Co to jest cyberbezpieczeństwo? 9 wskazówek, jak zadbać o bezpieczeństwo w sieci

Jak zachować bezpieczeństwo w sieci?

Ogólne zasady bezpieczeństwa w sieci to: 

• instalacja aktualnego oprogramowania antywirusowego,
• aktualizacja oprogramowania,
• unikanie otwierania załączników pocztowych z nieznanych źródeł,
• włączanie zapory sieciowej z modułem HIPS,
• szyfrowanie transakcji bankowych.

Jak zwiększyć bezpieczeństwo w sieci?

Jednym ze sposobów zabezpieczania danych jest korzystanie z dwuskładnikowej weryfikacji przy logowaniu. Kolejny krok to ustawianie silnego hasła i używanie w przeglądarkach filtrów, które pozwolą sprawdzić, czy dana witryna nie została zgłoszona jako szkodliwa.

Jak tworzyć silne hasła? Każde konto powinno mieć przypisane długie, skomplikowane hasło, którego haker nie będzie w stanie złamać w ciągu kilku minut. Pomocnym narzędziem jest manager haseł, czyli program, który pozwala bezpiecznie zapisać wszystkie hasła w jednym miejscu. Aby mieć do nich dostęp, wystarczy zapamiętać jedno długie hasło do programu. 

Świadomość zagrożenia

Wiele cyberataków odbywa się obecnie z użyciem socjotechniki, czyli działań wykorzystujących ludzkie skłonności, np. ciekawość. W wykryciu potencjalnego zagrożenia i zwróceniu uwagi na podejrzaną aktywność pomocne będzie zachowanie zdrowego rozsądku. Przykład? Link otrzymany w wiadomości e-mail lub SMS-ie.

Ochrona antywirusowa

Złośliwe oprogramowanie można wykryć i zneutralizować, zanim zacznie działać na komputerze. Najczęściej jest to jakiś załącznik lub plik pobierany z Internetu. Ostatnią linią obrony przed atakiem jest wtedy program antywirusowy.

Narzędzia ochronne nie są w 100 procentach skuteczne, ale stanowią jedną z linii obrony przed atakiem. W przypadku braku posiadania oprogramowania antywirusowego należy włączyć wbudowaną ochronę Windows (Defender).

Aktualizacje

Błędy w zainstalowanym oprogramowaniu mogą zostać wykorzystane przez cyberprzestępcę i ułatwić przeprowadzenie ataku. Działaniem prewencyjnym jest w tym przypadku regularna aktualizacja dostarczana przez producenta oprogramowania. Do dobrych praktyk należy okresowa weryfikacja systemu operacyjnego i innych używanych narzędzi, włącznie z przeglądarką, pakietem biurowym, oprogramowaniem pomocniczym czy programem antywirusowym, pod kątem ich aktualizacji.

Kopie zapasowe danych

Wykonywanie kopii bezpieczeństwa to jedno z podstawowych zaleceń. Kopia ochroni dokumenty w przypadku awarii technicznej systemu oraz w razie ataku z użyciem złośliwego oprogramowania.

Backup danych jest szczególnie przydatny w sytuacji ataku typu ransomware – oprogramowania, które szyfruje dane i żąda okupu za odszyfrowanie. Kopie bezpieczeństwa sprzed infekcji umożliwiają wtedy odtworzenie zniszczonych przez złośliwe oprogramowanie dokumentów.

Kopię bezpieczeństwa można wykonać automatycznie za pomocą odpowiedniego oprogramowania, które często jest dostarczane razem z usługą. Warto pamiętać, że kopia offline (np. na dysku wymiennym) jest mniej wrażliwa na zniszczenie przez złośliwe oprogramowanie niż kopia wykonywana online. Dla najważniejszych danych sprawdzi się strategia 3–2–1, czyli 3 kopie, 2 rodzaje nośników, 1 z kopii umieszczona poza domem lub biurem.

Hasła dostępu

Używanie bezpiecznych haseł do kont w mediach społecznościowych, kont bankowych, poczty e-mail i wszędzie tam, gdzie gromadzone są istotne i cenne informacje, to podstawa bezpieczeństwa w sieci. Bezpieczne hasło powinno składać się z przynajmniej ośmiu znaków, w tym liter, cyfr i znaków specjalnych, oraz być regularnie zmieniane (przynajmniej raz w roku). Dla każdego serwisu należy ustawić osobne hasło i skorzystać z managera haseł (np. KeePass) lub zapisać je na papierze i przechowywać w bezpiecznym miejscu.

Dwuskładnikowe uwierzytelnianie

Hasła, mimo przestrzegania przez użytkownika wszystkich powyższych zasad, nie gwarantują 100-procentowego bezpieczeństwa. Standardem stało się obecnie uwierzytelnianie dwuskładnikowe, czyli wykorzystanie dodatkowego składnika, związanego z innym urządzeniem, dokumentem, kanałem komunikacji lub czytnikiem biometrycznym. Oprócz zwykłego hasła ten sposób logowania wykorzystuje osobną aplikację, w której generowane jest hasło tymczasowe. Dopiero po wpisaniu hasła uzyskuje się dostęp do programu lub strony.

Mechanizm ten jest wykorzystywany w bankowości elektronicznej poprzez wiadomość SMS z hasłem, ale warto go używać także w innych ważnych usługach (poczta elektroniczna, sieci społecznościowe). Zamiast podawania numeru telefonu do haseł SMS-owych można wybrać opcję haseł jednorazowych OTP z aplikacji Microsoft Authenticator, Google Authenticator, FreeOTP lub andOTP.

Przeglądarka

W ustawieniach przeglądarki znajduje się opcja włączająca blokadę niebezpiecznych załączników oraz wyłączająca obiekty śledzące. Niektóre przeglądarki umożliwiają też zablokowanie podejrzanej zawartości za pomocą wtyczek takich jak NoScript, ale ich używanie wymaga pewnego zaawansowania technicznego ze względu na potencjalne problemy z działaniem niektórych stron.

W kontekście przeglądarki istotna jest również aktualizacja. Klasyczne porady mówiące o sprawdzaniu, czy certyfikat jest poprawny, nadal są istotne, ale obecność ikony (kłódka) przy pasku adresu nie gwarantuje już bezpieczeństwa. Nowoczesne przeglądarki obsługują osobne profile – warto z nich skorzystać, by oddzielić ważną aktywność (praca, bankowość elektroniczna) od zwykłego przeglądania Internetu.

Uwaga na linki

Hakerzy często wykorzystują socjotechnikę, aby przekonać potencjalną ofiarę ataku do wejścia na fałszywą stronę internetową (np. banku). Przestępcy przygotowują specjalne linki, które wysyłają w wiadomościach elektronicznych, w komunikatorach czy wiadomościach SMS.

Dlatego tak ważne jest zachowanie szczególnej ostrożności. W przypadku otrzymania podejrzanej wiadomości nie należy od razu klikać linków czy załączników. Warto najpierw dokładnie sprawdzić wiadomość, a w razie wątpliwości zadzwonić do konsultanta danej firmy lub instytucji i spytać go, czy taka wiadomość rzeczywiście została wysłana.

Do dobrych praktyk należy również przeklejenie linku do notatnika i sprawdzenie, jak dany link rzeczywiście jest zbudowany. O wiele prościej zobaczyć wtedy, do jakiej domeny tak naprawdę kieruje.

Zabezpieczenie telefonu, smartfona

Smartfony również przechowują dane, mają dostęp do Internetu i służą do uwierzytelniania innych usług. Oto działania pozwalające zadbać o bezpieczeństwo urządzenia i przechowywanych w nim danych:

• włączenie blokady na hasło lub PIN oraz szyfrowanie urządzenia;
• aktualizacja programów (aplikacji) i całego systemu;
• zainstalowanie programu antywirusowego;
• unikanie przechowywania informacji osobistych (np. medycznych) na smartfonie;
• instalacja aplikacji z zaufanych sklepów, przy jednoczesnym zwróceniu uwagi na ich uprawnienia i opisy; wiele aplikacji zawiera niepożądane funkcje, które mogą przyczynić się do kradzieży danych i szpiegowania użytkowników;
• ostrożność i ograniczone zaufanie w przypadku otrzymania wiadomości zawierającej linki.

Bezpieczeństwo w sieci – korzyści

Cyberbezpieczeństwo jest niezwykle istotne z punktu widzenia każdej organizacji. Zarówno firmy, jak i osoby prywatne operują dziś na niezliczonej ilości danych. Niemal niemożliwe jest funkcjonowanie bez procedur związanych z cyberbezpieczeństwem. Odpowiednio wdrożone procedury i zabezpieczenia danych, systemów i aplikacji to przede wszystkim:

• ochrona przed utratą wrażliwych danych (np. w wyniku ataku typu ransomware);
• zapobieganie stratom finansowym, które często są wynikiem zarówno cyberataków, jak i awarii powodujących przestoje w funkcjonowaniu firmy;
• zapobieganie utracie reputacji, która zwykle jest skutkiem nieodpowiedniego dbania o zabezpieczenie danych (utrata reputacji może skutkować poważnymi stratami).

Cyberatak – co to jest phishing?

Omawiając bezpieczeństwo danych w sieci, nie sposób nie wspomnieć o najpopularniejszym rodzaju internetowego oszustwa – phishingu.

Phishing polega na podszywaniu się pod inną osobę lub instytucję w celu wyłudzenia informacji, zainfekowania sprzętu złośliwym oprogramowaniem lub nakłonienia ofiary do określonych działań. Atak może przybrać formę wiadomości e-mail, wiadomości w mediach społecznościowych, a nawet rozmowy telefonicznej. Oszust, który wyłudzi dane, często wykorzystuje je potem, aby uzyskać nieautoryzowany dostęp do kont ofiary. Dowiedz się więcej o tym, czym jest phishing.

Ustawa: cyberbezpieczeństwo

W Polsce pierwszym aktem prawnym w zakresie bezpieczeństwa cyfrowego jest Ustawa o krajowym systemie cyberbezpieczeństwa obowiązująca od 28 sierpnia 2018 r. Zapewnia ona ochronę cyberprzestrzeni na poziomie krajowym i gwarantuje m.in. niezakłócone świadczenie usług kluczowych z punktu widzenia państwa i gospodarki oraz usług cyfrowych poprzez osiągnięcie wysokiego poziomu bezpieczeństwa systemów informacyjnych służących do ich świadczenia.