Cyberbezpieczeลstwo ma istotnฤ wartoลฤ biznesowฤ i technologicznฤ . Nowe modele biznesowe, innowacyjnoลฤ, postฤp technologiczny oraz regulacje prawne tworzฤ potrzeby w tym obszarze, ktรณre nie mogฤ pozostaฤ bez odpowiedzi. Dowiedz siฤ, dlaczego cyberbezpieczeลstwo jest kluczowe dla kaลผdej dziaลalnoลci gospodarczej oraz jakie korzyลci i wartoลci dodane oferuje nasza nowa usลuga!
Zachฤcamy do zapoznania siฤ z ofertฤ dotyczฤ cฤ naszej nowej usลugi w zakresie cyberbezpieczeลstwa opracowanej w ramach projektu pn. โinnLOGY โ wsparcie przedsiฤbiorstw o duลผym potencjale technologicznymโ realizowanego w ramach projektu wspรณลfinansowanego ze ลrodkรณw Europejskiego Funduszu Rozwoju Regionalnego, Regionalnego Programu Operacyjnego Wojewรณdztwa Mazowieckiego na lata 2014-2020 nr RPMA.03.01.02-14-b657/18, pn. โModelowanie Systemu Ofert Dla Innowacjiโ, Oล Priorytetowa III Rozwรณj potencjaลu innowacyjnego i przedsiฤbiorczoลci, Dziaลanie 3.1 Poprawa rozwoju MลP na Mazowszu Poddziaลanie 3.1.2 Rozwรณj MลP.
Podejลcie Zero Trust
Zero Trust a tradycyjne podejลcie
Zero Trust to model bezpieczeลstwa informacji stworzony przez Johna Kindervaga z Forrester Research w 2009 roku. Model ten zakลada brak zaufania dla niczego i nikogo zarรณwno na zewnฤ trz i wewnฤ trz sieci lokalnej. Wymaga ono kaลผdorazowego uwierzytelnienia lub weryfikacji przed przyznaniem dostฤpu danych lub innych chronionych zasobรณw.
Inne podejลcie (dawniej tradycyjne) - โcastle-and-moatโ zakลada, ลผe osoby i zasoby wewnฤ trz sieci lokalnej sฤ bezpieczne i zaufane, a wiฤc caลoลฤ zabezpieczeล skupiona jest jedynie na ลwiat zewnฤtrzny. Organizacje broniลy swoich zasobรณw poprzez ustawienie firewalli, ktรณre uniemoลผliwiaลy dostฤp z zewnฤ trz do sieci wewnฤtrznych. To zaลoลผenie stwarza jednak przynajmniej dwa problemy:
Jeลli โzลyโ uลผytkownik ma dostฤp do sieci, moลผe siฤ w niej przemieszczaฤ, aby ujawniฤ wraลผliwe dane, zainstalowaฤ zลoลliwe oprogramowanie i spowodowaฤ naruszenie danych
Jeลli pracownik nie jest fizycznie w pracy, nie ma dostฤpu do sieci, co w obecnych czasach jest skomplikowane ze wzglฤdu na rozwรณj pracy zdalnej i usลug SaaS)
Metoda castle-and-moat nie jest wiฤc juลผ skutecznym rozwiฤ zaniem.
Zero Trust
Model bezpieczeลstwa Zero Trust jest zgodny z zasadฤ kontroli dostฤpu o najmniejszych przywilejach, gdzie toลผsamoลฤ uลผytkownika jest weryfikowana w czasie rzeczywistym przy kaลผdorazowym ลผฤ daniu dostฤpu do zasobรณw.
Dostฤp bazuje zazwyczaj na uwierzytelnianiu wieloczynnikowym (MFA) lub uwierzytelnianiu dwuczynnikowym (2FA), takim jak hasลo i zaufane urzฤ dzenie lub kod tymczasowy. Nawet po uwierzytelnieniu osoba moลผe uzyskaฤ dostฤp tylko do granularnie zdefiniowanych zasobรณw lub aplikacji okreลlonych w polityce bezpieczeลstwa.
Co warto wiedzieฤ
Zmiany zwiฤ zane z RODO
RODO jest juลผ z nami od dawna, ale czy kaลผdy z nas identyfikuje i rozumie rozporzฤ dzenia z nim zwiฤ zane? Przybliลผajฤ c temat, 24 maja 2016 r. weszลo w ลผycie unijne Ogรณlne rozporzฤ dzenie o ochronie danych (RODO). Zastฤ piลo ono przepisy dotychczasowej polskiej ustawy o ochronie danych osobowych. RODO to najwiฤksza zmiana w podejลciu do ochrony danych osobowych od dwudziestu lat. Rozporzฤ dzenie wprowadza duลผo nowoลci, z ktรณrych bardzo waลผnymi sฤ :
Bezpoลrednia odpowiedzialnoลฤ przetwarzajฤ cego dane
Przetwarzanie danych osobowych pochodzฤ cych z innych firm, w trakcie ลwiadczenia usลug na ich rzecz, skutkuje ponoszeniem bezpoลredniej odpowiedzialnoลci za zลamanie zapisรณw RODO, wลฤ czajฤ c w to potencjalne kary finansowe. Powiฤ zane jest to rรณwnieลผ z bardziej restrykcyjnymi niลผ dotychczas obowiฤ zkami w zakresie tworzenia umรณw o przetwarzaniu danych.
Zgลaszanie naruszeล
Obowiฤ zkiem jest zawiadomienie konkretnej osoby, bez zbฤdnej zwลoki, o przypadku wystฤ pienia duลผego ryzyka naruszenia jej praw lub swobรณd.
Nowe i rozszerzone prawa obywateli
prawo do bycia zapomnianym (na proลbฤ zgลaszajฤ cego dane muszฤ zostaฤ usuniฤte)
uprawnienie do ลผฤ dania przeniesienia danych
wzmocnione prawo dostฤpu i wglฤ du obywatela w jego dane
Ograniczenia profilowania
Wraz z RODO zostaลy wprowadzone ograniczenia w profilowaniu wลฤ czajฤ c w to obowiฤ zek otrzymania zgody na profilowanie przed rozpoczฤciem zbierania danych, obowiฤ zek informowania o przeprowadzeniu profilowaniu oraz koniecznoลฤ akceptacji braku zgody na profilowanie.
Wyznaczenie Inspektora Ochrony Danych Osobowych
Obowiฤ zkiem firm zarรณwno przetwarzajฤ cych dane osobowe, jest wyznaczenie Inspektora Ochrony Danych Osobowych. Osoba ta musi dysponowaฤ wiedzฤ eksperckฤ w zakresie ochrony danych osobowych.
Mazowiecki Klaster ICT โ Krajowy Klaster Kluczowy zaprasza przedsiฤbiorstwa z sektora MลP zarejestrowane na terytorium wojewรณdztwa mazowieckiego do nieodpลatnego udziaลu w testowaniu nowych usลug w zakresie wsparcia procesu prowadzenia prac B+R+I.
Stowarzyszenie Rozwoju Spoลeczno-Gospodarczego โWiedzaโ (koordynator Mazowieckiego Klastra ICT โ Krajowego Klastra Kluczowego) wraz z Fundacjฤ Akcelerator Innowacji, realizuje projekt pt. โinnLOGY โ wsparcie przedsiฤbiorstw o duลผym potencjale technologicznymโ w ramach pierwszego naboru grantowego w ramach projektu pozakonkursowego โModelowanie Systemu Ofert Dla Innowacjiโ Nr projektu RPMA.03.01.02-14-b657/18.
Jednym z gลรณwnych zaลoลผeล Projektu jest wspieranie przedsiฤbiorstw w procesach przyลpieszajฤ cych ich rozwรณj oraz zapewnienie MลP specjalistycznych usลug doradczych, ลwiadczonych przez kompetentnych specjalistรณw miฤdzy innymi w zakresie procesu prowadzenia prac B+R+I, celem poszukiwania partnerรณw projektowych oraz inwestorรณw, budowy konsorcjรณw oraz wsparcia realizacji projektรณw o charakterze badawczo-rozwojowym na rรณลผnych etapach.
W celu wdroลผenia do oferty najwyลผszej jakoลci usลug, Mazowiecki Klaster ICT โ Krajowy Klaster Kluczowy planuje wyลwiadczyฤ minimum 4 testowe usลugi z zakresu wsparcia procesu prowadzenia prac B+R+I w formie rozwiฤ zania informatycznego dla przedsiฤbiorstw z sektora maลych i ลrednich przedsiฤbiorstw z wojewรณdztwa mazowieckiego.
Zgลoszenia zawierajฤ ce:
prosimy przesyลaฤ drogฤ elektronicznฤ na adres e-mail: biuro@klasterict.pl lub skลadaฤ Zgลoszenie w wersji papierowej w siedzibie ION โ ul. Piฤkna 31/37, 00-677 Warszawa.
Zgลoszenia zostanฤ ocenione przez personel zatrudniony w ramach Projektu. Rezultatem oceny bฤdzie wyselekcjonowanie minimum czterech podmiotรณw gospodarczych o najwyลผszym potencjale w przedmiocie informacji zwrotnej, ktรณra posลuลผy do podniesienia jakoลci usลugi.
Przyjmowanie Zgลoszeล w ramach naboru odbywa siฤ w terminie od dnia 01.08.2022 r. do dnia 31.08.2022 r.
Wiฤcej informacji o Projekcie i realizowanych w ramach Projektu usลugach testowych moลผna uzyskaฤ drogฤ telefonicznฤ pod numerem: +48 512 998 804.
Mazowiecki Klaster ICT โ Krajowy Klaster Kluczowy zaprasza przedsiฤbiorstwa z sektora MลP zarejestrowane na terytorium wojewรณdztwa mazowieckiego do nieodpลatnego udziaลu w testowaniu nowych usลug doradczych w zakresie cyberbezpieczeลstwa.
Stowarzyszenie Rozwoju Spoลeczno-Gospodarczego โWiedzaโ (koordynator Mazowieckiego Klastra ICT โ Krajowego Klastra Kluczowego) wraz z Fundacjฤ Akcelerator Innowacji, realizuje projekt pt. โinnLOGY โ wsparcie przedsiฤbiorstw o duลผym potencjale technologicznymโ w ramach pierwszego naboru grantowego w ramach projektu pozakonkursowego โModelowanie Systemu Ofert Dla Innowacjiโ Nr projektu RPMA.03.01.02-14-b657/18.
Jednym z gลรณwnych zaลoลผeล Projektu jest wspieranie przedsiฤbiorstw w procesach przyลpieszajฤ cych ich rozwรณj oraz zapewnienie MลP specjalistycznych usลug doradczych, ลwiadczonych przez kompetentnych specjalistรณw miฤdzy innymi w zakresie cyberbezpieczeลstwa, celem wyboru rozwiฤ zaล, zwiฤkszajฤ cych poziom zabezpieczeล przy jednoczesnym dostosowaniu do potrzeb i moลผliwoลci organizacji.
W celu wdroลผenia do oferty najwyลผszej jakoลci usลug, Mazowiecki Klaster ICT โ Krajowy Klaster Kluczowy planuje wyลwiadczyฤ 4 testowe usลugi o charakterze doradczym z zakresu cyberbezpieczeลstwa dla przedsiฤbiorstw z sektora maลych i ลrednich przedsiฤbiorstw z wojewรณdztwa mazowieckiego.
Zgลoszenia zawierajฤ ce:
prosimy przesyลaฤ drogฤ elektronicznฤ na adres e-mail: biuro@klasterict.pl lub skลada Zgลoszenie w wersji papierowej w siedzibie ION โ ul. Piฤkna 31/37, 00-677 Warszawa.
Zgลoszenia zostanฤ ocenione przez personel zatrudniony w ramach Projektu. Rezultatem oceny bฤdzie wyselekcjonowanie czterech podmiotรณw gospodarczych o najwyลผszym potencjale w przedmiocie informacji zwrotnej, ktรณra posลuลผy do podniesienia jakoลci usลugi.
Przyjmowanie Zgลoszeล w ramach naboru odbywa siฤ w terminie od dnia 25.03.2022 r. do dnia 30.04.2022 r.
Wiฤcej informacji o Projekcie i realizowanych w ramach Projektu usลugach testowych moลผna uzyskaฤ drogฤ telefonicznฤ pod numerem: +48 512 998 804.
Popularne narzฤdzia w cyberbezpieczeลstwie
Cyberbezpieczeลstwo jak kaลผda branลผa wymaga swoich wลasnych narzฤdzi w celu realizacji przypisanych celรณw. Ich dobรณr powinien zaleลผeฤ od potrzeb i zdolnoลci osoby zajmujฤ cej siฤ danym procesem. Rynek oferuje setki o ile nie tysiฤ ce aplikacji wspomagajฤ cych dziaลania etycznych hakerรณw i specjalistรณw ds. cyberbezpieczeลstwa. Moลผemy jednak wyrรณลผniฤ kilka narzฤdzi cechujฤ cych siฤ szczegรณlnฤ popularnoลciฤ .
Popularne narzฤdzia
Kali Linux
Kali Linux jest jednฤ z najczฤลciej stosowanych technologii w dziedzinie cyberbezpieczeลstwa. Kali jest jednฤ z dystrybucji Linuxa, ktรณra powstaลa w celu realizacji pentestรณw. System ten zawiera setki aplikacji do przeprowadzania audytรณw bezpieczeลstwa, testowania sieci i systemรณw pod kฤ tem luk w zabezpieczeniach. Jednฤ z gลรณwnych zalet tego systemu jest przystฤpnoลฤ na rรณลผnych poziomach wiedzy, co sprawia, ลผe jest doskonaลym wyborem zarรณwno dla poczฤ tkujฤ cych jak i zaawansowanych ekspertรณw. Liczne narzฤdzia dostarczane przez Kali Linux sฤ proste w uลผyciu, co pozwala uลผytkownikom na ลledzenie systemรณw bezpieczeลstwa w firmie za pomocฤ jednego klikniฤcia.
Wireshark
Jest to program typu packet sniffer, ktรณry pozwala ekspertom badaฤ protokoลy sieciowe i przeglฤ daฤ ruch sieci w czasie rzeczywistym w poszukiwaniu potencjalnych sลabych punktรณw. Ponadto gromadzi waลผne informacje o poziomie ruchu sieciowego. Narzฤdzie to jest wykorzystywane przez specjalistรณw ds. bezpieczeลstwa cybernetycznego do przechowywania pakietรณw danych oraz okreลlania zachowania i cech kaลผdego pakietu. Informacje te pomagajฤ w wykrywaniu bลฤdรณw w zabezpieczeniach sieci. Software pozwala na monitorowanie pakietรณw sieciowych i wyลwietlanie ich w przystฤpnej formie dziฤki interfejsowi graficznemu. Jest to narzฤdzie o otwartym kodzie ลบrรณdลowym.
Metasploit
Metasploit oferuje peลen zestaw narzฤdzi, ktรณre moลผna wykorzystaฤ do przeprowadzenia audytu bezpieczeลstwa organizacji. Podatnoลci zgลoszone w bazie danych bลฤdรณw Common Security i Exploits sฤ rutynowo aktualizowane w Metasploit. Metasploit pozwala specjalistom na ocenฤ bezpieczeลstwa aplikacji internetowych i sieciowych, serwerรณw, sieci i innych systemรณw. Jednฤ z zalet tego programu jest to, ลผe moลผe on wykrywaฤ nowe luki w zabezpieczeniach i zapewniaฤ caลodobowฤ ochronฤ.
John the Ripper
Narzฤdzie, przy ktรณrego uลผyciu testowana jest siลa haseล. Architektura programu pomaga w wykrywaniu sลabych haseล, ktรณre stanowiฤ zagroลผenie dla bezpieczeลstwa danego systemu. Reguลa dziaลania programu polega na ลamaniu haseล za pomocฤ ataku sลownikowego lub brute-force. Aby wykryฤ sลabe hasลo, John the Ripper szuka skomplikowanych szyfrรณw, zaszyfrowanych danych logowania i haseล podobnych do haseล. Narzฤdzie to jest stale ulepszane i aktualizowane, aby zapewniฤ wiarygodne wyniki podczas testรณw penetracyjnych. Jest to jedna z najlepszych opcji dla specjalistรณw ds. cyberbezpieczeลstwa, jeลli chodzi o poprawฤ bezpieczeลstwa haseล.
Cain and Abel
Cain and Abel to jedno z najstarszych i najlepszych narzฤdzi Cyberbezpieczeลstwa do wyszukiwania bลฤdรณw w systemie Windows i odzyskiwania haseล. Umoลผliwia ono identyfikacjฤ bลฤdรณw w zabezpieczeniach haseล rรณลผnych systemรณw Windows. Wลrรณd jego wielu funkcji najwaลผniejsza jest moลผliwoลฤ zachowania zapisu rozmรณw VoIP i oceny protokoลรณw routingu w celu okreลlenia, czy routowane pakiety danych mogฤ zostaฤ zhakowane. Ta bezpลatna aplikacja potrafi miฤdzy innymi ujawniaฤ hasลa przechowywane w pamiฤci podrฤcznej, a takลผe wykorzystywaฤ ataki brute-force do ลamania zaszyfrowanych haseล. Pomaga rรณwnieลผ w odszyfrowywaniu haseล.
Podsumowanie
ลwiat cyberbezpieczeลstwa jest peลen narzฤdzi wspomagajฤ cych prace, a wymienione wyลผej przykลady naleลผฤ do popularnych rozwiฤ zaล wykorzystywanych w branลผy. Kaลผdy jednak powinien dopasowaฤ narzฤdzie do swoich potrzeb i zidentyfikowanego problemu lub procesu. Narzฤdzia to tylko jedno, gdyลผ naleลผy zawsze pamiฤtaฤ o tym, ลผe nawet najlepsze narzฤdzie bez odpowiedniego operatora moลผe byฤ caลkowicie bezuลผyteczne.
Testy penetracyjne OWASP
Niebezpieczne oprogramowanie jest jednym z kluczowych problemรณw technicznych naszych czasรณw. Gwaลtowy wzrost znaczenia i rozwรณj Internetu a przy tym aplikacji webowych umoลผliwiajฤ cych korzystanie z sieci spoลecznoลciowych, czy prowadzenie biznesu postawiลy spoลeczeลstwo przed wielkim wyzwaniem w zakresie bezpieczeลstwa danych. Z tego wลaลnie powodu, odpowiednie pisanie aplikacji i dbanie o ich zabezpieczenia staje siฤ fundamentalnym elementem bezpieczeลstwa sieciowego.
OWASP (The Open Web Application Security Project) jest fundacjฤ non-profit, ktรณra dziaลa na rzecz poprawy bezpieczeลstwa oprogramowania. Dziaลania te realizowane sฤ poprzez spoลecznoลciowe projekty oprogramowania open-source, setki lokalnych oddziaลรณw na caลym ลwiecie, dziesiฤ tki tysiฤcy czลonkรณw oraz wiodฤ ce konferencje edukacyjne i szkoleniowe. Fundacja OWASP jest ลบrรณdลem wiedzy dla programistรณw i technologรณw na temat bezpieczeลstwa w sieci.
Testy penetracyjne pomagajฤ organizacjom poprzez:
identyfikowanie i usuwanie luk w zabezpieczeniach, zanim cyberprzestฤpcy bฤdฤ mieli okazjฤ je wykorzystaฤ
zmniejszenie ryzyka naruszenia danych, a takลผe szkรณd i zakลรณceล w ลwiadczeniu usลug
zapewnienie niezaleลผnego przeglฤ du skutecznoลci kontroli bezpieczeลstwa i wiฤkszej pewnoลci w zakresie zgodnoลci z PCI DSS, ISO 27001 i GDPR
pomoc w doskonaleniu praktyk w zakresie tworzenia oprogramowania i zapewniania jakoลci poprzez wglฤ d w ryzyko zwiฤ zane z bezpieczeลstwem cybernetycznym
wsparcie w podejmowaniu bardziej ลwiadomych decyzji dotyczฤ cych przyszลych inwestycji w bezpieczeลstwo
Metoda testowania bezpieczeลstwa aplikacji internetowych OWASP opiera siฤ na podejลciu czarnej skrzynki. Tester w takim przypadku nie wie nic lub ma bardzo ograniczone informacje o aplikacji, ktรณra ma byฤ testowana. Test podzielony jest na czฤลฤ aktywnฤ oraz pasywnฤ , z czego pasywna jest pierwszฤ . Czeลci opisane zostaลy w poniลผszej tabeli.
Pentest bezpieczeลstwa OWASP moลผe pomรณc zidentyfikowaฤ kluczowe luki, takie jak:
Uszkodzone uwierzytelnianie
Naraลผenie wraลผliwych danych
Jednostki zewnฤtrzne XML (XXE)
Uszkodzone mechanizmy kontroli dostฤpu
Bลฤdna konfiguracja zabezpieczeล
Skrypty XSS (cross-site scripting)
Niezabezpieczona deserializacja
Uลผywanie komponentรณw o znanych lukach w zabezpieczeniach
Niewystarczajฤ ce rejestrowanie i monitorowanie
Czas potrzebny etycznemu hakerowi na wykonanie pentestu OWASP zaleลผy od zakresu testu. Dลugoลฤ testu zaleลผna jest od takich wspรณลczynnikรณw jak:
Typ aplikacji
Zakres funckjonalnoลci
Liczba rรณl uลผytkownikรณw
Czy aplikacja korzysta z backendu REST API i ile jest punktรณw koลcowych API
Zrzuty ekranu
Wielkoลฤ sieci
Czy test jest skierowany do wewnฤ trz czy na zewnฤ trz
Czy informacje o sieci i dane uwierzytelniajฤ ce uลผytkownikรณw sฤ udostฤpniane przed rozpoczฤciem pentestingu.
Podsumowujฤ c, fundacja OWASP zebraลa doลwiadczenia specjalistรณw z caลego ลwiata i sprรณbowaลa skompresowaฤ tฤ wiedzฤ do poradnika bezpieczeลstwa i metod analitycznych, ktรณre sฤ dostฤpne dla wszystkich za darmo. Peลna dokumentacja pentestรณw OWASP jest dostฤpna na stronie fundacji:
https://owasp.org/www-project-web-security-testing-guide/v42/
Cyberbezpieczeลstwo w sektorze energii
Niemal wszystko co robimy i kaลผda decyzja ekonomiczna, jakฤ podejmujemy, moลผe zaleลผeฤ od dostฤpnoลci i ceny energii - jak podrรณลผujemy, co jemy, jaka jest temperatura w naszych domach, gdzie i jak pracujemy. Przystฤpna cenowo energia sprawia, ลผe nasze ลผycie staje siฤ lepsze. Poniewaลผ w wielu aspektach energia jest "zdolnoลciฤ do wykonywania pracy", uลatwia ona wszystkie inne przedsiฤwziฤcia gospodarcze.
Przedsiฤbiorstwa energetyczne naraลผone sฤ na ryzyko cybernetyczne zwiฤ zane z podatnoลciฤ ich systemรณw IT, infrastruktury OT oraz partnerรณw w ลaลcuchu dostaw. Systemy IT obejmujฤ oprogramowanie, sprzฤt i technologie wykorzystywane do gromadzenia i przetwarzania danych niezbฤdnych do prowadzenia dziaลalnoลci biznesowej przedsiฤbiorstwa. Infrastruktura OT obejmuje oprogramowanie, sprzฤt i technologie wymagane do sterowania urzฤ dzeniami fizycznymi, takimi jak pompy, silniki, zawory i przeลฤ czniki.
Analiza atakรณw i naruszeล, ktรณre miaลy miejsce w branลผy energetycznej, ilustruje znaczenie zabezpieczenia rozlegลego ekosystemu ลaลcucha dostaw branลผy energetycznej. Firmy energetyczne pozyskujฤ informacje, sprzฤt, oprogramowanie i wszelkiego rodzaju usลugi od zewnฤtrznych dostawcรณw z caลego ลwiata. Podmioty stanowiฤ ce zagroลผenie mogฤ wprowadziฤ skompromitowane komponenty do systemu lub sieci w dowolnym momencie cyklu ลผycia systemu.
Sabotaลผ ลaลcucha dostaw jest czasami dokonywany nieumyลlnie w postaci elementรณw, ktรณre nie speลniajฤ aktualnych standardรณw bezpieczeลstwa lub celowo, jako czฤลฤ tajnych dziaลaล majฤ cych na celu uลatwienie przyszลego ataku. Ataki mogฤ byฤ przeprowadzane za poลrednictwem aktualizacji oprogramowania lub "ลatek", ktรณre sฤ pobierane przez firmฤ energetycznฤ , lub za poลrednictwem oprogramowania sprzฤtowego, ktรณrym napastnicy mogฤ manipulowaฤ w celu umieszczenia w nim zลoลliwych kodรณw do wykorzystania w pรณลบniejszym czasie. Nieuczciwi napastnicy mogฤ rรณwnieลผ naraลผaฤ na szwank sprzฤt, ktรณry przedsiฤbiorstwa energetyczne instalujฤ w swoich obiektach.
Rozwiฤ zania bezpieczeลstwa cybernetycznego dla przemysลu energetycznego
Krytyczny charakter sieci, systemรณw i urzฤ dzeล niezbฤdnych do funkcjonowania wspรณลczesnego przemysลu energetycznego oraz wyjฤ tkowe wyzwania w zakresie bezpieczeลstwa, przed jakimi stoi ten sektor, oznaczajฤ , ลผe dobrze opracowane strategie muszฤ kierowaฤ siฤ stosowaniem wyjฤ tkowych rozwiฤ zaล w zakresie bezpieczeลstwa cybernetycznego.
Virtual Dispersive Networking (VDN) - technologia VDN dzieli wiadomoลฤ sieciowฤ na wiele czฤลci i szyfruje kaลผdฤ z nich osobno. VDN kieruje te komponenty wiadomoลci do wielu serwerรณw, komputerรณw, a nawet telefonรณw komรณrkowych. Rozproszenie danych na wielu rรณลผnych ลcieลผkach w ten sposรณb eliminuje moลผliwoลฤ ataku typu Man-in-the-Middle, poniewaลผ hakerzy mogฤ uzyskaฤ tylko niewielki fragment oryginalnych danych na dowolnej ลcieลผce. Ta strategia ochrony sprawia, ลผe wszelkie uzyskane dane sฤ bez znaczenia dla innych niลผ zamierzony odbiorca i sฤ prawie niemoลผliwe do odszyfrowania.
Uwierzytelnianie sprzฤtowe - Uwierzytelnianie sprzฤtowe to podejลcie do uwierzytelniania uลผytkownikรณw, ktรณre jest szczegรณlnie przydatne w przypadku geograficznie rozproszonych sieci OT. Ta strategia ochrony opiera siฤ na dedykowanym urzฤ dzeniu fizycznym (takim jak token) posiadanym przez uprawnionego uลผytkownika, oprรณcz hasลa gลรณwnego, w celu przyznania dostฤpu do zasobรณw komputerowych. Chociaลผ nie jest to tak wygodne jak inne metody uwierzytelniania, krytyczny charakter urzฤ dzeล w przemyลle energetycznym znacznie przewyลผsza potrzebฤ ลatwego logowania uลผytkownika.
Analityka zachowaล uลผytkownikรณw (UBA) - W ten sam sposรณb, w jaki zaawansowana analityka jest wykorzystywana do okreลlania zawartoลci pakietรณw w zaporze sieciowej lub oprogramowanie antywirusowe analizuje system plikรณw, UBA bada, co robi uลผytkownik. Poprzez dokลadne zbadanie, w jaki sposรณb uลผytkownicy zazwyczaj wchodzฤ w interakcje z danym systemem, UBA moลผe rozpoznaฤ podejrzane zachowania.
Podsumowujฤ c, wspรณลczesna energetyka, zwลaszcza w zakresie dystrybucji energii elektrycznej, wymaga ciฤ gลego zwiฤkszania bezpieczeลstwa informatycznego i zabezpieczenia jej przed potencjalnymi atakami.
Testy oprogramowania
Testowanie
Testy oprogramowania sฤ jednym z nasjkuteczniejszych sposobรณw kontrolowania jakoลci programรณw, tak aby uลผytkownicy koลcowi dostali wolne od bลฤdรณw aplikacje. Na przestrzeni lat wydieliลy siฤ rรณลผne techniki testowania, do ktรณrych naleลผฤ testy metodฤ czarnej skrzynki lub metodฤ biaลej skrzynki.
Metoda biaลej skrzynki
Testowanie tego typu oparte jest o strukturฤ oprogramowania. Test ten jest przeprowadzany gลฤboko dla kaลผdego z moduลรณw systemy w celu sprawdzenia czy reagujฤ one zgodnie z podanymi danymi wejลciowymi. Taki test jest bardzo czasochลonny i wymaga kwalifikacji do jego przeprowadzenia โ zazwyczaj zajmujฤ siฤ tym sami programiลci. Technika ta obejmuje testowanie przepลywu danych, testowanie gaลฤzi i ลcieลผki dla kaลผdej jednostki oraz testowanie przepลywu kontrolnego. Wykonujฤ c tego typu test ลatwiej jest wyลledziฤ bลฤdy wystฤpujฤ ce w systemie.
Metoda czarnej skrzynki
Jest to metoda bazujฤ ca na niewiedzy osoby testujฤ cej w zakresie tego jak skonstruowany zostaล testowany przez niฤ system. W takim przypadku mรณwi siฤ wลaลnie o teลcie przeprowadzanym metodฤ czarnej skrzynki. Celem testu metodฤ czarnej skrzynki jest jedynie sprawdzenie funckajonalnoลci systemu, niezaleลผnie od tego, jak testowany system wykonuje akcje. Testowanie tego typu zajmuje mniej czasu niลผ testowanie metodฤ biaลej skrzynki ze wzglฤdu na sprawdzanie jedynie czy wyniki przeprowadzanych akcji sฤ zgodne z oczekiwanymi wynikami. W przypadku takiego testu, jeลli wystฤ puje bลฤ d w systemie i jego funkcjonowaniu, ciฤลผko go wyลledziฤ, ze wzglฤdu na brak testรณw jego wewnฤtrznych procesรณw.
Zasadniczymi rรณลผnicami miฤdzy testem czarnej skyrznki i testem biaลej skrzynki sฤ :
Testowanie biaลych skrzynek wykonuje testy struktury systemu
Testowanie biaลych skrzynek wymaga wysoce technicznych testerรณw
Wiedza techniczna testera nie jest wysoce wymagana w przypadku testรณw czarnej skrzynki
ลatwe do ลledzenia wewnฤtrzne bลฤdy w testach biaลych skrzynek
Testy socjotechniczne
Socjotechnika
Jest to wektor ataku dla hakerรณw, majฤ cy na celu oszukania lub zmanipulowanie osoby, do ujawniania wraลผliwych danych, czy nieลwiadomego udzielenia do nich dostฤpu. Niestety najsลabszym ogniwem w dowolnym ลaลcuchu bezpieczeลstwa jest czลowiek. Kaลผdy system jest tak wytrzymaลy i sprawny, jak jego najsลabszy element - a zwykle w przypadku bezpieczeลstwa, jest to wลaลnie element ludzki.
Za scojotechnikฤ moลผna uznaฤ relatywnie konsekwentny sposรณb oddziaลywania spoลecznego โ czyli wywieranie wpลywu na zbiorowoลci oraz zachowania spoลeczene jednostek. Jest to rรณwnieลผ wiedza naukowa o warunkach efektywnoลci dziaลania spoลecznego. Gลรณwnym zadaniem socjotechniki jest wywoลanie nacisku na wywoลanie poลผฤ danych zachowaล w obiektach wpลywu.
W klasycznym ujฤciu przekaz socjotechniczny moลผna sprowadziฤ do trzech form:
dziaลania perswazyjne - przekaz charakteryzuje duลผy stopieล jawnoลci intencji nadawcy a takลผe wyrazistoลciฤ wykลadnikรณw perswazji,
dziaลania manipulacyjne โ usiลujฤ zmieniฤ poglฤ dy, zachowania i postawy wbrew woli jednostki sterowanej lub bez jej wiedzy,
dziaลania facylitacyjne - majฤ na celu stworzenie realnych sytuacji, ktรณre mogฤ uลatwiฤ ksztaลtowanie nowych poglฤ dรณw i postaw ludzi.
Natura socjotechniki ma na celu pominiฤcie zabezpieczeล technologicznych, aby obraฤ za cel osobฤ, a nie komputer.
Testy socjotechniczne
Jak wiฤc zapobiegaฤ zewnฤtrznym, niechcianym dziaลaniom socjotechnicznym majฤ cym na celu przeลamanie naszych zabezpieczeล wewnฤtrznych zwiฤ zanych z cyberbezpieczeลstwem. Podstawowym i najskuteczniejszym rozwiฤ zaniem jest ลwiadomoลฤ zagroลผenia i ลwiaodmoลฤ technil. ลwiadomoลฤ bycia manipulowanym odpowiada za okoลo 75% zdolnoลci wyjลcia z maniplulacji. Z pomocฤ w tym zakresie przychodzฤ testy socjotechniczne jako narzฤdzie analityczne, ktรณre potem sฤ bazฤ dla potencjlanych szkoleล wewnฤtrznych.
Testy Socjotechniczne to metoda pozwalajฤ ca sprawdziฤ stopieล wyczulenia i ลwiadomoลci pracownikรณw oraz ogรณlnฤ skutecznoลฤ obowiฤ zujฤ cych procesรณw bezpieczeลstwa. Test tego typu moลผe pozwoliฤ na zweryfikowanie u pracownikรณw ich wiedzy w zakresie potencjalnego zagroลผenia, metod jakich atakujฤ cy moลผe stosowaฤ, ลwiadomoลci zagroลผeล, jakฤ dysponujฤ w swoim otoczeniu, wiedzy w zakresie odpornoลci psychicznej. Test taki polega na wykreowaniu ze zlecajฤ cym potencjalnego scenariusza zagroลผenia i zrealizowanie go jakby to byล prawdziwy atak, co pozwoli uzyskaฤ realne reakcje ludzkie do wynikรณw testu. Po przeprowadzonym teลcie, firma ktรณra realizowaลa symulacjฤ ataku, sporzฤ dza raport z wynikami oraz zaleceniami odnoลnie dziaลaล mitygujฤ cych na przyszลoลฤ oraz propozycji szkoleniowych. Zazwyczaj te same firmy mogฤ teลผ przeprowadziฤ owe szkolenia. Naleลผy rรณwnieลผ pamiฤta, ลผe dziaลania socjotechniczne mogฤ byฤ stosowane zarรณwno zdalnie jak i fizycznie na miejscu. Naleลผy rozpozanฤ swoje potrzeby przed przeprowadzeniem takiego testu, a najlepiej zweryfikowaฤ obydwie warstwy. Czฤsto moลผe byฤ bowiem tak, ลผe pracownicy mogฤ byฤ ลwiadomi zagroลผeล w sieci, ale mieฤ problem z rozpoznaniem zagroลผeล fizycznie w miejscu pracy. Naturalnie moลผliwa jest rรณwnieลผ sytuacja odwrotna.
Techniki czฤsto stosowane w trakcie takich testรณw obejmujฤ metody takie jak:
phishing
baiting
link scam
pretexting
odgrywanie rรณl
brute force
Wykorzystujฤ c przy tym nastepujฤ ce kanaลy komunikacji:
poczty elektronicznej
mediรณw spoลecznoลciowych
rozmรณw telefonicznych
fizycznych noลnikรณw danych
bezpoลrednich rozmรณw
Podsumowujฤ c testy socjotechniczne pozwalajฤ zweryfikowaฤ sลabe strony protokoลรณw bezpieczeลstwa po stronie ludzkiej, ktรณra w praktycznym ujฤciu jest tฤ najbardziej podatnฤ na atak. Moลผliwoลฤ wykonania takiego testu oferujฤ liczne przedsiฤbiorstwa z branลผy, ktรณre w ramach testu przeprowadzฤ symulacjฤ realnego zagroลผenia w uzgodnieniu ze zleceniodawcฤ oraz sporzฤ dzฤ raport z zaleceniami wzglฤdem uzyskanych wynikรณw.
Testy socjologiczne i zwiฤ zane z nimi szkolenia majฤ na celu podniesienie ลwiadomoลci pracownikรณw w temacie bezpieczeลstwa IT, wzmocnienie odpornoลci na ataki z wykorzystaniem socjotechniki, ocenฤ podatnoลci na ataki, rozpoznanie metod socjotechnicznych, na ktรณre zespoล moลผe byฤ podatny, odnalezienie sลabych punktรณw w komunikacji oraz bลฤdnych procedur i protokoลรณw bezpieczeลstwa
Ataki DDoS
Czym jest atak?
Atak sieciowy jest prรณbฤ wtargniฤcia do systemu operacyjnego komputera poลoลผonego w lokalizacji niedostฤpnej fizycznie, czyli przy pomocy dostฤpu zdalnego. Cyberprzestฤpcy dokonujฤ prรณb takich atakรณw celem przejฤcia kontroli nad systemem, przejฤcia wraลผliwych lub kluczowych danych czy zablokowania funkcjonowania systemu. Pojฤcie ataku sieciowego moลผe byฤ stosowane w ramach szkodliwej aktywnoลci cyberprzestฤpcรณw, jak skanowanie portรณw czy ataki brute force, czy aktywnoลci zลoลliwego oprogramowania, ktรณre na przykลad przesyลa dane do hakerรณw.
Wลrรณd atakรณw sieciowych moลผna wyszczegรณlniฤ nastฤpujฤ ce rodzaje:
Skanowanie portรณw,
Ataki DoS,
Wลamania sieciowe.
Atak DDoS
DDoS jest to rodzaj ataku sieciowego polegajฤ cy na uniemoลผliwieniu dziaลania systemu. Taki rodzaj ataku czyni system niestabilnym lub wrฤcz caลkowicie niesprawnym. DDoS jest odmianฤ ataku DoS. DoS z angielskiego oznacza โDenial of Serviceโ, a DDoS โ โDistributed Denial of Serviceโ. Przekลada siฤ to w znaczeniu na to, ลผe atak DoS przeprowadzany jest z pojedynczego urzฤ dzenia, a DDoS jest skoordynowanym atakiem z wielu komputerรณw. Atak DDoS ma swoje 2 rodzaje:
Atak wolumetryczny - polega na masowej wysyลce niechcianych danych na wskazany adres IP; iloลฤ napลywajฤ cych danych jest tak duลผa, ลผe ลฤ cze internetowe nie jest w stanie przyjฤ ฤ tych wszystkich danych,
atak aplikacyjny โ polega na wyczerpaniu zasobรณw informatycznych aplikacji internetowej, np. mocy obliczeniowej lub pamiฤci; czasami ataki tego typu nazywane sฤ atakami typu slow.
Atak wolumetryczny moลผna w duลผym uproszczeniu przyrรณwnaฤ do przeciฤ ลผenia przepustowoลci sieci, a aplikacyjny do przeciฤ ลผenia zdolnoลci procesowej, tyle ลผe wykonanych celowo.
Gลรณwnymi celami ataku DDoS mogฤ byฤ caลe ลฤ cze internetowe, Firewall, IPS/IDS (systemy wykrywania intruzรณw), ADC (systemy rรณwnomiernego rozkลadania obciฤ ลผenia), lub serwery. Sฤ to co wiฤcej najczฤลciej realizowane sieciowe ataki, ktรณre potrafiฤ trwaฤ od 1 godziny do nawet 1 miesiฤ ca.
Jak broniฤ siฤ przed DDoS?
Jednym z wariantรณw ochrony przed tego typu atakiem jest ลฤ cze internetowe z ochronฤ DDoS. Operowane jest ono przez operatorรณw ISP. Nie jest to najskuteczniejsza forma ochrony, jednak zdecydowanie lepsza niลผ jej brak. Rozwiฤ zanie to jest zazwyczaj pรณลautomatyczne โ oznacza to, ลผe system automatycznie wykryje anomalie w ruchu sieciowym, jednak trzeba rฤcznie ten ruch przekierowaฤ do szczegรณลowej analizy i mitygacji ataku.
Skuteczniejszym rozwiฤ zaniem jest zastosowanie tak zwanego Scrubbing Center. Scrubbing Center to specjalnie zbudowane centrum analizy ruchu IP, w ktรณrym nastฤpuje peลen monitoring pakietรณw danych, analiza anomalii w ruchu oraz mitygacja wykrytych atakรณw DDoS lub prรณb wลamania.
Jeszcze innฤ formฤ zabezpieczenia jest WAF โ Web Application Firewall. Jest to system ochrony aplikacji internetowej. Rolฤ tego systemu jest monitorowanie zachowaล uลผytkownikรณw korzystajฤ cych z aplikacji sieciowej w czasie rzeczywistym i reagowanie na jakiekolwiek prรณby destabilizacji samej aplikacji lub prรณby pokonania jej zabezpieczeล.
Podsumowujฤ c, ataki typu DDoS to najczฤลciej realizowane ataki sieciowe na ลwiecie, odpowiadajฤ ce za okoลo 25%-45% wszystkich atakรณw ลฤ cznie (w zaleลผnoลci od zestawianych typรณw ataku โ jednak niezaleลผnie od tego DDoS jest zawsze najczฤลciej stosowanym). Co wiฤcej dla hakerรณw sฤ to jedne z ลatwiejszych do zrealizowania atakรณw. Jedynym prawdziwym kosztem w przygotowaniu takiego ataku jest praca, zaล koszty poniesione przez przedsiฤbiorstwo mogฤ byฤ zdecydowanie wyลผsze, poczynajฤ c od utraconej w tym czasie sprzedaลผy po osลabionฤ renomฤ i wizerunek. Dlatego tak waลผna jest ลwiadomoลฤ istnienia zagroลผenia oraz wiedza w zakresie zabezpieczenia siฤ przed potencjalnym ryzykiem.
Trend i bezpieczeลstwo rozwiฤ zaล chmurowych
Czym sฤ chmury?
Definicja chmury moลผe byฤ stosunkowo niejasna, jednak zasadniczo jest to globalna sieฤ serwerรณw, z ktรณrych kaลผdy peลni osobnฤ funkcjฤ. Serwery pomimo bycia rozลoลผonych na caลym ลwiecie sฤ ze sobฤ poลฤ czone, tworzฤ c wspรณlnie jeden ekosystem. W ramach swoich funkcji zajmujฤ siฤ one przechowywaniem informacji, zezwalajฤ na zarzฤ dzanie tymi danymi, obsลugujฤ aplikacje, dostarczajฤ usลugi takie jak strumieniowe przesyลanie wideo, zdalne oprogramowanie biurowe, czy poczta e-mail. Chmury dajฤ wiฤc moลผliwoลฤ zdalnego dostฤpu do swoich plikรณw, aplikacji czy innego typu usลug bez wykorzystania zasobรณw lokalnych urzฤ dzenia.
Istnieje kilka rodzajรณw chmur. Chmura publiczna udostฤpnia zasoby publicznie przez sieฤ Internet. Chmura prywatna jest rozwiฤ zaniem hostowym w sposรณb lokalny w ramach sieci wewnฤtrznej danego podmiotu. Chmura hybrydowa udostฤpnia usลugi w sposรณb zarรณwno prywatny, jak i publiczny zaleลผnie od przeznaczenia.
Korzyลci wykorzystywania rozwiฤ zaล chmurowych:
Dostฤp zdalny w dowolnej chwili,
Wysoka wydajnoลฤ,
Bezpieczeลstwo,
Zdolnoลฤ do zaawansowanej analityki,
Oszczฤdnoลฤ kosztรณw.
Wyzwania przy korzystaniu z rozwiฤ zaล chmurowych:
Ograniczenia regulacyjne zwiฤ zane z ochronฤ danych osobowych,
Automatyczne aktualizacje (nie ma wpลywu na wersjฤ wykorzystywanego narzฤdzia, wiฤc wprowadzane zmiany niezaleลผnie czy siฤ podobajฤ , czy teลผ nie, muszฤ zostaฤ zaakceptowane),
Peลna zaleลผnoลฤ od sieci Internet,
Odpowiedzialnoลฤ pracownikรณw odnoลnie wลaลciwego wykorzystywania mocy obliczeniowej chmur,
Ograniczenia we wspรณลpracy z klientami (niektรณre umowy uniemoลผliwiajฤ wykorzystywanie takich rozwiฤ zaล).
Trendy i bezpieczeลstwo
Rozwiฤ zania chmurowe sฤ krytycznym elementem cyfrowego ลrodowiska w wiฤkszoลci firm, a czฤsto takลผe kluczowym czynnikiem umoลผliwiajฤ cym osiฤ gniฤcie sukcesu. Raport โ2021 Cloud Security Raportโ wskazuje, ลผe w chmurze ponad poลowฤ swoich zadaล obliczeniowych wykonuje 33% firm, a liczba ta wzroลnie do 56% w ciฤ gu najbliลผszego roku. ลwiadczy to o tym jak silnie ลrodowisko cyfrowe podmiotรณw gospodarczych zmierza ku rozwiฤ zaniom chmurowym. Majฤ c na uwadze rosnฤ cฤ liczbฤ ลบrรณdeล potencjalnych atakรณw, bezpieczeลstwo pozostaje przedmiotem uwagi. Jak twierdzi okoลo 67% specjalistรณw wypowiadajฤ cych siฤ w raporcie gลรณwnym, zagroลผeniem nie sฤ bezpoลrednie ataki cyberprzestฤpcรณw, a bลฤdy popeลnione w trakcie konfiguracji narzฤdzi ochronnych. Co wiฤcej, ponad 70% podmiotรณw korzysta z usลug wielochmurowych, od rรณลผnych dostawcรณw. Tworzy to problem konfiguracyjny i administracyjny tak, aby zachowaฤ spรณjnฤ politykฤ bezpieczeลstwa wspรณlnฤ dla rรณลผnych rozwiฤ zaล. Prawie 80% badanych specjalistรณw uznaลoby za pomocne istnienie pojedynczej platformy zabezpieczajฤ cej zasoby chmurowe, zapewniajฤ cej dla nich wspรณlny pulpit administracyjny, gdyby takowa istniaลa. Jak siฤ okazuje najwiฤksza odpowiedzialnoลฤ za bezpieczeลstwo w przypadku usลug chmurowych spoczywa na ich uลผytkowniku, a nie dostawcy. Dostawcy bowiem zapewniajฤ zazwyczaj wszelkie moลผliwe narzฤdzia sลuลผฤ ce zabezpieczeniu chmury. Cyberprzestฤpcy rzadko majฤ na celu atak na konkretne przedsiฤbiorstwo, ataki sฤ bardziej losowe i skuteczne w przypadku podmiotรณw, ktรณre jak wskazano wczeลniej, popeลniลy bลฤdy w procesie konfiguracji zabezpieczeล lub zawiodลy w informatycznej higienie. Do podstawowych zasad ochrony ze strony uลผytkownika naleลผฤ kluczowo: jego wiedza i odpowiedzialnoลฤ, stosowanie odpowiedniej kontroli dostฤpu, szyfrowanie danych, wลaลciwa ochrona danych logowania i zabezpieczenia wieloetapowe.
Chmury sฤ przyszลoลciฤ ลrodowisk informatycznych. Nie odsuwajฤ jednak w peลni wagi wdroลผeล lokalnych, ktรณre dalej odpowiadajฤ za okoลo 1/3 wdroลผeล w przedsiฤbiorstwach. Wraz z rozwojem wdroลผeล chmurowych wymagane jest zwiฤkszenie ลwiadomoลci uลผytkownikรณw w zakresie wลaลciwego zabezpieczenia siebie w sieci, tak by mรณc w peลni korzystaฤ z zalet tego typu rozwiฤ zaล.
Bezpieczne smartfony
Bezpieczeลstwo urzฤ dzeล mobilnych i statystyki:
W dobie urzฤ dzeล mobilnych kluczowym jest zadbanie o poprawne procedury bezpieczeลstwa w zwiฤ zku z korzystaniem z nich. Z raportu โDigital 2021โ, 66,6% populacji caลego ลwiata korzysta z urzฤ dzeล mobilnych, a okoลo 76% z nich, to uลผytkownicy smartfonรณw. W Polsce ta statystyka jest zbliลผona. Liczba tych uลผytkownikรณw stale wzrasta. Wedลug statystyki ponad poลowa transakcji zawieranych online, jest realizowana przy pomocy urzฤ zdeล mobilnych. Co wiฤcej 98,8% uลผytkonikรณw mediรณw spoลecznoลciowych korzysta z nich rรณwnieลผ na smartfonach. Udziaล wszystkich internautรณw mobilnych stanowi 92,6% w ogรณlnej liczbie internautรณw. W dodatku, ponad poลowa ruchu generowanego w sieci Internet pochodzi ze smartfonรณw. Na podstawie tych statystk ลatwo stwierdziฤ, ลผe urzฤ dzenia mobilne odgrywajฤ kolosalnฤ rolฤ w naszym bezpieczeลstwie cyfrowym ze wzglฤdu na czestotliwoลฤ ich wykorzystywania oraz dane, ktรณre zazwyczaj sฤ na nich przechowywane.
Jak korzystaฤ bezpiecznie?
Dziaลania podejmowane w celu poprawy bezpieczeลstwa majฤ rรณลผnoraki charakter. Niektรณre polegajฤ na wprowadzeniu odpowiednich procedur i zabezpieczeล, jednak wiele z nich polega na odpowiednich nawykach uลผytkownika i jego ลwiadomoลci.
Ustaw blokadฤ ekranu โ dostฤpnych jest wiele moลผliwoลci w tym zakresie poczฤ wszy od kodรณw PIN czy symboli graficznych po bardziej zaawansowane rozwiฤ zania biometryczne dostฤpnych w konkretnych urzฤ dzeniach. Wybรณr naleลผy do uลผytkownika. W przypadku wykorzystania zabezpieczeล biometrycznych naleลผy jednak pamiฤtaฤ, ลผe nigdy nie wiadomo, dokฤ d nasze dane biometryczne dotrฤ , gdzie i przez kogo bฤdฤ przechowywane. Dlatego dla osรณb ceniฤ cych sobie tego rodzaju prywatnoลฤ dalej pozostaje moลผliwoลฤ wykorzystania nieco ลatwiejszych do zลamania zabezpieczeล, ale dalej sprawnych i nienaruszajฤ cych prywatnoลci,
Nie zezwalaj na wyลwietlanie wiadomoลci SMS, maili, czy innych tego typu powiadomieล bez odblokowania ekranu urzฤ dzenia โ ustawienie tego typu powinno byฤ dostฤpne z poziomu systemu urzฤ dzenia,
Zawsze korzystaj z poลฤ czenia z sieciฤ oraz lokalizacji โ rozwiฤ zanie moลผe nieco zmiejszyฤ wygodฤ uลผytkowania ze wzglฤdu na szybsze zuลผycie baterii urzฤ dzenia, jednak w przypadku zgubienia lub kradzieลผy pozwala na zlokalizowanie swojego urzฤ dzenia,
Uaktywnij ลledzenie urzฤ dzenia u operatora โ dodatkowe zabezpieczenie podobne do wymienionego powyลผej,
Kontroluj przyznawanie uprawnieล aplikacjom โ po zainstalowaniu aplikacje mogฤ prosiฤ o konkretne uprawnienia, jak na przykลad do wykorzystania aparatu, pamiฤci urzฤ dzenia, czy nawet kontaktรณw i wiadomoลci SMS. Celem zachowania prywatnoลci nie zaleca siฤ udostฤpniania kontaktรณw, ani wiadomoลci SMS. Aplikacje zazwyczaj proszฤ o to w celu zautomatyzowania procesu swojego dziaลania, ale wszystko moลผna zrealizowaฤ rฤcznie bez dawania tego dostฤpu rezygnujฤ c z lenistwa na rzecz prywatnoลci i bezpieczeลstwa,
Instaluj jedynie zweryfikowane aplikacje โ podobnie jak na urzฤ dzeniach desktopowych naleลผy zawsze bacznie przyglฤ daฤ siฤ pochodzeniu aplikacji, najlepiej pobierajฤ c je jedynie z zaufanego sklepu zaleลผnego od dostawcy urzฤ dzenia,
Wyrรณb nawyk zgrywania zdjฤc, filmรณw i dokumentรณw z urzฤ dzenia mobilnego na prywatny komputer lub dysk zewnฤtrzny โ pozwala to na zaoszczฤdzenie przestrzeni na telefonie oraz ograniczenie naruszenia prywatnoลci w przypadku utraty urzฤ dzenia lub wykradania z niego danych,
W przypadku urzฤ dzeล sลuลผbowych rozwaลผ zaszyfrownie danych โ rozwiฤ zanie to moลผe byฤ niekorzyste w przypadku awarii urzฤ dzenia, gdyลผ dane sฤ wtenczas nie do odzyskania, jednak w przypadku sprawnego dziaลania, sฤ duลผo bezpieczniejsze,
Nie przeglฤ daj podejrzanych stron โ tak samo jak na wszlekich innych urzฤ dzeniach naleลผy zachowaฤ ostroลผnoลc w przypadku przeglฤ dania sieci, gdyลผ niektรณre strony mogฤ byฤ zawirusowane, mogฤ wyลudzaฤ informacje lub byฤ innym rodzajem oszustwa i zagroลผenia,
Do poลฤ czenia z Internetem wykorzystuj jedynie prywatne poลaczenie komรณrkowe lub sieci domowe โ wykorzystywanie publicznych sieci Wi-Fi naraลผa na podลฤ czenie siฤ do sieci, w ktรณrej praktycznie kaลผdy uลผytkownik moลผe ลledziฤ nasz ruch w sieci, czy naraลผa teลผ na wลamanie do urzฤ dzenia. Rozwiฤ zaniem, ktรณre moลผe byฤ mitygujฤ ce to ryzyko jest wykorzystanie VPN,
Nie udostฤpniaj swojego numeru telefonu publicznie i zwarzaj jakim podmiotom go udostฤpniasz.
Urzฤ dzenia mobilne to wpaniaลy kawaลek technologii uลatwiajฤ cy nam ลผycie na co dzieล i pozwalajฤ cy na realizowanie licznych zadaล z dowolnego miejsca. Zapewniajฤ peลnฤ mobilnoลฤ i elastycznoลc dziฤki swoim rozmiarom, a funkcjonalnoลciฤ w pewnym stopniu mogฤ zastฤ piฤ komputer. Smartfony posiadajฤ coraz wiฤcej funkcji i pozwalajฤ na coraz wiฤcej rozwiฤ zaล wraz z rozwojem technologii. Naleลผy jednak pamiฤtaฤ, ลผe sฤ rรณwnieลผ zbiorem kolosalnych danych o nas oraz przechowujฤ wiele informacji wraลผliwych. Wraz z rozwojem fintech, smartfony staลy siฤ zastฤpstwem dla kart pลatniczych i innych rozwiฤ zaล finansowych. Sฤ zsynchronizowane z licznymi bazami danych, skrzynkami pocztowymi, czy mediami spoลecznoลciowymi. Wszystkie wymienione elementy zawierajฤ w sobie informacje wraลผliwe i wymagajฤ wysokiego priorytetu ochorny.
Bezpieczna praca zdalna
Praca zdalna
W dobie pandemii praca zdalna zyskaลa na wartoลci i wadze jak nigdy dotฤ d. Wykorzystujฤ c wspรณลczesne formy komunikacji umoลผliwia ona realizowanie czynnoลci zawodowych z dowolnego miejsca na ลwiecie. Ta forma pracy moลผe przynosiฤ korzyลci zarรณwno pracownikom jak i pracodawcom, jednak niesie ze sobฤ rรณwnieลผ dodatkowe zagroลผenia cybernetyczne. Kluczem do dobrej i bezpiecznej pracy zdalnej jest odpowiednie przygotowanie miejsca pracy.
Porady dla domowego biura:
Zabezpieczaฤ swรณj router domowy poprzez zmianฤ domyลlnego hasลa oraz nazwy sieci,
Wyposaลผyฤ siฤ w zaลlepkฤ na kamerฤ i pamiฤtaฤ o zasลanianiu jej zawsze kiedy nie jest wymagany jej uลผytek,
Odchodzฤ c od miejsca pracy zawsze blokowaฤ ekran lub wylogowaฤ siฤ ze swojego profilu uลผytkownika systemu operacyjnego,
Nie udostฤpniaฤ sprzฤtu roboczego,
Szyfrowaฤ dane,
Nie udostฤpniaฤ swoich pamiฤci zewnฤtrznych.
Porady bezpieczeลstwa dla pracownika:
Pamiฤtaฤ o rozdzielaniu czasu pracy od czasu wolnego,
Zachowaฤ ostroลผnoลฤ korzystajฤ c z wลasnego sprzฤtu,
Czujnie korzystaฤ z sieci,
Wykorzystywaฤ jedynie zaufane sieci do poลฤ czenia zdalnego ,
Zgลaszaฤ problemy,
Unikaฤ udostฤpniania danych osobowych.
Porady bezpieczeลstwa dla pracodawcy:
Ustaliฤ zasady i procedury pracy zdalnej,
Zabezpieczyฤ sprzฤt firmowy,
Aktualizowaฤ na bieลผฤ co systemy operacyjne i aplikacje,
Zabezpieczyฤ kanaลy komunikacji wewnฤtrznej,
Monitorowaฤ stan bezpieczeลstwa w firmie,
Prowadziฤ audyty bezpieczeลstwa,
Uลwiadamiaฤ pracownikรณw o zagroลผeniach zwiฤ zanych z pracฤ zdalnฤ .
Wyลผej wymienione praktyki sฤ dobrym poczฤ tkiem w ramach przygotowania siebie, swojego sprzฤtu i miejsca pracy do pracy zdalnej. Nie sฤ to jednak wszystkie rzeczy, na ktรณre naleลผy zwracaฤ uwagฤ. W trakcie pracy mogฤ pojawiaฤ siฤ standardowe zagroลผenia wystฤpujฤ ce w sieci, jak phishing (wyลudzanie danych), oszustwa sieciowe, czy e-mailowe. Naleลผy aktywnie podchodziฤ do swojego bezpieczeลstwa. Naleลผy sprawdzaฤ adresy domen, adresy email przychodzฤ cej korespondencji, konsultowaฤ niepewnoลci.
Kluczowe rรณwnieลผ jest zabezpieczenie sieci. Poza wspomnianym zabezpieczeniem routera, moลผna wykorzystaฤ teลผ jego dodatkowe ustawienia konfiguracyjne, celem poprawienia bezpieczeลstwa swojej sieci. Do takich ustawieล mogฤ naleลผeฤ:
Wลฤ czony WPS,
Wyลฤ czony UPnP,
Wyลฤ czony dostฤp zdalny.
W zwiฤ zku z sieciฤ naleลผy rรณwnieลผ pamiฤtaฤ o moลผliwoลci wykorzystywania VPN, co moลผe mieฤ silny, pozytywny wpลyw na bezpieczeลstwo poลฤ czenia z sieciฤ .
Cyberbezpieczeลstwo caลy czas byลo bardzo waลผnym aspektem wspรณลczesnej pracy, jednak nabiera ono caลkowicie nowego znaczenia wraz z rozpowszechnieniem pracy zdalnej. Odpowiedzialnoลฤ rozciฤ ga siฤ na duลผo szerszy zakres osรณb, dlatego teลผ kluczowym jest uลwiadomienie sobie tej odpowiedzialnoลci i prawidลowe edukowanie siฤ w tej dziedzinie.
Bezpieczeลstwo w mediach spoลecznoลciowych
Media i bezpieczeลstwo
Media spoลecznoลciowe staลy siฤ nierozrywalnฤ z codziennoลciฤ rzeczywistoลciฤ , ktรณra przejawia siฤ na dowolnych poziomach ลผycia, niezaleลผnie od tego czy mowa o zastosowaniu zawodowym czy czysto uลผytkowym. Okoลo 51% populacji ลwiata korzysta z social mediรณw. Jest to niebagatelizowalna iloลฤ, wลrรณd ktรณrej wielu z nas siฤ znajduje, dlatego teลผ powinniลmy dbaฤ o swoje bezpieczeลstwo oraz prywatnoลฤ.
Porady zachowania prywatnoลci:
Przy zakลadaniu konta:
Naleลผy zapoznaฤ siฤ z politykฤ prywatnoลci i sposobem przetwarzania danych oraz czasem ich przechowywania
Przemyลleฤ kwestiฤ uลผywania swojego realnego imienia i nazwiska
Pomijaฤ wszelkie opcjonalne pytania i pola podania informacji, ktรณre sฤ zbฤdne
Staraฤ siฤ nie podawaฤ numeru telefonu
Przemyลleฤ zastosowanie innego adresu e-mail niลผ stosowanego na co dzieล
Zastosowaฤ silne hasลo
Wprowadziฤ uwierzytelnianie dwupoziomowe
Podczas korzystania z platform:
Rozwaลผyฤ zainastalowanie rozszerzenia do przeglฤ darki, ktรณre blokuje ลledzenie informacji o uลผytkowniku
Zablokowaฤ pliki cookie innych firm
Zastosowaฤ powiadomienia e-mail lub push odnoลnie bezpieczeลstwa konta
Regularnie sprawdzaฤ profile obserwowane
Obserwowaฤ i dodawaฤ do znajomych jedynie sprawdzone i zaufane profile
Wyลฤ czyฤ udostฤpnianie danych o lokalizacji oraz nie podawaฤ takich informacji samodzielnie
Udostฤpniajฤ c treลci naleลผy dbaฤ o prywatnoลฤ innych oraz odpowiedzialnie dobieraฤ treลci
Omijaฤ wiadomoลci od nieznanych profili
Zachowaฤ ostroลผnoลฤ klikajฤ c w reklamy i zaลฤ czone linki
Traktowaฤ kaลผdฤ udostฤpnianฤ informacjฤ jako publicznฤ โ warto przemyลleฤ swojฤ publikacjฤ 2 razy
W miejscach publicznych unikaฤ korzystania z publicznych sieci Wi-Fi. Preferowanym rozwiฤ zaniem jest poลaczenie prywatne sieci komรณrkowej lub wykorzystanie VPN
Cyklicznie sprawdzaฤ, czy polityka prywatnoลci danego serwisu nie ulegลa zmianie
Zapoznawaฤ siฤ z ustawieniami grup, do ktรณrych siฤ doลฤ cza lub obecnie przynaleลผy
Cyklicznie robiฤ przeglฤ d aplikacji, ktรณre wykorzystujฤ dane konta
Regularnie sprawdzaฤ sesje logowania do profilu
W zastsosowaniu zawodowym:
Dbaฤ o prywatnoลc partenrรณw bieznesowych
Wdroลผyฤ system zarzฤ dzania bezpieczeลstwem informacji
Regularnie szkoliฤ pracownikรณw z zakresu ochrony danych osobowych
Konsultowaฤ publikowane treลci
Media spoลecznoลciowe sฤ wspaniaลym narzฤdziem dajฤ cym liczne moลผliwoลci kontaktu, reklamy, dzielenia swoich doลwiadczeล i wiedzy oraz miejscem nauki i rozrywki. Zawsze naleลผy jednak mieฤ na uwadze swoje i cudze bezpieczeลstwo w trakcie korzystania z tego rozwiฤ zania. Facebook szacuje, ลผe okoลo 5% kont na platformie jest sztucznych โ nienaleลผฤ cych do realnego uลผytkownika, nie przedstawiajฤ cych go. Takie konta mogฤ byฤ podstawฤ do dokonania cyberataku lub innego oszustwa. Dlatego wลaลnie naleลผy przestrzegaฤ dobrych praktyk.
MENU
Lokal uลผytkowany dziฤki wsparciu Miasta Stoลecznego Warszawy Zakลad Gospodarowania Nieruchomoลciami Warszawa ลrรณdmieลcie
ul. Piฤkna 31/37
00-677 Warszawa
tel. +48 512 196 378
biuro@klasterict.pl
KONTAKT
Do stworzenia strony wykorzystano kreator stron www WebWave
Czym jest Pen Testing
Czym jest Pen Testing?
Pen test, inaczej test penetracyjny, jest to dziaลanie polegajฤ ce na podwaลผeniu ลrodkรณw bezpieczeลstwa cybernetycznego danego podmiotu, poprzez prรณbฤ realnego obejลcia tych ลrodkรณw. Jest to etycznie poprawna praktyka sลuลผฤ ca bezpieczeลstwu firmy, realizowana przez tak zwanych etycznych hakerรณw (white-hat). Przeprowadzane testy sฤ unikalne i niepowtarzalne dla kaลผdego z przedsiฤbiorstw, rรณwnieลผ zaleลผnie od czasu ich przeprowadzenia i stanu oraz poziomu zabezpieczeล. Pen testy sฤ podzielone na 3 kategorie ze wzglฤdu na poziom posiadanej wiedzy przy ลamaniu zabezpieczeล:
Black Box โ to test z minimalnฤ wiedzฤ . Taki test stara siฤ odzwierciedliฤ realnฤ wiedzฤ potencjalnego wลamywacza. Zespรณล sprawdzajฤ cy moลผe w takim przypadku otrzymaฤ na przykลad jedynie adresy serwisu i nic wiฤcej.
Grey Box โ test poลredni miฤdzy white box a black box. Zespรณล roboczy otrzymuje podstawowe dane bez szczegรณลรณw na temat serwisu i przedsiฤbiorstwa.
White Box โ jest to jest z wykorzystaniem peลnej wiedzy a nawet dokumentacji technicznej i kodu ลบrรณdลowego czy konfiguracji urzฤ dzeล sieciowych.
Kaลผdy z wymienionych rodzajรณw testรณw posiada swoje wady i zalety, dlatego dostosowanie testu powinno podlegaฤ personalnej konfiguracji wzglฤdem potrzeb firmy. Przedsiฤbiorstwa wykonujฤ ce testy chฤtnie pomogฤ dobraฤ idealnฤ ofertฤ dla klienta.
Jakie korzyลci zapewnia Pen Testing?
Dziaลanie opisane powyลผej jest w pewnym ujฤciu usลugฤ doradczฤ . Po wykonaniu testu dokonywana jest analiza i przygotowany jest raport z mocnych i sลabych stron zastanego systemu zabezpieczeล i architektury cyfrowej.
Korzyลci z przeprowadzenia Pen testu:
Zidentyfikowanie mocnych i sลabych stron w zakresie cyberbezpieczeลstwa
Weryfikacja realnego bezpieczeลstwa obecnego systemu zabezpieczeล
Przeprowadzenie Pen testu zapewnia zgodnoลฤ firmy z GDPR (General Data Protection Regulation)
Moลผliwoลฤ oceny zdolnoลci firmy na poradzenie sobie z atakiem i sytuacjฤ kryzysowฤ
Ostrzeลผenie organizacji o potencjalnych punktach zagroลผenia
Poprawa strategii reakcji na atak oraz dziaลaล mitygujฤ cych
Cyberbezpieczeลstwo - Norma PN-ISO/IEC 27001
Czym jest system zarzฤ dzania PN-ISO/IEC 27001?
Norma PN-ISO/IEC 27001 jest to model systemu zarzฤ dzania bezpieczeลstwem informacji, ktรณry okreลla wymagania dla ustanowienia, wdroลผenia, eksploatacji, monitorowania, przeglฤ du, utrzymania i doskonalenia systemu. Zarzฤ dzanie bezpieczeลstwem informacji zwiฤ zane jest nie tylko z ochronฤ systemรณw informatycznych. Sลuลผy takลผe zapewnieniu bezpieczeลstwa danych osobowych, informacji handlowych oraz innych informacji stanowiฤ cych tajemnicฤ przedsiฤbiorstwa. Naleลผy rรณwnieลผ pamiฤtaฤ, ลผe ochrona przed utratฤ danych to prawny obowiฤ zek wszystkich podmiotรณw prowadzฤ cych dziaลalnoลฤ gospodarczฤ .
Korzyลci wynikajฤ ce z wdroลผenia normy PN-ISO/IEC 27001:
Wzrost ลwiadomoลci pracownikรณw
Zachowanie poufnoลci i integralnoลci posiadanych informacji
Zwiฤkszenie zaufania klientรณw
Nadzรณr nad procesami przetwarzania informacji
Speลnienie wymagaล prawnych
Lepsza identyfikacja zagroลผeล
Proces certyfikacji:
Proces certyfikacji nie jest bardzo skomplikowany. Wraz z podjฤciem decyzji o chฤci uzyskania takiego certyfikatu, naleลผy skierowaฤ zapytanie o ofertฤ na proces certyfikacji do akredytowanych podmiotรณw ลwiadczฤ cych takฤ usลugฤ. Po zawarciu umowy z podmiotem zostaje przeprowadzony audyt, ktรณrego produktem koลcowym bฤdzie raport. W przypadku wykrycia niezgodnoลci z normฤ w trakcie przeprowadzonego audytu, organizacja musi skorygowaฤ te niezgodnoลci celem wtรณrnej weryfikacji do momentu uzyskania oceny pozytywnej. Kolejnym krokiem jest weryfikacja raportu z audytu, a wraz z niฤ decyzja o przyznaniu certyfikatu. Na ostatnim etapie procesu nastฤpuje rozliczenie finansowe usลugi oraz wydanie certyfikatu.
Dziaลania korygujฤ ce mogฤ polegaฤ na:
Dodatkowych wdroลผeniach
Przeprowadzeniu niezbฤdnych zmian i szkoleล
VPN โ bezpieczne poลฤ czenie
Czym jest i jak dziaลa VPN?
VPN (Virtual Private Network) oznacza w bezpoลrednim tลumaczeniu wirtualnฤ sieฤ prywatnฤ . VPN moลผna przyrรณwnaฤ do tunelu, bฤdฤ cego bezpoลrednim poลฤ czeniem klienta z usลugฤ . W przypadku tradycyjnego korzystania z Internetu (bez VPN), uลผytkownik ลฤ czy siฤ z serwerem dostawcy swoich usลug i stamtฤ d zostaje przenoszony w kolejne lokalizacje w sieci. Korzystanie z VPN ogranicza iloลฤ serwerรณw, z ktรณrych korzysta uลผytkownik w trakcie poruszania siฤ po sieci. W przypadku VPN, uลผytkownik komunikuje siฤ z dostawcฤ , a dostawca z serwerem VPN i tu ruch siฤ koลczy. Wczeลniejsze przyrรณwnanie do tunelu ma teลผ na celu przedstawiฤ pewnego rodzaju bezpieczeลstwo. A mianowicie zabezpieczenie przed obserwacjฤ ruchu i dziaลaล w sieci.
Jakie korzyลci zapewnia VPN?
VPN jest w skrรณcie zabezpieczeniem poลฤ czenia, do ktรณrego nikt nie moลผe zajrzeฤ i wykraลฤ wฤdrujฤ cych danych. W przypadku, kiedy zarzฤ dzamy sklepem internetowym, serwerem, bazami danych czy innymi poufnymi zasobami sieciowymi bardzo waลผne jest zachowanie peลnego bezpieczeลstwa tychลผe zasobรณw. W trosce o swojฤ reputacjฤ, informacje klientรณw, informacje poufne, wewnฤtrzne i wiele innych. Bardzo popularnym zastosowaniem VPN dla bezpieczeลstwa jest sytuacja, kiedy czฤsto korzystamy z sieci publicznych Wi-Fi, na przykลad w parkach, kawiarniach, lotniskach czy innych miejscach publicznych. Te sieci sฤ otwarte dla kaลผdego i ลatwo podglฤ daฤ w nich ruch, dlatego rozwiฤ zanie, jakim jest VPN jest idealne w takich sytuacjach, poniewaลผ tworzy ono โprzysลowiowy tunelโ, ktรณry daje uลผytkownikowi anonimowoลฤ.
Zalety VPN:
Prywatnoลฤ
Anonimowoลฤ
Bezpieczne poลฤ czenie
Zasลona przez hakerami
Dostฤp do zablokowanych zagranicznych treลci
Korzystanie z VPN
Rynek oferuje liczne moลผliwoลci w zakresie poลฤ czeล VPN. Dostawcรณw tego typu usลug jest bardzo duลผo i jest z czego wybieraฤ w zaleลผnoลci od swoich potrzeb. Dobrej jakoลci VPN jest usลugฤ pลatnฤ , ale kiedy chodzi o bezpieczeลstwo cena nie gra roli. Korzystanie z VPN jest bardzo proste, wystarczy zainstalowaฤ usลugฤ na swoich urzฤ dzeniach, a wลฤ czenie funkcji VPN to jedno klikniฤcie. Sลuลผy do tego w wiฤkszoลci przypadkรณw przeลฤ cznik typu wลฤ cz-wyลฤ cz. Uลผytkownik ma teลผ czฤsto do wyboru region serwera VPN, z ktรณrego moลผe korzystaฤ celem poprawy wydajnoลci lub dostฤpnoลci materiaลรณw zagranicznych.
Poradnik bezpieczeลstwa โ silne hasลo
Dlaczego potrzeba silnych haseล?
Coraz wiฤksza czฤลฤ danych prywatnych umiejscowiona jest w cyberprzestrzeni. Coraz mniej leลผy w fizycznym ลwiecie, a dane staลy siฤ niemalลผe walutฤ . Zagroลผenie jest realne. Nie mamy wpลywu na sytuacje takie jak wycieki danych z firm, ktรณre przechowujฤ nasze dane, jednak moลผemy siฤ zabezpieczyฤ przynajmniej przed atakami prywatnymi.
Czego unikaฤ tworzฤ c hasลo?
Przy tworzeniu silnego hasลa waลผne jest by nie stosowaฤ konkretnych, a w szczegรณlnoลci spopularyzowanych sลรณw lub znanych zwiฤ zanych z osobฤ informacji, jak imiฤ, nazwisko czy rok, miesiฤ c lub dzieล urodzenia.
Zalecenia przy tworzeniu silnego hasลa
Optymalnym rozwiฤ zaniem w przypadku silnego hasลa - jest hasลo, ktรณre zbudowane jest z losowego ciฤ gu alfanumerycznego przeplatanego ze znakami specjalnymi jak โAkjDbn6#w1jโ. Takie hasลo moลผe byฤ jednak ciฤลผkie do zapamiฤtania i podstawowym rozwiฤ zaniem tego problemu jest korzystanie z menedลผera haseล oferowanych na przykลad przez Google czy wiele inne firmy, ktรณre sลuลผฤ do zapamiฤtania hasลa skojarzonego z platformฤ i uลผytkownikiem. W takim przypadku naleลผy pamiฤtaฤ, ลผe korzystajฤ c z takich menedลผerรณw haseล naleลผy uลผywaฤ ich tylko i wyลฤ cznie na swoich urzฤ dzeniach prywatnych.
Podstawy dobrego hasลa:
Powinno zawieraฤ co najmniej 8 znakรณw, wลrรณd ktรณrych powinny znaleลบฤ siฤ:
Duลผe litery
Maลe litery
Cyfry
Znaki specjalne
Porady generowania hasลa:
Moลผna wykorzystaฤ gotowy generator haseล, wbudowany w przeglฤ darkฤ, jeลli takowa go posiada lub w zewnฤtrzny software
Prywatny schemat generowania haseล. Polega on na wykorzystaniu sลรณw, ktรณre sฤ ลatwe do zapamiฤtania oraz zastฤ pieniu w nim znakรณw tak by nie tworzyลy realnego sลowa. Dla przykลadu sลowo โpasswordโ moลผna zastฤ piฤ โP@55w0rDโ - co sprawi, ลผe jest ono zdecydowanie przystฤpniejsze do zapamiฤtania oraz speลnia wszelkie wyลผej wymienione wymogi bezpieczeลstwa.
Projekt pn. โinnLOGY โ wsparcie przedsiฤbiorstw o duลผym potencjale technologicznymโ realizowany w ramach projektu wspรณลfinansowanego ze ลrodkรณw Europejskiego Funduszu Rozwoju Regionalnego, Regionalnego Programu Operacyjnego Wojewรณdztwa Mazowieckiego na lata 2014-2020 nr RPMA.03.01.02-14-b657/18, pn. "Modelowanie Systemu Ofert Dla Innowacji", Oล Priorytetowa III Rozwรณj potencjaลu innowacyjnego i przedsiฤbiorczoลci, Dziaลanie 3.1 Poprawa rozwoju MลP na Mazowszu Poddziaลanie 3.1.2 Rozwรณj MลP.
Nowa strategia europejskiego bezpieczeลstwa cybernetycznego
W ubiegลym roku Komisja Europejska przedstawiลa nowฤ strategiฤ Unii Europejskiej dotyczฤ cฤ cyberbezpieczeลstwa. Celem strategii jest wzmocnienie zbiorowej odpornoลci Europy na zagroลผenia cybernetyczne oraz zapewnienie wszystkim obywatelom i przedsiฤbiorstwom moลผliwoลci peลnego korzystania z godnych zaufania, niezawodnych usลug oraz narzฤdzi cyfrowych.
Dlaczego nowa strategia?
Cyfrowa transformacja spoลeczeลstwa, zintensyfikowana kryzysem COVID-19, rozszerzyลa zagroลผenie i stworzyลa nowe wyzwania, ktรณre wymagajฤ dostosowanych i innowacyjnych rozwiฤ zaล. Liczba atakรณw cybernetycznych nieustannie roลnie, a coraz bardziej wyszukane ataki pochodzฤ z rรณลผnych ลบrรณdeล zarรณwno wewnฤ trz UE, jak i poza jej granicami.
Kluczowe elementy strategii
W strategii opisano, w jaki sposรณb UE moลผe wykorzystaฤ i wzmocniฤ wszystkie swoje narzฤdzia i zasoby, aby byฤ suwerennฤ technologicznie. Suwerennoลฤ technologiczna musi opieraฤ siฤ na odpornoลci wszystkich powiฤ zanych usลug i produktรณw.
Strategia obejmuje bezpieczeลstwo podstawowych usลug, ลwiadczonych przez szpitale, sieci energetyczne, koleje. Z drugiej strony, mamy do czynienia ze stale rosnฤ cฤ liczbฤ przyลฤ czonych urzฤ dzeล w naszych domach, biurach i fabrykach. Celem strategii jest budowanie zbiorowych moลผliwoลci reagowania na ataki cybernetyczne. Przedstawiono rรณwnieลผ plany wspรณลpracy z partnerami na caลym ลwiecie, w celu zapewnienia miฤdzynarodowego bezpieczeลstwa i stabilnoลci w cyberprzestrzeni. Ponadto, zaprezentowano sposรณb, w jaki UE moลผe zapewniฤ najskuteczniejszฤ reakcjฤ na zagroลผenia cybernetyczne przy wykorzystaniu wspรณlnych zasobรณw i wiedzy.
Cele strategii
Nowa strategia ma na celu stworzenie globalnego i otwartego internetu z silnymi zabezpieczeniami w przypadku zagroลผeล dla bezpieczeลstwa i praw obywateli w Europie. Majฤ c na uwadze dotychczasowe doลwiadczenia w tym obszarze, w strategii zawarto konkretne propozycje dotyczฤ ce wdroลผenia trzech gลรณwnych instrumentรณw. Te trzy instrumenty to inicjatywy regulacyjne, inwestycyjne i polityczne. Bฤdฤ one dotyczyฤ trzech obszarรณw dziaลaล UE:
UE jest zaangaลผowana we wspieranie strategii poprzez bezprecedensowy poziom inwestycji w transformacjฤ cyfrowฤ w ciฤ gu najbliลผszych siedmiu lat. Oznaczaลoby to czterokrotne zwiฤkszenie dotychczasowych inwestycji. Niniejsze dziaลania to dowรณd na zaangaลผowanie UE w nowฤ politykฤ technologicznฤ i przemysลowฤ oraz program naprawy gospodarczej.
Nowa strategia UE na rzecz bezpieczeลstwa cybernetycznego stanowi kluczowy element ksztaลtowania przyszลoลci cyfrowej Europy.
ลนrรณdลo: https://ec.europa.eu/digital-single-market/en/news/eus-cybersecurity-strategy-digital-decade
Data publikacji: 28.01.2021