Cyberbezpieczeństwo

Cyberbezpieczeństwo

Ustawa z dnia 5 lipca 2018 o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2020 r. poz. 1369 z późn. zm.) określa operatorów usług kluczowych, jako firmy i instytucje świadczące usługi o istotnym znaczeniu dla utrzymania krytycznej działalności społecznej lub gospodarczej. Kluczowe sektory gospodarki to: energetyczny, transportowy, bankowy i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną (wraz z dystrybucją) i infrastruktury cyfrowej. Realizując zadania wynikające z ustawy o krajowym systemie cyberbezpieczeństwa Szpital Specjalistyczny im. Jędrzeja Śniadeckiego w Nowym Sączu publikuje informacje pozwalające na zrozumienie zagrożeń występujących w cyberprzestrzeni oraz porady jak zabezpieczyć się przed tymi zagrożeniami. Cyberbezpieczeństwo - to odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy. Incydent- oznacza zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo. Najpopularniejsze zagrożenia w cyberprzestrzeni:
  1. Kradzieże tożsamości.
  2. Kradzieże (wyłudzenia), modyfikacje bądź niszczenie danych.
  3. Blokowanie dostępu do usług.
  4. Spam (niechciane lub niepotrzebne wiadomości elektroniczne).
  5. Ataki socjotechniczne (np. phishing), czyli wyłudzanie poufnych informacji przez podszywanie się pod godną zaufania osobę lub instytucję.
  6. Ataki z użyciem szkodliwego oprogramowania (Phishing, Malware, Ransomomware, Man In the Middle, Cross-site scripting, DDos (distributed denial of service), SQL Injection, Malvertising).
Podstawy ochrony przed zagrożeniami:
  • Nie zaniedbuj aktualizacji systemu operacyjnego i programów na używanym komputerze (najlepiej zaplanuj aktualizacje automatyczne).
  • Posiadaj aktualny i wielofunkcyjny program antywirusowy z zaporą sieciową (ang. firewall). Stosuj ochronę w czasie rzeczywistym.
  • Nie używaj prywatnych kont poczty elektronicznej i komunikatorów do korespondencji służbowej.
  • Nie używaj prywatnych komputerów i telefonów do spraw służbowych.
  • Nie używaj służbowych komputerów i telefonów do spraw prywatnych (w szczególności do czytania prywatnej poczty elektronicznej), nie udostępniaj ich członkom rodziny.
  • Logując się na konto zawsze sprawdź czy domena danego portalu jest prawidłowa. Domena to nazwa zawierająca się między https://, a pierwszym kolejnym znakiem /
  • Ignoruj wszystkie inne prośby o podanie swojego hasła, nawet jeżeli komunikat wygląda oficjalnie, wymaga natychmiastowej reakcji i grozi dezaktywacją konta.
  • Pamiętaj, że żaden bank czy urząd nie wysyła e-maili do swoich klientów/interesantów z prośbą o podanie hasła lub loginu w celu ich weryfikacji.
  • Jeśli masz wątpliwości co do tożsamości osoby/instytucji za którą ktoś się podaje, zweryfikuj ją za pomocą innego środka komunikacji np. telefonicznie.
  • Wszystkie podejrzane wiadomości na skrzynce służbowej zgłaszaj administratorom w swojej organizacji. O wszystkie podejrzane wiadomości na prywatnej skrzynce możesz zapytać CERT Polska ( https://incydent.cert.pl / Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript. )
  • Szczególnie podejrzane są wiadomości: zawierające załączniki, a zwłaszcza archiwa i dokumenty Office z hasłem podanym w treści wiadomości i wiadomości zmuszające do podjęcia natychmiastowej reakcji.
  • Zachowaj ostrożność podczas otwierania załączników plików. Na przykład, jeśli otrzymasz wiadomość e-mail z załącznikiem PDF z opisem „zaległa faktura”, nie otwieraj go jeśli zobaczysz, że pochodzi on z nietypowego e-maila. Otwórz dopiero jeżeli masz 100% pewności, że wiesz kto wysłał wiadomość.
  • Nie klikaj w odnośniki od nieznanych podmiotów, co do których nie masz pewności gdzie Cię zaprowadzą.
  • Nie otwieraj plików, stron nieznanego pochodzenia.
  • Stosuj długie hasła. Unikaj haseł, które łatwo powiązać z publicznymi informacjami na temat Twojej osoby np. zawierających nazwisko, datę urodzenia itp.
  • Hasło zmieniaj wtedy, gdy masz podejrzenie, że mogła poznać je inna osoba.
  • Nie używaj takich samych haseł na różnych serwisach, w szczególności do konta email, banku i innych wrażliwych kont.
  • Dla ułatwienia korzystaj z menedżerów haseł. Te wbudowane w przeglądarkę czy telefon są bezpieczne i proste w użyciu
  • Włącz uwierzytelnianie dwuskładnikowe (tzw. 2FA) tam gdzie jest to możliwe. Uwierzytelnianie dwuskładnikowe w poczcie elektronicznej i w kontach społecznościowych jest konieczne. Jeżeli obecny dostawca Twojej poczty nie udostępnia uwierzytelniania dwuskładnikowego, zmień go. Najlepszym drugim składnikiem uwierzytelniania i jedynym odpornym na ataki phishingowe jest token sprzętowy U2F (np. YubiKey).
  • Zweryfikuj wszystkie dane kontaktowe w ustawieniach profilu poczty elektronicznej i mediów społecznościowych; dobra alternatywna metoda kontaktu ułatwi odzyskanie utraconego konta.
  • Jeżeli podejrzewasz, że ktoś mógł włamać się na twoje konto, zmień hasło, sprawdź dostępną w profilu historię logowania i zakończ wszystkie aktywne sesje.
  • Do wrażliwej prywatnej komunikacji używaj komunikatorów szyfrowanych end-to-end, np. Signala.
  • Używaj opcji automatycznego kasowania wiadomości po upływie określonego czasu – nie da się ukraść czegoś, czego już nie ma.
  • Wykonuj kopie zapasowe ważnych danych.
  • Weryfikuj adresy stron pod kątem literówek, łudząco podobnych lub powtarzających się znaków i porównuj je z oficjalnymi stronami (w szczególności w zakresie bankowości elektronicznej).
  • Korzystaj wyłącznie ze stron i portali używających komunikacji szyfrowanej. Należy zweryfikować certyfikat SSL klikając w kłódkę przy adresie strony oraz zwrócić uwagę czy pierwszy człon adresu strony zaczyna się od https://
  • Nie zostawiaj danych osobowych w niesprawdzonych serwisach i na stronach, jeżeli nie masz absolutnej pewności, że nie są one widoczne dla osób trzecich.
  • Korzystaj z wbudowanej zapory sieciowej (firewall) oraz oprogramowania antywirusowego, które chroni sprzęt przed szkodliwymi programami, ale także zwiększa ochronę sieci oraz pozwala na filtrowanie stron internetowych pod kątem ich szkodliwości.
  • Dbaj o regularne aktualizacje systemu operacyjnego i wszystkich zainstalowanych programów.
  • Korzystaj wyłącznie z legalnego oprogramowania, pozyskanego z oficjalnego źródła- od producenta lub dostawcy.
  • Jeśli podłączasz do komputera nośniki danych- skanuj je pod kątem wirusów i złośliwego oprogramowania.
  • Wszystkie pobrane pliki skanuj programem antywirusowym.
  • Nie odwiedzaj stron oferujących darmowe filmy, muzykę albo łatwe pieniądze- najczęściej na takich stronach znajduje się złośliwe oprogramowanie.
  • Zawsze zabezpieczaj hasłem lub szyfruj wiadomości e-mail zawierające poufne dane- hasło przekazuj innym sposobem komunikacji.
  • Zwracaj uwagę na komunikaty wyświetlane na ekranie komputera.
  NIE BĄDŹ OBOJĘTNY! ZGŁASZAJ PRZESTĘPSTWA DOKONYWANE W SIECI!   Rekomenduje się zapoznanie się z niżej wymienionymi poradnikami: Podręcznik postępowania z incydentami naruszenia bezpieczeństwa komputerowego Cyberhigiena dla każdego- serwis RP Bezpieczny pracownik w sieci   Podmioty zajmujące się cyberbezpieczeństwem: Strona internetowa Ministerstwa cyfryzacji Strona internetowa CERT Polska Strona internetowa Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego Strona Państwowego Instytutu Badawczego- NASK Strona internetowa Ministerstwa Obrony Narodowej Strona internetowe Niebezpiecznik Strona internetowa Zaufana Trzecia Strona Strona internetowa Legalne w Sieci Strona internetowa Cyberdefence24 Strona internetowa Cyberresccue Strona internetowa Nomoreransom https://stojpomyslpolacz.pl/stp/materialy-do-pobrania   Zachęcamy do zapoznania się z treściami zawartymi na stronie Ministerstwa Cyfryzacji pod adresem: https://www.gov.pl/web/cyfryzacja/cyberbezpieczeństwo w celu uzyskania szczegółowych informacji dotyczących cyberbezpieczeństwa.