Jak zabezpieczyć dane osobowe w sieci?
Korzystanie z sieci, bez ujawniania pewnych informacji o sobie, jest w zasadzie niemożliwe. Większość usług, z jakich korzystamy w sieci, gromadzi dane o nas. Od lokalizacji, przez nawyki zakupowe, po numery PESEL, adresy, hasła i loginy. Należy mieć świadomość, że raz zgromadzone dane mogą zostać wykradzione czy w inny sposób ujawnione.
Sposobów na wykorzystanie wykradzionych bądź zdobytych, nie zawsze w jasnych okolicznościach, danych osobowych są dziesiątki. Od wyłudzeń, przez wykradanie prywatnych i służbowych informacji, dostęp do służbowych aplikacji lubprywatnych profili w mediach społecznościowych, aż po szantaż i utratę znacznych sum pieniędzy. Zagrożenie ze strony cyberprzestępców jest bardzo realne i może mieć poważne konsekwencje.
Z tego powodu bezpieczeństwo naszych prywatnych danych jest tak ważne. To, że dbamy o poufność informacji takich, jak hasła, loginy, numer PESEL czy dane finansowe, powinno być tak oczywiste, jak to, że wychodząc z domu zamykamy drzwi na klucz. Jak jednak skutecznie chronić dane osobowe i czy jesteśmy w ogóle w stanie zapewnić ich pełne bezpieczeństwo w sieci?
Ochrona danych osobowych w Internecie
Na początek zła wiadomość. Niemal każdy użytkownik Internetu padł, w którymś momencie ofiarą wycieku czy kradzieży danych z jakiegoś z serwisów, z którego korzysta. Według opublikowanego w 2020 r. badania firmy NordPass1, przeciętny użytkownik sieci ma około 100 loginów i haseł do rozmaitych stron internetowych i aplikacji. Od poczty internetowej, przez serwisy streamingowe, sklepy internetowe i hobbystyczne portale, po służbowe loginy i hasła do VPN-ów czy aplikacji wykorzystywanych w pracy. Można więc przyjąć, że pewne dane niemal każdego z nas, są już dostępne w Internecie lub nawet w darknecie.
Niestety, nie wszystkie serwisy są zabezpieczone w należyty sposób i niemal nieuniknione jest, że hasła części z nich wyciekną i pojawią się na przykład na pewnych grupach dyskusyjnych w darknecie. Niektóre dane są wykradane ze źle zabezpieczonych baz danych, inne są wynoszone przez pracowników, a część jest gromadzona przez internetowe boty z publicznie dostępnych źródeł.
Serwis internetowy haveibeenpwned.com specjalizuje się w zbieraniu danych o podobnych wyciekach i alarmowaniu zarejestrowanych w jego systemie użytkowników o tym, że ich wrażliwe dane pojawiły się w sieci. W październiku 2021 w rejestrze serwisu było już ponad 11,5 mld ujawnionych danych użytkowników z 563 serwisów internetowych, w tym tak znanych i popularnych stron, jak: 500px, Adobe, Ancestry, Armor Games, autocentrum.pl, Canva, CD Projekt RED, Kickstarter i wielu innych.
Utrata danych takich, jak PESEL otwiera drogę dla cyberprzestępców posługujących się, na przykład, skradzionymi tożsamościami do wyłudzania kredytów. Niekiedy sam wyciek naszego adresu e-mail i loginu, wykorzystywanego w mało istotnym serwisie, może mieć katastrofalne konsekwencje, jeśli tych samych danych używamy do logowania się do naszej poczty internetowej, mediów społecznościowych czy konta bankowości internetowej. Zasadniczą metodą działania cyberprzestępców jest próba wykorzystania zdobytych haseł i loginów z jednego serwisu, który padł ofiarą wycieku, w dziesiątkach czy setkach kolejnych, w poszukiwaniu kont, które ten sam użytkownik założył, nie przejmując się zmianą swoich danych do logowania.
Czy więc wszystko stracone? Nie, ale konieczne jest przestrzeganie podstawowych zasad zabezpieczenia własnej internetowej aktywności. Cyberbezpieczeństwo każdego z nas, zarówno w życiu zawodowym jak i prywatnym, wymaga specjalnej czujności.
Zasady ochrony danych osobowych w Internecie
Pierwszą linią obrony danych osobowych w sieci jest odpowiednie hasło. Niestety przytłaczająca większość użytkowników traktuje tworzenie mocnych haseł jako przykrą konieczność. Wspominana już firma NordPass publikuje regularnie listę najczęściej wykorzystywanych w sieci haseł. Wśród najpowszechniejszych regularnie trafiają się “123456”, “hasło” czy “11111”. Dane zabezpieczone takim hasłem chronione są tak słabo, że w zasadzie z góry można założyć, że są publicznie znane, albo łatwo jest złamać za pomocą prostych metod słownikowych (brute force).
Słabe hasła to tylko jeden problem. Nawet te silne nie stanowią zabezpieczenia, jeśli nie są utrzymywane w tajemnicy. Jednym z największych błędów popełnianych przez posiadaczy rozmaitych kont internetowych jest zapisywanie haseł i trzymanie ich w dość oczywistych miejscach, na przykład na karteczkach przyklejonych do monitora służbowego komputera. Drogą do katastrofy jest też, o czym wspominaliśmy, ułatwianie sobie życia przez stosowanie tego samego loginu i hasła w różnych aplikacjach i serwisach.
Najlepszym rozwiązaniem jest stosowanie osobnych haseł do każdego wykorzystywanego przez nas serwisu. Zapamiętanie setek, różnych haseł jest jednak niemal niemożliwe. Pomocny jest tutaj mendżer haseł. To specjalny program, który pośredniczy w logowaniu się do stron internetowych i aplikacji. Menadżer może dla każdej strony wygenerować osobne, niemal niemożliwe do złamania hasło, a następnie automatycznie wpisywać je, jeśli użytkownik korzysta z własnego urządzenia. Jednocześnie cały zbiór haseł menadżera wystarczy zabezpieczyć jednym, mocnym, ale łatwym do zapamiętania hasłem, by mieć stały dostęp do wszystkich zmagazynowanych w nim danych. Na rynku funkcjonuje wiele menadżerów haseł. Są one nawet wbudowane w popularne przeglądarki internetowe takie, jak Google Chrome.
Wszędzie tam, gdzie menadżer haseł nie pomoże – na przykład w przypadku zamkniętych systemów firmowych –dobrą regułą jest to, aby hasło było długie, silne, trudne do odgadnięcia, ale łatwe do zapamiętania.
Niestety często zdarza się tak, że sami udostępniamy swoje dane przestępcom. Jednym z najpowszechniejszych i najniebezpieczniejszych rodzajów cyberprzestępczości pozostaje tzw. phishing. To techniki polegające na tym, że przestępcy przygotowują imitacje budzących zaufanie stron, np. korporacyjnych, bankowych czy administracji publicznej, a następnie zwabiają ofiary i skłaniają je do podawania loginów, haseł czy innych danych. Wabikiem są zazwyczaj profesjonalnie przygotowane maile, SMS-y czy wiadomości wysyłane za pośrednictwem komunikatorów, wzywające do pilnego kontaktu. Specjaliści od cyberbezpieczeństwa używają czasem pozorowanych ataków phishingowych do sprawdzenia czujności i stopnia przestrzegania procedur przez pracowników. To tzw. “phishing-on-demand”.
Nieco inne, ale pokrewne zagrożenie, wiąże się z korzystaniem z niesprawdzonych, podejrzanych stron internetowych, dziwnych darmowych aplikacji oraz darmowych sieci WiFi. W ich przypadku istnieje ryzyko, że po otwarciu strony, zainstalowaniu aplikacji czy wejściu do sieci, ukrywające się tam złośliwe oprogramowanie może zainstalować się na używanym przez nas urządzeniu i zyska dostęp do jego zawartości, np. loginów i haseł. Takie ataki są szczególnie powszechne na stronach udostępniających linki do nielegalnego oprogramowania, muzyki czy plików wideo. Dużym potencjalnym źródłem takiego zagrożenia są też darmowe gry, dostępne na smartfony. Instalując nawet pozornie bezpieczną i znaną aplikację mobilną warto również upewnić się, z jakich danych i narzędzi będzie ona korzystać. Może okazać się na przykład, że aplikacja zechce mieć dostęp do naszej książki adresowej, zdjęć, SMSów czy aparatu fotograficznego, co może nieść ze sobą poważne konsekwencje dla naszego bezpieczeństwa teleinformatycznego.
Aby obronić się przed podobnymi atakami, kluczowe jest stałe aktualizowanie systemów operacyjnych komputerów i urządzeń mobilnych. Udostępniane przez producentów aktualizacje służą przede wszystkim do likwidowania na bieżąco odkrywanych luk w zabezpieczeniach, które mogą być wykorzystywane do włamań przez przestępców . Równie istotne jest posiadanie zarówno na komputerach stacjonarnych i przenośnych, jak i na smartfonach oprogramowania antywirusowego. Ono nie tylko skanuje urządzenie w poszukiwaniu złośliwego oprogramowania, ale też stale monitoruje przesyłane dane i blokuje wszelkie podejrzane działania, . Dobre oprogramowanie antywirusowe zawiera także moduły zabezpieczające przed innymi zagrożeniami takimi, jak wspomniany już phishing. Idealnym uzupełnieniem ochrony w formie oprogramowania na komputerach, serwerach czy stacjach roboczych jest zabezpieczenie punktu styku sieci firmowej z Internetem w postaci rozwiązania sieciowego – firewall.
Poza zabezpieczeniem kluczowych danych, podawanych w poczcie elektronicznej, bankowości internetowej czy mediach społecznościowych, warto pójść jeszcze o krok dalej i wzmocnić nasze zabezpieczenia, aktywując tzw. logowanie wielopoziomowe. Oznacza ono, że do uzyskania dostępu do konta nie wystarczą już hasło i login, ale potrzebne będzie także podanie np. kodu SMS, losowego ciągu cyfr z generatora czy użycie specjalnego klucza USB, potwierdzającego tożsamość. To proste rozwiązanie, które znacząco utrudnia cyberprzestępcom dostęp do chronionej zawartości.
Warto także uaktywnić alerty BIK, uprzedzające nas kiedy ktoś próbuje zawrzeć umowę kredytową posługując się naszymi danymi. W celu ochrony własnych finansów, ponadto zaleca się wprowadzanie limitu wydatków na kartach kredytowych i rachunkach bankowych. Pozwoli to zminimalizować straty w sytuacjach, gdy inne środki zabezpieczające okażą się niewystarczające.
Każdy z podanych wyżej przykładów nieco utrudnia działanie cyberprzestępcom. Aby być bezpiecznym w sieci, należy postawić przed nimi tor przeszkód, którego po prostu nie będzie im się opłacało pokonywać. Przede wszystkim należy jednak zawsze pomyśleć zanim coś klikniemy.
1Study Reveals Average Person Has 100 Passwords https://tech.co/password-managers/how-many-passwords-average-person
Polecane treści:
English