Europejski Miesiąc Cyberbezpieczeństwa
Jarosław Peplinski – radca prawny
Październik jest Europejskim Miesiącem Cyberbezpieczeństwa. To czas, w którym szczególną uwagę poświęca się zagadnieniom bezpieczeństwa w sieci, którym towarzyszy szereg akcji i kursów organizowanych przez zajmujące się tym instytucje.
Nie tylko w październiku…
Cyberbezpieczeństwo jest jednak ważne nie tylko w październiku, a przez cały rok. Wyzwania związane z szybkim rozwojem technologii wymagają przeciwdziałania zagrożeniom, które są jego nieodłączną częścią. Ryzykiem wynikającym z korzystania z Internetu obarczony jest każdy, kto jest jego użytkownikiem, dotyczą więc każdego z nas prywatnie. Szczególne obowiązki spoczywają natomiast na podmiotach, które przetwarzają dane osobowe w celach związanych ze swoją działalnością gospodarczą. Dotyczą one zarówno przedsiębiorców, jak i lekarzy, którzy – co warto zaznaczyć – są związani tajemnicą zawodową, a ta nie jest możliwa do utrzymania bez zapewnienia odpowiedniej ochrony danych osobowych pacjentów.
W tym artykule opiszę krótko dwa z zagrożeń, którymi są ransomware i phishing.
Ransomware
Ransomware to złośliwe oprogramowanie, które jest w stanie zaszyfrować pliki przechowywane na dysku lokalnym i sieciowym. Jego celem jest uzyskanie okupu za ich odszyfrowanie. Często jest on wyrażony w kryptowalutach, które ze względu na blockchain są trudniejsze do śledzenia niż standardowy przelew lub wymiana gotówkowa.
W jaki sposób może dojść do zainfekowania systemu? Wystarczy kliknięcie w link, w wyniku którego dojdzie do pobrania i zainstalowania oprogramowania. Może ono do nas trafić jako plik PDF, który rzekomo zawiera fakturę. W rzeczywistości jest to zamaskowany plik ze złośliwym oprogramowaniem. Z tego względu warto zachować ostrożność przy odczytywaniu wiadomości e-mail i zwracać uwagę na adresata, jak również inne elementy wiadomości, jak adresy, literówki czy błędy w treści.
Złośliwe oprogramowanie może też zostać wgrane fizycznie przez niezabezpieczony port USB. Jest to możliwe nawet w takich urządzeniach jak drukarka, która podłączona do sieci WI-FI może przenieść szkodliwą zawartość na inne urządzenia.
Jak można ograniczyć negatywne skutki ransomware? Przede wszystkim regularnie tworząc kopie zapasowe danych. Kopie te powinny być testowane pod kątem możliwości przywrócenia danych. W tym zakresie polecam uwadze zapoznanie się z zasadą 3-2-1, która opisuje model tworzenia skutecznych kopii zapasowych.
Phishing
Phishing to rodzaj ataku opartego o wiadomość e-mail lub SMS, choć istnieją także inne jego formy w zależności od wykorzystanego środka komunikacji. W swoim założeniu zmierza on do wyłudzenia od ofiary danych lub nakłonienie jej do niekorzystnego działania. Opiera się na zastosowaniu socjotechnik, wzbudzając emocje – strach, pośpiech, radość itd.
Phishingiem może być SMS od rzekomego dostawcy prądu, wzywający do uiszczenia drobnej niedopłaty, w wyniku której istnieje zagrożenie odłączenia energii. Może to być SMS od rzekomego kuriera, że zamówiona paczka z prezentem świątecznym nie zostanie nadana bez dopłacenia kosztów przesyłki. Phishingiem jest metoda „na wnuczka”, telefony „z banku” informujące o dziwnych ruchach na koncie czy niektóre wiadomości w aplikacji Vinted. Ataki phishingowe dotyczą także transakcji BLIK i są wykonywane także w portalach społecznościowych oraz komunikatorach internetowych.
Ważna informacja – samo kliknięcie w przesłany link nie stanowi w większości wypadków zagrożenia. Problem zaczyna się wtedy, gdy wpisane zostaną dane, np. dane logowania do bankowości elektronicznej na podrobionej stronie internetowej banku.
Jak rozpoznać phishing i się przed nim ochronić?
Jak rozpoznać phishing? Często jest to trudne zadanie, szczególnie że przestępcy coraz częściej posiłkują się sztuczną inteligencją. Przede wszystkim jednak:
- sprawdź nazwę nadawcy i adres e-mail lub adres strony internetowej – zwróć uwagę na literówki, dodatkowe znaki diakrytyczne, przestawione litery itd.;
- zwróć uwagę na budowę strony internetowej – wszelkie odmienności mogą sygnalizować podrobienie strony;
- zapisz najczęściej wykorzystywane strony internetowe w zakładkach;
- pamiętaj, że banki i urzędy nie poproszą Cię o podanie Twoich danych dostępowych;
- sprawdź skrócony link przez najechanie na niego kursorem bez klikania – powinien wyświetlić się prawdziwy adres, na który zostaniesz przekierowany;
- uważaj na wiadomości zbyt piękne, by były prawdziwe – prawdopodobnie takie nie są;
- zachowaj spokój w przypadku wiadomości, które wydają się pilne lub wywołują strach;
- jeżeli to możliwe, zastosuj wieloskładnikowe uwierzytelnianie – co najmniej utrudni to dostęp do Twoich profili internetowych.
Rosnąca rola cyberbezpieczeństwa
Zachowanie cyberbezpieczeństwa jest obecnie koniecznością, zarówno w życiu prywatnym, jak i zawodowym. Z jednej strony niezbędne jest przeciwdziałanie cyberatakom w ochronie własnego interesu. Z drugiej strony, przedsiębiorcy czy podmioty lecznicze odpowiadają za ochronę interesów swoich klientów lub pacjentów, których dane osobowe przetwarzają w swojej działalności.
Nie można przejść obojętnie obok zagrożeń technologicznych. Nowa rzeczywistość wymaga wyuczenia nowych przyzwyczajeń i opracowania skutecznych mechanizmów ochronnych. Największą rolę odgrywa oczywiście codzienna praktyka i świadomość. Z tego względu warto zainwestować w skierowane do personelu szkolenia poszerzająca wiedzę na temat cyberbezpieczeństwa. Innym wymiarem jest zapewnienie odpowiednich środków zabezpieczeń, które powinny zostać poprzedzone rzetelną analizą ryzyka. Zapewnienie bezpieczeństwa i wykazanie zgodności z przepisami prawa w tym zakresie jest natomiast nierozerwalnie związane z prowadzeniem dokumentacji opisującej te obszary.
Jak wspomniałem na wstępie, temat cyberbezpieczeństwa jest ważny nie tylko w październiku, ale przez cały rok. To temat, którego z pewnością nie warto odkładać – konsekwencje mogą być zbyt poważne, nie tylko ze względów finansowych, ale też wizerunku placówki. Dlatego warto, aby Europejski Miesiąc Cyberbezpieczeństwa stanowił katalizator zmian. Jeżeli nie wiesz od czego zacząć lub potrzebujesz konkretnej porady, nasza Kancelaria może Ci pomóc. Zapraszamy do kontaktu!
Skontaktuj się z nami!
Administrator przywiązuje szczególną wagę do poszanowania prywatności osób fizycznych korzystających ze świadczonych przez niego usług, dlatego wprowadził niniejszą Politykę zawierającą informacje o przetwarzaniu przez niego danych osobowych.
Podstawą prawną Polityki jest RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).