).
Sposoby zabezpieczenia się przed zagrożeniami:
- Zainstaluj i używaj oprogramowania przeciw wirusom i spyware. Najlepiej stosuj ochronę w czasie rzeczywistym.
- Aktualizuj oprogramowanie oraz bazy danych wirusów (dowiedz się czy twój program do ochrony przed wirusami posiada taką funkcję i robi to automatycznie).
- Nie otwieraj plików nieznanego pochodzenia.
- Nie korzystaj ze stron banków, poczty elektronicznej czy portali społecznościowych, które nie mają ważnego certyfikatu, chyba, że masz stuprocentową pewność z innego źródła, że strona taka jest bezpieczna.
- Nie używaj niesprawdzonych programów zabezpieczających czy też do publikowania własnych plików w Internecie (mogą one np. podłączać niechciane linijki kodu do źródła strony).
- Co jakiś czas skanuj komputer i sprawdzaj procesy sieciowe – jeśli się na tym nie znasz poproś o sprawdzenie kogoś, kto się zna. Czasami złośliwe oprogramowanie nawiązujące własne połączenia z Internetem, wysyłające twoje hasła i inne prywatne dane do sieci może się zainstalować na komputerze mimo dobrej ochrony – należy je wykryć i zlikwidować.
- Sprawdzaj pliki pobrane z Internetu za pomocą skanera.
- Staraj się nie odwiedzać zbyt często stron, które oferują niesamowite atrakcje (darmowe filmiki, muzykę, albo łatwy zarobek przy rozsyłaniu spamu) – często na takich stronach znajdują się ukryte wirusy, trojany i inne zagrożenia.
- Nie zostawiaj danych osobowych w niesprawdzonych serwisach i na stronach, jeżeli nie masz absolutnej pewności, że nie są one widoczne dla osób trzecich.
- Nie wysyłaj w e-mailach żadnych poufnych danych w formie otwartego tekstu.
- Aktualizuj system operacyjny i aplikacje bez zbędnej zwłoki.
- Pamiętaj o uruchomieniu firewalla.
- Wykonuj kopie zapasowe ważnych danych.
- Pamiętaj, że żaden bank czy Urząd nie wysyła e-maili do swoich klientów/interesantów z prośbą o podanie hasła lub loginu w celu ich weryfikacji.
Zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami to wiedza niezbędna każdemu użytkownikowi komputera, smartphona czy też usług internetowych.
- STÓJ. POMYŚL. POŁĄCZ. jest polską wersją międzynarodowej kampanii STOP. THINK. CONNECT.™, mającej na celu zwiększanie poziomu świadomości społecznej i promowanie bezpieczeństwa w cyberprzestrzeni. Zapoznaj się z dobrymi praktykami opublikowanymi na stronach kampanii oraz z dostępnymi na niej materiałami do pobrania.
- OUCH! To cykliczny, darmowy zestaw porad bezpieczeństwa dla użytkowników komputerów. Każde wydanie zawiera krótkie, przystępne przedstawienie wybranego zagadnienia z bezpieczeństwa komputerowego wraz z listą wskazówek jak można chronić siebie, swoich najbliższych i swoją organizację. Zobacz wszystkie polskie wydania OUCH! na stronie CERT Polska.
- Zespół CERT Polska działa w strukturach NASK (Naukowej i Akademickiej Sieci Komputerowej) – państwowego instytutu badawczego prowadzącego działalność naukową, krajowy rejestr domen .pl i dostarczającego zaawansowane usługi teleinformatyczne. CERT Polska jest zespołem specjalistów zwalczających zagrożenia w sieciach komputerowych. Zapoznaj się z rocznymi raportami z działalności CERT Polska zawierającymi zebrane dane o zagrożeniach dla polskich użytkowników Internetu, w tym również opisy najciekawszych nowych zagrożeń i podatności.
- zestaw porad bezpieczeństwa dla użytkowników komputerów prowadzony na witrynie internetowej CSIRT NASK – Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego działającego na poziomie krajowym:https://www.cert.pl/ouch/
- poradniki na witrynie internetowej Ministerstwa Cyfryzacji:https://www.gov.pl/web/baza-wiedzy/cyberbezpieczenstwo
- publikacje z zakresu cyberbezpieczeństwa: https://www.cert.pl/
- strona internetowa kampanii STÓJ. POMYŚL. POŁĄCZ. mającej na celu zwiększanie poziomu świadomości społecznej i promowanie bezpieczeństwa w cyberprzestrzeni:https://stojpomyslpolacz.pl/stp/
Hasła
Hasła to powszechnie wykorzystywany, prosty i wszystkim znamy sposób chronienia dostępu do poufnych danych i usług. Aby jednak działały skutecznie, muszą być tworzone i stosowane w sposób prawidłowy, w tym dostosowany do aktualnych wymogów technicznych i organizacyjnych. Zmieniają się urządzenia, pojawiają się nowe usługi, dotychczasowa wiedza na temat skuteczności procedur uwierzytelniania jest weryfikowana. Stąd potrzeba aktualizacji rekomendacji dla użytkowników i organizacji przede wszystkim w zakresie tworzenia i stosowania haseł oraz projektowania procedur logowania. W ciągu ostatnich kilku lat zmienione zostały obowiązujące od długiego czasu zalecenia mówiące między innymi o potrzebie cyklicznej, profilaktycznej zmiany hasła lub stosowania znaków specjalnych i cyfr w celu jego wzmocnienia. W wielu organizacjach procedury te jednak nadal są stosowane, co ma negatywny wpływ na bezpieczeństwo polskich instytucji oraz użytkowników. Poniżej prezentujemy rekomendacje CERT Polska, mające na celu uporządkowanie i aktualizację wiedzy na ten temat oraz przybliżające inne niż samo hasło metody uwierzytelniania i ochrony dostępu. Zalecenia te bazują na eksperckiej wiedzy i uwzględniają doświadczenia zgromadzone w ciągu ostatnich lat.
Uwierzytelnianie
Bezpieczny dostęp do informacji przeznaczonych dla określonej grupy osób zawsze wymaga weryfikacji, czy osoba ubiegająca się o ten dostęp jest tym, za kogo się podaje. Proces udowadniania swojej tożsamości nazywamy uwierzytelnianiem. Najczęściej wymaga on przekazania i weryfikacji tzw. sekretu. Może nim być np. hasło, czy kod PIN. Najważniejszą cechą sekretu jest jego tajność – powinien on być znany tylko uprawnionym osobom. Jest to prosty technicznie mechanizm, który ma jednak pewne mankamenty. Szybki rozwój technologii oraz przenoszenie coraz większej części naszego życia do sfery cyfrowej spowodowały, że liczba systemów, w których musimy się regularnie uwierzytelniać, znacząco wzrosła. Sprawia to, że zapamiętanie silnych, unikalnych haseł do każdego z nich może okazać się problematyczne, bądź wręcz niemożliwe. Z pomocą przychodzą różne mechanizmy i technologie, które mogą sprawić, że będzie to prostsze.
Menedżery haseł
Jednym z narzędzi ułatwiających użytkownikom radzenie sobie z dużą liczbą kont i powiązanych z nimi haseł są programy do zarządzania hasłami, popularnie zwane menedżerami haseł. Istnieje wiele rozwiązań tego typu – od narzędzi wbudowanych w przeglądarkę, po rozwiązania działające w chmurze. Zadaniem tych programów jest umożliwienie bezpiecznego przechowywania haseł, dzięki czemu nie trzeba ich zapamiętywać. Pozwalają one również na generowanie haseł oraz często umożliwiają automatyczne wpisanie hasła, gdy zajdzie potrzeba uwierzytelnienia się. Najczęściej spotykanym przykładem menedżera haseł jest ten wbudowany w przeglądarkę internetową. Jest to rozwiązanie dość powszechnie stosowane i pozwalające na zwiększenie siły haseł niewielkim kosztem. Istnieje jednak pewne ryzyko utraty dostępu do danych przechowywanych w menedżerze haseł. Może to nastąpić np. w przypadku awarii bądź utraty sprzętu. Jeżeli nie zadbaliśmy o przygotowanie kopii zapasowej, odzyskanie dostępu do wielu kont może wymagać przejścia procedur odzyskiwania konta u dostawców usług. To ryzyko jest mniejsze w przypadku rozwiązań chmurowych, gdyż dane nie są bezpośrednio przechowywane na naszym urządzeniu.
Dostawcy tożsamości
Innym rozwiązaniem odciążającym użytkowników są technologie nazywane “dostawcami tożsamości” (ang. identity providers). Są to mechanizmy, umożliwiające stworzenie jednego miejsca zarządzającego tożsamościami oraz udostępnianie ich innym usługom w celu uwierzytelnienia użytkowników. Przykładem takiego mechanizm jest Single Sign-On (SSO), powszechnie stosowany w środowiskach korporacyjnych. Pozwala on na oddelegowanie konta użytkownika z jednego miejsca w taki sposób, aby inne usługi mogły nas rozpoznać i uwierzytelnić. Podobnym rozwiązaniem jest wykorzystanie mechanizmu OAuth do udostępniania tożsamości zewnętrznym usługom. Jest to obecnie bardzo popularne rozwiązanie, dzięki któremu możemy np. zalogować się do platformy dostawcy muzyki, używając konta w portalu społecznościowym. W ten sposób użytkownik otrzymuje dostęp do wielu usług, wykorzystując tylko jedno hasło, które potwierdza jego tożsamość u dostawcy.
Biometria
Biometria to metoda uwierzytelnienia wykorzystująca “coś czym jesteś” jako czynnik poddawany weryfikacji. Najczęściej stosowane w tym zakresie są odcisk palca, skan twarzy bądź obraz tęczówki oka. Duża dostępność urządzeń biometrycznych w telefonach oraz komputerach osobistych, jej wygoda oraz dojrzałość, jaką technologia ta osiągnęła w sprzęcie konsumenckim po wielu latach udoskonaleń, sprawia, że jest to wygodna oraz często bezpieczna forma uwierzytelnienia. Nie wszystkie systemy i urządzenia jednak pozwalają na uwierzytelnienie z użyciem tej technologii i nie wszędzie jest to najlepsze rozwiązanie.
Uwierzytelnienie dwuskładnikowe
Uwierzytelnianie użytkowników dzieli się na 3 grupy ze względu na weryfikowany czynnik. Sprawdzeniu mogą podlegać:
- Coś, co znasz – np. hasło lub kod PIN
- Coś, co posiadasz – np. token sprzętowy, telefon, karta Smart Card
- Coś, czym jesteś – np. odcisk palca lub skan tęczówki oka
Metoda uwierzytelnienia dwuskładnikowego polega na weryfikacji dwóch z trzech powyższych elementów. Najczęściej stosowaną kombinacją jest hasło (coś co znasz) plus jeden z czynników z którejś z pozostałych grup. Drugi składnik stanowi dodatkową warstwę bezpieczeństwa. Popularnie stosowanym drugim składnikiem są m.in. kody SMS, kody generowane przez token sprzętowy albo potwierdzenie operacji w odpowiednio skonfigurowanej wcześniej aplikacji. Zastosowanie tego rozwiązania uniemożliwia atakującemu, który pozyskał nasz login i hasło, uwierzytelnienie się w usłudze, jeżeli nie zdobędzie on również drugiego składnika.
Polityka haseł
Zalecenia zawarte w tym dokumencie bazują na aktualnych publikacjach międzynarodowych takich jak NIST Digital Identity Guidelines czy materiałach opublikowanych przez FBI w ramach akcji Protected Voices, oraz na obserwacjach i doświadczeniu CERT Polska, zbudowanemu podczas własnych badań i obsługi licznych incydentów bezpieczeństwa. Pełna lista użytych źródeł oraz materiałów, z których korzystano, została zamieszczona na końcu tego artykułu.
Rekomendacje CERT Polska
Poniżej prezentujemy rekomendowane wymagania dla polityki haseł. Pełne wymagania techniczne dla systemów informatycznych wymagających kontroli dostępu użytkowników i pozwalających na uwierzytelnienie z użyciem hasła przedstawiono w osobnym dokumencie.
- Brak wymuszonej okresowej zmiany haseł użytkowników1
- Blokada tworzenia hasła znajdującego się na liście słabych/często używanych haseł2
- Blokada hasła zawierającego przewidywalne człony (np. nazwa firmy, usługi)
- Minimalna długość hasła – co najmniej 12 znaków3
- Limit znaków w haśle nie mniejszy niż 64 znaki
- Brak dodatkowych kryteriów złożoności, np. znaków specjalnych, cyfr czy dużych liter
Ad. 2: CERT Polska publikuje polską wersję słownika haseł będącą wynikiem analizy danych upublicznionych w wyciekach. Zawiera on zestaw około miliona najpopularniejszych haseł, posortowanych malejąco od haseł najbardziej popularnych. Może on posłużyć administratorom systemów przy wdrożeniu polityki haseł zgodnej z zaleceniami.
Ad. 3: Limit 12 znaków jest minimalną długością hasła np. dla serwera danych, standardowo hasło ma mieć minimum 8 znaków. CERT Polska zaleca ustawianie haseł dłuższych, budowanych w oparciu o całe zdanie. Więcej o tworzeniu haseł piszemy w sekcji Hasła silne i łatwe do zapamiętania.
Uzasadnienie rekomendacji
Skupiono się na długości hasła zamiast jego złożoności, ponieważ badania wskazują, że jest to znacznie ważniejszy czynnik, wpływający na jego bezpieczeństwo. Zrezygnowano również z wymuszania okresowej zmiany haseł, ponieważ powstające w jej wyniku nowe hasła są najczęściej wariacją poprzednich, zazwyczaj skonstruowane w łatwy do przewidzenia sposób. Badania pokazują, że użytkownicy nie są w stanie zapamiętać całkiem nowego silnego hasła np. co miesiąc. Zamiast wymogów złożoności hasła, skupiono się na wykluczeniu haseł w oczywisty sposób prostych, najczęściej używanych, przewidywalnych, bądź ujawnionych w wyciekach. Należą do tej grupy hasła, które są np. zbudowane według prostych schematów, ale także najpopularniejsze imiona, zwroty czy nazwy własne. W zasadzie wszystkie słowniki używane do łamania haseł zawierają na początku listy hasła typu 123456, zaq1@WSX, albo słowo password. Należy również uwzględnić łatwe do przewidzenia składowe hasła, jak nazwa firmy, czy usługi. Dodawanie tego typu elementów do hasła tylko nieznacznie zwiększa jego bezpieczeństwo. Przykładowo, hasło zaq1@wsxCERT, można uznać za równie słabe jak zaq1@wsx, w przypadku użycia przez pracownika CERT Polska.
Hasła silne i łatwe do zapamiętania
Silne hasło można zbudować na wiele sposobów. Najbardziej oczywistym wydaje się wylosowanie bardzo długiego ciągu znaków i wykorzystanie menedżera haseł do jego zapisania. Takie hasło jest jednak trudne do zapamiętania przez człowieka. Przykładem sytuacji, w której potrzebne jest silne, łatwe do zapamiętania hasło jest hasło do bazy danych menedżera haseł, albo do konta użytkownika w systemie operacyjnym – gdy nie mamy jeszcze dostępu do menedżera.
Jak budować silne hasła
W celu stworzenia silnego hasła, które będziemy w stanie zapamiętać, można używać zasady pełnych zdań. Należy unikać znanych cytatów czy powiedzeń, ale po modyfikacji mogą nam one posłużyć jako inspiracja. Tak stworzone hasło powinno składać się z przynajmniej pięciu słów. Przykładowo:
WlazlKostekNaMostekIStuka – jest (to znaczy było, przed opublikowaniem go tutaj) silnym hasłem, które można łatwo zapamiętać.
Inną wartą polecenia metodą jest budowanie hasła z opisu wyimaginowanej sceny, której obraz jest łatwy do zapamiętania i jednoznacznego opisania:
zielonyParkingDla3malychSamolotow – jest przykładem takiego hasła. Przy czym należy zwrócić uwagę, że scena, którą opisuje nasze hasło, powinna zawierać jakiś element nierealistyczny albo abstrakcyjny. Wynika to z tego, że ludzie mają tendencję do używania obiektów, z którymi mieli ostatnio styczność, widzą je, albo są w ich pobliżu, jako składowe wymyślonego hasła. Pozwala to na użycie mniejszego słownika przy próbie łamania haseł, poprzez dostosowanie go pod konkretną osobę lub grupę osób.
Kolejnym pomysłem na generowanie silnego hasła jest użycie słów z kilku języków. Przykładem takiego hasła może być:
DwaBialeLatajaceSophisticatedKroliki. Jego siła bierze się z tego, że próby łamania haseł opartych o całe zdanie muszą zostać wykonane metodą słownikową, a takie słowniki najczęściej zawierają słowa/zwroty z jednego języka.
Przygotowaliśmy plakaty informacyjne, które mogą być wykorzystane aby promować opisane podejście do tworzenia haseł. Zachęcamy do wydrukowania i powieszenia ich w przestrzeni biurowej.
Hasła pozornie silne
Dotychczasowe, powszechnie stosowane zalecenia tworzenia haseł nie prowadziły do budowania haseł silnych. Pozornie silne hasła, takie jak:
- Galwaniczny123$
- zaq1@WSXcde3$RFV
- admin.1admin.1admin.1admin.1
nie są dostatecznie silne, aby oprzeć się atakowi w przypadku wycieku bazy danych, w której się znajdują. W bazach danych hasła zazwyczaj są przechowywane w formie zabezpieczonej – w postaci hasha, ale odkrycie ich pierwotnej formy jest możliwe. Hasła schematyczne i tworzone zgodnie z przewidywalnymi regułami są proste do “złamania” za pomocą coraz doskonalszych narzędzi wykorzystujących słowniki i listy reguł modyfikujących każde słowo ze słownika. Takie podejście do łamania zabezpieczonych haseł pozwala w prosty sposób wygenerować powyższe hasła, nawet jeśli w pełnej formie nie były dostępne w użytym słowniku. Zarówno słowniki jak i zestawy reguł są publicznie dostępne a moc obliczeniowa potrzebna do przeprowadzenia skutecznego ataku jest stosunkowo niewielka. Znikomy jest też czas na to potrzebny i koszt takiej operacji.
Przykład:
Powyższe hasła są przykładami haseł złamanych podczas z testu wewnętrznego. Pracownicy CERT Polska zostali poproszeni o wygenerowanie prawdopodobnych do użycia haseł i zabezpieczenie ich przestarzałym algorytmem SHA1. Złamanie powyższych haseł zajęło poniżej 5 minut.
Natomiast w przypadku haseł odpowiednio długich, zbudowanych zgodnie z przedstawionymi wcześniej zaleceniami, potrzeba użycia mocy obliczeniowej a także czas i koszt ataku rosną wielokrotnie.
UWAGA!
Według naszej najlepszej wiedzy nie istnieje aktualnie publicznie dostępne narzędzie oraz metoda pozwalająca na skuteczny atak na hasła zbudowane zgodnie z przedstawionymi wcześniej rekomendacjami. Teoretyczny, optymalnie przeprowadzony atak na przykładowe hasło WlazlKostekNaMostekIStuka, zabezpieczone przestarzałym algorytmem SHA1 zająłby co najmniej setki lat. Oczywiście od momentu publikacji go w tym artykule, jego wartość jako sekretu jest znikoma.
Podsumowanie
Odpowiednie podejście zarówno do polityki haseł jak i ich tworzenia i zarządzania nimi jest istotnym problemem dla administratorów i użytkowników systemów informatycznych. W tym dokumencie zostały przedstawione i omówione rekomendacje, które powinny spełniać systemy, aby zapewnić odpowiedni poziom bezpieczeństwa haseł użytkowników. Ponadto przedstawione zostały porady jak tworzyć i zarządzać silnymi hasłami, wraz z przykładami rozwiązań technologicznych upraszczających ten proces. Zwrócono również uwagę na przestarzałe zalecenia i ich negatywny wpływ na bezpieczeństwo. Na przykładzie haseł pozornie silnych pokazano, jak niewielkie nakłady finansowe w połączeniu ze standardowymi metodami, stanowią realne zagrożenie w przypadku wycieków haseł nieodpowiednio zabezpieczonych oraz niedostatecznie silnych.
Źródła:
- NIST Special Publication 800-63B – Digital Identity Guidelines: https://pages.nist.gov/800-63-3/sp800-63b.html#memsecretver
- NCSC Guidance – Password administration for system owners: https://www.ncsc.gov.uk/collection/passwords/updating-your-approach
- FBI Protected Voices: https://www.fbi.gov/investigate/counterintelligence/foreign-influence/protected-voices
- Microsoft Password Guidance: https://www.microsoft.com/en-us/research/wp-content/uploads/2016/06/Microsoft_Password_Guidance-1.pdf
- Microsoft Password policy recommendations: https://docs.microsoft.com/en-us/microsoft-365/admin/misc/password-policy-recommendations?view=o365-worldwide
- The Security of Modern Password Expiration: An Algorithmic Framework and Empirical Analysis: https://www.cs.unc.edu/~fabian/papers/PasswordExpire.pdf
- Quantifying the Security Advantage of Password Expiration Policies: http://people.scs.carleton.ca/~paulv/papers/expiration-authorcopy.pdf
Kilka przydatnych informacji w zakresie cyberbezpieczeńśtwa, w załączniku materiały informacyjno-szkoleniowe, również dla osób korzystających z Państwa serwisów www, można zamieścić je na stronie w aktualnościach lub w zakładce cyberbezpieczeństwo np. do pobrania. Oczywiście tylko te które Państwa dotyczą.
- CERT Polska ostrzega przed nową odsłoną oszustwa. Przestępcy udają Urząd Skarbowy i rozsyłają wiadomości SMS z informacją o konieczności opłacenia zaległego podatku.CERT Polska poinformował o kolejnej akcji oszustów, którzy tym razem podszywają się pod Urząd Skarbowy. Ich działania polegają na rozsyłaniu fałszywych SMS-ów z treścią sugerującą, że odbiorca wiadomości ma opłacić zaległy podatek w kwocie 4,91 zł. Jeśli go nie opłaci w podanym terminie, ma mu grozić windykacja. Strona, o której mowa powyżej, to fałszywy panel płatności, udający serwis PayU. CERT Polska ostrzega, że wprowadzenie danych w tym panelu może umożliwić przestępcom przejęcie naszego konta bankowego oraz kradzież pieniędzy.
- Rekomendacje w związku ze zwiększonym zagrożeniem w cyberprzestrzeni wywołanym sytuacją na Ukrainie
Rekomendacje dla obywateli
- Zapoznaj się z poradnikiem dotyczącym bezpieczeństwa skrzynek pocztowych i kont w mediach społecznościowych oraz zastosuj się do jego rekomendacji.
- Bądź wyczulony na sensacyjne informacje, w szczególności zachęcające do natychmiastowego podjęcia jakiegoś działania. Weryfikuj informacje w kilku źródłach. Upewnij się, że informacja jest prawdziwa przed podaniem jej dalej w mediach społecznościowych. Jeśli masz jakieś wątpliwości, wstrzymaj się.
- Uważaj na wszelkie linki w wiadomościach mailowych i SMS-ach, zwłaszcza te sugerujące podjęcie jakiegoś działania, np. konieczność zmiany hasła, albo podejrzaną aktywność na koncie. Obserwowaliśmy w przeszłości tego typu celowane ataki na prywatne konta, gdzie celem było zdobycie informacji zawodowych.
- Upewnij się, że posiadasz kopię zapasową wszystkich ważnych dla siebie plików i potrafisz je przywrócić w przypadku takiej potrzeby.
- Śledź ostrzeżenia o nowych scenariuszach ataków na naszych mediach społecznościowych: Twitter, Facebook.
- Zgłaszaj każdą podejrzaną aktywność przez formularz na stronie incydent.cert.pl lub mailem na cert@cert.pl. Podejrzane SMS-y prześlij bezpośrednio na numer 799 448 084. Rekomendujemy zapisanie go w kontaktach.
Rekomendacje dla firm
Należy:
- Przetestować przywracanie infrastruktury z kopii zapasowych. Kluczowe jest, żeby zostało to wykonane w praktyce na wybranych systemach, nie tylko proceduralnie.
- Upewnić się, że posiadane kopie zapasowe są odizolowane i nie ucierpią w przypadku ataku na resztę infrastruktury.
- Upewnić się, że dokonywane są aktualizacje oprogramowania, w szczególności dla systemów dostępnych z internetu. Należy zacząć od podatności, które są na liście obecnie aktywnie wykorzystywanych w atakach.
- Upewnić się, że wszelki dostęp zdalny do zasobów firmowych wymaga uwierzytelniania dwuskładnikowego.
- Przejrzeć usługi w adresacji firmowej dostępne z internetu i ograniczyć je do niezbędnego minimum. Można w tym celu wykorzystać np. portal Shodan. W szczególności nie powinny być bezpośrednio dostępne usługi pozwalające na zdalny dostęp jak RDP czy VNC.
- Aktualizować w sposób automatyczny sygnatury posiadanych systemów bezpieczeństwa typu AV, EDR, IDS, IPS, itd.
- Wdrożyć filtrowanie domen w sieci firmowej na bazie publikowanej przez nas listy ostrzeżeń. Dzięki temu w szybki sposób zablokowane zostaną zaobserwowane przez nas złośliwe domeny.
- Zapoznać się z przygotowanym przez CSIRT KNF poradnikiem dotyczącym obrony przed atakami DDoS i wdrożyć jego rekomendacje.
- Zapoznać się z naszym poradnikiem omawiającym sposoby wzmocnienia ochrony przed ransomware i wdrożyć jego rekomendacje.
- Zapoznać się z naszymi materiałami dotyczącymi bezpieczeństwa haseł.
- Zapoznać się z naszym artykułem dotyczącym mechanizmów weryfikacji nadawcy wiadomości i wdrożyć je dla domen wykorzystywanych do wysyłki poczty.
- W przypadku posiadania własnego zakresu adresów IP zalecamy dołączenie do platformy N6. Za jej pośrednictwem udostępniamy na bieżąco informacje o podatnościach i podejrzanej aktywności obserwowanej przez nas w podanym zakresie adresowym.
- Wyznaczyć osobę odpowiedzialną za koordynację działań w przypadku wystąpienia incydentu i przećwiczyć procedury reagowania.
- Uczulić pracowników na obserwację podejrzanej aktywności oraz poinformowanie o sposobie jej zgłaszania do wyznaczonej w firmie osoby.
- Zgłosić do nas osobę kontaktową, nawet jeśli nie zobowiązuje do tego ustawa. Dzięki temu będziemy w stanie szybko skontaktować się z właściwą osobą w celu przesłania ostrzeżenia.
- Zgłaszać każdą podejrzaną aktywność do właściwego CSIRT-u, tj.:
- CSIRT GOV — administracja rządowa i infrastruktura krytyczna,
- CSIRT MON — instytucje wojskowe,
- CSIRT NASK — wszystkie pozostałe.
Uwaga! Jeśli Twoja firma współpracuje z podmiotami na Ukrainie lub ma tam oddziały, dodatkowo:
- Sprawdź reguły dla dostępu sieciowego, ogranicz dozwolony ruch do minimum.
- Monitoruj ruch sieciowy, w szczególności na styku sieci z tymi firmami/oddziałami.
- Obejmij szczególnym monitoringiem hosty, na których jest zainstalowane oprogramowanie, które otrzymuje automatyczne aktualizacje od podmiotów na Ukrainie.
- Ostrzeż pracowników, aby byli szczególnie wyczuleni na informacje nakłaniające ich do podjęcia jakiegoś działania.
Jak korzystać z praw gwarantowanych przez RODO?
Ogólne rozporządzenie o ochronie danych osobowych (RODO) to akt, który bezpośrednio obowiązuje we wszystkich państwach członkowskich Unii Europejskiej, w sposób jednolity regulując prawa obywateli i obowiązki administratorów.
Dane osobowe to informacje, które pozwalają na ustalenie Twojej tożsamości. To Twoje imię, nazwisko, miejsce zamieszkania, numer telefonu czy Twój adres e-mail lub dane o lokalizacji.
Przetwarzanie danych to z kolei wszystkie działania, które wykorzystują dane osobowe, jak np. ich zbieranie, utrwalanie, porządkowanie, przechowywanie, przeglądanie, wykorzystywanie czy udostępnianie.
RODO przyznaje osobom fizycznym wiele praw, które pozwalają na większą kontrolę nad danymi osobowymi.
UODO przygotował 10 wskazówek, jak korzystać z praw gwarantowanych przez RODO.
Masz prawo wiedzieć, co będzie się działo z Twoimi danymi
Powinieneś wiedzieć, kto, na jakiej podstawie i po co przetwarza Twoje dane osobowe. Firma bądź instytucja, która nimi dysponuje, powinna Cię o tym poinformować. Ma też obowiązek wskazać, jakie prawa daje Ci RODO. A masz prawo m.in. do: dostępu do swoich danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu czy do tego, by być poinformowanym o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu. Realizując obowiązek informacyjny, administrator musi też wskazać, jak długo będzie przechowywał Twoje dane, oraz podać dane kontaktowe inspektora ochrony danych (IOD), jeśli go wyznaczył.
Masz prawo w każdej chwili wycofać zgodę
Jeśli podstawą przetwarzania Twoich danych jest wyrażona przez Ciebie – świadomie i dobrowolnie – zgoda, masz prawo w dowolnym momencie ją wycofać i nie może to rodzić dla Ciebie żadnych negatywnych konsekwencji (np. podwyższenia opłaty za usługi powyżej jej standardowej wysokości). Pamiętaj, że cofnięcie zgody powinno być równie łatwe, jak jej udzielenie.
Powinieneś być informowany w sposób dla Ciebie zrozumiały
Wszelkie przekazywane Ci informacje związane z przetwarzaniem Twoich danych powinny być sformułowane jasnym i prostym, zrozumiałym dla Ciebie językiem. Dotyczy to również komunikatów informacyjnych związanych z korzystaniem z usług internetowych czy aplikacji mobilnych. Jeśli ich nie rozumiesz lub nie są dla Ciebie wystarczająco zrozumiałe, zwracaj się do administratora o przekazanie dodatkowych wyjaśnień. W Polsce językiem urzędowym jest język polski. Wszystkie komunikaty muszą być w tym języku, ale mogą być dodatkowo tłumaczone także w innych językach.
Masz prawo do bycia zapomnianym, ale nie zawsze
Wprawdzie RODO przyznało Ci prawo do bycia zapomnianym (usunięcia danych), ale pamiętaj, że nie jest ono bezwzględne. Możesz żądać jego realizacji np. wówczas, gdy: dane stały się zbędne do realizacji zakładanych celów, dane były przetwarzane niezgodnie z prawem albo wycofałeś swoją zgodę i nie ma innej przesłanki legalizującej ich wykorzystywanie.
Pamiętaj jednak, że nie w każdej sytuacji masz prawo do bycia zapomnianym. Tak jest choćby wtedy, gdy dany podmiot (np. szkoła, gmina czy przychodnia) musi wykorzystywać Twoje dane, by zrealizować nałożony na niego obowiązek prawny.
Masz prawo do informacji o naruszeniu Twoich danych
Wyciek danych, ich zagubienie czy udostępnienie osobom niepowołanym – to się zdarza. I jeżeli rodzi to dla Ciebie poważne zagrożenie, to nie dziw się, że administrator Cię o tym informuje – taki ma obowiązek. Zastosuj się więc do jego wskazówek, dzięki którym możesz zminimalizować zagrożenie. Czasami np. zmiana hasła w systemie internetowym czy zastrzeżenie dokumentów pozwoli Ci zabezpieczyć swoje dane i uniknąć np. kradzieży tożsamości i związanych z tym konsekwencji, jak np. zaciągnięcie w Twoim imieniu pożyczki.
W razie wątpliwości kontaktuj się z administratorem lub z wyznaczonym przez niego inspektorem ochrony danych (IOD), który ma Ci w takiej sytuacji pomóc.
Jeśli wniesiesz sprzeciw – marketing nie może być prowadzony
Jeżeli Twoje dane są wykorzystywane w celach marketingowych, a więc do przedstawiania Ci oferty towarów czy usług, w dowolnym momencie możesz się temu sprzeciwić. Jeżeli to zrobisz, Twoich danych nie wolno już wykorzystywać do takich celów.
Chroń dzieci przed nieuczciwymi praktykami
Jeśli jesteś rodzicem lub opiekunem prawnym osoby poniżej 16. roku życia, pamiętaj, że gdy korzysta ona z tzw. usług społeczeństwa informacyjnego (świadczonych drogą elektroniczną), a więc portali społecznościowych, aplikacji czy gier, to Ty decydujesz o udzieleniu zgody na przetwarzanie jej danych osobowych. To ważne, bo dzieci często są mniej świadome ryzyka i konsekwencji przetwarzania ich danych osobowych. RODO wskazuje, że należy im zapewnić szczególną ochronę, gdy ich dane są wykorzystywane do celów marketingowych czy tworzenia profili osobowych. Zwracaj uwagę, czy komunikaty kierowane do nich przez administratora są sformułowane językiem, który są one w stanie zrozumieć.
Realizacji swoich praw żądaj najpierw od administratora
Jeżeli uważasz, że ktoś nieprawidłowo postępuje z Twoimi danymi, to z nim (lub z wyznaczonym przez niego IOD) skontaktuj się w pierwszej kolejności i zażądaj wyjaśnień lub spełnienia Twojego żądania, np. sprostowania danych, odnotowania sprzeciwu, usunięcia danych.
Możesz dochodzić odszkodowania przed sądem
Pamiętaj! Jeśli podmiot, który dysponuje Twoimi danymi, wykorzystuje je niezgodnie z RODO, a Ty poniosłeś przez to szkodę majątkową lub niemajątkową, możesz dochodzić od niego odszkodowania, wszczynając postępowanie przed sądem. Masz do tego prawo niezależnie od tego, czy zamierzasz złożyć skargę do Prezesa UODO.
Jak złożyć skargę do Prezesa UODO?
Każdy, kto uważa, że jego prawa w zakresie ochrony danych osobowych nie są respektowane, może złożyć na administratora skargę do Prezesa Urzędu Ochrony Danych Osobowych. Skargi mogą być kierowane w formie pisemnej lub elektronicznej. Kierowanie skargi następuje przez Elektroniczną Skrzynkę Podawczą Prezesa Urzędu, po wypełnieniu formularza, wykorzystując w tym celu dokument pn. „Pismo ogólne do podmiotu publicznego” dostępny na portalu ePUAP2.
Pamiętaj, aby każda skarga zawierała:
• Twoje imię i nazwisko oraz adres zamieszkania;
• wskazanie podmiotu, na który składasz skargę (nazwę/imię i nazwisko oraz adres siedziby/zamieszkania);
• dokładny opis naruszenia;
• Twoje żądanie – jakich działań oczekujesz od UODO (np. usunięcia danych, wypełnienia obowiązku informacyjnego, sprostowania danych, ograniczenia przetwarzania danych itd.);
• własnoręczny podpis;
Pamiętaj, by dołączyć dowody potwierdzające nieprawidłowe działanie administratora (np. korespondencję z administratorem, umowy, zaświadczenia). Ułatwi to pracownikom Urzędu ocenę.
Skargi niezawierające Twojego imienia i nazwiska (nazwy) oraz adresu pozostawiamy bez rozpoznania z uwagi na brak możliwości kontaktu.
Jak chronić dane osobowe?
Dane osobowe, są bardzo cenne, bo dzięki nim można uzyskać dostęp do wielu dóbr. Mogą one też być wykorzystywane w celach marketingowych i sprzedażowych czy także, niestety, w celach przestępczych. Aby lepiej chronić dane osobowe każdej osoby i bezpiecznie je przetwarzać w Unii Europejskiej obowiązują specjalne przepisy, które temu służą. To ogólne rozporządzenie o ochronie danych (RODO).
UODO przedstawia kilka najważniejszych porad, w jaki sposób zadbać o swoje dane osobowe.
Uważaj, co i komu udostępnisz o sobie w Internecie
Zdarza się, że nadmiernie dzielisz się informacjami na swój temat, a w mediach społecznościowych dzielisz się informacjami o Tobie, o Twoim stanie majątkowym, miejscu pracy, wydarzeniach z Twojego codziennego życia, udostępniasz swoją lokalizację, wrzucasz zdjęcia. Przez to Internet jest źródłem wiedzy także o Twoich poglądach, zachowaniach konsumenckich, zainteresowaniach. Dane te pozwalają, np. działom marketingowym różnych firm, dostosować ofertę kierowaną do Ciebie. Ale też z takich informacji mogą skorzystać oszuści w celach przestępczych. Szczególnie gdy profil, który Ciebie dotyczy jest w pełni publiczny, możesz być narażony na użycie Twoich danych bez Twojej wiedzy i przyzwolenia niezgodnie z celami, dla których dane udostępniłeś.
Nie zostawiaj dokumentów w zastaw
Zgodnie z prawem zatrzymywanie dowodu osobistego czy paszportu bez podstawy prawnej jest karane. Utrata kontroli nad dowodem osobistym czy paszportem naraża Cię na posłużenie się tym dokumentem bez Twojej wiedzy i woli, co z kolei stwarza niebezpieczeństwo kradzieży tożsamości.
Nie pozwól robić kopii
Co do zasady nie powinieneś się godzić na kopiowanie Twojego dokumentu tożsamości. Tylko w niektórych sytuacjach jest to wyjątkowo dopuszczalne, gdy pozwalają na to przepisy prawa. Gdy administrator domaga się kopii np. Twojego dowodu osobistego, poproś, aby wskazał Ci podstawę prawną, która nakłada na niego obowiązek takiego działania.
W innych wypadkach, jak np. wypożyczenie sprzętu, w dalszym ciągu taka praktyka naraża nas na te same niebezpieczeństwa. Dlatego nie gódźmy się na to.
Nie podawaj danych przez telefon
Unikaj przekazywania danych telefonicznie – szczególnie, gdy to nie Ty inicjujesz rozmowę, ale ktoś dzwoni do Ciebie. Udostępnianie danych na odległość obarczone jest ryzykiem, brakiem pewności co do tego komu faktycznie dane są przekazane.
Upewnij się, komu faktycznie udostępniasz dane w trakcie rozmowy telefonicznej, a jeżeli trzeba zweryfikuj kontakt, np. oddzwaniając i sprawdzając, czy dany numer i osoba faktycznie reprezentuje podmiot, na który się powołała.
Uważaj na różne formularze, poprzez które udostępniasz dane
Zachowaj rozwagę przy wypełnianiu i podpisywaniu różnego rodzaju ankiet, formularzy czy umów. Zastanów się, czy faktycznie chcesz założyć kartę lojalnościową w sklepie, by mieć rabaty lub dodatkowe promocje. W takich sytuacjach podajesz sklepom imię, nazwisko, adres zamieszkania, datę urodzenia, adres e-mail, numer telefonu, a w zamian otrzymujesz promocje, bony rabatowe, dodatkowe upominki przy zakupach.
Należy pamiętać, że administrator musi spełnić wobec Ciebie obowiązek informacyjny, czyli przekazać Ci niezbędne informacje na swój temat, podając m.in. swoją tożsamość, dane kontaktowe oraz dane kontaktowe swojego inspektora danych osobowych (o ile go wyznaczył), po co, czyli w jakim celu i na jakiej podstawie prawnej przetwarzają dane.
Unikaj podawania nadmiarowych danych
Nie podawaj wszelkich danych (danych nadmiarowych), które pozwalają na pełną identyfikację, jeżeli w danej sytuacji nie jest to konieczne. Jeśli musisz skorzystać z danej usługi, to podaj tylko dane niezbędne do jej wykonania – dobrze przemyśl przekazanie tych, których przekazanie oznaczone jest jako opcjonalne.
Wyrażam zgodę na…
Zanim zaznaczysz wszystkie zgody pozwalające na przetwarzania Twoich danych osobowych, upewnij się czego dotyczą. Zwróć uwagę, czy w formularzu zgody nie są zaznaczone one w sposób domyślny.
Dokładnie też czytaj, czego dotyczą klauzule zgód. W przypadku wątpliwości, zadawaj pytania administratorom. Powinni Cię poinformować o okresie przez jaki dane będą przetwarzane oraz o przysługujących Ci prawach, w tym dostępu do danych, ich sprostowania, usunięcia czy wniesienia sprzeciwu wobec przetwarzania, a także, czy Twoje dane będą komuś innemu (innym odbiorcom) przekazywane.
Pamiętaj, że często udzielasz zgód na wykorzystywanie danych w celach marketingowych nie tylko administratora, ale i jego partnerów biznesowych. O ile możesz, zweryfikuj, kim oni są, jakie to są firmy. Zgody na marketing „cudzy” powinny być nieobowiązkowe, powinna być Ci pozostawiona możliwość wyboru co do tego, czy taką zgodę wyrazisz.
Administrator powinien Ci zapewnić, by możliwość wycofania zgody była równie łatwa, jak jej udzielenie oraz powinieneś być poinformowany o prawie do cofnięcia zgody nim ją wyrazisz.
Nie wyrzucaj danych do śmieci, dopóki ich nie zniszczysz
Wszelkie dokumenty z Twoimi danymi, to kolejne źródło wiedzy o Tobie, zwłaszcza gdy zawierają one wiele różnych informacji umożliwiających wyciągania wniosków na Twój temat. Dlatego też – zanim wyrzucisz dokumenty do kosza – należy je zniszczyć (np. faktury, rachunki), zapiski, naklejki na opakowaniach od korespondencji czy po dostarczonych towarach, w sposób uniemożliwiający odtworzenie zawartych w nich danych osobowych.
Usuwaj trwale dane z nośników
Ogrom danych o Tobie może znajdować się na Twoich starych dyskach twardych, kartach pamięci, pendrive’ach czy innych nośnikach. Zwróć uwagę, że coraz więcej informacji na Twój temat jest zapisanych w komputerach, smartfonach, aparatach fotograficznych czy tabletach. Zanim się pozbędziesz takich urządzeń lub nośników, trwale usuń z nich dane. Jednak zwykłe ich skasowanie nie będzie wystarczające, gdyż wiele danych da się odzyskać. Dlatego zanim wyrzucisz nośnik albo go sprzedasz, usuń z niego dane, korzystając przy tym z odpowiedniego do tego oprogramowania. Warto też przywrócić ustawienia fabryczne urządzenia, aby nie było w nim zapamiętanych loginów i haseł do różnych usług i aplikacji, z jakich korzystałeś, a zwłaszcza z takich, z których nadal korzystasz.
Używaj programów chroniących urządzenia mobilne
Używaj oprogramowania chroniącego urządzenia mobilne, np. smartfon czy komputer, przed niepożądanymi działaniami z zewnątrz, np. złośliwego oprogramowania. Oprócz popularnych programów antywirusowych przydatne mogą być również te, które zabezpieczą przed ingerencją z zewnątrz tzw. firewall. Ważna jest bieżąca aktualizacje. Złośliwe oprogramowanie, przed którym chronią nas takie narzędzia, powstaje codziennie. Dlatego bez aktualnej bazy wirusów i bazy złośliwych aplikacji program antywirusowy nie będzie w pełni spełniał swojej roli.
Unikaj publicznych hotspotów
Należy unikać „otwartych” hotspotów dostępnych dla wszystkich w zatłoczonych miejscach. W przypadku korzystania z sieci w hotelu lub kawiarni należy upewnić się czy punkt dostępu, do którego się logujemy, na pewno należy do miejsca, w którym właśnie przebywamy. Jeśli nie mamy pewności, ograniczmy się do wyszukiwania informacji i nie korzystajmy z usług, które wymagają podania hasła. Należy ograniczyć się do korzystania wyłącznie ze stron internetowych obsługujących protokół HTTPS lub używając tunelu VPN.
Zadbaj o hasła
Dobrze jest, aby nie miały one nic wspólnego z Twoimi życiem osobistym, miejscem zamieszkania, Twoim imieniem i nazwiskiem, datą urodzin, imionami Twoich bliskich czy Twoich zwierząt itp., tj. informacjami, które łatwo można skojarzyć z Tobą obserwując Twoje zachowania w sieci, czy połączyć z innymi informacjami o Tobie.
Nie powinno się też zapisywać ich na kartce papieru czy w notesie. Najlepiej jest je zapamiętywać, co jest dużą sztuką, gdy musimy logować się do wielu serwisów. Pomocne w tym zakresie mogą być np. darmowe menadżery haseł, które umożliwiają nie tylko generowanie odpowiednio trudnych do złamania haseł, ale i zapamiętują je za nas. Tym samym łatwiejsza jest częstsza zmiana haseł, a ryzyko, że ktoś je pozna maleje.
Na bieżąco zmieniaj hasła dostępu do swojego komputera, do poczty elektronicznej, systemów bankowości elektronicznej, ale nawet sklepów internetowych, w których masz konto użytkownika. Staraj się przy tym korzystać z różnych haseł.
Wprowadź uwierzytelnianie wieloskładnikowe
Uwierzytelnianie wieloskładnikowe jest niezbędne, gdyż zapewnia dodatkową ochronę podczas logowania. Podczas uzyskiwania dostępu, oprócz wpisania hasła, użytkownicy muszą przejść dodatkową weryfikację tożsamości, np. poprzez wprowadzenie kodu otrzymanego na numer telefonu.
Uważaj na ogłoszenia
Przykładem sytuacji, gdy jesteśmy narażeni na utratę danych jest poszukiwanie pracy. Niestety, wśród prawdziwych ogłoszeń są i takie, których celem jest pozyskanie jak najdokładniejszych informacji na nasz temat. Warto więc bardzo dokładnie analizować takie treści i szczególną ostrożność zachować, gdy potencjalny pracodawca chce byśmy oprócz podstawowych danych na swój temat i wskazania danych do kontaktu, także np. udostępnili skany naszych dokumentów tożsamości, co nie jest niezbędne w procesie rekrutacji. Warto korzystać z oficjalnych serwisów pośrednictwa pracy.
Bądź czujny
Zachowaj ostrożność, która może uchronić Twoje dane osobowe przed dostaniem się w ręce nieupoważnionych podmiotów lub osób, gdyż wśród nich mogą znaleźć się takie (np. grupy przestępcze, złodzieje, porywacze), które pozyskane w ten sposób informacje wykorzystają niezgodnie z prawem.
• Nie odpowiadaj na maile od osób, których nie znasz, zwłaszcza gdy domagają się podania jakichś informacji o Tobie czy namawiają do kliknięcia w przesłany link lub otwarcia przesłanego załącznika, sugerują zmianę identyfikatora i hasła.
• Zachowaj ostrożność także przy korzystaniu z usług bankowości elektronicznej i dokonywaniu zakupów przez Internet.
• Zwracaj uwagę czy aby na pewno logujesz się do serwisu bankowości internetowej ze strony banku, która ma certyfikat SSL (widoczny w pasku adresu przeglądarki).
• Weryfikuj sklepy, w których chcesz coś kupić: czy w ogóle istnieją, czy i jakie mają opinie, czy są to podmioty zidentyfikowane, gdzie mają siedzibę, czy podany jest kontakt z ich właścicielem i czy kontakt ten nie jest ograniczony tylko do elektronicznego. Jeśli masz wątpliwości co do bezpieczeństwa Twoich danych zastanów się, czy koniecznie musisz dokonać zakupów u tego sprzedawcy.
• Weryfikuj regulaminy i polityki prywatności – unikaj sprzedawców nieprzedstawiających takich dokumentów czy też prezentujących w nich postanowienia zbyt ogólne, niejasno czy nieprecyzyjnie brzmiące, sformułowane niepoprawnie gramatycznie czy językowo, może to bowiem oznaczać, że są to podmioty niepodlegające polskiemu czy europejskiemu prawu.
Ochrona danych osobowych jest bardzo ważna. Odpowiednio chroniąc swoje dane osobowe, możemy ograniczyć ryzyko ich wykorzystania przez osoby do tego nieuprawnione.
Tomasz Więckowski – Inspektor Ochrony Danych, Koordynator ds. Cyberbezpieczeństwa