Niemalże z każdej strony płyną komunikaty o przejmowaniu wrażliwych danych, atakach phishingowych lub hakerskich. Utrata lub odzyskanie danych mogą być bardzo niewygodnym lub kosztownym procesem. W jaki sposób zadbać wobec tego o ich bezpieczeństwo? Na co powinno się uważać? Jaki sprzęt i akcesoria będą przydatne przy zapewnianiu ochrony?
Jakie są współczesne rodzaje zagrożeń, które wpływają na bezpieczeństwo danych?
- phishing – polega na podszywaniu się pod prawdziwą osobę lub instytucję (bank, pocztę, szpital, policję, sklep…) i wykradaniu informacji pokroju PIN-u ,PESEL-u, numeru dowodu osobistego czy haseł logowania. Oszust może to robić za pośrednictwem rozmowy telefonicznej, SMS-a lub maila. W wiadomości takiej często umieszczany jest przygotowany link, który będzie prowadził do fałszywej strony, gdzie zaatakowany użytkownik wpisze swoje dane. Cechą ataków phishingowych jest często uderzanie w alarmujący ton, na przykład o przejęciu lub zablokowaniu konta w banku, złamaniu istotnych przepisów czy konieczności szybkiego potwierdzenia swojej tożsamości;
- złośliwe oprogramowanie (malware) – prócz różnych wirusów wskazać można także na przykład spyware (oprogramowanie szpiegowskie, które zbiera dane osobowe o użytkowniku, ale także może niekorzystnych działań w systemie), trojany (udają pliki, którymi nie są i szkodzą systemowi użytkownika), ransomware (oprogramowanie, które blokuje dostęp do komputera lub plików, a następnie domaga się okupu za oddanie go) czy szczególnie trudne do usunięcia rootkity (które umożliwiają przejęcie ukrytej kontroli nad całym systemem);
- juice jacking – atak, który może przydarzyć się podczas korzystania z miejskich stacji ładowania dla smartfonów lub tabletów. Jeśli podepniesz do takiej ładowarki kabel USB, pozostaje ryzyko, że urządzenie zostanie zainfekowane wirusem lub zostaną naruszone wrażliwe dane. Szerzej pisaliśmy o tym zjawisku w osobnym artykule: Jak naładować telefon bez ładowarki? Opisujemy kilka sposobów (a także radzimy, na co uważać);
- uszkodzenia mechaniczne – bardzo często problemem są nie tylko ataki hakerskie lub zainfekowanie wirusem, ale również uszkodzenie dysku czy nośnika, w którym przechowujemy dane. Może być wywołane wstrząsem (przy upadku, rzuceniu plecakiem…), promieniowaniem (magnetycznym, rentgenowskim) lub zalaniem.
- zgubienie lub kradzież nośnika – dotyczy to zwłaszcza małych nośników, takich jak pendrive’y czy karty pamięci. Mogą się one w łatwy sposób wysunąć z kieszeni lub zostać wyjęte. Często się również o nich zapomina;
- ujawnienie wrażliwych danych – ostatnim możliwym zagrożeniem dla bezpieczeństwa danych jest (często bezmyślne) ujawnienie wrażliwym danych, na przykład z dowodu osobistego czy karty bankowej. Niektórzy zostawiają dokumenty na widoku lub przesyłają je w niezabezpieczony sposób. Zdarza się także publikowanie zdjęć lub screenshotów, na których wyraźnie widać dowód lub kartę. Nie pomaga zakrywanie części cyfr czy zamazywanie ich w edytorze. Często do udawania kogoś wystarczy tylko kilka cyfr, a z zamazaniem można sobie poradzić (zmieniając kontrast czy ekspozycję).
Jak skutecznie zabezpieczyć swoje dane?
Choć nie ma sposobów, które całkowicie zabezpieczą dane przed uszkodzniem lub kradzieżą, jest kilka dobrych praktyk, o których warto pamiętać:
- zawsze rób kopie zapasowe (czyli backup danych) – szczególnie jeśli są to ważne materiały;
- istotne dane przechowuj zarówno lokalnie (w pamięci komputera), jak i na nośniku zewnętrznym czy chmurze;
- jeśli dane przestają już być potrzebne, a ich przejęcie mogłoby nastręczyć problemów (na przykład jest to materiał z monitoringu, gdzie widoczne są twarze lub numery rejestracyjne), postaraj się jak najszybciej je wykasować. To samo tyczy się fizycznych kopii (na przykład wydruków lub odbitek ksero);
- nie reaguj na utrzymane w alarmującym tonie wiadomości, szczególnie jeśli są one niepoprawnie napisane (liczne błędy, mieszanka języków) i zawierają podejrzane linki, które mają postawione w dziwnym miejscu kropki, myślniki itp.;
- jeśli odwiedzana strona nie ma certyfikatu bezpieczeństwa (oznacza go zielona kłódka w pasku adresowym oraz “HTTPS”), nie podawaj tam żadnych informacji. Zachowaj również ostrożność, gdy na stronie widzisz błędy, literówki itp.;
- ani przez telefon, ani w mailu czy SMS-ie nie podawaj żadnych wrażliwych danych – jeżeli otrzymasz wiadomość, która będzie się ich domagała, najlepiej sprawdź u źródła (na przykład zadzwoń do banku lub napisz na czacie)
- na bieżąco aktualizuj oprogramowanie zabezpieczające – tyczy się to zarówno komputera, jak i na przykład routera czy innego urządzenia sieciowego. Pamiętaj także, by sprawdzać aktualizacje przeglądarki;
- unikaj wpinania nośników pamięci do przypadkowych, niesprawdzonych komputerów. I w drugą stronę – nie wpinaj podejrzanych nośników (kart lub pendrive’ów) do komputerów. Tyczy się to szczególnie sprzętów służbowych, ale nie tylko;
- jeżeli masz budżet i możliwość, postaw na takie zabezpieczenie komputera, jak specjalna linka, która uniemożliwi wykradnięcie dysku lub całego komputera, lub obudowy z zamkiem kluczowym;
- nie ładuj urządzeń mobilnych przy pomocy publicznie dostępnych ładowarek. Pewną ochronę daje wyłączenie transmisji danych lub korzystanie z tzw. prezerwatywy dla ładowarki (USB Data Locker), ale najlepiej jest w ogóle ładować tylko w bezpieczny sposób (na przykład przy pomocy powerbanka);
- nie udostępniaj w sieci żadnych materiałów, które mogłyby Cię narazić na problemy, a więc takich, gdzie widoczne są numery dowodów tożsamości czy dane logowania. Jeśli już musisz je przesyłać, rób to w bezpieczny sposób, na przykład korzystając z archiwizera 7-Zip. Pamiętaj także, by nie wysyłać dokumentów służbowych z prywatnej skrzynki mailowej;
- korzystaj z dobrej jakości wytrzymałych nośników, które są odporne na wstrząsy, promieniowanie RTG lub zalanie. Jeżeli producent nie udostępnia szyfrowania danych, możesz skorzystać ze specjalnie do tego przygotowanych programów zabezpieczających.
Zawsze lepiej zachowywać ostrożność
Na koniec nietypowa sytuacja, która miała miejsce w październiku 2023 roku. Wiele osób otrzymało SMS-a, w którym była mowa o konieczności przedłużenia profilu zaufanego. W wiadomości podany był link z rządową domeną .gov, jednak sama forma SMS-a, a także zapis linku (dziwna spacja) sprawiły, że odbiorcy uznawali całość za phishing. Tymczasem okazało się, że wiadomość i nadawca byli jak najbardziej autentyczni.
Może zatem być i tak, że niekoniecznie podejrzanie wyglądająca wiadomość lub strona jest atakiem lub próbą wyłudzenia. Zawsze lepiej jednak zachować ostrożność i dbać o mocniejsze zabezpieczenie informacji, nawet jeśli mogłoby się ono wydawać nieco nadmiarowe. W opisanym wyżej przypadku dość szybko wiarygodne strony poinformowały, że akcja jest legalna i prawdziwa. Jeśli masz jakiekolwiek wątpliwości – sprawdzaj i pytaj.
Pamiętaj także, że nawet jeśli masz pod ręką dodatkowe zabezpieczenia, w postaci solidnych dysków, pendrive’ów czy kart pamięci, nie zwalnia Cię to z dbania o nie i sprawdzania, czy nie zostały zawieruszone albo czy nie są w takim miejscu, że łatwo sięgnie po nie złodziej.