Cyberbezpieczeństwo2023-02-21T17:41:30+01:00

Zarządzenie nr 8/2022 z dnia 04 maja 2022r.

Dyrektora Szkoły Podstawowej im. Mazurka Dąbrowskiego w Czerwonce w sprawie wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa. Na podstawie art. 21 ust. 1 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. 2020 poz. 875) zarządza się co następuje:

§ 1

Na osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa zostaje wyznaczony p. Maciej Żołnowski.

§2

Zarządzenie wchodzi w życie z dniem podpisania.

Małgorzata Żokowska

Cyberbezpieczeństwo – podstawowe informacje i zasady dla osób, na rzecz których realizowane jest zadanie publiczne przez Szkołę Podstawową im. Mazurka Dąbrowskiego w Czerwonce

Cyberbezpieczeństwo (ang. cybersecurity) stanowi zespół zagadnień związanych z zapewnianiem ochrony w obszarze cyberprzestrzeni. Z pojęciem cyberbezpieczeństwa związana jest między innymi ochrona przestrzeni przetwarzania informacji oraz zachodzących interakcji w sieciach teleinformatycznych. Cyberprzestrzeń rozumiana jest natomiast jako przestrzeń przetwarzania i wymiany informacji, tworzona przez systemy teleinformatyczne, wraz z powiązaniami pomiędzy nimi oraz relacjami z użytkownikami.

Ministerstwo Administracji i Cyfryzacji, Agencja Bezpieczeństwa Wewnętrznego (2013), Polityka Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej, Warszawa

Cyberbezpieczeństwo odnosi się do szerokiego zakresu różnych działań przestępczych, w których jako podstawowe narzędzie lub jako główny cel wykorzystywane są komputery i systemy informacyjne. Może ona obejmować przestępstwa tradycyjne takie jak oszustwo, fałszerstwo, czy też kradzież, bądź może dotyczyć również przestępstw powiązanych z zakazaną prawem treścią jak nawoływanie do nienawiści. Najczęstsze jednak skojarzenie z incydentami mającymi miejsce w świecie wirtualnym stanowią przestępstwa charakterystyczne wyłącznie dla komputerów i systemów informacyjnych jak ataki na systemy informatyczne, ataki odmowy usług, przejmowanie mocy obliczeniowej lub tworzenia i dystrybucja złośliwego oprogramowania.

Ustawa o krajowym systemie cyberbezpieczeństwa.
Komentarz, K. Czaplicki (red.), Warszawa, Wolters Kluwer

Przedstawiamy Państwu najważniejsze zagadnienia dot. niebezpieczeństw, które mogą Państwo napotkać w szeroko rozumianej cyberprzestrzeni oraz przedstawić podstawowe informacje.

Cyberataki to przede wszystkim celowe i świadome działania cyberprzestępców, do których wykorzystują systemy i sieci komputerowe, by przy użyciu złośliwego oprogramowania dokonać kradzieży lub zniszczenia naszych danych. Brak naszej ostrożności, naiwność czy socjotechnika stosowana przez popełniających ataki sprawia, że z roku na rok liczba cyberataków rośnie.

Kradzież odbywać się może podczas niewielkich, dyskretnych ataków na pojedyncze ofiary lub podczas masowych operacji cyberprzestępczych na dużą skalę z wykorzystaniem stron internetowych www. i włamań do baz danych. Metody mogą być różne, ale cel pozostaje ten sam. W większości przypadków napastnicy próbują w pierwszej kolejności dostarczyć na komputer ofiary rodzaj szkodliwego oprogramowania, jako że jest to najkrótsza droga pomiędzy nimi a danymi użytkownika. Zamiary cyberprzestępcy ukierunkowane mogą być również na dokonanie strat finansowych w atakowanej instytucji lub utraty reputacji konkurencji, która zostaje sparaliżowana przez niedostępność usług, bądź w celu uzyskania okupu.

Do najpopularniejszych zagrożeń w cyberprzestrzeni możemy zaliczyć:
– kradzieże tożsamości,
– kradzieże (wyłudzenia), modyfikacje bądź niszczenie danych,
– blokowanie dostępu do usług,
– spam (niechciane lub niepotrzebne wiadomości elektroniczne),
– (malware, wirusy, robaki, itp.),
– ataki socjotechniczne (np. phishing), czyli wyłudzanie poufnych informacji przez podszywanie się pod godną zaufania osobę lub instytucję,
– ataki z użyciem szkodliwego oprogramowania:

Phishing – nazwa pochodzi od password (“hasło”) oraz fishing (“wędkowanie”). Jest to metoda oszustwa, oznaczająca w tradycyjnym rozumieniu tego słowa podszywanie się (przede wszystkim z wykorzystaniem poczty elektronicznej i stron internetowych www.) pod inną osobę, instytucję lub znane
marki, w celu wyłudzenia określonych informacji takich jak numery oraz hasła PIN kart płatniczych, hasła logowania do urzędów czy też płatności internetowej banków lub szczegółów karty kredytowej w celu wyłudzenia danych. Jest to rodzaj ataku oparty na tzw. inżynierii społecznej.
Jak się bronić? Ataki tego typu wymagają bardzo często interakcji ze strony człowieka w postaci odebrania maila lub potwierdzenia logowania.

Malware – zbitka wyrazowa pochodząca od wyrażenia malicious software (“złośliwe oprogramowanie”). Wspólną cechą programów i aplikacji uznawanych za malware jest fakt, że wykonują działania na komputerze bez jego zgody i wiedzy użytkownika, na korzyść osoby postronnej. Działania tego typu obejmują np. dołączenie maszyny do sieci komputerów “zombie”, które służą do ataku na organizacje rządowe, zdobywanie wirtualnych walut lub kradzież danych osobowych i informacji niezbędnych do logowania do bankowości elektronicznej. Złośliwe oprogramowanie może przyjąć formę wirusów, robaków, koni trojańskich i innych.
Jak się bronić? Najskuteczniejszą obroną przed malware jest dobry system antywirusowy oraz regularnie aktualizowane oprogramowanie.

Ransomware – to rodzaj złośliwego oprogramowania, które infekując urządzenie lub komputer blokuje jego podstawowe funkcje i wymusza użytkownika do zapłacenia haraczu, w zamian za przywrócenie kontroli nad systemem operacyjnym i umożliwienia dostępu do danych zgromadzonych na
komputerze. Zagrożenie może dostać się do komputera za pośrednictwem pobranego pliku, wykorzystując niespójności w strukturze ochrony lub nawet przez wiadomość tekstową.
Czym się różni od typowego złośliwego oprogramowania?
• Nie kradnie danych użytkownika, lecz je szyfruje.
• Wymusza płatność okupu, zazwyczaj w dolarach lub Bitcoinach.
• Jest relatywnie łatwy do stworzenia – istnieje wiele bardzo dobrze udokumentowanych cryptobibliotek.
Jak się bronić? Należy stosować aktualne oprogramowania antywirusowe oraz dokonywać regularnych aktualizacji systemu.

Man In the Middle – zwany “człowiekiem pośrodku”, jest to typ ataku, w ramach, którego w transakcji lub korespondencji między dwoma podmiotami (na przykład sklepem internetowym i klientem) bierze udział osoba trzecia. Celem takich ataków jest przechwycenie informacji lub środków pieniężnych. Celem może być również podsłuchanie poufnych informacji oraz ich modyfikacja.
Jak się bronić? Szyfrowanie transmisji danych, certyfikaty bezpieczeństwa.

Cross-site scripting – jest to atak, który polega na umieszczeniu na stronie internetowej specjalnego kodu, który może skłonić ich do wykonania działania, którego nie planowali.
Jak się bronić? Przede wszystkim korzystanie z zaufanego oprogramowania oraz dobrego programu antywirusowego.

DDos (distributed denial of service) – rozproszona odmowa usługi jest to atak polegający na jednoczesnym logowaniu się na stronę internetową wielu użytkowników, w celu jej zablokowania. Głównie wykorzystywana jest w walce politycznej oraz w e-commerce, gdy w czasie szczególnie atrakcyjnej promocji konkurencja wzmacnia sztucznym ruchem naturalne zainteresowanie użytkowników, by w ten sposób unieszkodliwić sklep.
Jak się bronić? Przed atakami DDoS brakuje skutecznych narzędzi ochrony, oprócz dobrze skonfigurowanemu firewallowi u dostawcy usług internetowych.

Atak Key Logger (ang. Key Logger Attack) – Cyberprzestępcy używają programów, które mogą zapisywać naciśnięcie każdego klawisza na klawiaturze. Dzięki temu mogą poznać login i hasło użytkownika zainfekowanego komputera. Wystarczy raz zalogować się do danej usługi żeby dostarczyć
przestępcom pełne dane.

SQL Injection – atak tego rodzaju polega na uzyskaniu nieuprawnionego dostępu do bazy danych poprzez lukę w zabezpieczeniach aplikacji, na przykład systemu do obsługi handlu internetowego. Dzięki temu, cyberprzestępca może wykraść informacje od firmy, na przykład dane kontaktowe klientów.
Jak się bronić? Odpowiednie zabezpieczenia na poziomie bazy danych.

Malvertising – zalicza się do szczególnie złośliwego ataku, ponieważ pozwala dotrzeć do użytkowników przeglądających jedynie zaufane strony internetowe. Ich nośnikiem są reklamy internetowe wyświetlane poprzez sieci takie jak np. Google Adwords. Poprzez reklamy może być zainstalowane złośliwe oprogramowanie na komputerze. Takie oprogramowania wykorzystywane są również do wydobywania krypto walut poprzez urządzenia przeglądających.
Jak się bronić? Należy stosować filtry blokujące reklamy.

Czym jest incydent i gdzie go zgłaszać:

Incydent to zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo.
Ustawodawca w przepisach ustawy o krajowym systemie cyberbezpieczeństwa zdefiniował kilka rodzajów incydentów. Najważniejszymi z punktu widzenia interesanta podmiotu publicznego są:
1) incydent w podmiocie publicznym – incydent, który powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny.
2) incydent krytyczny – incydent skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi, klasyfikowany przez właściwy CSIRT, w
tym CSIRT NASK.
Zgłoszenie incydentu cyberbezpieczeństwa, którego ofiarą padł podmiot publiczny, może nastąpić poprzez przygotowany przez CSIRT NASK specjalnie do tego celu portal www.incydent.cert.pl, który umożliwia zgłaszanie incydentów zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa.
Zagrożenia nakierowane na przełamanie zabezpieczeń cyberbezpieczeństwa mogą godzić także w ochronę danych osobowych obywateli przechowywanych na serwerach urzędów lub innych podmiotów publicznych.

W przypadku naruszenia ochrony takich danych, podmiot publiczny oprócz zgłoszenia incydentu do CSIRT NASK, zobowiązany jest w terminie 72 godzin po stwierdzeniu naruszenia zgłosić je organowi nadzorczemu. Organem właściwym do zgłaszania naruszeń ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO).
Zgłoszenia administrator danych może dokonać na 5 sposobów:

1) poprzez stronę internetową Urzędu Ochrony Danych Osobowych (Urzędu) https://uodo.gov.pl/, wchodząc w podlink „Zgłoszenie naruszenia ochrony danych osobowych”, znajdujący się u dołu strony internetowej;

2) elektronicznie poprzez wypełnienie dedykowanego formularza elektronicznego dostępnego bezpośrednio na platformie https://biznes.gov.pl odwzorowującego formularz dostępny na stronie internetowej Urzędu;

3) elektronicznie poprzez wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą ePUAP: /UODO/SkrytkaESP;

4) elektronicznie poprzez wysłanie wypełnionego formularza za pomocą pisma ogólnego dostępnego na platformie https://biznes.gov.pl;

5) tradycyjną pocztą, wysyłając wydrukowany i wypełniony formularz znajdujący się na stronie internetowej https://uodo.gov.pl/ na adres Urzędu.

Adres:
Urząd Ochrony Danych Osobowych
ul. Stawki 2
00-193 Warszawa

W każdym systemie bezpieczeństwa najsłabszym ogniwem jest człowiek, dlatego w celu ochrony przed zagrożeniami należy stosować zabezpieczenia:

  1. Używaj aktualnego oprogramowania antywirusowego – stosuj ochronę w czasie rzeczywistym, włącz aktualizacje automatyczne,
  2. Skanuj oprogramowaniem antywirusowym wszystkie urządzenia podłączane do komputera – pendrivy, płyty, karty pamięci,
  3. Aktualizuj system operacyjny i posiadane oprogramowanie,
  4. Nie otwieraj plików nieznanego pochodzenia, a wszystkie pobrane pliki skanuj programem antywirusowym,
  5. Nie korzystaj ze stron banków, poczty elektronicznej, które nie mają ważnego certyfikatu bezpieczeństwa,
  6. Pamiętaj, że żaden bank czy Urząd nie wysyła e-maili do swoich klientów/interesantów z prośbą o podanie hasła lub loginu w celu ich weryfikacji,
  7. Cyklicznie skanuj komputer oprogramowaniem antywirusowym,
  8. Nie odwiedzaj stron oferujących darmowe filmy, muzykę albo łatwe pieniądze – najczęściej na takich stronach znajduje się złośliwe oprogramowanie,
  9. Nie podawaj swoich danych osobowych na stronach internetowych, co do których nie masz pewności, że nie są one widoczne dla osób trzecich,
  10. Zwracaj uwagę na nazwę aplikacji, czy nie ma w niej błędów lub literówek – jeśli tak, może być fałszywa i podszywać się pod oficjalną wersję, czytaj opinie i komentarze osób, które już z niej korzystają. Jeśli są negatywne lub niskie, poszukaj innego rozwiązania,
  11. Zawsze weryfikuj adres nadawcy wiadomości e-mail,
  12. Zawsze zabezpieczaj hasłem lub szyfruj wiadomości e-mail zawierające poufne dane – hasło przekazuj innym sposobem komunikacji,
  13. Cyklicznie wykonuj kopie zapasowe ważnych danych,
  14. Zawsze miej włączoną – zaporę sieciową „firewall”
  15. Zwracaj uwagę na komunikaty oraz czytaj treści wyświetlane na ekranie komputera,
  16. Pamiętaj, aby chronić swój telefon przed osobami trzecimi – stosuj blokadę ekranu,
  17. Nigdy nie instaluj aplikacji, do których namawiają cię nieznane osoby trzecie. Popularne oszustwa telefoniczne „na pracownika banku” lub „policjanta” polegają na zmuszeniu ofiary do instalacji aplikacji służącej do przejmowania telefonu.
  18. Korzystaj z e-usług lub portali internetowych tworząc długie i skomplikowane hasła dostępu – co najmniej ośmioznakowe zawierające małe, wielkie litery, znaki specjalne lub cyfry. Dobrym rozwiązaniem jest korzystanie z tzw. haseł frazowych poprzez np. zestawienie pięciu wyrazów niepowiązanych ze sobą i nieoddzielonych spacją,
  19. Cyklicznie zmieniaj hasła (średnio co 60 dni) oraz niezwłocznie w przypadku podejrzenia, że hasło mogło zostać ujawnione osobie nieuprawnionej,
  20. Pliki zawierające Twoje dane osobowe przesyłaj innym użytkownikom sieci za pośrednictwem poczty email w formie zabezpieczonej hasłem, natomiast samo hasło przekazuj innym środkiem przekazu np. wiadomością sms, bądź podczas rozmowy telefonicznej po uprzednim zweryfikowaniu tożsamości adresata,
  21. Logując się na nieznane strony internetowe zwracaj uwagę na poziom bezpieczeństwa danej strony –symbolami znaczącymi o bezpieczeństwie są m.in. „zielona kłódka” informująca, że strona jest wyposażona w sprawdzony i ważny certyfikat lub element „https”, oznaczający, że strona jest szyfrowana. Dla pewności należy „kliknąć” na ikonkę kłódki i sprawdzić, czy właścicielem certyfikatu jest wiarygodny właściciel,
  22. W przypadku spostrzeżenia w adresie strony internetowej czerwonej kłódki ze znakiem krzyżyka, zachowaj szczególną ostrożność i powstrzymać się od wprowadzania danych, gdyż istnieje możliwość, iż ktoś podszywa się pod daną witrynę, aby przechwycić cenne informacje,
  23. Unikaj umieszczania w tzw. publicznej chmurze plików i informacji zawierających wrażliwe dane na Twój temat;
  24. Unikaj logowania się na swoje konta internetowe przy pomocy publicznego wifi lub na publicznych komputerach,
  25. Uważaj na strony internetowe, które wymagają instalacji oprogramowania – w takim przypadku najlepiej uprzednio przeskanować wszystkie programy,
  26. Unikaj otwierania nieznanych linków i załączników w wiadomościach e-mail;
  27. Unikaj korzystania ze stron internetowych, w szczególności o charakterze przestępczym, hackerskim, pornograficznym lub innym zakazanym przez prawo (na większości stron tego typu może być zaimplementowany złośliwy kod, który może automatycznie zainfekować system operacyjny komputera w sposób niewidoczny dla użytkownika) oraz zwracaj uwagę na reklamy wyświetlane na innych stronach internetowych które są przeglądane.
  28. Zwracaj uwagę i upewnić się czy osoba, z którą nawiązywany jest kontakt jest tym, za kogo się podaje.

Aby zrozumieć zagrożenia i umiejętnie stosować zabezpieczenia przedstawiamy Państwu kilka ciekawych propozycji z którymi warto się zapoznać :

  • Aktualności oraz Baza wiedzy.
    Link: https://www.gov.pl/web/baza-wiedzy/aktualnosci
  • OUCH! To cykliczny, darmowy zestaw porad bezpieczeństwa dla użytkowników komputerów. Każde wydanie zawiera krótkie, przystępne przedstawienie wybranego zagadnienia z bezpieczeństwa komputerowego wraz z listą wskazówek jak można chronić siebie, swoich najbliższych i swoją organizację.
    Link: https://cert.pl/ouch/
  • STÓJ. POMYŚL. POŁĄCZ. jest polską wersją międzynarodowej kampanii STOP. THINK. CONNECT.™, mającej na celu podnoszenie poziomu świadomości społecznej w obszarze cyberbezpieczeństwa.
    Link: https://stojpomyslpolacz.pl/ oraz materiały do pobrania: https://stojpomyslpolacz.pl/stp/materialy-do-pobrania
  • Zespół CERT Polska działa w strukturach NASK – Państwowego Instytutu Badawczego, prowadzącego działalność naukową, krajowy rejestr domen .pl i dostarczającego zaawansowane usługi teleinformatyczne. CERT Polska to pierwszy powstały w Polsce zespół reagowania na incydenty. Dzięki prężnej działalności od 1996 roku w środowisku zespołów reagujących, stał się rozpoznawalnym i doświadczonym podmiotem w dziedzinie bezpieczeństwa komputerowego.
    Link : https://www.cert.pl/

Podmioty zajmujące się cyberbezpieczeństwem: