Szukaj
Close this search box.

cybersecurity

Aktualności
Anna Maciocha

Partnerstwo z CybSafe

Podpisaliśmy jako jedyni w Polsce, umowę partnerską z firmą CybSafe, dostawcą innowacyjnej platforma Cyber Security Awareness & Training i

Czytaj więcej »
BLOG
Krzysztof Tyl

Alfabet Security Awareness

CYBER SECURITY AWARENESS MONTH 1 października wystartował Cyber Security Awareness Month. W tym roku głównymi tematami były: ransomware oraz phishing. Skoncentrowaliśmy się na “ludzkiej” części cyberbezpieczeństwa i stworzyliśmy “Alfabet Security Awareness”. A – ATAKI SOCJOTECHNICZE Polegają na wprowadzeniu w błąd użytkownika, w celu nakłonienie go do działania zgodnego z intencją atakującego. Ataki odbywają się w jednym lub kilku krokach. Sprawca najpierw obserwuje swoją ofiarę, aby zebrać niezbędne informacje potrzebne do przeprowadzenia ataku B – BAITING Baiting czyli ataki z przynętą wykorzystujące wabik, aby wzbudzić chciwość lub ciekawość ofiary. Kierują użytkowników w pułapkę, w celu kradzieży ich danych osobowych lub zainfekowania ich systemów złośliwym oprogramowaniem. Częstym przypadkiem przynęty są nośniki fizyczne typu pendrive.. Ofiary biorą przynętę z ciekawości i wkładają ją do komputera w pracy lub w domu, co skutkuje automatyczną instalacją złośliwego oprogramowania w systemie.A Wy uruchomilibyście taki znaleziony pendrive? C – CZŁOWIEK Często mówi się o nim najsłabszy element systemu cyberbezpieczeństwa. Jednak zdecydowanie bardziej pasuje do niego określenie najistotniejszy, ponieważ dobrze wyedukowany i zmotywowany w zakresie Security Awareness może być ostatnim bastionem obrony, gdy cała technologia zawiedzie. Należy pamiętać, że 82% naruszeń bezpieczeństwa według raportu DBIR firmy Verizon miało czynnik ludzki.Czy Wasi pracownicy zainteresowani są tematami cyberbezpieczeństwa?Czy dbacie o umiejętności Waszych pracowników w zakresie security awareness? D – DWUSKŁADNIKOWE UWIERZYTELNIANIE Dwuskładnikowe uwierzytelnianie (2FA, z ang. Two Factor Authentication, MFA)to warstwowe podejście do zabezpieczania danych i aplikacji, w którym system wymaga od użytkownika przedstawienia dwóch kombinacji uwierzytelniających, w celu zweryfikowania tożsamości użytkownika podczas logowania. Takie uwierzytelnienie zwiększa bezpieczeństwo, ponieważ nawet jeśli jedno poświadczenie zostanie naruszone, nieautoryzowani użytkownicy nie będą w stanie spełnić drugiego wymagania uwierzytelniania i nie będą mogli uzyskać dostępu do urządzenia komputerowego, sieci VPN, poczty elektronicznej lub konta w banku.Jaki sposób uwierzytelniania wg Was jest lepszy – SMS czy Authenticator? E – EMAIL SPOOFING Podszywanie się pod wiadomości e-mail to technika wykorzystywana w atakach spamowych i phishingowych, mająca na celu nakłonienie użytkowników do myślenia, że wiadomość pochodzi od osoby lub podmiotu, które znają lub którym mogą zaufać. W atakach typu spoofing nadawca fałszuje nagłówki wiadomości e-mail, aby oprogramowanie klienckie wyświetlało fałszywy adres nadawcy, który większość użytkowników przyjmuje za dobrą monetę, np. mail informujący o zalegającej płatnościJeżeli masz wątpliwość, zgłoś na https://incydent.cert.pl/ F – FAŁSZYWA STRONA Fałszywe strony WWW to wszelkie nielegalne witryny internetowe wykorzystywane do oszukiwania użytkowników w celu wyłudzenia danych lub złośliwych ataków. Oszuści nadużywają anonimowości Internetu, aby zamaskować swoją prawdziwą tożsamość i intencje za różnymi przebraniami. Mogą to być fałszywe strony serwiów transakcyjnych bankowości elektronicznej, strony logowania do portali społecznościowych łudząco podobne do prawidłowych, różniących się jedynie jednym znakiem w adresie. Często takie strony nie mają certyfikatu SSL, ale nie jest to regułą.Blisko 1,5 mln fałszywych stron powstaje każdego miesiąca! – Uważajmy! G – GRAMATYKA Hakerzy często nie zwracają uwagi na gramatykę, dlatego jeżeli otrzymamy emaila, który zawiera błędy gramatyczne, to należy zachować szczególną ostrożność. Lepiej nie klikać w linki oraz załączniki. Warto rozważyć zgłoszenie Incydentu do działu cyberbezpieczeństwa lub IT H – HASŁO Hasło to kluczowy element systemu bezpieczeństwa. Nie wolno go nikomu przekazywać. Silne hasło powinno mieć minimum 12 znaków. Nie powinno zawierać ciągów znaków znajdujących się na liście i używanych haseł oraz przewidywalnych członów takich jak nazwa firmy czy usługi. Jeżeli jest silne, nie musi być zmieniane okresowo. Jeżeli istnieje podejrzenie, że hasło zostało skompromitowane lub jest po prostu słabe powinno być zmienione natychmiast. Warto korzystać z menagerów haseł. I – INCYDENT Jeżeli coś wygląda choćby trochę inaczej niż powinno, niech wzbudzi to twoją podejrzliwość. Lepiej zgłosić jeden incydent więcej, niż później żałować utraty danych lub innych nieprzyjemności. Poinformuj swój zespół cyberbezpieczeństwa, a jeśli sytuacja dotyczy spraw prywatnych, zgłoś tutaj: https://incydent.cert.pl/ J – JĘZYK Internet nie ma granic i tą jego właściwość wykorzystują atakujący. Bardzo duża część ataków pochodzi z zagranicy. Do przygotowania materiałów jak na przykład emaile do kampanii phishingowych często wykorzystują translatory, które są jeszcze ułomne – w tym przypadku na szczęście . Jeżeli otrzymasz email, którego treść wygląda jakby była z translatora, zachowaj ostrożność i zgłoś Incydent K – KUSZĄCE OFERTY Uważaj na kuszące oferty – jeśli oferta brzmi zbyt kusząco, zastanów się dwa razy, zanim zaakceptujesz ją jako fakt. Googlowanie tematu może pomóc w szybkim ustaleniu, czy masz do czynienia z legalną ofertą, czy pułapką. Jeżeli masz wątpliwości, zgłoś Incydent.Uważajmy na fałszywe sklepy internetowe, w szale zakupów przedświątecznych, szczególnych okresach promocji (np. Cyber Monday – w tym roku przypada na 28 listopada), oszuści tworzą wiele stron łudząco przypominające wygląd sklepów. Sprawdźmy więc, czy sklep ma opinie, kiedy powstała domena, czy jest regulamin na stronie, jaka jest forma kontaktu. Przy dużych obniżkach zawsze powinna się zapalić czerwona lampka. L – LUKI BEZPIECZEŃSTWA Presja oczekiwania coraz to nowych funkcjonalności w systemach i aplikacjach powoduje, że powstają bardzo szybko, a oraz ilość testów jest ograniczona do niezbędnego minimum. W związku z tym do użytkowników trafiają z systemami, które mają luki bezpieczeństwa. Stanowi to duże zagrożenia dla bezpieczeństwa, dlatego gdy tylko pojawiają się aktualizacje do aplikacji i systemów należy je instalować M – MANIPULACJA Manipulacja jest formą wywierania wpływu na człowieka w taki sposób, by nieświadomie i z własnej woli realizowała cele manipulatora. Stanowi ona jedną z metod przeprowadzania ataków phishingowych (socjotechnicznych). Ważnym elementem ochrony przed działaniami manipulatorskimi jest poznanie i uświadomienie sobie swoich słabych stron w działaniu w cyberprzestrzeni, które mogą zostać wykorzystane przez manipulatora. N – NAWYKI Jednym ze sposobów na ograniczenie ryzyka stania się ofiarą ataku jest wykształcenie w sobie bezpiecznych nawyków. Aby tak się stało trzeba dobre praktyki i zalecenia otrzymane podczas szkoleń zamieniać w czyn. Praktyka czyni mistrza, mistrza dobrych nawyków cyberbezpieczeństwa. O – OKUP Główną motywacją cyberprzestępców są pieniądze. Najpopularniejszą, a zarazem najbardziej zyskowną działalnością atakujących są wymuszenia okupu. Najczęstszymi powodami , żądania okupu jest zablokowanie dostępu do danych lub groźba ich ujawniania. Wykorzystywane jest do tego oprogramowanie typu ransomware. P – PRESJA Cyberprzestępcy często wywierają presję na użytkownika, aby skłonić go do popełnienia błędu, do wejścia w pułapkę. Może to być presja czasu, oczekiwanie aby użytkownik zrobił coś teraz, aby nie stracić okazji. Może to być również presja wywierana poprzez podszycie się pod przełożonego, szefa

Czytaj więcej »
Aktualności
Anna Maciocha

Dzień bezpiecznego komputera

12 październik – Dzień bezpiecznego komputera – Poznaj 6 złotych zasad cyberhigieny komputera Przedstawiamy sześć zasad, które należy stosować w celu zapewnienia bezpieczeństwa użytkowanego komputera Aktualizuj system operacyjny i aplikacje Podatności to błędy w oprogramowaniu systemu operacyjnego lub aplikacji, które umożliwiają dokonanie ataku na komputer. Większe lub mniejsze są wykrywane bardzo często. Producenci oprogramowania przygotowują poprawki, które naprawiają wykryte w systemie luki. Dlatego tak ważne jest częste aktualizowanie systemu. Rób kopie zapasowe Kopia zapasowa (backup) to zapisane na innym nośniku jak np. dysk usb lub zasobie w chmurze dane, które mogą posłużyć do odtworzenia informacji znajdujących się na komputerze, gdyby uległy zniszczeniu w wyniku awarii komputera lub zaszyfrowaniu gdyby doszło do ataku typu ransomware. Kopie zapasowe należy wykonywać regularnie. Tym częściej im cenniejsze dane przechowujemy. Włącz szyfrowanie dysku Szyfrowanie dysku jest funkcjonalnością wbudowaną we współczesne systemy operacyjne, ale nie zawsze uruchomione. Włączenie tej funkcjonalności powinno być jedną z pierwszych czynności po otrzymaniu komputera. Szyfrowanie zapewni poufność danych w przypadku kradzieży lub zgubienia komputera. Zainstaluj oprogramowanie antywirusowe Oprogramowanie antywirusowe ma na celu jest wykrywanie i usuwanie wirusów komputerowych. Obecnie w większości wypadków jest to element pakietu chroniących komputer także przed wieloma innymi zagrożeniami. Zdefiniuj minimum 12 znakowe hasło dostępowe Wraz ze ciągłym wzrostem mocy obliczeniowe procesorów, skraca się czas potrzebny na złamanie hasła. Obecnie przyjmuje się, że minimalna bezpieczna długość to 12 znaków. Jeżeli Wasze hasło nie spełnia tego warunku to dzień bezpiecznego komputera jest świetną okazją aby to zmienić. Oddalając się blokuj komputer Wszystkie opisane powyżej dobre praktyki nie będą skuteczne jeżeli zostawisz odblokowany komputer. Skrót Win+L (dla komputerów z systemem Windows) oraz Control + Command + Q (dla komputerów z systemem MAC OS) ułatwi każdorazowe blokowanie komputera w momencie oddalania się od niego.

Czytaj więcej »
Alfabet Security Awareness
Aktualności
Anna Maciocha

Alfabet Security Awareness

Jutro, 1 października wystartuje kolejny Cyber Security Awareness Month. W tym roku głównymi tematami są: ransomware (oprogramowanie szantażujące) i phishing (wyłudzanie informacji). Jest to czas, gdy organizacje zajmujące się cyberbezpieczeństwem w szczególny sposób będą podejmować tematykę związaną z budowaniem świadomości wśród użytkowników w zakresie cyberzagrożeń. Temat tegorocznej kampanii — „See Yourself in Cyber” — pokazuje, że chociaż cyberbezpieczeństwo może wydawać się złożonym tematem, ostatecznie tak naprawdę chodzi o ludzi .  W październiku tego roku skoncentrujemy się na „ludzkiej” części cybersecurity, dostarczając informacje i zasoby, które pomogą edukować użytkowników. Zapraszamy do śledzenia naszej akcji na LinkedIn pt. „Alfabet Security Awareness”. Będziemy publikować codziennie, alfabetycznie hasła przewodnie na każdy dzień. Zachęcamy każdego z Was do zaangażowania się w tegoroczne wysiłki poprzez tworzenie własnych kampanii uświadamiających w cyberprzestrzeni i dzielenie się tym przekazem ze swoimi znajomymi w realu oraz sieci.

Czytaj więcej »

Zgłoszenie serwisowe

Dane firmy

Masz pytanie? Napisz do nas