Musisz być przezorniejszy od ministra Dworczyka… [BĄDŹ CYBERBEZPIECZNY]

Mając tę samą skrzynkę mejlową do zadań prywatnych i służbowych ryzykujemy dwa razy bardziej – załóżmy osobną do celów prywatnych i osobną do służbowych. I bądźmy ostrożniejsi w internecie niż minister Michał Dworczyk…

Od jakiegoś czasu docierają do nas informacje o „ataku cybernetycznym” na szefa kancelarii premiera Michała Dworczyka. W internecie pojawiają się prywatne i służbowe mejle ministra. Abstrahując od polityki zastanówmy się, jak uniknąć podobnego losu i zabezpieczyć nasze konto mejlowe.

Wiadomości, które wysyłamy i odbieramy za pośrednictwem konta mejlowego, są przechowywane na serwerze naszego usługodawcy (np. Gmail). Do naszego mejla można dotrzeć na trzy sposoby: za pomocą interfejsu użytkownika, poprzez serwer usługodawcy lub w trakcie przekazywania ich pomiędzy naszym komputerem a serwisem pocztowym.

Uwierzytelnianie i tak dalej

Interfejs użytkownika jest tym, co widzimy na ekranie monitora po wejściu na stronę internetową. Wymaga zalogowania się, czyli co najmniej podania loginu i hasła. Po prawidłowym uwierzytelnieniu mamy dostęp do naszych wiadomości za pomocą klawiatury i myszki.

Serwer usługodawcy to w uproszczeniu komputer, na którego twardym dysku przechowywane są nasze mejle. Taki serwer ma własne, najczęściej wysokiej klasy, zabezpieczenia. Osoba uprawniona do uzyskania do niego dostępu (administrator) za pośrednictwem własnego interfejsu ma dostęp do wszystkich danych – zatem także do naszych mejli. Taki dostęp jest konieczny, by prawidłowo wykonywać obowiązki administratora. Zdarza się, że w wyniku błędów w zabezpieczeniach lub skomplikowanych zabiegów dostęp do serwera uzyskują osoby nieupoważnione. Jeśli taki incydent bezpieczeństwa zostanie ujawniony, na właścicielach serwisu spoczywa szereg obowiązków.

Jednym z nich jest poinformowanie bez zbędnej zwłoki osób, których dane mogły zostać wykradzione, o zaistniałej sytuacji. Należy też poinformować o incydencie prezesa Urzędu Ochrony Danych Osobowych. Zaniechanie w tym zakresie jest surowo karane. W tym momencie należy zauważyć, że w przypadku ministra Dworczyka o żadnym tego typu incydencie nie było mowy, zatem na bazie dostępnych nam informacji możemy przypuszczać, że naruszenie bezpieczeństwa serwera nie miało miejsca.

Trzecim sposobem na uzyskanie dostępu do naszych mejli jest ich przechwycenie w momencie komunikowania się stacji roboczej (nasz komputer) z serwerem. Ten scenariusz jest niezwykle skomplikowany. Bezpieczeństwo w tym zakresie gwarantuje certyfikat, tzw. SSL – to na jego obecność wskazuje kłódka przy adresie serwisu w przeglądarce. Dzięki niej dane przechwycone pomiędzy dwoma komputerami (tzw. atak „Man in the middle”) wyglądają jak losowe znaki.

Co robić?

Dysponując taką wiedzą zadamy sobie pytanie, co możemy zrobić, by nasze mejle były bezpieczne? Wiemy już, że nasza odpowiedzialność kończy się na punkcie pierwszym – interfejsie użytkownika.

Wykorzystajmy więc wszystkie jego możliwości i wykażmy się przezornością [nasze rady dotyczące tego, jak obronić się przez cyberatakiem, znajdziecie w ramce obok – dop. red.].

Drodzy Czytelnicy, mamy dla Was także pewną niespodziankę. Pierwsze 10 osób, które wyśle na adres redakcji swoje imię, adres e-mail i preferowany sposób udziału (webinar/spotkanie na żywo), zaprosimy na warsztat z bezpiecznego korzystania z mejla! Dowiecie się też, jak to zrobić, żeby nawet administrator nie mógł przeczytać Waszych wiadomości!

Grzegorz Boruszewski

Ramka

W kontekście mejla trzeba zwracać uwagę na:

– Mając tę samą skrzynkę mejlową do zadań prywatnych i służbowych ryzykujemy dwa razy bardziej – załóżmy osobną skrzynkę do celów prywatnych i osobną do służbowych,

– Korzystając z tego samego hasła w kilku serwisach stąpamy po kruchym lodzie – kradzież danych z jednego serwisu niemal zapewnia nam kompromitację wszystkich pozostałych. Używajmy różnych haseł do każdego serwisu, z którego korzystamy,

– Używając prostego hasła (np. „qwerty”) musimy się liczyć z tym, że może zostać złamane specjalnym programem użytym przez przestępców – stosujmy długie i niesłownikowe hasła,

– Większość serwisów mejlowych daje nam już możliwość skonfigurowania tzw. drugiego składnika uwierzytelniania – poza podaniem hasła podczas logowania nasz interfejs będzie oczekiwał np. wprowadzenia kodu jednorazowego z aplikacji lub użycia specjalnego klucza fizycznego – stosujmy dwuskładnikowe uwierzytelnianie,

Ogromna liczba kampanii phishingowych ma na celu wyłudzenie od nas danych dostępowych do naszych zasobów – logujmy się tylko i wyłącznie za pośrednictwem znanych nam interfejsów, nigdy nie podawajmy naszych danych na potrzebę np. potwierdzenia wieku lub lokalizacji,

– Logując się na komputerach dostępnych publicznie (biblioteka, kawiarenka, nawet nasza praca, jeśli do komputera mają dostęp inni pracownicy) przyjmujemy do wiadomości, że poziom naszego bezpieczeństwa jest taki, jaki prezentuje „najsłabszy” użytkownik tego komputera; może tam na nas czyhać np. złośliwe oprogramowanie sczytujące wciśnięte przez nas klawisze, możemy nawet zobaczyć nasz interfejs użytkownika pod właściwym adresem, podczas gdy w rzeczywistości ten adres będzie podrobiony; logowanie się na komputerze, do którego dostęp mają inne osoby, jest olbrzymim ryzykiem,

– Pamiętajmy też, że wiadomości, które wysyłamy, są przechowywane także na skrzynce odbiorcy – warto przemyśleć, co i komu chcemy w ten sposób powierzyć.

Konkurs i warsztat!

Drodzy Czytelnicy, mamy dla Was pewną niespodziankę. Pierwsze 10 osób, które wyśle na adres redakcji swoje imię, adres e-mail i preferowany sposób udziału (webinar/spotkanie na żywo), zaprosimy na warsztat z bezpiecznego korzystania z mejla! Dowiecie się też, jak to zrobić, żeby nawet administrator nie mógł przeczytać Waszych wiadomości!

Grzegorz Boruszewski

specjalista ds. cyberbezpieczeństwa

E-WYDANIE TYGODNIKA KRĄG

FacebooktwittermailFacebooktwittermail

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Skip to content