Co zatem zrobić, aby się zabezpieczyć przed naruszeniem danych? 5 kroków prowadzących na drogę cyberbezpieczeństwa. 1. Audyt bezpieczeństwa . Zlecenie profesjonalistom przygotowania audytu to pierwszy krok, który zwiększa poziom bezpieczeństwa zarówno obecnych, jak i przyszłych klientów, odwiedzających stronę firmy. Jak zabezpieczyć się przed kradzieżą danych osobowych? Nasze dane znajdują się w wielu bazach – hotelowych, bankowych cze e-sklepów. Nie mamy wpływu na to, czy hakerom uda się złamać zabezpieczenia różnych instytucji, ale samodzielnie możemy zwiększyć bezpieczeństwo naszych danych, które przechowujemy na prywatnych urządzeniach lub przesyłamy przez internet. Z tekstu dowiesz się: co to jest cyberbezpieczeństwo i dlaczego warto o nie dbać, jak stworzyć hasła, które zwiększą Twoje bezpieczeństwo w internecie, jak bezpiecznie korzystać z internetu na smartfonie, przed jakimi zagrożeniami uchroni Cię CyberTarcza Orange, jakie są ogólne zasady bezpiecznego korzystania z internetu. Nie oznacza to jednak, że nie możemy się przed nimi bronić. Istnieją skuteczne metody ochrony i walki z cyberprzestępcami. Jak skutecznie bronić się przed atakami cyberprzestępców Aby nasza strona zabezpieczona była jak należy, musi znajdować się na bezpiecznym serwerze, dostarczonym przez sprawdzoną i bezpieczną firmę hostingową. Często zgubne jest kierowanie się wyłącznie ceną usługi, gdyż powinniśmy zwrócić uwagę również na opcje zabezpieczeń hostingu. Paweł Maciejewski. Specjalista ds. SEO. Skuteczna ochrona organizacji przed cyberatakiem: pokaz technik ataku i obrony na żywo. Redakcja ITwiz jest partnerem webinarium “Jak skutecznie obronić się przed cyberatakiem”. Podczas webinarium przeprowadzona zostanie próba cyberataku z zewnątrz na organizację. W symulacji ataku weźmie udział dwóch prelegentów: Mateusz Pstruś . W dziedzinie bezpieczeństwa teleinformatycznego Polska jest w tyle za najbardziej rozwiniętymi gospodarkami świata, których rozwój oparty jest o informacje. Przyczyną takiego stanu jest brak świadomości, że dostęp do globalnej sieci komputerowej generuje większe ryzyko dla bezpieczeństwa danych. Z drugiej strony, jako kraj peryferyjny pod kątem wykorzystania nowoczesnych, zintegrowanych systemów teleinformatycznych, nie doświadczyliśmy jeszcze utraty danych na wielką skalę. Wyjątkiem są tutaj instytucje masowo przetwarzające hurtowe ilości danych np. banki, firmy ubezpieczeniowe, duże sklepy internetowe, operatorzy usług telekomunikacyjnych itp. Bezpieczeństwo informacji jest dla tych podmiotów kluczowe z punktu widzenia utrzymania pozycji rynkowej, dlatego wydatki na teleinformatykę stanowią stałą, znaczącą pozycję w budżecie systemów informatycznych tak, aby chroniły dane tam przechowywane na światowym poziomie, w małych i średnich firmach, będzie raczej długotrwałe i transformacji wymaga przede wszystkim wzrostu świadomości wśród kierownictwa lub właścicieli przedsiębiorstw. Z doświadczenia Security Partrners wynika, że świadomość zagrożeń IT wzrasta dopiero, gdy firma padnie ofiarą ataku cybernetycznego. Najczęściej jest to kradzież /utrata danych lub pieniędzy albo, gdy tego typu proceder dotyka konkurencję lub zaprzyjaźnione przykład realnych zagrożeń, których można by uniknąć, gdyby pracownicy wiedzieli o technikach stosowanych przez przestępców komputerowych: nr konta – cel: kradzież pieniędzy 2. Fałszywe wezwanie na przesłuchanie – cel: instalacja złośliwego oprogramowanie na komputerze 3. Szantaż – cel: wyłudzenie pieniędzy Podobnie jak w medycynie, także w informatyce, taniej jest zapobiegać niż leczyć. Ponieważ wg statystyk za ok. 50% incydentów bezpieczeństwa IT odpowiadają sami pracownicy, to najskuteczniejszym i jednocześnie najtańszym sposobem podnoszenia poziomu bezpieczeństwa danych w organizacji, jest jesteś pewien, że posiadasz wystarczającą widzę z dziedziny bezpieczeństwa teleinformatycznego, aby unikać takich i innych zagrożeń dla finansów Twojej firmy?Jeśli chciałbyś zamówić szkolenie z podstaw bezpieczeństwa komputera skontaktuj się z nami. Szkolenie nie jest nudne i długie. Po dwóch godzinach Twoi współ/pracownicy będą wiedzieć jak i dlaczego stosować podstawowe techniki zabezpieczenia komputera. Techniki te znacząco poprawią bezpieczeństwo danych Twojej firmy. Szkolenia są personalizowane i możliwe do przeprowadzenia zdalnie, przy pomocy systemu telekonferencyjnego. Jeśli masz pytania lub chcesz zamówić szkolenie skontaktuj się z tym, że Twoje dane nie są nigdy bezpieczne dowiesz czytając artykuł “Chyba wykradziono Twoje hasło”Jeżeli chcesz dowiedzieć się, jak tworzyć skomplikowane hasła to przeczytaj artykuł “Długość ma znaczenie, czyli o dobrych hasłach”Jak zabezpieczać dane swojej firmy dowiesz się zagłębiając się w lekturę “Jak zabezpieczać dane”A tutaj sprawdzisz, czy Twoje hasło nie wyciekło LINK 15 cze Cyberatak Jako firma informatyczna staramy się działać dla dobra naszych Klientów. Przez alarmowe sytuacje, które do nas dochodzą czujemy się zobowiązani, aby informować o kwestiach bezpieczeństwa. W tym roku obserwujemy nasilenie problemu, działań hakerskich. W ostatnich miesiącach otrzymaliśmy informację bezpośrednio od dwóch naszych Klientów o przypadkach cyberataków na ich serwery. Zostały skradzione poufne dane firmowe, które oczywiście mogą zostać zwrócone za odpowiednią opłatą. Jednak nie o taki finał wszystkim chodzi, więc będziemy starali się zwrócić szczególną uwagę na kwestie bezpieczeństwa w Państwa przedsiębiorstwach. Istnieje błędne przekonanie, że tego typu niebezpieczeństwa dotyczą tylko ogromnych korporacji, ogląda się je w filmach na dużych ekranach, na pewno hakerzy nie działają w Polsce. Kto by o tym słyszał? Niestety bardzo boleśnie możemy się pomylić. Poszkodowanym może zostać jednoosobowa działalność tak samo jak duży koncern. W tym przypadku nie ma to różnicy. Cyberataki w 2016 roku w jednej trzeciej oznaczały finansowe konsekwencje dla zaatakowanych firm, jak podaje PwC. Spowodowane szkody z każdym rokiem dynamicznie rosną. Nawet dobrze zabezpieczone sieci, komputery mogą paść ofiarą hakerów, bo w sieci zabezpieczeń zawsze można znaleźć jakąś lukę. Aktualnym celem najczęściej są dane przechowywane na firmowych serwerach, które po ataku są już niedostępne. Na świecie codziennie powstaje ponad milion nowych wirusów, które tylko czekają, aby zablokować lub zniszczyć dane. Jak podaje PAP w 2017 roku, straty spowodowane przez cyberprzestępczość kosztowały przedsiębiorstwa 5 mld dolarów, w tym roku mogą wynieść 180 mld i szacuje się, że w przyszłym roku mogą przekroczyć nawet 2 bln dolarów. Już pewnie nawet nie pamiętamy w ilu serwisach, na ilu stronach mamy założone konta. Logujemy się nawet do kilku dziennie, nie przywiązując do tego często dużej wagi, pomimo, że są to konta do banków, firmowe lub prywatne, gdzie są zastrzeżone dane. Dlatego tak ważne jest zacząć od podstaw i tworzenie haseł, które mogą wzmocnić bezpieczeństwo. Powinny być silne, niesłownikowe, zawierać cyfry i znaki specjalne, małe i wielkie litery, dla każdego konta inne. W firmie, gdzie każdy pracownik może mieć dostęp do różnych kont, warto wypracować wspólny standard siły haseł, aby nikt nie tworzył ich na własną rękę. Istnieje również system Keepass, który umożliwia zarządzanie hasłami. Warto z rozwiązaniem się zapoznać. Według raportu „2015 Security Report” to właśnie nasz kraj był ze wszystkich krajów członkowskich UE najbardziej podatny na działania hakerów. Natomiast w skali całego świata zajmujemy 34. miejsce. Nie możemy być tym zaskoczeni, jak podaje raport PwC z 2016 roku jedynie 46 procent firm posiada formalne zasady bezpieczeństwa cybernetycznego (skala światowa 91 procent). Aż 70 procent nie monitoruje zachowań pracowników w sieci i tylko trochę ponad połowa, 55 procent na bieżąco śledzi możliwe zagrożenia. Jakie wirusy nam zagrażają? Na szczególną uwagę zasługują ataki z użyciem Ransomware, który skutecznie potrafi zablokować dostęp do danych użytkowników. Jest to rodzaj oprogramowania szantażującego, a sama nazwa to połączenie angielskich słów ransom „okup” i software „oprogramowanie”. Po zablokowaniu danych hakerzy przeważnie żądają okupu za przywrócenie dostępu. Kolejnym z tego typu oprogramowań jest WannaCry, który spowodował niemałe szkody w 2017 roku. Zostało zainfekowanych 300 tysięcy komputerów w 99 krajach, również w Polsce. Dziś często banki czy inne instytucje, alarmują o mailach z odnośnikami do innych stron. Taki odnośnik zapewnia przechwycenie ważnych danych, podszywając się pod adresata wiadomości. Tego typu działania nazywają się Phishing i bardzo szybko się rozprzestrzeniają. Jak się bronić przed Cyberatakiem? Jak wyżej pisaliśmy należy zacząć od pilnowania i tworzenie silnych haseł. Na pewno warto zainwestować w programy antywirusowe i pilnować ich aktualizacji cały czas. Warto używać przeglądarek, które dezaktywują Adobe Flash lub pamiętać o jego wyłączaniu. Z punktu widzenia przedsiębiorstwa, koniecznością jest tworzenie kopii zapasowych. Tworzenie tak zwanych backupów, może rozwiązać problem przychwycenia i zablokowania ważnych danych. Najlepiej wybrać zaufanego i doświadczonego operatora, który będzie przechowywał nasze dane w chmurze. Straty związane z cyberatakiem, mogą niestety być znacznie wyższe niż zainwestowanie w to rozwiązanie. Należy również zwracać uwagę i sprawdzać i kopie faktycznie zostały wykonane i czy są aktualne. Setki tysięcy stron i sklepów internetowych jest oparte na popularnym CMS WordPress. W czasie pandemii ilość tych stron zwiększyła się jeszcze bardziej a to za sprawą oczywiście przeniesienia pracy w tryb online. Wraz ze wzrostem nowych stron zwiększyło się również ryzyko cyberataków. W jednym z wcześniejszych artykułów pt. Czy Twoje hasło jest hacker-friendly? Powiedzieliśmy Wam o tym jak tworzyć silne hasła, by nie paść łatwym łupem hakerów oraz jakie techniki łamania haseł oni wykorzystują. Jeżeli jeszcze nie czytaliście tego wpisu, to zachęcamy Was do nadrobienia zaległości ponieważ znajdują się tam ważne wskazówki, które poruszymy również w tym wpisie. Czy WordPress jest bezpieczny? Odpowiedź to tak i nie, kwestia bezpieczeństwa strony lub sklepu zależy tylko i wyłącznie od Was. Bezpieczeństwo polega na jak największym wyeliminowaniu ryzyka a postępując zgodnie z naszymi praktykami wzmocnicie bezpieczeństwo swojej witryny. W jaki sposób hakerzy łamią zabezpieczenia witryny? We wcześniej wspomnianym wpisie przedstawiliśmy metody jakimi hakerzy łamią hasła użytkowników. Jeden z nich również pojawił się w kontekście stron internetowych: Brute Force Attacks – wykorzystując tę technikę haker automatyzuje oprogramowanie tak, by w jak najkrótszym czasie stworzyć i wypróbować jak najwięcej kombinacji . Tą techniką można wygenerować aż 350 miliardów nazw użytkownika oraz haseł na sekundę aż do momentu trafienia w prawidłowe. Ważne: hasło poniżej 12 znaków jest bardziej podatne na złamanie. Malware – czyli złośliwe oprogramowanie, które zostaje wgrane w pliki witryny w celu utworzenia nieautoryzowanych przekierowań lub umożliwienia dostępu do konta hostingowego. Cross-Site Scripting – znacie te wyskakujące na niektórych stronach okna informujące o wygranej iphone’a lub kilku tysięcy złotych? Jest to właśnie umieszczenie kodu w treści atakowanej strony a następnie zwabienie użytkownika/gościa do wykonania niepożądanych Injections – jeżeli baza danych na Waszej witrynie będzie niezabezpieczona, haker za pomocą iniekcji MySQL przejmie kontrolę nad całą bazą w kodzie PHP – przechowywanie nieużywanych/nieaktualizowanych wtyczek/motywów sprawia, że są one bardziej podatne na różnego rodzaju “wstrzyknięcia” złośliwego kodu na Wasz serwer. Aby uniknąć ataku na stronie: 1. Włącz weryfikację dwuetapową – samo hasło i login nie jest wystarczające. Dobrą wtyczką, ławą w instalacji jest WP Google Authenticator Ogranicz możliwości logowania – tym sposobem zmniejszysz ryzyko ataku metodą Brute Force. Wtyczka Limit Login Attempts Reloaded zablokuje adres IP, który przez X prób przekroczył dopuszczalną ilość Zmień adres URL do logowania – większość stron jest domyślnie skatalogowana na wp-admin albo Nie trzeba być hakerem, żeby sprawdzić z którego katalogu następuje logowanie. Jednak jeżeli jeszcze do tego macie domyślną nazwę użytkownika i hasło – cóż, wszystko może się wydarzyć. Wtyczka The iThemes security plugin dodatkowo zabezpieczy stronę przed Brute Force, który celuje w domyślne katalogi. 4. Stosuj silne hasła – na temat metod łamania haseł jak i sposobów na ich tworzenie przeczytacie w naszym wcześniejszym wpisie. Jest to zbyt szeroka tematyka by zawrzeć ją w jednym punkcie 😉 5. Rób porządki w motywach i pluginach – często instalujemy kilka wtyczek zamiast jednej, która posiada funkcje tych kilku razem wziętych. Pamiętaj: mniej znaczy więcej. Starannie zweryfikujcie, które z wyłączonych wtyczek można usunąć, a te które są aktywne sumiennie aktualizuj. Tak samo postąp z Aktualizuj WordPress – informacje o aktualizacjach są wyświetlane nie tylko w kokpicie ale i wysyłane mailowo. Zawsze powinniście jak najszybciej stosować aktualizacje zarówno WordPressa jak i wtyczek/motywów, aby witryna WordPress była Dodaj wtyczkę bezpieczeństwa – warto zabezpieczyć swoją stronę dodatkowo wtyczkami bezpieczeństwa są to np.: All In One, Jetpack czy Sucuri. Zawsze twórz plan B Pomimo zastosowania się do wszystkich naszych porad, ryzyko cyberataku wciąż jest. Mniejsze ale jest. Dlatego warto mieć utworzone kopie zapasowe. Są one odporne na awarie i w każdej chwili możecie przywrócić swojej stronie życie. Warto jednak ustawić automatyczne tworzenie kopii, mogą być one codzienne, co dwa dni, co tydzień itd. Wtedy jeżeli nie wykryjesz od razu ataku na stronę, powrót do zapisu sprzed kilku dni wciąż będzie dla Ciebie możliwy – oczywiście ustal też czas przechowywania kopii. Mamy nadzieję, że po tym artykule będziecie już wiedzieli jak dbać o swoją witrynę. Jeżeli Waszą stroną opiekuje się agencja, której zleciliście również jej budowę – zapewne nad tym czuwa. Jednak warto to zweryfikować czy jest to zawarte w usłudze, za którą płacicie. Informacje o otrzymywaniu wiadomości mailowych z wirusami, których nadawcami mają być instytucje publiczne, pojawiają się ostatnio dość często. Adresaci tych przesyłek stają się ofiarami oszustów. Jak się chronić przed cyberatakami przeprowadzanymi z użyciem skrzynek mailowych, radzą eksperci Unizeto. W lipcu ostrzegano użytkowników poczty mailowej przed wiadomościami, których nadawcą był rzekomo szczeciński Zakład Ubezpieczeń Społecznych. Odbiorców zmylić miały podane w nich adresy kontaktowe dyrektora i zastępcy dyrektora tego oddziału. Maile zawierały także załącznik. – Podszywanie się pod znaną i zaufaną osobę, firmę lub instytucję to działanie typowe dla cyberataków typu phishing i spear phishing - mówi Paweł Żal , audytor bezpieczeństwa systemów operacyjnych i baz danych (ethical hacker) z Unizeto Technologies SA w Szczecinie. - Oba sposoby wykorzystywane są przez internetowych oszustów do kradzieży danych, a w konsekwencji – szantaży, transakcji, wyrządzania innych szkód. W obu wypadkach odbiorcy otrzymują fałszywego maila. Druga z metod jest jednak bardziej wyrafinowana – przestępcy nie wysyłają zainfekowanych wiadomości do przypadkowych osób, ale wybierają sobie ofiary, zwracając się do nich personalnie, z imienia i nazwiska. Choć nie można zablokować otrzymywania fałszywych wiadomości, można się chronić przed zagrożeniami, jakie niosą. – Po pierwsze, bardzo dokładnie przyglądajmy się otrzymanym mailom – radzi Mariusz Janczak, menedżer produktu Certum Unizeto Technologies fałszywy e-mail krok po kroku: * Sprawdź adres nadawcy. W sfałszowanym mailu adres nadawcy może być: prawie taki sam, jak adres prawdziwego nadawcy (np. „Unizeto Technologies" ), bardzo skomplikowany (np. „Deutsche Telekom AG" unicampprebasprebas@ albo… taki sam. Wiarygodną identyfikację adresu e-mail właściciela umożliwia też certyfikat ID.* Sprawdź adres URL strony WWW. W treści fałszywego maila zazwyczaj znajduje się link. Nie przechodźmy na stronę przez hiperłącze w mailu, ale skopiujmy je i wklejmy do nowego okna przeglądarki. Niebezpieczny adres może imitować poprawną nazwę instytucji/zawierać literówkę (np. Jeśli w adresie znajduje się http:// zamiast https://, to znaczy, że nasze dane podczas komunikacji z serwerem nie są szyfrowane, a strona nie jest zaufana.* Sprawdź, czy wiadomość zawiera załącznik. Zaufane instytucje nie wysyłają dokumentów mailowo. Bezpieczniej jest nie otwierać żadnych załączników – mogą zawierać wirusy. * Sprawdź treśćMaile od fałszywych nadawców nawołują do natychmiastowego wykonania jakiejś czynności, np. „zapłać”, „wejdź na swoje konto teraz”, „kliknij, aby pobrać”. Żadna zaufana instytucja nie będzie od nas żądać wniesienia opłaty drogą mailową.* Chroń pocztę Prowadzenie bezpiecznej korespondencji umożliwia certyfikat ID. – Jest to „elektroniczny dokument tożsamości”, który pokazuje, kim jest jego właściciel/nadawca wiadomości - tłumaczy Mariusz Janczak. - Daje pewność, że wiadomość nie została zmodyfikowana w trakcie przesyłki. Certyfikat zawiera zbiór określonych danych identyfikacyjnych, poświadczonych przez zaufaną trzecią stronę (centrum certyfikacji). Oprócz szyfrowania poczty mailowej, służy do podpisywania dokumentów PDF (w tym umów), logowania się do np. kont bankowych, serwisów WWW czy aplikacji oraz składania zwykłego podpisu elektronicznego. Unizeto Technologies obchodzi obecnie swoje 50-lecie. Od 1998 r. działa w nim Powszechne Centrum Certyfikacji Certum. Spółka od lutego tego roku należy do Grupy Asseco. (mag) Świadomość klientów wobec zagrożeń ze strony cyberprzestępców rośnie z roku na rok. Stąd wzrost zainteresowania rozwiązaniami technologicznymi, które będą w stanie zabezpieczyć biznes przedsiębiorców. Czy produkty i usługi oferowane w modelu chmurowym są właściwym wyborem? Więcej na ten temat mówi Mariusz Szczęsny, Dyrektor Działu Cyberbezpieczeństwa w Asseco. Świadomość polskich firm w zakresie znaczenia cyberbezpieczeństwa i wagi ryzyka płynącego z zagrożeń systematycznie rośnie. Coraz większy jest więc rynek usług z zakresu bezpieczeństwa informacji, realizuje się coraz więcej dużych projektów tego typu. Jak skutecznie przekonać klienta, że bezpieczeństwo nie jest tylko kosztem dla jego firmy? Ponieważ rośnie świadomość zagadnień związanych z cyberbezpieczeństwem, coraz łatwiej przekonać klienta, że to nie tylko koszt, ale inwestycja zwiększająca prawdopodobieństwo osiągnięcia sukcesu biznesowego. W niektórych sektorach takie inwestycje stają się koniecznością wynikającą z przepisów prawa. Czy dbanie o compliance wystarczy do budowania strategii bezpieczeństwa? Obszar compliance i związane z nim obowiązki są regulowane określonymi przepisami prawa. Strategia bezpieczeństwa firmy powinna je oczywiście uwzględniać, co do zasady natomiast pokrywa ona wszystkie aspekty związane z bezpieczeństwem przetwarzanych informacji, nie tylko te, które wynikają z regulacji. Jakie nastawienie mają polscy klienci do oferty typu Security as a Service? Usługi w modelu SaaS dają wiele korzyści różnym grupom klientów. Ze względu na to, że dają one gwarancję wysokiej jakości usług bez konieczności zatrudniania wykwalifikowanego zespołu specjalistów od cyberbezpieczeństwa jest to dobre rozwiązanie dla wielu firm. Ze względu na efektywność kosztową nawet duże przedsiębiorstwa decydują się realizować część swojej strategii bezpieczeństwa w takiej formule. Możliwość zastosowania takiego rozwiązania zależy od specyfiki firmy i poziomu wrażliwości przetwarzanych informacji. Integralną formą dostarczania usług SaaS jest stosowanie rozwiązań opartych o chmurę obliczeniową, które zapewniają wysoki poziom dostępności oraz obsługę realizowaną przez doświadczonych profesjonalistów. Obserwując rynek tych rozwiązań jesteśmy przekonani, że segment ten będzie się sukcesywnie rozwijał w kolejnych latach. Fragmenty wypowiedzi zostały opublikowane w artykule „Jak to jest z tym bezpieczeństwem” w miesięczniku CRN, r., nr 9, str. 40.

jak zabezpieczyć się przed cyberatakiem