Strona główna » Dokumenty » Informacje o MOPR » Cyberbezpieczeństwo » Cyberbezpieczeństwo

Cyberbezpieczeństwo


Realizując zadania wynikające z Ustawy o krajowym systemie cyberbezpieczeństwa, przekazujemy Państwu informacje pozwalające na zrozumienie zagrożeń występujących w cyberprzestrzeni oraz porady jak przeciwdziałać tym zagrożeniom.

Cyberbezpieczeństwo zgodnie z obowiązującymi przepisami, to odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy. Wszelkie zdarzenia mające lub mogące mieć niekorzystny wpływ na cyberbezpieczeństwo nazywane są zagrożeniami lub incydentami.
Najczęstsze zagrożenia w cyberprzestrzeni to:
• ataki z użyciem szkodliwego oprogramowania (malware, wirusy, robaki, itp.);
• kradzieże tożsamości;
• kradzieże (wyłudzenia), modyfikacje bądź niszczenie danych;
• blokowanie dostępu do usług;
• spam (niechciane lub niepotrzebne wiadomości elektroniczne);
• ataki socjotechniczne (np. phishing, czyli wyłudzanie poufnych informacji przez podszywanie się pod godną zaufania osobę lub instytucję).
Sposoby zabezpieczenia się przed zagrożeniami:
• stosuj zasadę ograniczonego zaufania do: odbieranych wiadomości e-mail, sms, stron internetowych nakłaniających do podania danych osobowych, osób podających się za przedstawicieli firm, instytucji, które żądają podania danych autoryzacyjnych lub nakłaniają do instalowania aplikacji zdalnego dostępu;
• nie ujawniaj danych osobowych, w tym danych autoryzacyjnych dopóki nie ustalisz czy rozmawiasz z osobą uprawnioną do przetwarzania Twoich danych;
• instaluj aplikacje tylko ze znanych i zaufanych źródeł;
• nie otwieraj wiadomości e-mail i nie korzystaj z linków przesłanych od nadawców, których nie znasz;
• każdy e-mail można bardzo łatwo sfałszować. To, że w polu nadawca jest znany ci adres wcale nie oznacza, że ten nadawca go wysłał;
• porównaj w źródle wiadomości adres konta e-mail nadawcy z adresem w polu „From” oraz „Reply to” – różne adresy w tych polach mogą wskazywać na próbę oszustwa;
• szyfruj dane poufne wysyłane pocztą elektroniczną. Hasło do odszyfrowania najlepiej wyślij inną drogą (np. sms’em);
• bezpieczeństwo wiadomości tekstowych (SMS) – sprawdź adres url, z którego domyślnie dany podmiot/instytucja wysyła do Ciebie sms-y, cyberprzestępca może podszyć się pod dowolną tożsamość (odpowiednio definiując numer lub nazwę), otrzymując sms-a, w którym cyberprzestępca podszywa się pod numer zapisany w książce adresowej, telefon zidentyfikuje jako zaufanego nadawcę wiadomości sms;
• jeśli na podejrzanej stronie podałeś swoje dane do logowania lub jeżeli włamano się na Twoje konto e-mail – jak najszybciej zmień hasło;
• chroń swój komputer, urządzenie mobilne programem antywirusowym zabezpieczającym przed zagrożeniami typu: wirusy, robaki, trojany, niebezpieczne aplikacje (typu ransomware, adware, keylogger, spyware, dialer), phishing, narzędziami hakerskimi, backdoorami, rootkitami, bootkitami i exploitami;
• aktualizuj system operacyjny, aplikacje użytkowe, programy antywirusowe. Brak aktualizacji zwiększa podatność na cyberzagrożenia. Hakerzy, którzy znają słabości systemu/aplikacji, mają otwartą furtkę do korzystania z luk w oprogramowaniu;
• pamiętaj, że logowanie do e-usług publicznych, bankowości elektronicznej bez aktualnego (wspieranego przez producenta) systemu operacyjnego to duże ryzyko;
• korzystaj z różnych haseł do różnych usług elektronicznych;
• tam gdzie to możliwe (konta społecznościowe, konto email, usługi e-administracji, usługi finansowe) stosuj dwuetapowe (2FA) uwierzytelnienie za pomocą np. sms, pin, aplikacji generującej jednorazowe kody autoryzujące, tokenów, klucza fizycznego;
• regularnie zmieniaj hasła;
• stosuj uwierzytelnianie duetapowe;
• nie udostępniaj nikomu swoich haseł;
• pracuj w systemach na najniższych możliwych uprawnieniach użytkownika;
• wykonuj kopie bezpieczeństwa;
• skanuj podłączane urządzenia zewnętrzne;
• skanuj regularnie wszystkie dyski twarde, zainstalowane w Twoim komputerze;
• kontroluj uprawnienia instalowanych aplikacji;
• unikaj korzystania z otwartych (publicznych) sieci Wi-Fi;
• podając poufne dane sprawdź czy strona internetowa posiada certyfikat SSL. Protokół SSL to standard szyfrowania (zabezpieczania) przesyłanych danych pomiędzy przeglądarką a serwerem;
• zadbaj o bezpieczeństwo routera (ustal silne hasło do sieci Wi-Fi, zmień nazwę sieci Wi-Fi, zmień domyślne hasło do panelu administratora, ustaw poziom zabezpieczeń połączenia z siecią Wi-Fi np. WPA2 i wyższe, aktualizuj oprogramowanie routera, wyłącz funkcję WPS, aktywuj funkcję Gościnna Sieć Wi-Fi „Guest Network”;
• pamiętaj, że żaden bank czy Urząd nie wysyła e-maili do swoich klientów/interesantów z prośbą o podanie hasła lub loginu, w celu ich weryfikacji.
Zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami to wiedza niezbędna każdemu użytkownikowi komputera, smartphona czy usług internetowych.
Ważne zasady bezpiecznego użytkowania poczty elektronicznej i mediów społecznościowych:
• nie używaj prywatnych kont poczty elektronicznej i komunikatorów do korespondencji służbowej;
• nie używaj prywatnych komputerów i telefonów do spraw służbowych;
• nie używaj służbowych komputerów i telefonów do spraw prywatnych (w szczególności do czytania prywatnej poczty elektronicznej), nie udostępniaj ich członkom rodziny;
• logując się na konto zawsze sprawdź czy domena danego portalu jest prawidłowa. Domena to nazwa zawierająca się między https://, a pierwszym kolejnym znakiem / ;
• ignoruj wszystkie inne prośby o podanie swojego hasła, nawet jeżeli komunikat wygląda oficjalnie, wymaga natychmiastowej reakcji i grozi dezaktywacją konta;
• wszystkie podejrzane wiadomości na skrzynce służbowej zgłaszaj administratorom w swojej organizacji;
• o wszystkie podejrzane wiadomości na prywatnej skrzynce możesz zapytać CERT Polska ( https://incydent.cert.pl / cert@cert.pl ). Szczególnie podejrzane są wiadomości: zawierające załączniki, a zwłaszcza archiwa i dokumenty Office z hasłem podanym w treści wiadomości oraz wiadomości zmuszające do podjęcia natychmiastowej reakcji;
• stosuj długie hasła (powyżej 14 znaków);
• dobrą metodą na długie hasło jest wymyślenie całej frazy, składającej się z kilku słów, np. 2CzerwoneRoweryJezdzapoUlicy;
• unikaj haseł, które łatwo powiązać z publicznymi informacjami na temat Twojej osoby, np. zawierających nazwisko, datę urodzenia itp.;
• hasło zmieniamy wtedy, gdy mamy podejrzenie, że mogła poznać je inna osoba. Nie ma potrzeby cyklicznej zmiany hasła;
• nie używaj tego samego hasła więcej niż raz (w szczególności do konta email, banku i innych wrażliwych kont);
• dla ułatwienia korzystaj z menedżerów haseł. Te wbudowane w przeglądarkę czy telefon są bezpieczne i proste w użyciu;
• włącz uwierzytelnianie dwuskładnikowe (tzw. 2FA) tam gdzie jest to możliwe. Uwierzytelnianie dwuskładnikowe w poczcie elektronicznej i w kontach społecznościowych jest konieczne. Jeżeli obecny dostawca Twojej poczty nie udostępnia uwierzytelniania dwuskładnikowego, zmień go;
• najlepszym drugim składnikiem uwierzytelniania i jedynym odpornym na ataki phishingowe jest token sprzętowy U2F (np. YubiKey);
• zweryfikuj wszystkie dane kontaktowe w ustawieniach profilu poczty elektronicznej i mediów społecznościowych. Dobra, alternatywna metoda kontaktu ułatwi odzyskanie utraconego konta;
• jeżeli podejrzewasz, że ktoś mógł włamać się na twoje konto, zmień hasło, sprawdź dostępną w profilu historię logowania i zakończ wszystkie aktywne sesje;
• nie zaniedbuj aktualizacji systemu operacyjnego i programów na używanym komputerze;
• posiadaj aktualny program antywirusowy;
• pamiętaj, że VPN nie chroni przed atakami phishingowymi i złośliwym oprogramowaniem;
• do wrażliwej, prywatnej komunikacji używaj komunikatorów szyfrowanych end-to-end, np. Signala;
• używaj opcji automatycznego kasowania wiadomości po upływie określonego czasu – nie da się ukraść czegoś, czego już nie ma.

Więcej informacji na ten temat można znaleźć: www.gov.pl/web/cyfryzacja/cyberbezpieczenstwo , www.gov.pl/web/baza-wiedzy/cyberbezpieczenstwo




Informacje powiązane:

- jednostki i podmioty:
- osoby:



Typ dokumentu: Cyberbezpieczeństwo
Autor informacji: Leszek Kończal
Informację wprowadził: Leszek Kończal
Opublikowany dnia: 2023-12-22
Wprowadzony do BIP dnia: 2023-12-27
Ilość zmian wpisu: 1 - pokaż poprzednie wersje


Powiadom o zmianach w tym dokumencie