Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Poufne dane - jak ocenić ryzyko i nie stracić nad nimi kontroli

Olek Pawlak 23-02-2015, 21:50

Zapewne nie oddałbyś kluczy do domu złodziejowi ani nie rozrzucasz po ulicy ulotek z danymi osobowymi. Dlaczego więc miałbyś to robić, poruszając się po internecie? Z tego artykułu dowiesz się, jak postępować i na co zwracać uwagę, korzystając z internetu, aby nie utracić wrażliwych danych.

Internet to medium o bardzo szerokich możliwościach. Poprzez sieć WWW mamy kontrolę nad czymkolwiek chcemy – tworzymy własne wirtualne profile, zakładamy konta w banku, umawiamy się na spotkania z klientami i doradcami – innymi słowy, robimy praktycznie wszystko, na co mamy ochotę. Wiąże się to niestety z ryzykiem utraty kontroli nad danymi, które wprowadziliśmy do sieci.

Przestajemy wówczas panować nad tym, kto i w jaki sposób przetwarza nasze dane, tzn. kto ma do nich dostęp. W skrajnym przypadku oznacza to utratę kontroli nad samym kontem w danym serwisie, jednak znacznie częściej ryzyko wiąże się z wyciekiem naszych danych do nieautoryzowanych serwisów.

W bezpieczeństwie informatycznym można wyróżnić dwa rodzaje ataków – masowy i celowy. W przypadku ataku masowego internetowy przestępca nie skupia się na konkretnym użytkowniku, lecz rozsyła wszystkim tę samą wiadomość (np. niechcianą reklamę albo co gorsza wirusa w załączniku). Atak celowy polega na próbie podszycia się pod inną osobę z zamiarem wyłudzenia bardziej wrażliwych danych. Często mamy tu do czynienia z atakiem socjotechnicznym – atakujący kontaktuje się z usługodawcą i podaje dane ofiary.

Metody zabezpieczeń

W bezpieczeństwie (nie tylko informatycznym) najważniejsza jest zasada ograniczonego zaufania. Poruszając się po sieci, zawsze należy pamiętać o tym, że strona, którą odwiedzamy, mogła zostać przejęta przez atakującego. Korzystając z internetu, należy liczyć się z tym, że nasze dane mogą dostać się w ręce przestępców – dlatego też głównym zaleceniem jest ograniczenie ilości udostępnianych danych do niezbędnego minimum.

Następnym krokiem jest stosowanie unikatowych haseł – podstawą do tego sformułowania jest fakt, że jeśli konto na stronie A zostanie przejęte, a jego hasło ujawnione, to konto tej samej osoby na stronie B pozostaje bezpieczne – atakujący musi przejąć każde konto danego użytkownika oddzielnie. Biorąc pod uwagę ilość usług i konieczność posiadania wielu kont, zapamiętywanie haseł może być bardzo trudne. W tym celu zostały utworzone różnego rodzaju programy, tzw. menedżery haseł, które pozwalają zapamiętać hasła do wszystkich kont, które tam wpiszemy.

Należy również pamiętać o ocenie ryzyka. Za dane o największym ryzyku można uznać: hasła i loginy do banku, dane dostępowe do ePUAP (elektronicznej Platformy Usług Administracji Publicznej) itp. – w skrócie, chodzi o dane, które uwierzytelniają nas jako podmioty w umowach, za pomocą których można dokonywać realnych decyzji finansowych lub prawnych. Za dane o średnim ryzyku uznaje się dane osobowe (imię i nazwisko, adres, numer telefonu itp.). Dane o najmniejszym ryzyku to te dane, które nie identyfikują nas jednoznacznie, np. adres e-mail, pseudonim, adres IP.

Mając na uwadze powyższą propozycję kwalifikacji, należy pamiętać o następujących zasadach:

a) Uwierzytelnienie dwuskładnikowe

Uwierzytelnienie dwuskładnikowe to dodatkowy sposób autoryzacji, gdzie dostajemy jednorazowy kod za pomocą wiadomości SMS na nasz numer telefonu. W ten sposób nawet jeśli atakujący pozna nasze hasło, nie posiadając naszego telefonu, nie będzie w stanie przeprowadzić operacji (np. logowania).

b) Szyfrowane połączenie

Łącząc się ze stroną, należy zawsze sprawdzać, czy połączenie jest szyfrowane i czy certyfikat serwera jest poprawny. W takim przypadku atakujący, który mógłby podsłuchiwać sieć, nie będzie w stanie przechwycić informacji wymienianych pomiędzy użytkownikiem a stroną. Cały kanał informacji będzie zaszyfrowany i w efekcie nie do odczytu przez osobę trzecią.

Połączenie można uznać za bezpieczne, jeśli pasek adresu zaczyna się literami „https” (Hypertext Transfer Protocol Secure) oraz pojawia się ikona kłódki na pasku adresu. W zależności od przeglądarki internetowej, z której się korzysta, może to wyglądać inaczej, jednak w przypadku najpopularniejszych przeglądarek zazwyczaj skrót „https” i ikona kłódki sąsiadują ze sobą. Inną ważną sprawą jest poprawność certyfikatu – atakujący może próbować podszyć się pod stronę, wtedy pomimo „https” w pasku adresu nie pojawi się ikona kłódki, za to pojawi się ostrzeżenie o tym, że certyfikat jest niepoprawny.

c) Aplikacje mobilne

Coraz więcej stron daje możliwość korzystania ze swoich treści za pomocą specjalnych aplikacji. Używając aplikacji mobilnych, należy mieć na uwadze, że są one tworzone dla względnie nowych środowisk. Gdy użytkownik zdecyduje się na korzystanie z aplikacji mobilnej, bardzo ważne jest zainstalowanie na swoim urządzeniu mobilnym (smartfonie, tablecie) oprogramowania antywirusowego. Smartfony są praktycznie pełnoprawnymi komputerami pod względem technicznym, więc czyha na nie sporo zagrożenie.

Nie ma żadnego powodu, dla którego użytkownik urządzenia mobilnego mógłby nie dbać o bezpieczeństwo własnych danych. Należy pobierać oprogramowanie jedynie z oficjalnych źródeł (Google Play, Windows Phone Store, App Store). W zależności od usługi, z której korzystamy, zaleca się również zapoznanie z procesem instalacji aplikacji, o ile taki jest dostępny. W razie braku takiej informacji można skorzystać z infolinii danego serwisu, który powinien być w stanie przeprowadzić użytkownika przez proces instalacji.

d) Aktualne oprogramowanie i zaufany komputer

Aby utrzymać poziom bezpieczeństwa na najwyższym poziomie, należy regularnie sprawdzać dostępność aktualizacji dla oprogramowania, z którego korzystamy. Wiele luk zabezpieczeń jest regularnie odkrywanych i naprawianych – jest to standardowy proces poprawy jakości oprogramowania. Należy również pamiętać o tym, aby nie korzystać ze sprzętu innego niż ten, który dobrze znamy – nawet jeżeli jest to komputer w placówce bankowej. To samo dotyczy również sieci, z którą się łączymy – jeśli korzystamy z publicznego, darmowego hotspotu czy otwartego punktu dostępu, to dane, które wysyłamy, nie są szyfrowane. Aby je uzyskać, przestępca potrzebuje jedynie telefonu komórkowego.

e) Fałszywe wiadomości

Należy zwracać szczególną uwagę na e-maile rzekomo pochodzące od banków czy innych instytucji. Przede wszystkim nigdy nie należy otwierać ewentualnych załączników ani odpowiadać na prośby o „autoryzację” bądź przesłanie danych logowania – z pewnością są to próby wyłudzenia. Żaden bank nigdy nie weryfikuje klienta poprzez e-mail z prośbą o hasło. Wszelkie wątpliwości można zawsze potwierdzić, kontaktując się z obsługą banku.

Należy zawsze pamiętać, że powyższe wskazówki minimalizują ryzyko utraty kontroli nad wrażliwymi danymi, jednak żadne, nawet najlepsze zabezpieczenia nie niwelują ryzyka utraty konta. Zdarzało się to najbardziej zaawansowanym pod względem bezpieczeństwa firmom i zdarzać się zapewne będzie. Trzeba również wiedzieć, co robić w przypadku utraty kontroli nad posiadanym już kontem.

Odzyskiwanie kontroli nad kontem

W przypadku gdy dojdzie do złamania zabezpieczeń i utraty kontroli nad kontem, powinno się podjąć działania jak najszybciej. Jeśli gdziekolwiek stosowane było to samo hasło, należy je natychmiast zmienić, korzystając z innego zaufanego urządzenia (istnieje ryzyko, że urządzenie, które posiadamy, zostało zainfekowane). Zaleca się również zmianę haseł wszędzie tam, gdzie logowaliśmy się z danego urządzenia, np. jeśli do banku logowaliśmy się tylko z laptopa, a konto w banku zostało złamane, należy zmienić hasła z innego komputera wszędzie tam, gdzie logowaliśmy się z laptopa. Wskazane jest również poinformowanie, o ile to możliwe, obsługi instytucji. Obsługa serwisu zazwyczaj ma możliwość zablokowania danego konta do czasu wyjaśnienia sprawy – im szybsza reakcja, tym większa szansa, że uda się ocalić dane i/lub środki.

Niezależnie od tego, co w danej chwili robimy, należy zawsze zachować czujność i być ostrożnym – przestępczość cyfrowa bywa bardzo wyrafinowana i nawet osoby najlepiej zabezpieczone padają jej ofiarą. Ograniczenie zaufania zawsze pomoże w utrzymaniu bezpieczeństwa. Ponadto, o ile pozwala na to czas, wskazane jest śledzenie najnowszych wydarzeń z zakresu cyberprzestępczości – mogą one ujawnić nowe sposoby ataków i przedstawić możliwe zabezpieczenia przed nimi.

Czytaj także: Jak wyciekają poufne dane - kilka słów o korzystaniu z serwisów społecznościowych


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca


Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.

              *              



Ostatnie artykuły:


fot. Samsung



fot. HONOR