Realizując zadania, wynikające z art. 22 ust. 1 pkt 4 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2020 r. poz. 1369, z późn.zm.), udostępniamy informacje pozwalające na zrozumienie zagrożeń występujących w cyberprzestrzeni, a także podstawowe porady dot. zabezpieczenia się przed tymi zagrożeniami.
Bezpieczeństwo informacji to zasady, procedury, narzędzia i dobre praktyki, których celem jest ochrona informacji. Informacje chronione powinny być od momentu ich wytworzenia, w trakcie ich przetwarzania, wykorzystywania, modyfikacji, aż do ich usunięcia, czy zarchiwizowania. Bezpieczeństwo informacji nie zamyka się w obszarze IT i informacji przechowywanych w formie elektronicznej, dotyczy również informacji w formie tradycyjnej.
Podstawowymi pojęciami związanymi z bezpieczeństwem informacji są:
- Poufność: zapewnienie, że informacje są dostępne tylko dla uprawnionych osób i systemów
- Integralność: utrzymanie dokładności, spójności i wiarygodności danych
- Dostępność: gwarancja, że uprawnione użytkownicy mają dostęp do informacji i zasobów, gdy są potrzebne
- Autentyczność: zapewnienie, że tożsamość użytkowników i systemów jest weryfikowana
- Niezaprzeczalność: możliwość udowodnienia, że określone działania lub zdarzenia miały miejsce
Cyberbezpieczeństwo to zbiór praktyk, różnych technologii, rozwiązań, narzędzi i procesów, które mają na celu ochronę systemów komputerowych, sieci, urządzeń mobilnych, aplikacji i danych przed tzw. cyberzagrożeniami. Cyberbezpieczeństwo obejmuje prewencję i działania profilaktyczne, jak również reagowanie na incydenty.
Do najpopularniejszych zagrożeń należą ataki z użyciem szkodliwego oprogramowania (np. malware, ransomware), kradzież tożsamości poprzez ataki socjotechnicznej (np. phishing), blokowanie dostępu do usług (poprzez np. ataki DDos).
Oto kilka podstawowych zasad, które warto stosować, by zwiększyć bezpieczeństwo danych, informacji, zasobów informatycznych, do których mamy dostęp i z których korzystamy:
- Instaluj oprogramowanie antywirusowe i regularnie je aktualizuj
- Nie otwieraj podejrzanych załączników i nie klikaj w nieznane linki, prześlij podejrzaną wiadomość do weryfikacji i aktualizacji reguł antyspam na antyspam@put.poznan.pl
- Aktualizuj system operacyjny, aplikacje, utrzymywane serwisy www i strony osobiste, instalując najnowsze łatki bezpieczeństwa, chroń swoje urządzenia zarówno od strony informatycznej, jak i pod kątem nieuprawnionego dostępu fizycznego (kradzież, udostępnienie niezaufanej osobie trzeciej)
- Stosuj silne, unikalne hasła i uwierzytelnianie dwuskładnikowe (2FA)
- Pamiętaj, że administratorzy Uczelni nie wysyłają wiadomości z prośbą o podanie danych logowania (login i hasło do eSystemów)
- Unikaj podejrzanych stron www i niesprawdzonych aplikacji
- Stosuj się do polityk, procedur, regulacji, zaleceń, instrukcji i funkcjonalności zwiększających bezpieczeństwo, oferowanych przez Uczelnię (2FA, szyfrowanie udostępnianych danych, szyfrowanie urządzeń przenośnych, pamięci masowych): https://instrukcje.put.poznan.pl/
- Zgłaszaj zaobserwowane nieprawidłowości (zdarzenia, incydenty bezpieczeństwa): https://instrukcje.put.poznan.pl/zglaszanie-incydentow-bezpieczenstwa-informacji/
Krajowy system cyberbezpieczeństwa ma na celu zapewnienie cyberbezpieczeństwa na poziomie krajowym, w szczególności niezakłóconego świadczenia usług kluczowych i usług cyfrowych, osiągnięcie odpowiednio wysokiego poziomu bezpieczeństwa systemów teleinformatycznych służących do świadczenia tych usług. 1 sierpnia 2018 r. podpisana została ustawa o krajowym systemie cyberbezpieczeństwa, implementująca do polskiego porządku prawnego dyrektywę Parlamentu Europejskiego i Rady (UE) w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (dyrektywa 2016/1148), tzw. Dyrektywa NIS.
Aktualnie trwają prace legislacyjne dot. nowelizacji ustawy implementującej nową dyrektywę unijną tzw. NIS2. Ustawa nakłada m.in. na uczelnie dodatkowe obowiązki z zakresu bezpieczeństwa informacji.
Podstawowe pojęcia z obszaru cyberbezpieczeństwa:
Botnet – sieć komputerów i innych urządzeń zainfekowanych złośliwym oprogramowaniem, którą kontrolują cyberprzestępcy. Tworzy się ją w celu rozsyłania spamu, kradzieży danych, rozprzestrzeniania wirusów. Ataków dokonuje się za pomocą wiadomości e-mail lub przekierowań użytkownika na stronę, z której pobierany i instalowany jest złośliwy kod
Brute-force attack – atak hakerski w ramach którego przestępca wprowadza przy użyciu przygotowanego skryptu kolejne hasła, tak długo, aż złamie zabezpieczenia, przyczyniając się jednocześnie do znacznego obciążenia serwera
DoS (ang. Denial of Service) – atak, którego celem jest blokada usług. Polega on na generowaniu fałszywego ruchu na stronie, uniemożliwiają dostęp do niej innym użytkownikom. Działanie takie niejednokrotnie unieruchamia lub trwale uszkadza witrynę
DDoS (ang. Distributed Denial of Service) – atak na system komputerowy lub usługę sieciową, którego celem jest zablokowanie zasobów poprzez ich przeciążenie
Exploit – program wykorzystujący błędy w oprogramowaniu, systemach operacyjnych urządzeniach, podatność na ataki typu exploit wzrasta wraz z brakiem przeprowadzania bieżących aktualizacji
Exploit zero-day – oprogramowanie typu exploit, które pojawia się na czarnym rynku przed naniesieniem poprawek przed producenta – osoba która wykryła lukę nie powiadamia producenta o wykrytym błędzie, tylko sprzedaje tę informację hakerom. Ataki zero-day mogą prowadzić do poważnych naruszeń bezpieczeństwa cybernetycznego, a producent oprogramowania nie ma czasu na naprawienie luki, zanim zostanie ona aktywnie wykorzystywana przez atakujących
Hacking – nieupoważniona próba włamania się do komputera lub sieci, której celem jest niestandardowe, choć niekoniecznie szkodliwe działanie, aby zlokalizować luki i błędy, np. w systemie. Hacking stosowany jest również w celu osiągnięcia osobistych korzyści
Keylogger – wyspecjalizowane oprogramowanie rejestrujące ruchy myszką oraz naciśnięcia klawiszy na klawiaturze lub ekranie, wykorzystywane w celu kradzieży danych logowania czy przechwycenia informacji bankowych
Malware – złośliwe oprogramowanie, dzięki któremu haker zyskuje dostęp do urządzenia bez wiedzy użytkownika, może powodować uszkodzenia danych, zablokowanie urządzenia, kradzież danych, szpiegowanie aktywności użytkownika, wymuszanie okupu lub przejęcie kontroli nad urządzeniem
Ransomware – złośliwe oprogramowanie, które przejmuje kontrolę nad systemem i zaszyfrowuje dane, czasami atakując pojedyncze pliki. Próba uzyskania dostępu do zaszyfrowanych plików powoduje wyświetlenie powiadomienia, że będą one zablokowane, do czasu opłacenia okupu. Przestępcy niejednokrotnie żądają, aby opłata była wykonana w walucie elektronicznej takiej jak Bitcoin.
Phishing – oszustwa stosowane w celu nakłonienia ludzi do podania poufnych informacji, wykorzystujące różnego rodzaju socjotechniki. Polegają na dostarczaniu fałszywych wiadomości e-mail, sms, czy publikowanych z wykorzystaniem mediów społecznościowych, które wyglądają, jakby pochodziły od znanej użytkownikowi osoby lub organizacji. Zazwyczaj zawierają link lub załącznik, którego kliknięcie powoduje nieświadome pobranie złośliwego oprogramowania. Niejednorodnie polegają na utworzeniu fałszywej witryny, której nie sposób odróżnić od prawdziwej, nakłaniając do przeprowadzenia standardowej procedury logowania i przekazania danych poufnych przestępcom
Deepfake – technika wykorzystująca sztuczną inteligencję do tworzenia fałszywych wideo, imitujących autentyczne nagrania, poprzez dopasowanie wizerunku, głosy, wypowiedzi. Niejednokrotnie opera się na wykorzystaniu wizerunku osób znanych. Niesie poważne konsekwencje dla społeczeństwa, ponieważ wpływa na percepcję faktów i rzeczywistości, powodują dezinformację, wzbudzając strach, poczucie niepewności. Może służyć do popełniania cyberprzestępstw.
Wyciek danych – sytuacja, do której dochodzi w wyniku celowego lub przypadkowego działania i oznacza najczęściej ujawnienie bądź kradzież wrażliwych informacji (w tym danych finansowych, know-how, czy danych logowania). Zdobyte w nieuczciwy sposób informacje wykorzystywane mogą być w celu przeprowadzania dalszych działań przestępczych (np. wyłudzenia, zastraszanie, handel danymi, przyczyniając się do utraty reputacji organizacji, narażenia jej na szkody finansowe)
Shadow IT – zjawisko polegające na tym, że pracownicy korzystają ze sprzętu firmowego
w celach prywatnych, np. instalują oprogramowanie niezatwierdzone przez dział IT lub pracodawcę. Shadow IT zwiększa ryzyko wycieku danych
Backup – inaczej kopia zapasowa – proces tworzenia kopii danych, w celu ich zabezpieczenia, może dotyczyć plików (w tym konfiguracyjnych), folderów, baz danych, systemów. Zapewnia możliwość odtworzenia utraconych lub uszkodzonych danych. Backup nie jest tym samym, co archiwizacja danych – kopie bezpieczeństwa nie są bezpośrednio dostępne dla użytkowników, udostępniane są w przypadku potrzeby odzyskania danych. Kopie zapasowe powinny być systematycznie testowane, pod kątem weryfikacji prawidłowości mechanizmu ich wykonywania
VPN – wirtualna sieć prywatna stanowiąca zabezpieczenie, chroniąca wewnętrzną komunikację, zapewniająca bezpieczny dostęp do zasobów
RDP – narzędzie umożliwiające zdalny dostęp do innego komputera – widok ekranu oraz możliwość korzystania z zasobów urządzenia. Pulpit zdalny ułatwia pracę poza siedzibą organizacji, wymaga wzmocnienia ochrony danych
Wirtualizacja – proces w wyniku którego na komputerze tworzone są maszyny wirtualne (VM) – pracujące jak odrębne urządzenia, ale nimi niebędące, skutkujący podziałem zasobów komputera na kilka środowisk
Two-factor authentication (2FA) / Multi-factor authentication (MFA) – uwierzytelnianie dwuskładnikowe / wieloskładnikowe – środek bezpieczeństwa, który wymaga od użytkowników przedstawienia kilku form identyfikacji, w celu uzyskania dostępu do systemu lub aplikacji. Może opierać się na kodach jednorazowych generowanych przez aplikację na telefonie lub tablecie, bądź tokenach sprzętowych, które przypominają pamięć USB
Zero trust – koncepcja opierająca się na założeniu, że w kwestii bezpieczeństwa IT nie należy ufać nikomu, użytkownikom, urządzeniu czy systemowi. Każdy zasób, strona, użytkownik, wiadomość, czy informacja winny być weryfikowane
Rozumienie zagrożeń cyberbezpieczeństwa, stosowanie zasad cyberhigieny, aktywne zainteresowanie dostępnymi zabezpieczeniami, które mogą przyczynić się do zwiększenia ochrony przed zagrożeniami, to podstawa dla każdego użytkownika komputera, smartphona czy też usług internetowych.
Dodatkowe informacje i interesujące publikacje dostępne są również m.in. na stronach:
- Ministerstwo Cyfryzacji: https://www.gov.pl/web/baza-wiedzy/cyberbezpieczenstwo
- CERT.PL (Computer Emergency Response Team): https://cert.pl/news/
- NASK (Państwowy Instytut Badawczy): https://nask.pl/aktualnosci