Autor: Kamil Zając

Cyberbezpieczeństwo codziennym wyzwaniem

Wirusy, spam, malware, fakenewsy, dezinformacja, są problemami, z którymi każdy użytkownik sieci spotkał się, choćby raz w swoim życiu. Eksperci wskazują, że 98% ataków w cyberprzestrzeni, zakończonych sukcesem, zostało przeprowadzonych za sprawą wykorzystania dziur systemowych, starszych niż rok. Troska o cyberbezpieczeństwo stała się zatem konicznością, zarówno w celu ochrony prywatnych, jak i firmowych danych. O sposobach zabezpieczenia danych przed atakiem hakerskim oraz o właściwym monitoringu treści, rozmawiali eksperci, podczas webinaru „Cyberataki – jak się przed nimi chronić?”, zorganizowanego w ramach cyklu debat Polska Logistycznym Hubem Europy.

cyberbezpieczeństwo jest koniecznością w XXI wieku

Cyberbezpieczeństwo, czyli co konretnie?

Cyberbezpieczeństwem lub z jęz. angielskiego cybersecurity określa się ogół czynności związanych z zapewnieniem bezpieczeństwa sieci, danych, systemów i urządzeń.

Cyberataki są wszelkimi próbami wyłudzenia informacji i zaburzenia pracy aplikacji w internecie. Skierowane są zarówno na osoby prywatne, dane osobowe, loginy i hasła, jak i podmioty gospodarcze. Jeśli małe dziecko potrafi obsłużyć tablet, to co zatem może dorosły haker?

wyjaśnia Wojciech Ciemski, założyciel Security Bez Tabu

Najczęstsze typy wyłudzeń w sieci

Wojciech Ciemski wyróżnia 6 podstawowych typów ataków, dokonywanych w cyberprzestrzeni. Jednym z najpopularniejszych, jednocześnie nie wymagającym dużej wiedzy z zakresu IT, jest fishing. Polega on na podszywaniu się przestępcy pod inną osobę lub instytucję. Głównym założeniem jest żerowanie na ludzkich emocjach, poprzez stworzenie więzi z ofiarą. Ostatecznym celem jest znalezienie jej słabości, nadmiernego zaufania i finalnie wyłudzenie pieniędzy lub danych.

Każdy kojarzy metodę na tzw. nigeryjskiego księcia (zwaną metodą nigeryjską). Poprzez zaoferowanie jakieś sumy pieniędzy, przestępca potrzebuje drobnego wsparcia. Najczęściej jest to prośba o uiszczenie niezapłaconej faktury, czy opłaty za przelew. Ofiara dokonuje płatności, licząc, że dostanie dużo więcej, po czym nigdy już nie otrzymuje informacji zwrotnej od przestępcy.

wskazuje Wojciech Ciemski

Kolejną metodą jest zainstalowanie na komputerze ofiary złośliwego oprogramowania typu script malware. Wyświetla ono reklamy, przez co haker zarabiania na reflinkach (linkach referencyjnych). Celem takiego linku jest promocja różnych produktów lub usług. Może także dotyczyć pozyskiwania nowych osób. Legalne zarabianie w systemie reflinków widoczne jest to zwłaszcza w onlinowych grach komputerowych lub programach zarobkowych. Meaning the middle polega na tym, osoba trzecia pojawia się między nadawcą a odbiorcą, podsłuchując naszą transmisję. Może wtedy dokonać przechwycenia wrażliwych dla ofiary danych, czy informacji.

Powinniśmy zawsze pilnować do jakiej sieci się łączymy. Zwłaszcza, kiedy używamy danej sieci do czynności typu: bankowość internetowa, czy komunikacja e-mail. Dobrym przykładem jest konferencja „Cybersecurity”, gdzie w formie eksperymentu pokazano nazwy urządzeń wszystkich ludzi, którzy podłączyli się do ogólnej sieci.

dodaje Wojciech Ciemski.

SQL Injection polega na wstrzykiwaniu złego kodu

Wstrzyknięcie SQL to umieszczanie złośliwego kodu w instrukcjach SQL, za pośrednictwem danych wejściowych na stronie internetowej. Docelowo może to zniszczyć całą bazę danych. Wstrzyknięcie SQL zwykle występuje, gdy użytkownik jest proszony o wprowadzenie danych, takich jak nazwa użytkownika lub identyfikator użytkownika, a zamiast nazwy, czy identyfikatora użytkownik podaje instrukcję SQL, którą nieświadomie uruchomia w swojej bazie danych.

W3Schools

DDoS działa poprzez wysyłanie natłoku informacji, w takiej ilości, że nie jest możliwe ich bieżące przetwarzanie. System przestaje działać i wyskakuje krytyczny błąd. Przykładowo w „black friday” mamy z tym do czynienia, kiedy serwery sklepów internetowych ulegają przeciążeniu, w związku ze zbyt duża liczbą transakcji.

uzupełnia Wojciech Ciemski

Cross Site Scripting jest atakiem po stronie przeglądarki. Zagraża aplikacji i danym po stronie użytkownika, poprzez podanie kodu, który może zostać uruchomiony w przeglądarce.

->  Bezpieczeństwo ruchu drogowego dalekie od ideału

Typy cyberataków

  1. Fishing
  2. Script malware
  3. Meaning the middle
  4. SQL Injection
  5. DDoS
  6. Cross Site Scripting

Jak się zabezpieczyć przed cyberatakiem?

Najlepsze zabezpieczenie firmy, to wyrobienie u pracowników postawy, aby stosowali reguły bezpieczeństwa na codzień, w prywatnym życiu. Tylko wtedy wejdzie im to w nawyk i będą realizować je w firmie.

– wskazuje Wojciech Ciemski

Generalnie użytkownicy komputerów dzielą się na tych, co robią backupy, będą robić backupy oraz tych, co myślą że je robią.

uzupełnia Mikołaj Winkiel, Brand24

Obok stosowania profesjonalnego oprogramowania, czy usług zewnętrznych firm, istnieje szereg darmowych metod, które zwykły użytkownik powinien stosować na codzień. Należy rozpocząć od regularnego zmieniania haseł do swoich kont. Silne hasła wygeneruje zewnętrzny menedżer haseł. Jednocześnie odradza się z korzystania z przeglądarkowych menedżerów haseł. Nie należy też ufać wszystkiemu w co się klika. Dokładne przeczytanie adresu witryny. Eksperci zalecają także dokonywanie zakupów z kartą wyposażoną w mechanizm charge back. Dodatkowo bezwzględnie powinniśmy pamiętać o regularnej aktualizacji antywirusa i Windowsa.

Aż 98% ataków w cyberprzestrzeni, zakończonych sukcesem, zostało przeprowadzonych za sprawą wykorzystania dziur systemowych, starszych niż rok.

– ostrzega Wojciech Ciemski

Fakenewsy i dezinformacja w mediach współczesną plagą

W mediach ciężko odróżnić prawdę od fałszu. Częstym zjawiskiem we współczesnym świecie medialnym jest funkcjonowanie nieprawdziwych, czy zmanipulowanych informacji. Dotyczy to zwłaszcza kontrowersyjnych tematów, jak: szczepienia, czy propaganda związana z działaniami wojennymi. Wokół nich wytwarzają się różnego rodzaju teorie spiskowe. Im temat jest bardziej kontrowersyjny, tym informacja niesie się szybciej i do większej liczby odbiorców.

Ludzie wierzą w to, co widzą. Im bardziej kontrowersyjne, to wydaje się bardziej prawdziwe, ponieważ jest to gra na emocjach. Przeciętny odbiorca łatwiej wtedy przyjmuje treści bez zastanowienia. Celem dezinformacji jest wprowadzenie zamętu. Fakenewsy niosą się też dlatego, że ludzie chcą być popularni. Poprzez propagowanie fałszywych informacji, zwiększa się liczba lajków na portalach społecznościowych tychże osób. Wpływa to później na wzrost ich osobistej popularności.

wyjaśnia Mikołaj Winkiel, Brand24

Jak się obronić przed dezinformacją?

Najlepszą metodą jest skonfrontowanie fałszywej informacji z prawdą. Można dokonać tego w komentarzu.

Co prawda, poprzez algorytmy mediów społecznościowych, komentowanie zwiększa zasięg fakenewsa, to jednak czytelnicy zazwyczaj czytają też zdania innych użytkowników sieci. W fakenewsach treści bywają mocno chwytające za serce lub są osadzone w otaczającej  rzeczywistości. Dlatego ludzie chcą się szybko tym podzielić. Komentowanie z podaniem właściwej informacji pomaga zwalczać fakenewsy Pozytywnym zjawiskiem jest, że coraz częściej, już w początkowych komentarzach prostuje się newsa.

wskazuje  Mikołaj Winkiel

Podstawa to weryfikacja informacji

Jedną z podstawowych metod, zalecaną przez specjalistów, jest weryfikacja informacji w oparciu o wiarygodne agencje informacyjne. W naszym kraju jest to Polska Agencja Informacyjna (PAP). W przypadku zagranicznych treści na pierwszy plan wychodzi Agencja Reutera (Reuters). Najważniejszym instrumentem pozostaje jednak osobista refleksja.

Myślenie wpływa na stopowanie fakenewsów. Szukajmy potwierdzenia informacji w innych, wiarygodnych źródłach. Weryfikujmy autorów informacji. Często portale, które mają w swojej nazwie dużo liczb, są zwykłymi BOTami. Jeśli widzimy, że dany news jest fakenewsem, to nie podajmy go dalej, poprzez udostępnienia, czy retweety.

wymienia Mikołaj Winkiel

Mikołaj Winkiel poleca jednocześnie szereg portali, identyfikujących fałszywe informacje: demagog, antyfake, fakenews.pl W przypadku korzystania z twittera ekspert zaleca: „włącz weryfikację”, prowadzoną przez NASK oraz „demaskujemy dezinformację”.

->  ,,Zbliżenie ekonomiczne po izolacji – eksport i e-eksport po czasie koronawirusa”

Sfinansowano ze środków Narodowy Instytut Wolności w ramach programu Fundusz Inicjatyw Obywatelskich NOWE FIO. Komitet do spraw Pożytku Publicznego.

Zaproszenie na webinar o cyberatakach z udziałem ekspertów

Subskrybuj nasz NEWSLETTER!

Otrzymuj powiadomienia o nowościach wprost na swoją skrzynkę pocztową!

 

 

Wyrażam zgodę na przetwarzanie przez Polski Instytut Transportu Drogowego oraz partnerów moich danych osobowych w postaci adresu poczty elektronicznej w celu przesyłania mi informacji marketingowych dotyczących produktów i usług oferowanych przez za pomocą środków komunikacji elektronicznej, stosownie do treści przepisu art. 10 ust. 1 i 2 ustawy o świadczeniu usług drogą elektroniczną.

 

Zapisując się na pobranie raportu, wyrażam zgodę na przetwarzanie moich danych osobowych wskazanych w niniejszym formularzu, przez Polski Instytut Transportu Drogowego, dalej jako „Administrator” w celach marketingowych oraz oświadczam, że jestem zainteresowany otrzymaniem informacji o aktualnych produktach i ofertach Administratora, tym samym wyrażając zgodę na przesyłanie przez Administratora na podane dane kontaktowe informacji handlowych, w szczególności w zakresie obejmującym kontakt drogą elektroniczną i/lub telefoniczną.

Administratorem Państwa danych osobowych jest Polski Instytut Transportu Drogowego. Dane osobowe będą przetwarzane w celach niezbędnych do wysłania raportu, a w razie wyrażenia przez Państwa zgody, dane te będą przetwarzane w celach marketingowych, tj. skontaktowania się i przekazania informacji o ofertach i produktach Polski Instytut Transportu Drogowego lub partnerów raportu, tj. Webfleet Solutions Poland Sp. z o.o., Transcash.eu S.A. oraz Trans.eu S.A. Podanie danych osobowych jest dobrowolne, ale niezbędne do wysłania raportu. Podstawa prawna, cel, okres przetwarzania danych osobowych oraz uprawnienia przysługujące, a także inne ważne informacje dotyczące zasad przetwarzania danych osobowych są szczegółowo określone w Polityce prywatności na stronie www.pitd.org.pl, kontakt mailowy: instytut@pitd.org.pl. Zgodę można wycofać w każdym czasie.

 

Wyrażam zgodę na przetwarzanie przez Polski Instytut Transportu Drogowego oraz partnerów moich danych osobowych w postaci adresu poczty elektronicznej w celu przesyłania mi informacji marketingowych dotyczących produktów i usług oferowanych przez za pomocą środków komunikacji elektronicznej, stosownie do treści przepisu art. 10 ust. 1 i 2 ustawy o świadczeniu usług drogą elektroniczną.