W czasie pandemii większość naszej aktywności przeniosła się do sieci.
- Nasza praca, nasze obowiązki, często kluczowe sprawy osobiste są teraz w cyberprzestrzeni. Tymczasem zachowanie zasad bezpieczeństwa leży w dużym stopniu po stronie użytkownika – to my musimy pamiętać, by ich przestrzegać – mówi dr Joanna Świątkowska (AGH).
Jak zatem z okazji Dnia Hasła ułożyć dobre hasło? Jakie niebezpieczeństwa czekają na nas w sieci w czasie pandemii koronawirusa? O tym w rozmowie.
5G z Chin albo z Zachodu. Chodzi o demokratyczny lub autorytarny rozwój cyfrowy
CZYTAJ TAKŻE: DZIEŃ HASŁA: ZADBAJ O CYFROWE BEZPIECZEŃSTWO >>>
PolskieRadio24.pl: Dzień Hasła to okazja, by zwrócić uwagę na bezpieczeństwo w sieci. Stara się uwrażliwić internautów na to, że bezpieczeństwo w sieci nie jest gwarantowane.
Dr Joanna Świątkowska, Akademia Górniczo-Hutnicza: Dzień Hasła to świetny asumpt do tego, by przypomnieć sobie o podstawowych zasadach bezpiecznego korzystania z cyberprzestrzeni, szczególnie w czasie pandemii, kiedy większość naszego życia przeniosła się do Internetu.
Nasza praca, nasze obowiązki, często kluczowe sprawy osobiste są teraz w cyberprzestrzeni. Tymczasem zachowanie zasad bezpieczeństwa leży bardzo często po stronie użytkownika – to my musimy pamiętać, by je przestrzegać.
Kwestie związane z bezpieczeństwem haseł są jednym z podstawowych elementów bezpiecznego działania w cyberprzestrzeni.
Jakie wytyczne mamy w kwestii haseł?
Wytyczne wydają organizacje i środowiska eksperckie. Tłumaczą one, co oznacza silne, bezpieczne hasło. Przede wszystkim zaleca się, by było złożone, skomplikowane, długie, warto korzystać przy jego tworzeniu ze znaków specjalnych, z małych i dużych liter itd.
Nie spisujemy haseł na kartce, nie udostępniamy ich osobom do tego niepowołanym, nie stosujemy tych samych haseł w różnych serwisach. Tzw. recycling haseł jest szczególnie niebezpieczny – gdyż raz złamane hasło pozwala uzyskać dostęp do różnych zasobów, tworzy się efekt domina.
Co ciekawe – rekomendacje ekspertów w zakresie haseł czasem się zmieniają. Do niedawna wiele środowisk eksperckich rekomendowało częste zmiany haseł, a teraz ta rekomendacja została wycofana. Eksperci doszli niedawno do wniosku, że przez to, iż użytkownicy często zmieniają hasła, to siłą rzeczy zaczynają stosować te same, albo wracają do starszych haseł.
Paradoksalnie częsta zmiana haseł prowadziła do osłabienia bezpieczeństwa. Na bazie tych wniosków rekomendacje ewoluowały.
Gdy uzmysławiamy sobie, z jak wielu serwisów korzystamy, pojawia się problem związany z tym, że trudno wszystko zapamiętać, zwłaszcza jeśli to szereg skomplikowanych haseł. Przychodzą tu z pomocą menedżery haseł – to środki dostępne również bezpłatnie. Menedżer popoprawia znacznie poziom bezpieczeństwa.
Dziś Dzień Hasła. Czas epidemii to pandemia cyberataków na szpitale, laboratoria. Ostrzegają przed ”Cyber-9/11
Menedżer jest bezpieczny?
To rozwiązanie znacznie podnoszące poziom bezpiecznego przechowywania, generowania haseł i nimi zarządzenia. Choć i sam menadżer powinien być rozważnie stosowany – np. poprzez stworzenie i bezpieczne przechowywanie hasła głównego.
W jakie inne pułapki wpadają internauci? Słyszymy o załącznikach, na które należy uważać, dołączonych do maili…
Istnieje zestaw podstawowych zasad tzw. higieny w sieci, które znacznie podnoszą poziom bezpieczeństwa.
To rzeczy podstawowe, ale absolutnie kluczowe. Chodzi m.in. o aktualizowanie systemu, aktualizację aplikacji, używanie programów antywirusowych, bezpieczną konfigurację sprzętu, np. routera etc.
Sam sprzęt to nie wszystko. Należy także bez końca podkreślać konieczność rozważnego korzystania z internetu. Zasada ograniczonego zaufania może pomóc ochronić się przed atakami phishingowymi. To działania polegające na tym, że użytkownik Internetu jest na rozmaite sposoby skłaniany do tego, by udostępnić informacje, dane, które z kolei mają umożliwić dalsze wrogie działania, np. wyłudzane są informacje pozwalające na uzyskanie dostępu do konta bankowego i nielegalnego wyprowadzenia z niego środków. Mogą to być też kampanie, które mają skłonić internautę do działań, które mogą doprowadzić do zainfekowania komputera, chodzi na przykład o klikanie na załączniki, na linki.
O tym warto powiedzieć, bo w czasach pandemii obserwujemy lawinę nowych kampanii phishingowych. Wykorzystują one tematy związane z pandemią i tym samym zwiększają skuteczność dotarcia do użytkowników i ich zaatakowania.
Kampanie phishingowe najczęściej żerują na emocjach ludzi i w tym kontekście pojawiają się różne metody działania. Rozwój pandemii sprawił, że ludzie intensywnie interesują się na przykład informacjami medycznymi, rozwojem zakażeń, teoriami nt. pochodzenia wirusa, zbiórkami charytatywnymi. To zwiększone zainteresowanie jest wykorzystywane przez przestępców. Projektują oni często ataki w taki sposób, że przyciągają ludzi ciekawymi, sensacyjnymi informacjami (często fałszywymi), a następnie nakłaniają do podjęcia akcji, które są szkodliwe.
Na przykład: otrzymujemy mail z informacją o lekarstwie, które ma zwiększać poziom odporności na koronawirusa. Czytamy: "kliknij i zobacz więcej na temat najnowszych badań". Link zaś jest zainfekowany.
PAP
Czasem czujemy nawet obowiązek, by kliknąć w określone informacje. Czytamy: "nowe zasady, nowe regulacje" i automatycznie klikamy. A trzeba wcześniej upewnić się co do źródła.
Zatem ważne są nie tylko rozwiązania techniczne, ale krytyczne podchodzenie do informacji, które napotykamy. Ważna jest zasada ograniczonego zaufania, jeśli chodzi o czynności, które podejmujemy w sieci. Warto zastanowić się, skąd wiadomość przyszła, czy znam tego adresata, czy może powinienem zweryfikować ten e-mail przed kliknięciem.
Trzeba być czujnym, bo czasem ktoś w celu wyłudzenia informacji wysyła informacje z e-maila podobnego do oryginalnego.
Można zweryfikować adres, można zadzwonić od adresata. Częstą kampanią jest tzw. atak "na zarząd". Na przykład księgowa dostaje maila, że trzeba szybko wykonać przelew, bo sprawa jest bardzo ważna i wiele znaczy dla przyszłości firmy. Oczywiście jest to fałszywa wiadomość, która ma doprowadzić do podjęcia działań, które przyniosą firmie straty – w mailu może np. pojawić się fałszywe konto, na które należy przelać środki.
Księgowa działa szybko, chcąc wykonać polecenie prezesa. W ten sposób można np. stracić pieniądze.
Tak więc gdy dostajemy komunikat, wychodzący poza pewne procedury, wywołujący podejrzaną presję, warto pomyśleć na chłodno, czy nie warto zadzwonić, upewnić się, czy taką dyspozycję wydano.
W jakie sidła internauci wpadają najczęściej?
Zagrożeń jest wiele, nie sposób wymienić wszystkich. W ostatnich latach wyraźnie wzrosło na przykład zagrożenie atakami typu ransomware. Polegają onen na szyfrowaniu i blokowaniu dostępu do naszych danych, na przykład na dysku komputera. Myśląc o podnoszeniu bezpieczeństwa w tym kontekście, warto stosować choćby regularne wykonywanie kopii danych, kopii systemu. Dodatkowo, szczególnie w czasach pandemii zwróciłabym też uwagę na korzystanie z urządzeń mobilnych. Nasze smartfony to obecnie małe komputery, jest tam wiele wrażliwych danych, wiele informacji. Warto pamiętać o zabezpieczeniu tych urządzeń, m.in., weryfikować aplikacje, które ściągamy na smartfony.
Działania cyberprzestępców zależą kontekstu. Obecnie jesteśmy w czasie, gdy rozpowszechniona jest praca online. Firmy przenoszą swoje działania do sieci, działamy zdalnie. Warto wskazać, że każda firma powinna przygotować takie vademecum bezpieczeństwa w kwestii korzystania z pracy zdalnej. Nie ma tu złotych rad – każda firma będzie miała inne potrzeby, inne rozwiązania. Jednak polityka bezpieczeństwa, zestaw zasad, byłaby bardzo przydatna pracownikom w tym czasie. Chodzi o zasady korzystania z telekonferencji, jak podłączać się bezpiecznie do sieci, jak zabezpieczyć sprzęt i inne.
PAP
***
Z dr Joanną Świątkowską z Akademii Górniczo-Hutniczej rozmawiała Agnieszka Marcela Kamińska, PolskieRadio24.pl
PAP