Gminny Ośrodek Pomocy Społecznej w Bolesławiu, realizując zadania wynikające z ustawy o krajowym systemie cyberbezpieczeństwa przekazuje Państwu informacje pozwalające zrozumieć zagrożenie występujące w cyberprzestrzeni oraz porady jak skutecznie zabezpieczyć się przed tymi zagrożeniami.
Cyberbezpieczeństwo to zgodnie z obowiązującymi przepisami „odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy” (art. 2 pkt 4) Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2023 r. poz. 913 i 1703).
Najpopularniejsze zagrożenia w cyberprzestrzeni:
1. ataki z użyciem szkodliwego oprogramowania (wirusy, robaki, itp.);
2. ataki socjotechniczne (np. phishing, czyli wyłudzanie poufnych informacji poprzez podszywanie się pod instytucję lub godną zaufania osobę, np. urzędy, banki, portale społecznościowe, znajomych);
3. ataki z wykorzystaniem złośliwego kodu na stronach internetowych;
4. ataki na aplikacje internetowe;
5. ataki DDoS (blokowanie dostępu do usług poprzez sztuczne generowanie wzmożonego ruchu);
6. naruszenie poufności, integralności lub dostępności danych;
7. wyciek danych;
8. ataki ransomware w celu wyłudzenia okupu za odszyfrowanie lub nieujawnianie wykradzionych danych;
9. cyberszpiegostwo;
10. kradzieże tożsamości;
11. kradzieże (wyłudzenia), modyfikacje (fałszowanie) bądź niszczenie danych;
12. SPAM (niechciane lub niepotrzebne wiadomości elektroniczne mogące zawierać odnośniki do szkodliwego oprogramowania).
Sposoby zabezpieczenia się przed zagrożeniami:
1. Stosuj zasadę ograniczonego zaufania do odbieranych wiadomości e-mail, sms, stron internetowych nakłaniających do podania danych osobowych, osób podających się za przedstawicieli firm, instytucji, którzy żądają podania danych autoryzacyjnych lub nakłaniających do instalowania aplikacji zdalnego dostępu.
2. Nie ujawniaj danych osobowych w tym danych autoryzacyjnych dopóki nie ustalisz czy rozmawiasz z osobą uprawnioną do przetwarzania Twoich Danych.
3. Nie otwieraj wiadomości e-mail i nie korzystaj z przesłanych linków od nadawców, których nie znasz.
4. Każdy e-mail można sfałszować, sprawdź w nagłówku wiadomości pole „Otrzymane: od” (ang. Received: from), w tym polu znajdziesz rzeczywisty adres serwera nadawcy.
5. Porównaj adres konta e-mail nadawcy adresem w polu „Od” (ang. From) oraz „Odpowiedz do” (ang. Reply to) – różne adresy w tych polach mogą wskazywać na próbę oszustwa.
6. Nie otwieraj plików nieznanego pochodzenia. Zachowaj ostrożność podczas otwierania załączników plików. Na przykład, jeśli otrzymasz wiadomość e-mail z załącznikiem PDF z opisem „zaległa faktura”, nie otwieraj go jeśli zobaczysz, że pochodzi on z nietypowego e-maila, takiego jak jankA6a86&2@gmail.com . Otwórz dopiero jeżeli masz 100% pewność, że wiesz kto wysłał wiadomość.
7. Nie wysyłaj w e-mailach żadnych poufnych danych (np. danych osobowych, logowania, karty kredytowej) w formie otwartego tekstu – powinny być zabezpieczone hasłem i zaszyfrowane – hasło przekazuj w sposób bezpieczny, tj. innym kanałem niż dane.
8. Pamiętaj, że żadna instytucja czy bank nie wysyła e-maili do swoich klientów z prośbą o podanie hasła lub loginu w celu ich weryfikacji.
9. Sprawdź adres url z którego domyślnie dany podmiot/instytucja wysyła do Ciebie smsy, cyberprzestępca może podszyć się pod dowolną tożsamość (odpowiednio definiując numer lub nazwę), otrzymując smsa, w którym cyberprzestępca podszywa się pod numer zapisany w książce adresowej, telefon zidentyfikuje go jako nadawcę wiadomości sms.
10. Jeśli na podejrzanej stronie podałeś swoje dane do logowania lub jeżeli włamano się na Twoje konto e-mail – jak najszybciej zmień hasło.
11. Nie korzystaj ze stron internetowych (zwłaszcza ze stron banków, poczty elektronicznej czy portali społecznościowych), które nie mają ważnego certyfikatu bezpieczeństwa, chyba że masz stuprocentową pewność, że strona taka jest bezpieczna.
12. Podając poufne dane sprawdź czy strona internetowa posiada certyfikat SSL. Protokół SSL to standard kodowania (zabezpieczania) przesyłanych danych pomiędzy przeglądarką a serwerem.
13. Unikaj odwiedzania stron, które oferują wyjątkowe atrakcje (darmowe filmiki, muzykę, łatwy zarobek, cudowną dietę) – często na takich stronach znajdują się ukryte wirusy, trojany i inne zagrożenia.
14. Nie zostawiaj danych osobowych w niesprawdzonych serwisach i na stronach, jeżeli nie masz absolutnej pewności, że nie są one widoczne dla osób trzecich.
15. Nie używaj niesprawdzonych programów zabezpieczających czy też do publikowania własnych plików w Internecie (mogą one np. podłączać niechciane linijki kodu do źródła strony).
16. Chroń swój komputer, urządzenie mobilne programem antywirusowym zabezpieczającym przez:
- zagrożeniami typu: wirusy, robaki, trojany, ransomware, adware, keylogger, spyware, dialer,
- narzędziami hakerskimi typu backdoor, rootkit, bootkit, exploit,
- oraz phishing (vishing, smishing, whaling) i spoofing.
17. Subskrybuj i używaj dobrej jakości oprogramowanie antywirusowe. Najlepiej stosuj ochronę w czasie rzeczywistym i aktualizuj oprogramowanie antywirusowe oraz bazy danych wirusów (dowiedz się czy twój program do ochrony przed wirusami posiada taką funkcję i robi to automatycznie).
18. Regularnie skanuj komputer i sprawdzaj procesy sieciowe – jeśli się na tym nie znasz poproś o sprawdzenie kogoś, kto się zna. Czasami złośliwe oprogramowanie nawiązujące własne połączenia z Internetem, wysyłające twoje hasła i inne prywatne dane do sieci może się zainstalować na komputerze mimo dobrej ochrony – należy je wykryć i zlikwidować.
19. Sprawdzaj pliki pobrane z Internetu za pomocą programu antywirusowego.
20. Skanuj podłączane urządzenia zewnętrzne.
21. Skanuj regularnie wszystkie dyski twarde zainstalowane na Twoim komputerze.
22. Pamiętaj o uruchomieniu firewalla.
23. Aktualizuj system operacyjny i aplikacje użytkowe bez zbędnej zwłoki. Brak aktualizacji zwiększa podatność na cyberzagrożenia. Hakerzy, którzy znają słabości systemu/aplikacji, mają otwartą furtkę do korzystania z luk w oprogramowaniu.
24. Instaluj aplikacje tylko ze znanych i zaufanych źródeł.
25. Logowanie do e-usług publicznych, bankowości elektronicznej bez aktualnego (wspieranego przez producenta) systemu operacyjnego to duże ryzyko.
26. Używaj tylko silnych, indywidualnych dla każdego systemu i usług elektronicznych haseł i nie udostępnianie ich nikomu.
27. Regularnie zmieniaj hasła.
28. Tam gdzie to możliwe (konta społecznościowe, konto e-mail, usługi e-administracji, usługi finansowe) stosuj dwuetapowe uwierzytelnienie za pomocą np. sms, PIN, aplikacji generującej jednorazowe kody autoryzujące, tokenów, klucza fizycznego.
29. Pracuj na najniższych możliwych uprawnieniach użytkownika.
30. Kontroluj uprawnienia instalowanych aplikacji.
31. Unikaj z korzystania otwartych sieci Wi-Fi.
32. Zadbaj o bezpieczeństwo routera (ustal silne hasło do sieci Wi-Fi, zmień nazwę sieci Wi-Fi, zmień hasło do panelu administratora, ustaw poziom zabezpieczeń połączenia z siecią Wi-Fi np. WPA2 i wyższe, aktualizuj oprogramowanie routera, wyłącz funkcję WPS, aktywuj funkcję „Gościnna Sieć” (ang. „Guest Network”) Wi-Fi).
33. Regularnie wykonuj kopie zapasowe ważnych danych na zewnętrzny nośnik. Taki nośnik podpinamy tylko jak wykonujemy kopię. W przypadku zaszyfrowania danych, będziesz mógł je przywrócić z kopii zapasowej.
34. Szyfruj dyski twarde komputera, przenośne.
35. Zwracaj uwagę na komunikaty pojawiające się na ekranie i nigdy nie ignoruj ostrzeżeń dotyczących bezpieczeństwa.
Zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie sposobów zabezpieczania się przed zagrożeniami to wiedza niezbędna każdemu użytkownikowi komputera, smartfona czy też usług internetowych.
Dodatkowe informacje można znaleźć:
- w publikacjach na witrynie internetowej CSIRT NASK – Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego działającego na poziomie krajowym pod adresem: https://www.cert.pl/publikacje/
- w poradach bezpieczeństwa dla użytkowników komputerów na witrynie internetowej CSIRT NASK pod adresem: https://www.cert.pl/ouch/
- w poradach CSIRT NASK dotyczących tworzenia silnych haseł pod adresem: https://www.cert.pl/hasla/
- w publikacjach Dyżurnet - zespołu ekspertów NASK - punktu kontaktowego do zgłaszania nielegalnych treści w Internecie pod adresem: https://dyzurnet.pl/publikacje
- w bazie wiedzy na witrynie internetowej Kancelarii Prezesa Rady Ministrów pod adresem: https://www.gov.pl/web/baza-wiedzy/cyberbezpieczenstwo
- na temat zabezpieczenia danych na stronie internetowej NASK pod adresem: https://www.nask.pl/pl/dzialalnosc/cyberbezpieczenstwo/3284,Cyberbezpieczenstwo.html
- w serwisie Ogólnopolskiej Sieci Edukacyjnej jest do pobrania poradnik „ABC cyberbezpieczeństwa” pod adresem: https://it-szkola.edu.pl/news,art,514
Incydenty cyberbezpieczeństwa możecie Państwo zgłaszać pod adresem https://incydent.cert.pl
Podejrzane strony które mogą wyłudzać dane osobowe, dane uwierzytelniające do kont bankowych lub serwisów społecznościowych, mogą Państwo zgłaszać za pomocą formularza dostępnego na https://incydent.cert.pl/phishing
W przypadku gdy źródłem podejrzanej strony jest wiadomość SMS, możecie Państwo ją przekazać CSIRT NASK na numer + 48 799 448 084 w sposób opisany poniżej:
Podejrzaną wiadomość SMS zawierającą link możecie Państwo przesłać na numer 799 448 084 wykorzystując funkcję „przekaż” albo „udostępnij” w swoim telefonie. Trafi ona bezpośrednio do analityków CERT NASK, którzy zdecydują o dopisaniu podejrzanej domeny do listy ostrzeżeń. Z jednego numeru można zgłosić maksymalnie 3 wiadomości w ciągu 4 godzin. Należy pamiętać, że numer służy wyłącznie do zgłaszania prób wyłudzeń internetowych (phishingu, fałszywych aplikacji) - nie przyjmowane tą drogą będą zgłoszenia dotyczące usług SMS premium. Podany numer służy tylko do przyjmowania SMS-ów - numer do telefonicznego zgłaszania incydentów znajduje się na stronie https://incydent.cert.pl .
Jeżeli chcesz anonimowo i łatwo zgłosić nielegalne i szkodliwe treści, na które natknąłeś się w sieci możesz zrobić to za pomocą https://incydent.cert.pl/#!/lang=pl
