Jak byś się poczuł, gdyby okazało się, że twój sąsiad, a zarazem przyjaciel, od lat po kryjomu podgląda cię w twoim domu, dotąd uznawanym przez ciebie za bezpieczny azyl? Na dodatek za pomocą urządzeń, których nigdy nie podejrzewałbyś o możliwości szpiegowania? Zdarza się to coraz częściej, choć stanowi pogwałcenie naszej wolności i poczucia bezpieczeństwa. To brak należnego nam szacunku. Jedyna metoda, by się im przeciwstawić, to wzmocnienie cyberbezpieczeństwa, którego podstawą jest edukacja na temat ochrony prywatności w codziennym życiu

– stwierdza Steve Wozniak, współzałożyciel informatycznego giganta z Doliny Krzemowej i trudno się z nim nie zgodzić.

Wirtualne zagrożenie – realne konsekwencje

Niedostrzeganie faktycznego problemu i skali potencjalnego ryzyka, zwłaszcza w sektorach rządowym i bankowym, stwarza bardzo poważne zagrożenie dla strategicznych części europejskiej infrastruktury internetowej. Dlatego wielokrotnie sugerowano podjęcie zdecydowanych działań w celu poprawienia tej sytuacji. Choć przez wiele lat kwestia cyberbezpieczeństwa na wielu płaszczyznach często była bagatelizowana, to właśnie administracja i bankowość dość szybko dostrzegły powagę sytuacji. Zaczęto też tworzyć odpowiednie protokoły zabezpieczeń. Początkowo mocno zdecentralizowane, jednak z czasem znacznie bardziej uniwersalne. Jednak nawet gdy wszystkie cyberzabezpieczenia działały poprawnie, często okazywało się, że problem nadal istnieje. Zgodnie ze stwierdzeniem jednego z najsłynniejszych hakerów na świecie Kevina Mitnicka, który przeszedł na drugą stronę i obecnie zajmuje się cyberbezpieczeństwem, najsłabszym ogniwem w kwestii bezpieczeństwa cyfrowego najczęściej jest… człowiek. Człowiek, który bardzo często jest kompletnie nieświadomy ryzyka, z jakim wiąże się korzystanie z urządzeń mobilnych oraz samego internetu.

Weźmy na przykład „cyfrowy ślad”. Na co dzień raczej nie zaprzątamy sobie głowy tym, że gdzieś w internecie krążą setki tysięcy danych na nasz temat. Jeśli jednak zadamy sobie pytanie, czy kiedykolwiek zdarzyło się nam wypełnić internetową ankietę lub udostępnić swoje dane jakiejkolwiek organizacji, która opublikowała je w sieci – okazuje się, że dobrowolnie przekazaliśmy swoje dane osobom trzecim, które mogą wykorzystać je wedle uznania. Teraz czas na złą wiadomość: istnieje duże prawdopodobieństwo, że część tych danych (możliwe, że nawet wszystkie) zostaną bądź już zostały przejęte przez firmy gromadzące dane w celach komercyjnych. Drugą kategorię stanowią natomiast dane, których nie ujawniamy w sieci dobrowolnie, a mimo to są gromadzone – chociażby przez różnego rodzaju korporacje i agencje rządowe. Warto mieć świadomość, że w dzisiejszych czasach w zasadzie z każdym dniem pakiet danych na nasz temat się rozrasta.

Z reguły w tym momencie do głowy przychodzi najczęściej argument z kategorii: „nic mi nie grozi, bo nie mam nic do ukrycia”. Okazuje się jednak, że tego typu myślenie należy jak najszybciej odłożyć między bajki. 

Skalę zagrożenia już w 1993 roku nakreślił amerykański socjolog i futurolog Alvin Toffler. W dużym uproszczeniu wygląda to mniej więcej tak: gdzieś na świecie programista wstukuje na klawiaturze kolejne linijki kodu, po czym umieszcza swoje dzieło w sieci. Po pewnym czasie w innym zakątku globu zapanowuje chaos. Przestaje funkcjonować sieć przekazów bankowych, zamiera rynek akcji i obligacji oraz systemy obrotu handlowego, zablokowana zostaje sieć kart kredytowych, linie telefoniczne, a nawet sieć transmisji danych. Przestaje działać giełda i łączność handlowa. Wszystkie zdobycze technologiczne ostatnich dekad stają się całkowicie bezużyteczne. Cały kraj ogarnia fala finansowego krachu, która rozprzestrzenia się na cały świat. A zaczęło się od zaledwie kilku kliknięć w klawiaturę…

Niestety w skali krajowej, nadal istnieje zbyt niski poziom świadomości istniejących zagrożeń, zwłaszcza w sektorze prywatnym i biznesie, wśród małych i średnich przedsiębiorstw (ponad 65 proc. rynku ekonomicznego UE). Niechęć do ponoszenia nakładów finansowych na zabezpieczenia sieci oraz na środki ochrony zasobów powoduje, że struktury teleinformatyczne należące do tych przedsiębiorstw stają się najsłabszym ogniwem infrastruktury internetu, które w następstwie może zostać zaatakowane lub wykorzystane do pośredniczenia w innym, bardziej spektakularnym ataku. W tym zakresie Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) widzi konieczność prowadzenia odpowiednich szkoleń oraz programów uświadamiających.

Ekspert ds. bezpieczeństwa cyberprzestrzeni i walki z terroryzmem Richard Clarke rzuca nieco więcej światła na kwestię wykorzystania nowoczesnych technologii w różnego rodzaju konfliktach (także gospodarczych). Cytowany przez „The Economist” ekspert wylicza, że obecnie poziom zaawansowania technologii informacyjnych i ich odpowiednie wykorzystanie przeciwko potencjalnym wrogom może doprowadzić, w ciągu zaledwie 15 minut, do katastrofalnej w skutkach awarii strategicznych systemów odpowiedzialnych za bezpieczeństwo państwa oraz całą jego infrastrukturę, transport i logistykę. Wirusy i tzw. robaki komputerowe są w stanie np. umożliwić manipulację danymi na światowych giełdach oraz posłużyć do odcięcia danej części kraju od dostaw energii elektrycznej, wizja eskalacji cyberzagrożeń staje się więc dość apokaliptyczna.

Richard Clarke stwierdza, że w takiej sytuacji społeczeństwo szybko się załamie, bo wypłacenie pieniędzy z bankomatu okaże się niemożliwe, a żywność stanie się towarem deficytowym. Drastycznym, a zarazem dobitnym przykładem obrazującym, do czego może doprowadzić choćby odcięcie obywateli od swobodnego korzystania z bankomatów i uniemożliwienie im wypłacenia większych sum pieniędzy, można było zaobserwować na przykładzie kryzysu w Grecji albo w pierwszym miesiącu pandemii koronawirusa, gdy (także w Polsce) rozpowszechniano informacje o rzekomych limitach wypłat z bankomatów i banków. Jedna informacja rozprzestrzeniająca się w internecie lotem błyskawicy wystarczyła, by przed większością bankomatów w dużych aglomeracjach ustawiły się spore kolejki.

Cyberpandemia – czy z internetu można się zarazić?

Zagrożenia związane z cyberprzestrzenią i komunikacją cyfrową nie dotyczą jedynie strategicznych systemów informatycznych danego państwa. W celu pozyskania informacji i niejawnych danych hakerzy, cyberprzestępcy i służby specjalne różnych państw są w stanie posłużyć się komputerami osób postronnych, aby za ich pośrednictwem zacierać ślady, mylić tropy, a co najważniejsze niepostrzeżenie uzyskać dostęp do pożądanych informacji. Napastnicy mają do wyboru wiele narzędzi ataku m.in.: tysiące wirusów, robaków oraz mechanizm Denial of Service (DoS). Jest to zmasowany atak na system komputerowy lub usługę sieciową, mający na celu uniemożliwienie działania poprzez zajęcie wszystkich wolnych zasobów. Przeprowadza się go równocześnie z wielu komputerów, doprowadzając do przeciążenia serwerów (np. banków, stron administracji publicznej lub serwisów informacyjnych). Atak DDoS (Distributed Denial of Service) stanowi odmianę ataku DoS i polega na zaatakowaniu ofiary z wielu miejsc jednocześnie.

Malware – szkodliwe oprogramowanie. Najczęściej jest to cały pakiet programów siejący spustoszenie w systemie komputerowym lub sieci.

Ransomware – szczególnie groźny typ szkodliwego oprogramowania, cieszący się ostatnio dużą popularnością wśród hakerów. Szyfruje dane, blokując dostęp do systemu komputerowego lub uniemożliwiając odczyt zapisanych w nim danych, a następnie żąda od ofiary okupu za przywrócenie stanu pierwotnego. To czy dane w ogóle odzyskamy (nawet po zapłaceniu okupu), zależy tylko i wyłącznie od kaprysu hakerów.

Trojany – rodzaj oprogramowania, które udając przydatne lub ciekawe dla użytkownika aplikacje (często rzeczywiście nimi są ) dodatkowo instaluje i inicjuje w urządzeniu różne ukryte przed użytkownikiem funkcje. Nazwa pochodzi od mitologicznego konia trojańskiego.

Wirusy – programy lub elementy złowrogiego kodu, które dołącza się, nadpisuje lub zamienia inny program w celu powielania samego siebie bez zgody, a często nawet bez wiedzy użytkownika.

Robaki (worms) – szkodliwe oprogramowanie podobne do wirusów, rozprzestrzeniające się tylko poprzez sieć. W przeciwieństwie do wirusów nie potrzebują programu „żywiciela”. Często powielają się przez pocztę elektroniczną.

Spyware – oprogramowanie szpiegujące zbierające dane o osobie fizycznej lub prawnej bez uzyskania zgody. Tego rodzaju oprogramowanie może śledzić informacje o odwiedzanych stronach, dane dostępowe itp. Występuje często jako dodatkowy i ukryty komponent większego programu, odporny na usuwanie i ingerencję użytkownika. Co szczególnie istotne, spyware może wykonywać działania bez wiedzy użytkownika – zmieniać wpisy w rejestrze systemu operacyjnego, a nawet ustawienia użytkownika. Warto wiedzieć, że program szpiegujący może pobierać oraz uruchamiać pliki pobrane z sieci.

Exploit – kod umożliwiający bezpośrednie włamanie do komputera ofiary. Do wprowadzenia zmian lub przejęcia kontroli wykorzystuje się lukę w oprogramowaniu zainstalowanym na atakowanym komputerze. Mogą być użyte do ataku na strony internetowe (zmiana treści lub przejęcie kontroli administracyjnej), systemy operacyjne (serwery i końcówki klienckie) lub aplikacje (pakiety biurowe, przeglądarki internetowe lub inne oprogramowanie).

Keylogger – rejestrator klawiszy, który odczytuje i zapisuje wszystkie naciśnięcia klawiszy użytkownika. Dzięki temu adresy, kody i inne poufne dane mogą dostać się w niepowołane ręce. Warto jednak pamiętać, że keylogger może być zarówno szkodliwym oprogramowaniem służącym do rozsyłania poufnych danych, jak i oprogramowaniem celowo zainstalowanym przez pracodawcę np. w celu kontrolowania aktywności pracowników.

Masz to, jak w banku
Dane statystyczne dotyczące cyberzagrożeń i samych ataków na struktury teleinformatyczne nie napawają optymizmem. Od lat w zatrważającym wręcz tempie rośnie liczba oszustw finansowych z wykorzystaniem internetu. Na skalę tego zjawiska w tym roku znacząco wpłynęła także pandemia koronawirusa. Z najnowszych danych CERT Polska wynika, że na cyberataki narażona jest praktycznie co piąta osoba. Spory odsetek w tym rankingu stanowią także banki, które w ubiegłym roku stanowiły ofiarę dwóch trzecich incydentów zakwalifikowanych jako poważne (prowadzące do zakłócenia świadczenia usługi kluczowej dla klienta). Tylko między lutym a majem 2020 roku odnotowano wzrost liczby cyberataków o 238 procent! 

Na co należy zwrócić szczególną uwagę?

W ostatnim czasie oszuści coraz częściej próbują podszywać się pod firmy telekomunikacyjne, energetyczne lub dostawców usług i rozsyłają klientom podrobione faktury z podmienionym numerem konta do wpłat. Osoby, które nie zdefiniowały przelewu stałego do danego usługodawcy i płacąc rachunki nie sprawdzają zgodności numerów kont bankowych na przestrzeni kilku miesięcy, bardzo często padają ofiarą oszustów. Wykorzystują oni nieuwagę zapewniając sobie dodatkowy zastrzyk gotówki. Często klienci, którzy padli ofiarą tego typu oszustwa, orientują się o wszystkim w momencie otrzymania monitu dotyczącego braku płatności od prawdziwego dostawcy usług.

Oszuści szczególnie aktywni zrobili się w czasie pandemii, wykorzystując fakt, że wiele osób pracuje zdalnie we własnym domu. Jeden z dzienników opisywał przykład rozsyłania e-maila od lekarza, który obiecywał przekazać szczegółowe informacje na temat środków bezpieczeństwa do ochrony przed globalną pandemią. W celu uzyskania szczegółów należało jedynie kliknąć w załączony link. Wówczas jednak inicjowany był proces instalacji złośliwego oprogramowania przejmującego dane w komputerze i umożliwiającego dostęp do systemu sieciowego i wszystkich kontaktów odbiorcy wiadomości.

W tym kontekście niezwykle niepokojące są̨ wyniki „Badania Stanu Bezpieczeństwa Informacji w Polsce 2016” przeprowadzonego przez PwC, które jednoznacznie wskazują̨, że zaledwie 46 proc. firm w naszym kraju miało wówczas strategię i regulaminy cyfrowego bezpieczeństwa. Warto dodać, że na świecie odsetek ten był blisko dwukrotnie większy i wynosił ok. 91 proc. 

W roku 2020 niemal każda globalna firma (92 proc.) doznała cyberataku w trakcie pandemii koronawirusa. Z raportu VMware Carbon Black wynika, że aż 91 proc. firm biorących udział w badaniu oceniło, że wraz z przejściem na pracę zdalną cyberprzestępcy zintensyfikowali swoje działania. Jednym z najsłabszych ogniw firmowego bezpieczeństwa okazały się urządzenia IoT (Internet Rzeczy). Największy wzrost cyberataków (średnio o 61 proc.) odnotowały firmy zatrudniające od 500 do 1000 pracowników.

Sytuacji nie poprawia fakt, że przez całe lata osobno traktowana była kwestia bezpieczeństwa sektora bankowego, osobno cyberbezpieczeństwo na szczeblu wojskowym, osobno rynek teleinformatyczny i podobnie cały pion administracji państwowej. Tymczasem dla ekspertów ds. cyberbezpieczeństwa jasne jest, że wszystkie te sektory są ze sobą ściśle powiązane i brak centralizacji i jasnej strategii na rzecz budowania odpowiedzialnych struktur teleinformatycznych państwa prędzej czy później przyniesie tylko przykre konsekwencje. 

Co prawda w skali globalnej w Polsce pod tym kątem nie jest tak źle, a sytuacja (zwłaszcza w ciągu ostatnich 5 lat) znacząco się poprawia, jednak w naszym kraju cyberprzestępstw także przybywa. Okazuje się, że bardzo często głównym źródłem problemu są klienci banków, którzy mają niewystarczająco skomplikowane hasła i na domiar złego klikają we wszystkie przesyłane linki lub ujawniają swoje wrażliwe dane na zasadzie wirtualnego ekshibicjonizmu.

„Sezamie – otwórz się” – dobre hasło to podstawa

W tym miejscu warto pochylić się nieco dłużej nad kwestią podstawowych zabezpieczeń wykorzystywanych przez większość użytkowników komputerów i sprzętu mobilnego.

O tym, jakie hasła do kont bankowych czy komputerów firmowych są w powszechnym użyciu, bardzo dosadnie uświadomił przeprowadzony w lipcu 2015 roku atak hakerski na pewien portal randkowy. Spośród 11 milionów upublicznionych wtedy haseł do kont użytkowników najczęściej powtarzały się takie oto kombinacje: „123456”, „12345”, „password”, „DEAFULT”, „123456789”, „qwerty”, „12345678”, „abc123” oraz „1234567”. Kevin Mitnick ostrzega, że jeśli wśród tych kombinacji dostrzegamy swoje hasło lub hasło bardzo do niego podobne, istnieje duże ryzyko, że również możemy stać się ofiarą kradzieży danych. Okazuje się bowiem, że podobne ciągi znaków przewiduje większość dostępnych w sieci narzędzi do łamania haseł. 

Czy jest zatem jakiś sposób na stworzenie haseł odpowiednio trudnych do złamania? Przede wszystkim warto zacząć od tworzenia dość złożonych i skomplikowanych kombinacji cyfr i liter. Nie bez znaczenia pozostaje też długość hasła. Im dłuższe, tym większa szansa, że jego złamanie zajmie więcej czasu. Wielu użytkowników rezygnuje obecnie z samodzielnego wymyślania hasła i decyduje się na skorzystanie z automatycznego generatora. Na rynku możemy znaleźć wiele zaufanych i cieszących się dobrą renomą aplikacji tego typu. Pozwalają one nie tylko tworzyć silne kombinacje znaków i cyfr, lecz zebrać wszystkie hasła i dane logowań w bezpiecznym miejscu, do którego dostęp daje jedno kliknięcie. Nawet to rozwiązanie obarczone jest jednak pewnym ryzykiem. Aplikacja wymaga jednego hasła głównego, dającego dostęp do pozostałych haseł. Jest zatem oczywiste, że jeśli komputer lub urządzenie mobilne zostaną zainfekowane złośliwym oprogramowaniem kradnącym hasła (na przykład przy użyciu keyloggera), wówczas nasz wirtualny „sejf” stoi przed cyberprzestępcami otworem. Za jednym razem włamywacz otrzymuje dostęp do wszystkich haseł zapisanych w aplikacji. Drugi problem związany z menadżerem haseł jest znacznie bardziej prozaiczny. Jeśli zdarzy się nam zapomnieć hasło główne, wówczas tracimy dostęp do wszystkich pozostałych haseł (a istnieje duże prawdopodobieństwo, że ich też nie pamiętamy, ponieważ były zapisane w bezpiecznym miejscu). Oczywiście pozostaje wówczas tylko opcja resetu haseł na wszystkich stronach po kolei, ale jest to proces długotrwały i dość żmudny.

Jak zatem stworzyć dobre hasło, które trudno będzie nam zapomnieć? Kevin Mitnick radzi, aby używać długich ciągów znaków, co najmniej 20–25, i co szczególnie istotne, niezawierających słów. Najlepiej, gdy są to przypadkowe zlepki, na przykład „eh2raogh#sof&skx!mt@l”. Problem polega jednak na tym, że ludzki mózg nie radzi sobie zbyt dobrze z zapamiętywaniem tego typu nic nieznaczących kombinacji. To z kolei znów prowadzi nas do menedżera haseł i możliwości automatycznego ich generowania. Jest to bezpieczniejsza metoda niż każdorazowe samodzielne ich wymyślanie. 

Należy jednak pamiętać, aby nigdy nie używać tych samych haseł do różnych kont. Niestety często trudno jest tego uniknąć, zwłaszcza że obecnie jesteśmy zmuszeni co chwila podawać gdzieś hasło w celu weryfikacji. Jest to kolejny argument przemawiający na korzyść użycia aplikacji, która wygeneruje za nas trudne do złamania hasła.

Jeśli jednak mimo wszystko chcemy zapisywać hasła w sposób tradycyjny (na przykład w notesie) warto notować je w inteligentny sposób. Na pewno nie piszemy: „Nazwa Banku: pEłnEH@$łodoB4nkU!”. Nazwę banku można zastąpić jakimś dalekim skojarzeniem - na przykład „skarpeta” (żartobliwie mówi się przecież o trzymaniu tam pieniędzy) z dopiskiem „pEłnE”. Jak widać hasło nie zostało użyte w całości, ale nie ma takiej potrzeby. Ma to być jedynie skojarzenie, pozwalające nam łatwiej zapamiętać drugą część hasła, a w przypadku utraty pierwszej jego części ryzyko odgadnięcia reszty jest znacznie mniejsze.

Nie ulega wątpliwości, że zwłaszcza w kontekście bankowości elektronicznej stworzenie silnych haseł jest szczególnie istotne. W przypadku, gdy ktoś fizycznie przejmie urządzenie, z którego logujemy się na stronę banku, brak odpowiednich zabezpieczeń może narazić nas na spore straty. Dlatego właśnie warto pamiętać o zabezpieczeniu wszelkiego rodzaju urządzeń mobilnych, z których najczęściej korzystamy. Mają one to do siebie, że dość łatwo je zgubić i najczęściej w ostatnich latach padają łupem złodziei. Co ciekawe spora grupa osób w dalszym ciągu nie stosuje w tego typu urządzeniach żadnych zabezpieczeń. Nawet tak prostych jak blokada ekranu czterocyfrowym kodem PIN.

Wraz z rozwojem nowych technologii pojawiły się także nowe formy zabezpieczeń. Ciekawym aspektem jest na przykład możliwość blokowania urządzeń przenośnych tzw. wzorem blokującym. Na ekranie wyświetla się 9 kropek, które połączone w odpowiedniej kolejności tworzą symbol funkcjonujący na zasadzie unikalnego kodu dającego dostęp do urządzenia. Tuż po wprowadzeniu tej metody, eksperci zwracali uwagę, że jest to rozwiązanie bezpieczne ze względu na liczbę możliwych kombinacji. Coś, co miało być blokadą nie do przejścia, pokonał jednak… czynnik ludzki, a w zasadzie lenistwo i brak kreatywności. Już na konferencji PasswordsCon z 2015 roku wykazano, że użytkownicy są dość przewidywalni i wybierają jedynie kilka (!) z aż 140 704 możliwych kombinacji. Jak się okazuje, najczęściej wzorem dającym dostęp do smartfona była próba nakreślenia pierwszej litery własnego imienia. Użytkownicy najczęściej wybierają także kropki środkowe, a nie narożne, ponieważ łatwiej jest sięgnąć do nich obsługując telefon jedną ręką.

Poprawę jakości zabezpieczeń miał dać także inny dość futurystyczny wynalazek, wcześniej znany jedynie z filmów szpiegowskich. Tymczasem po wejściu na rynek czytnika linii papilarnych Touch ID naukowcy ze zdumieniem odkryli, że niektóre stare metody oszukiwania dawnych czytników linii papilarnych… nadal się sprawdzają. Do złamania zabezpieczeń wystarczyło np. „zebrać” odcisk palca z czystej powierzchni używając na przykład zasypki dla niemowląt i taśmy klejącej.

A co z modnymi ostatnio urządzeniami z funkcją rozpoznawania twarzy? Okazuje się, że tę blokadę także można obejść, wykorzystując np. zdjęcie właściciela urządzenia w odpowiednio wysokiej rozdzielczości.

Innowacyjne systemy identyfikacji biometrycznej, w porównaniu nawet z tradycyjnymi hasłami w formie ciągów znaków, zdają się być zatem dość podatne na ataki. Dlatego właśnie eksperci zajmujący się cyberbezpieczeństwem radzą, aby nie były to jedyne elementy całego procesu uwierzytelniania. Nie wystarczy przyłożyć palec do czytnika lub uśmiechnąć się do kamery. Najlepiej wpisać jeszcze kod lub nakreślić wzór odblokowujący ekran. Tak dochodzimy do kwestii uwierzytelniania wieloskładnikowego.

Hasła i kody PIN to ważne elementy bezpieczeństwa, ale jak widać nie są niezawodne i można je złamać. Dlatego znacznie bezpieczniejsze jest użycie uwierzytelniania dwuskładnikowego, zwane również weryfikacją dwuetapową (2FA). Tego typu weryfikacja polega na tym, iż w procesie sprawdzania tożsamości użytkownika strony lub aplikacje wykorzystują dwa lub trzy elementy. Są to zazwyczaj: „coś, co masz” – np. karta kredytowa lub debetowa z paskiem magnetycznym lub mikroprocesorem, „coś, co wiesz” – np. PIN lub odpowiedź na pytanie bezpieczeństwa, oraz „to, kim jesteś” – metody biometryczne takie jak np. analiza linii papilarnych, rozpoznawanie twarzy czy głosu itp. Im więcej elementów uwierzytelniania, tym większa pewność, że użytkownik rzeczywiście jest tym, za kogo się podaje.

Mogłoby się wydawać, że jest to dość nowatorskie rozwiązanie. Na przestrzeni zaledwie ostatnich kilku lat do korzystania z niego przyłączyły się praktycznie wszystkie banki w kraju i na świecie. Tymczasem weryfikacja typu 2FA towarzyszy nam już od grubo ponad 40 lat, choć często nie jesteśmy nawet świadomi jej istnienia. To właśnie ten typ weryfikacji tożsamości stosuje się m.in. w bankomatach. Aby pobrać gotówkę, musimy mieć przy sobie wydaną przez bank kartę („coś, co masz) i kod PIN („coś co wiesz”). W niektórych krajach działają już nawet bankomaty z dodatkowymi metodami weryfikacji, np. systemem rozpoznawania twarzy lub żył dłoni. Mówimy wówczas o uwierzytelnianiu wieloskładnikowym (MFA).

Dobrze nam znana weryfikacja 2FA jest również wykorzystywana w internecie przez wiele instytucji finansowych, portali administracji publicznej, a także komercyjne serwisy pocztowe i społecznościowe. W tym przypadku łączy się hasło („coś, co wiesz”) np. z telefonem komórkowym („coś, co masz”) lub innym urządzeniem mobilnym. W sytuacji, gdy komórka jest powiązana z używanym urządzeniem lub serwisem, osoba nieuprawniona nie może wejść na tak zabezpieczone konta, nie mając jej fizycznie przy sobie.

Mając na uwadze powyższe metody zabezpieczania haseł, warto rozważyć dodatkową możliwość zabezpieczania operacji i transakcji finansowych za pośrednictwem internetu, a w szczególności w kontekście bankowości elektronicznej i mobilnej.

Wydawać by się mogło, że najprostszym rozwiązaniem jest kupno rocznej (lub innej długoterminowej) licencji programu antywirusowego oraz firewalla na trzy komputery. To nie do końca prawda. Okazuje się bowiem, że przeglądając strony internetowe możemy załadować w swojej przeglądarce baner ze szkodliwym oprogramowaniem albo dostać je w e-mailu. W każdym z tych przypadków od chwili połączenia z internetem komputer jest nieustannie zagrożony wirusami, a oprogramowanie antywirusowe nie zawsze jest w stanie wyłapać wszystkie ich rodzaje. Kevin Mitnick proponuje inne rozwiązanie, z którego sam korzysta. Chodzi o rozważenie kupna taniego tabletu lub Chromebooka. Domyślnie ma być to osobne urządzenie służące wyłącznie do przeprowadzenia transakcji finansowych w sieci. Dodatkową zaletą jest to, że na Chromebooku nie da się zainstalować żadnych aplikacji, jeśli wcześniej nie założymy konta w Gmailu. Jego funkcjonalność sprowadza się zatem jedynie do przeglądania stron internetowych.

Następnym krokiem jest ustawienie na danej stronie (na przykład stronie banku) weryfikacji dwuetapowej dla posiadanego urządzenia. Kluczem do sukcesu jest dyscyplina.

Po skończeniu załatwiania spraw w banku należy sprzęt od razu wyłączyć i nie używać do niczego innego – zwłaszcza do przeglądania internetu.

Początkowo pomysł ten nie wygląda może zbyt zachęcająco i posiada jedną kluczową wadę: decydując się na takie rozwiązanie tracimy dostęp do swojego banku z innych urządzeń. Ma to jednak wiele dobrych stron. Dzięki takiej praktyce znacząco minimalizujemy ryzyko włamania się na konto bankowe. Jeśli będziemy konsekwentnie używać jednego urządzenia wyłącznie w celach finansowych i nie odwiedzać na nim żadnych innych stron internetowych poza bankiem – mamy wówczas prawie 100 procent pewności, że urządzenia nie zaatakują wirusy lub inne szkodliwe aplikacje.


Podstawowe zasady bezpieczeństwa finansowego w sieci

5 minut dla cyberbezpieczeństwa

1. 
Sprawdzaj, jakich uprawnień żąda instalowana aplikacja.

2. 
Nie klikaj w linki oraz załączniki. Jeśli otrzymasz podejrzaną wiadomość od znajomego, poświęć chwilę na zweryfikowanie jej. Hakerzy często podszywają się pod znajomych.

3. 
Nie podawaj w rozmowie (zwłaszcza telefonicznej) poufnych danych.

4. 
Nie wchodź na stronę banku przez link. Wpisuj adres lub korzystaj z tzw. zaufanych zakładek. Stosuj podstawowe zasady bezpieczeństwa, takie jak używanie złożonych i indywidualnych haseł dla każdej strony i odwiedzanie tylko zaufanych witryn, bez względu na to, za pomocą jakiego urządzenia się łączysz.

5. 
Uważaj na płatności w aplikacjach mobilnych. Używaj tylko oficjalnych aplikacji, instalowanych z pewnych źródeł.

To zaledwie pięć podstawowych kroków bezpieczeństwa w cyberprzestrzeni. Warto się do nich stosować, aby ograniczyć podatność na cyberataki (na przykład phishing – próba wyłudzenia danych).


Co robić, gdy staniemy się ofiarą incydentu związanego z bezpieczeństwem finansowym w sieci

Gdzie zgłaszać cyberprzestępstwa?

Policja – jest formacją, w ramach której działają specjalne jednostki do zwalczania cyberprzestępczości. W strukturach policji funkcjonuje również zespół POL-CERT. Przy Komendzie Głównej Policji działa natomiast Biuro do walki z cyberprzestępczością, które realizuje zadania związane z tworzeniem warunków do efektywnego wykrywania sprawców przestępstw popełnionych przy użyciu nowoczesnych technologii teleinformatycznych.

CERT.GOV.PL – to działający w ramach struktur ABW Departament Bezpieczeństwa Teleinformatycznego i Rządowy Zespół Reagowania na Incydenty Komputerowe

CERT.PL – to działający w ramach NASK zespół CERT.POLSKA, który pełni rolę krajowego CERT/CSIRT.

NC Cyber – powołane w lipcu 2016 roku w ramach NASK Narodowe Centrum Cyberbezpieczeństwa. Centrum operacyjne NC Cyber funkcjonuje w trybie 24/7 przez 365 dni w roku. NC Cyber oparte jest na kilku filarach: operacyjnym, analitycznym, badawczo-rozwojowym, szkoleniowym oraz obszarze polityk i standardów.



Medioznawca, ekspert ds. cyberbezpieczeństwa. Redaktor naczelny serwisu FilaryBiznesu.pl.

Adiunkt w Instytucie Edukacji Medialnej i Dziennikarstwa Uniwersytetu Kardynała Stefana Wyszyńskiego w Warszawie. Ekspert Instytutu Staszica. Autor pierwszej w Polsce książki o cyberwojnie „Cyberwojna. Wojna bez amunicji?”. Pola zainteresowań/badań naukowych: internet, cyberbezpieczeństwo, cyberwojna i cyberterroryzm, komunikacja cyfrowa, konwergencja mediów, wpływ nowoczesnych technologii na komunikację społeczną.

 

Zachęcamy do wypełnienia ankiety ewaluacyjnej dostępnej >TUTAJ<