Globalne koszty cyberprzestępczości będą rosły o 15% rocznie w ciągu najbliższych pięciu lat, osiągając do 2025 r. 10,5 bln USD rocznie, w porównaniu z 3 bln USD w 2015 r., przewiduje Cybersecurity Ventures.
Firmy w coraz większym stopniu wykorzystują możliwości, jakie daje Internet, narzędzia do zdalnej pracy i komunikacji czy te pozwalające na elektroniczny obieg dokumentów i przechowywanie danych w formie cyfrowej. A cyberprzestępcy nie śpią. Średnio nawet co 11 sekund może dochodzić do cyberataku.
Phishing, spoofing, ataki z użyciem szkodliwego oprogramowania, kradzież danych czy blokowanie dostępu do usług – to tylko niektóre z zagrożeń w cyberprzestrzeni, na które narażeni są nie tylko indywidualni użytkownicy, ale także przedsiębiorcy. A coraz więcej z nich – zwłaszcza od wybuchu pandemii COVID-19 – jest obecnych w sieci. Za jej pomocą łączy się z pracownikami i kontrahentami czy sprzedaje swoje produkty i usługi.
- Resort finansów ostrzega przed fałszywymi e-mailami, podpisanymi przez „Zespół viaTOLL”, które nakłaniają do płatności w ramach umowy w systemie viaTOLL i odsyłają do fałszywej strony www.
- Takie e-maile to próby wyłudzenia danych do logowania i danych autoryzacyjnych do bankowości, a ich celem jest kradzież pieniędzy z konta bankowego ofiary.
- Przypominamy, że świadczenie usługi viaTOLL zostało zakończone z końcem września 2021 r. Tym samym zakończono pobór płatności za przejazd drogami płatnymi za pośrednictwem viaTOLL.
- Uwaga na e-maile od osób, które podają się za administratora Portalu Podatkowego Ministerstwa Finansów (podatki.gov.pl).
- Oszuści informują o „pomyłkowej dezaktywacji konta” i nakłaniają do naprawienia pomyłki.
- Kliknięcie w link w takim e-mailu może spowodować zainfekowanie komputera szkodliwym oprogramowaniem.
Przykład fałszywej wiadomości:
„Zauważamy, że ostatnio przez pomyłkę zażądałeś dezaktywacji konta e-mail, jeśli wiesz, że nie złożyłeś tego wniosku, anuluj teraz tutaj: (Kliknij tutaj, aby anulować). Jeśli nie, Twój e-mail zostanie zablokowany w ciągu 48 godzin.”
Otwieranie linków w takich wiadomościach czy wysyłanie odpowiedzi do nadawcy jest niebezpieczne i może np. spowodować zainfekowanie komputera szkodliwym oprogramowaniem.
Inne próby oszustwa – przestępcy podszywają się pod urząd skarbowy i MF
Resort ostrzega przed trwającą kampanią phishingową. Przestępcy podszywają się pod urząd skarbowy lub Ministerstwo Finansów i rozsyłają szkodliwe oprogramowanie.
Rozsyłane wiadomości zawierają niebezpieczne załączniki i są zatytułowane „Zaległe płatności podatku” (pisownia oryginalna).
Przykład fałszywej wiadomości:
„Dobry dzień, Ma to na celu poinformowanie Cię o rozbieżności w Twojej ewidencji podatkowej. Odwiedź swój bank lub jakikolwiek urząd skarbowy w Twojej okolicy z załączonym ewidencją podatkową. W załączniku znajduje się dokumentacja podatkowa, zaległe płatności i numer referencyjny sprawy podatkowej. Dochód krajowy Administracja Rząd Polski.”
W przypadku otrzymania podejrzanego maila prosimy o niezwłoczny kontakt na adres incydent@mf.gov.pl.
Źródło: Ministerstwo Finansów
Po wielu miesiącach pracy zdalnej, coraz więcej osób wraca do biur. To dobry moment, by przypomnieć podstawowe zasady bezpiecznego korzystania z komputerów i innych urządzeń podłączonych do sieci w miejscu pracy. Stosujcie!
Jeśli myślicie, że cyberataki grożą tylko dużym, międzynarodowym i bogatym korporacjom – jesteście w błędzie. O cyberbezpieczeństwie powinien pamiętać każdy szef i pracownik – niezależnie od tego, ile osób pracuje w Waszej firmie i z jakiej jesteście branży. Nie wiecie jak się do tego zabrać? Podpowiadamy.
Na celowniku
64% przedsiębiorstw w Polsce w 2020 r. odnotowało przynajmniej jeden incydent polegający na naruszeniu bezpieczeństwa. To wzrost o 10% w porównaniu do roku 2019 r. (raport KPMG pt. „Barometr cyberbezpieczeństwa. COVID-19 przyspiesza cyfryzację firm”). Sami więc widzicie, że to problem dotykający naprawdę wiele firm.
Dbałość o bezpieczeństwo służbowego sprzętu to pierwszy i bardzo ważny krok w drodze do cyberodporności Waszej firmy. Od czego zacząć? Od urządzeń mobilnych, czyli służbowych komputerów i telefonów. Jeśli korzystasz z takiego sprzętu pamiętaj o:
- regularnych aktualizacjach,
- odinstalowaniu nieużywanych aplikacji,
- zabezpieczeniu urządzenia hasłem lub innym bezpiecznym rozwiązaniem (np. czytnik odcisku palca),
- przechowywaniu sprzętu w bezpiecznym miejscu,
- zaszyfrowaniu danych wrażliwych,
- upewnieniu się, że aktywne są funkcje umożliwiające zdalne zlokalizowanie i usunięcie zawartości urządzenia.
Służbowy sprzęt to jednak nie tylko laptopy i telefony. To także drukarki i kopiarki. Warto być świadomym, że te urządzenia to także komputery! Dlatego, jeśli masz taką możliwość:
- wybieraj urządzenia z funkcją szyfrowania i bezpiecznego usuwania danych,
- korzystaj z oferowanych przez urządzenie funkcjonalności w zakresie bezpieczeństwa,
- przed przekazaniem urządzenia do utylizacji – zabezpiecz/zniszcz bezpiecznie przechowywane na nim dane,
- zmień domyślne hasło i wyłącz możliwość bezpośredniego logowania do urządzenia z sieci zewnętrznych.
Małe, a ważne
Będąc przy sprzęcie warto jeszcze wspomnieć o gadżetach, z których nadal korzysta sporo osób – pendrive’ach i innych urządzeniach USB. Te niepozorne i niewielkie sprzęty mogą być bardzo niebezpieczne, oczywiście – jeśli nie zadbamy o to, żeby było inaczej. Oto jak to zrobić:
- przed użyciem, skanuj nośniki pod kątem wirusów i złośliwego oprogramowania,
- korzystaj wyłącznie z urządzeń USB dopuszczonych do użytku na terenie firmy,
- jeśli jesteś szefową/szefem – zadbaj o szkolenia pracowników na temat profilaktyki incydentów z użyciem urządzeń USB.
Na koniec jeszcze kilka ogólnych „sprzętowych” rad:
- chroń urządzenia przed niepowołanym dostępem – stosuj uwierzytelnienie wieloskładnikowe, wspomagające silne hasło i metody biometryczne, nigdy nie zostawiaj zalogowanego lub odblokowanego telefonu, komputera bez opieki,
- świadomie wybieraj aplikacje – korzystaj wyłącznie z oficjalnych sklepów, uważnie czytaj komunikaty – zwłaszcza te, które dotyczą przyznawania uprawnień dostępu do zasobów konta i urządzenia,
- uważaj na publiczne hot spoty Wi-Fi – jeśli część pracy wykonujesz poza siedzibą, nie korzystaj z nich do logowania się na ważne strony, szyfruj komunikację z serwerami pocztowymi i stosuj szyfrowanie połączeń – VPN. W podróży najlepiej korzystaj z własnego modemu komórkowego lub funkcji hot spot w telefonie komórkowym,
- dbaj o regularne aktualizacje – systemu operacyjnego, przeglądarki internetowej, pakietu antywirusowego i innych aplikacji, z których korzystasz.
Wartość danych
Wyposażenie firmy to nie tylko sprzęt. To także dane. I to właśnie one mają często większą wartość niż sprzęt, na którym są przechowywane. Utrata informacji o klientach, transakcjach, czy realizowanych projektach, może przysporzyć niemałych problemów. A ich odzyskanie – okazać się w najlepszym przypadku bardzo kosztowne, a w najgorszym – wręcz niemożliwe. Dlatego – rób kopie zapasowe, czyli backup. To nic innego jak kopie ważnych dla Ciebie informacji przechowywane w innym miejscu niż oryginał. Dzięki nim w przypadku utraty danych – na skutek ich przypadkowego usunięcia, uszkodzenia lub utraty sprzętu, czy zainfekowania złośliwym oprogramowaniem – bez trudu odzyskasz cenne dla Ciebie pliki. A kopiować możesz wszystko – od konkretnych, najważniejszych danych, po cały system operacyjny.
Jeśli chodzi o miejsce przechowywania kopii zapasowych – masz do wyboru dwie możliwości. Możesz postawić na nośnik fizyczny, np. dysk USB. To wygodne, bo w szybki sposób umożliwia kopiowanie dużych zasobów danych, ale – jak już wspominaliśmy – nie zawsze bezpieczne. Nośnik zewnętrzny, tak samo jak komputer, może ulec uszkodzeniu lub zainfekowaniu. Wówczas utracisz obydwie kopie ważnych dla Ciebie informacji.
Uzupełnieniem są usługi chmurowe, które umożliwiają przechowywanie dodatkowych kopii plików w środowisku zabezpieczonym przez dostawcę. Jak to działa? Najczęściej instalowana jest aplikacja, która automatycznie tworzy kopię zapasową plików – w oparciu o harmonogram lub po każdej modyfikacji. Co więcej, w przypadku zainfekowania złośliwym oprogramowaniem, typu ransomware (szyfrującym dane w celu wymuszenia okupu za odzyskanie dostępu), możesz przywrócić dane do stanu sprzed zdarzenia.
Czynnik ludzki
Najlepsze zabezpieczenia mogą nie pomóc, jeśli nie zadbamy o jeszcze jeden czynnik – ludzki. To od indywidualnych zachowań – Twojego i Twoich współpracowników – bardzo często zależy bezpieczeństwo infrastruktury teleinformatycznej w firmie.
Na celowniku hakerów regularnie znajduje się poczta elektroniczna. To dla wielu osób podstawowe narzędzie pracy. Wydaje Ci się, że doskonale wiesz, jak z niej korzystać? Sprawdź, czy dotyczy to również kwestii bezpieczeństwa i upewnij się, że Twoi współpracownicy także mają świadomość zagrożeń i tego, jak się przed nimi chronić.
– Wielokrotnie to nie zaawansowane rozwiązania informatyczne, ale uwaga pojedynczych pracowników może uchronić firmę przed skutkami cyberataku. Dlatego – uważajmy na wiadomości od niezidentyfikowanych nadawców, nie otwierajmy załączników nieznanego pochodzenia, nie klikajmy w linki do stron, których zawartości nie jesteśmy pewni. Cyberbezpieczeństwo firmy zależy od zaangażowania i odpowiedzialności każdego z pracowników – mówi Janusz Cieszyński, pełnomocnik rządu ds. cyberbezpieczeństwa.
Więcej informacji na temat tego, jak zapewnić bezpieczeństwo w cyberprzestrzeni, znajdziesz na portalu GOV.PL w zakładce Baza wiedzy. Korzystaj!
Źródło: Cyfryzacja KPRM
Być może nie wiecie, ale w tym tygodniu obchodziliśmy Dzień Dobrych Wiadomości. Rekordowa wygrana w loterii jest Twoja? A może – daleki krewny właśnie przepisał Ci swój liczony w milionach majątek? Nie daj się nabrać. Każda podejrzana wiadomość, którą dostajesz – to może być phishing.
Zaintrygowanie, krótki impuls, który podpowiada, żeby sprawdzić o co chodzi, kliknięcie w link… tyle wystarczy, żeby stać się ofiarą phishingu. Cyberprzestępcy to wiedzą – i korzystają. Jak się nie dać?
Różne sposoby
Zacznijmy od krótkiego wyjaśnienia, czym jest phishing. To jeden z najpopularniejszych typów ataków opartych o wiadomości e-mail lub SMS, a coraz częściej także – te przesyłane w mediach społecznościowych. Ta metoda ma sprawić, żebyśmy podjęli działania zgodne z zamierzeniami cyberprzestępców, mówiąc inaczej – złapali się na rzuconą przynętę (stąd skojarzenie ze słowem fishing – ang. łowienie ryb).
To dlatego kusi rzekomymi niepowtarzalnymi ofertami, sensacyjnymi nagłówkami, dosłownym lub przysłowiowym „zwycięskim losem” – wywołuje poczucie, że jesteśmy szczęśliwcami. W rzeczywistości jest zupełnie odwrotnie.
Jaki jest cel phishingu?
To np. wyłudzenie naszych danych do logowania do kont bankowych lub w mediach społecznościowych. Jak możecie się domyślać – stąd już tylko krok do poważnych problemów. Wykorzystując nasze dane cyberprzestępcy mogą przejąć pieniądze z naszych kont bankowych, czy też zaciągnąć pożyczkę podszywając się pod nas. Mogą też wykorzystać nasze konta w mediach społecznościowych do złapania kolejnych ofiar. Dlatego – nie dajcie się „złowić”.
Na chłodno
Najważniejsza zasada – nigdy nie klikaj w podejrzane linki lub takie, które pochodzą od nieznanych nadawców. Zwracaj uwagę na nazwy stron internetowych, a także na treść wiadomości.
Cyberprzestępcy dbają o jak największą wiarygodność, ale zdarzają im się błędy i przejęzyczenia. Czasem może chodzić o literówkę, czy jedną przestawioną literę, innym razem o niepoprawną gramatykę, interpunkcję, pisownię, czy też brak polskich znaków np. „ą”, „ę” itd. Na co jeszcze warto zwrócić uwagę?
Oto kilka wskazówek:
- Sprawdź, czy e-mail na pewno jest adresowany do Ciebie (z imienia i nazwiska). Jeśli występujesz w roli np. „przyjaciela”, czy „zwycięzcy” – to podejrzane.
- Zweryfikuj oznakowania i ogólny wygląd wiadomości. Jeśli np. mail pochodzi z banku, powinny być w nim odpowiednie logotypy, stopki, itp. Masz wątpliwości? Zadzwoń do danej instytucji i zapytaj, czy jesteś adresatem takiej wiadomości.
- Dokładnie zweryfikuj adres, z którego przysłana została wiadomość. Często będzie się on zbliżony do prawdziwego adresu, ale szczegóły będą się różniły, np. znajdziesz w nim dodatkową cyfrę lub literę.
- Bądź podejrzliwy w stosunku do zwrotów: „kliknij natychmiast”, „odpowiedz w ciągu 24h” – i innych, które mają wymusić szybką reakcję.
Pamiętaj też, że banki i inne instytucje nigdy nie proszą o podanie hasła lub innych wrażliwych danych za pośrednictwem maila czy sms-a. W przypadku, gdy wiadomość zawiera prośby o takie informacje, najprawdopodobniej jest ona phishingiem. W każdej sytuacji zachowaj czujność – to Twoja przewaga.
Działaj – zgłoś
– Cyberprzestępcy stale tworzą nowe metody wyłudzania danych lub pieniędzy. Dlatego – postępujmy ostrożnie, weryfikujmy informacje, zastanówmy się kilka razy, zanim uznamy, że dana wiadomość nie budzi naszych zastrzeżeń. A jeśli mamy pewność, że jesteśmy świadkami przestępstwa, zgłaszajmy to – mówi minister Janusz Cieszyński, pełnomocnik rządu ds. cyberbezpieczeństwa.
A gdzie i jak można to zgłosić?
Wystarczy wejść na stronę https://incydent.cert.pl/ i wypełnić dostępny tam formularz. Tu możecie zgłosić stronę, która wyłudza dane osobowe, dane uwierzytelniające do kont bankowych lub serwisów społecznościowych. Warto to robić!
Źródło: Cyfryzacja KPRM
Internet to dziś naturalne środowisko dorastania. Jaka jest w nim Twoja rola? Co powinno Cię zaniepokoić? Jak rozpoznać, że Twoje dziecko ma problem – jest ofiarą lub sprawcą cyberprzemocy. Sprawdź!
To już w zeszłym tygodniu – wróciła szkoła! Zajęcia odbywają się stacjonarnie, co – wbrew pozorom – nie oznacza, że Twoje dziecko będzie spędzało mniej czasu w internecie… Z najnowszego raportu NASK Nastolatki 3.0 (premiera już wkrótce!) wynika, że w czasie wolnym od zajęć szkolnych młodzi ludzie spędzają online średnio 4 godziny i 50 minut dziennie. Sprawdź, co możesz zrobić, by zapewnić swojemu dziecku bezpieczeństwo w sieci.
FOMO i e-uzależnienia
Jednym z zagrożeń, jakie niesie za sobą internet, a raczej zbyt częste korzystanie z niego, jest FOMO, czyli z angielskiego – Fear of Missing Out. To lęk przed odłączeniem i przekonanie, że coś ważnego ominie nas dokładnie wtedy, kiedy jesteśmy offline. FOMO może dotknąć każdego, niezależnie od wieku, ale to młodzi ludzie są na nie szczególnie podatni.
– Nastolatki są najbardziej narażone na FOMO, bo „bycie w kontakcie” i wiedza o tym, co w danej chwili robią przyjaciele i znajomi pozwala im poczuć, że są ważną częścią grupy. Jednocześnie, to właśnie smartfony są narzędziem, za pomocą którego najczęściej komunikują się z innymi – mówi Marta Witkowska, specjalistka ds. edukacji cyfrowej NASK.
– Czas pandemii i związane z nim ograniczenia sprawiły, że dla młodych spotkania w sieci stały się też podstawową formą kontaktu. Pamiętajmy, że może nie być im łatwo powrócić do świata offline – dodaje.
Czy Twoje dziecko ma FOMO? A jeśli tak, to jak pomóc mu odzyskać równowagę pomiędzy światem online i offline? Wskazówki znajdziecie w naszym poradniku „FOMO i nadużywanie nowych technologii”, który przygotowaliśmy w ramach kampanii „Nie zagub dziecka w sieci”.
Przemoc w internecie
Inny internetowy problem, o którym żaden rodzic nie powinien zapominać to cyberprzemoc. To w dużej mierze przedłużenie konfliktów przeniesionych ze środowiska rówieśniczego. Często dzieje się poza wzrokiem rodziców – tam, gdzie ich nie ma. Może dotknąć każdego – dobrego ucznia i tego, który na lekcjach radzi sobie nieco gorzej, popularnego w szkole i tego, który ma słabsze kontakty z rówieśnikami.
Jeśli chcecie dowiedzieć się więcej o cyberprzemocy i jej konsekwencjach, zachęcamy Was do zapoznania się z kolejną lekturą – to poradnik dla rodziców „Cyberprzemoc – włącz blokadę na nękanie”, który także powstał w ramach naszej kampanii „Nie zagub dziecka w sieci”. Przeczytacie w nim, jakie formy może przybierać cyberprzemoc i jak chronić przed nią swoje dzieci.
Trzy zasady
Rodzicu, oto najważniejsze wskazówki, co możesz zrobić, by Twoje dziecko bezpiecznie korzystało z internetu:
-
Rozmawiaj i ustalaj reguły
Rozmów nigdy za wiele. Niezależnie od tego, czy Twoje dziecko ma kilka czy kilkanaście lat, uczy się w trybie zdalnym, czy stacjonarnym, jako rodzic powinieneś być jego przewodnikiem po cyfrowym świecie. Nie krytykuj, nie oceniaj – tłumacz i słuchaj!
Ważne, aby Twoje dziecko wiedziało, że interesujesz się nim i jesteś po to, aby pomóc.
-
Odpowiednio przygotuj sprzęt
Zanim udostępnisz swojemu dziecku smartfon, komputer czy tablet, skorzystaj z rozwiązań technicznych, które pomogą zwiększyć jego bezpieczeństwo online. Na rynku są dostępne różne rodzaje narzędzi kontroli rodzicielskiej, w których można np. ograniczyć dostęp do treści szkodliwych i nieprzeznaczonych dla dzieci. To m.in. oprogramowanie dołączane do systemu operacyjnego, czy aplikacje mobilne.
Warto także sprawdzić, czy gry komputerowe Twojego dziecka są dostosowane do jego wieku. Pomoże Ci w tym System Klasyfikacji Gier (PEGI). Warto go poznać.
-
Reaguj
Jeśli dowiesz się, że Twoje dziecko miało w internecie kontakt z treściami pełnymi przemocy, pornograficznymi czy prezentującymi zachowania autodestrukcyjne, nie wpadaj w panikę. Zachowaj spokój i postaraj się ustalić jak najwięcej okoliczności zdarzenia. Wspólnie zastanówcie się, jak zapobiec takim sytuacjom w przyszłości.
Chcesz wiedzieć więcej? Koniecznie zajrzyj też do naszych pozostałych poradników!
- „Sexting i nagie zdjęcie. Twoje dziecko i negatywne zachowania online”
- „Sharenting i wizerunek dziecka w sieci”
- „Szkodliwe treści w internecie – nie akceptuję, reaguję!”
- „Nastolatki i gry cyfrowe”
Na koniec: zapamiętaj ten adres: www.gov.pl/niezagubdzieckawsieci – na naszej stronie znajdziesz praktyczne porady, jak mądrze towarzyszyć najmłodszym w internecie.
O projekcie:
Projekt „Kampanie edukacyjno-informacyjne na rzecz upowszechniania korzyści z wykorzystywania technologii cyfrowych” realizujemy we współpracy z Państwowym Instytutem Badawczym NASK. Kampanie mają na celu promowanie wykorzystywania technologii w codziennym życiu przez osoby w różnym wieku, przełamywanie barier z tym związanych oraz wzrost cyfrowych kompetencji społeczeństwa. Projekt obejmuje cztery obszary: jakość życia, e-usługi publiczne, bezpieczeństwo w sieci i programowanie.
Źródło: Cyfryzacja KPRM
Cyberbezpieczne działanie w świecie cyfrowym to klucz do sukcesu każdego MŚP. Sprawdźcie, jak skutecznie dbać o bezpieczeństwo firmy w sieci.
W Polsce działa ponad 2 miliony małych i średnich przedsiębiorstw, pracuje w nich niemal 7 milionów osób. Coraz więcej firm przenosi swoją działalność do sieci. I te działające online, i te z innych branż, korzystające jednak w codziennej pracy z nowych technologii, powinny pamiętać o cyberbezpieczeństwie.
Bezpieczna firma
– Niemal każda firma narażona jest na ataki cyberprzestępców, włamania do systemu czy próby wyłudzenia danych klientów. Są to zagrożenia jak najbardziej realne. Dlatego warto stosować podstawowe zasady cyberhigieny i zalecenia, których wdrożenie poprawi poziom cybebezpieczeństwa przedsiębiorstwa – mówi minister Janusz Cieszyński, pełnomocnik rządu ds. cyberbezpieczeństwa.
Mamy takie zalecenia. Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) opublikowała je w poradniku, który powstał na bazie raportu Cyberbezpieczeństwo dla MŚP.
ENISA podzieliła zalecenia na trzy kategorie:
- Ludzie – to oni odgrywają kluczową rolę. Dlatego tak ważne są szkolenia z cyberbezpieczeństwa, a także z zakresu dzielenia się z partnerami biznesowymi poufnymi informacjami czy wrażliwymi danymi.
- Procesy – każda firma powinna wdrożyć odpowiednie procedury obejmujące m.in.: regularne audyty, reagowanie na incydenty, politykę dotyczącą tworzenia bezpiecznych haseł, aktualizację oprogramowania i ochronę danych.
- Aspekty techniczne – aktualne programy antywirusowe, szyfrowanie i monitorowanie bezpieczeństwa to podstawy funkcjonowania online. Należy również zadbać o regularne tworzenie kopii zapasowych.
12 kroków do cyberbezpieczeństwa
W poradniku ENISA znajdziecie 12 kroków – wskazówek – jak zadbać o bezpieczeństwo firmy w sieci. Warto je znać i wdrażać w codziennym działaniu firmy.
Oto one:
- Buduj kulturę cyberbezpeczeństwa
- Zadbaj o odpowiednie szkolenia
- Zadbaj o bezpieczeństwo podmiotów zewnętrznych
- Opracuj plan reagowania na incydenty
- Zabezpiecz dostęp do systemów
- Zabezpiecz urządzenia
- Zabezpiecz swoją sieć
- Zwiększ bezpieczeństwo fizyczne
- Zadbaj o kopie zapasowe
- Korzystaj z chmury
- Zabezpiecz strony internetowe
- Szukaj informacji, rozpowszechniaj wiedzę
Poradnik możesz pobrać poniżej.
Badania nad cyberbezpieczeństwem
Poradnik powstał jako odpowiedź na raport z badań nad cyberbezpieczeństwem, jakie Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) przeprowadziła wśród małych i średnich firm.
Czego dowiedzieliśmy się z raportu?
Aż 85% ankietowanych MŚP zgadza się, że zagrożenia cyberbezpieczeństwa mogą mieć negatywny wpływ na ich firmy, a 57% twierdzi, że na ich skutek mogą zniknąć z rynku. Spośród prawie 250 przebadanych MŚP – 36% zgłosiło, że doświadczyło incydentu cyberbezpieczeństwa w ciągu ostatnich 5 lat.
Według raportu do największych wyzwań, jakie stoją przed sektorem małych i średnich przedsiębiorstw należą:
- niska świadomość cyberzagrożeń,
- nieodpowiednia ochrona wrażliwych i mających kluczowe znaczenie dla firmy informacji,
- brak budżetu na wdrażanie środków cyberbezpieczeństwa,
- brak dostępu do fachowej wiedzy i personelu,
- brak odpowiednich wytycznych dostosowanych do sektora MŚP,
- przejście na tryb pracy zdalnej,
- niskie wsparcie dla kadry zarządzającej.
Pamiętaj! Dbaj o cyberbezpieczeństwo swojej firmy!
Więcej porad dot. cyberbezpieczeństwa znajdziesz m.in. w naszej bazie wiedzy na portalu GOV.pl.
Materiały:
Przewodnik po cyberbezpieczeństwie dla MŚP
Przewodnik_po_cyberbezpieczeństwie_dla_MŚP.pdf 1.31MB
Źródło: Cyfryzacja KPRM
Do Rzecznika Finansowego trafiają coraz liczniejsze skargi od klientów, którzy skłonieni reklamami na portalach społecznościowych, rozsyłanymi na skrzynki e-mail lub przedstawianymi podczas rozmowy telefonicznej, zdecydowali się na nawiązanie, jak im się wydawało, relacji inwestorskiej z platformami oferującymi głównie inwestycje na rynku Forex lub kryptowalut.
Mechanizm działania osób podających się za przedstawicieli platform inwestycyjnych czy analityków inwestycyjnych jest w dużej mierze powielany.
W pierwszej fazie oszustwa z klientem kontaktuje się przedstawiciel platformy. Zapewnia o jej skuteczności oraz nierzadko oferuje wsparcie inwestycyjne doświadczonego analityka lub bota (specjalnie przygotowanego oprogramowania, które ma analizować rynki inwestycyjne i wskazywać klientowi w co inwestować). Dla zainicjowania tych usług klient ma z reguły wpłacić na rachunek platformy określoną kwotę, co umożliwi pracę analityków i otwarcie rachunku inwestorskiego.
Nierzadko, już na tym etapie, przedstawiciel/analityk, celem wyjaśnienia zasad funkcjonowania platformy, proponuje użycie aplikacji służącej do zdalnej kontroli komputera. W tym momencie może również chcieć uzyskać dostęp do danych, umożliwiających logowanie do banku lub dane karty kredytowej, celem pomocy w zasileniu rachunku inwestorskiego. Rzecznik Finansowy ostrzegał na swojej stronie internetowej, że w ten sposób oszuści mają możliwość zlecenia przelewów, a nawet zaciągnięcia kredytów w imieniu klienta banku.
Po pierwszej wpłacie klient otrzymuje dostęp do konta na platformie, na którym prezentowane są wpłacone środki oraz ma możliwość dokonywania czynności, które wyglądają jak inwestowanie w określone instrumenty.
Rozpoczyna się druga faza oszustwa. W tym okresie klient może być informowany za pośrednictwem konta użytkownika lub analityka, że jego czynności odnotowują wymierne korzyści lub wręcz przeciwnie, ponosi coraz większe straty z uwagi na wahania rynkowe. Pierwszy przypadek ma zachęcić klienta do lokowania kolejnych środków i powiększania tak łatwo uzyskanych profitów. Drugi ma zmobilizować do kolejnych wpłat, celem szybkiego odrobienia straty. W obu przypadkach najczęściej utrzymywany jest stały kontakt telefoniczny między klientem a analitykiem platformy, który uspokaja i zachęca do kolejnych “inwestycji”.
Na tym etapie działania przedstawiciele platform intensyfikują działania i kontakty z klientem. Stają się oni bardziej zaangażowani, często wywierają presję na klientów, strasząc ich stratami lub krótkimi terminami na podjęcie decyzji inwestycyjnej. Telefony pojawiają się kilka, kilkanaście razy dziennie. Częstokroć w odpowiedzi na informacje na temat braku wolnych środków, analitycy wypytują o inne rachunki płatnicze lub posiadany majątek, z których klienci mogliby uzyskać dalsze środki na “inwestycje”. Faza ta trwa do chwili, gdy klient jest skłonny do dalszych wpłat.
W końcowej fazie oszustwa, gdy klient stanowczo wyraża brak woli dalszej współpracy (nierzadko już po dokonaniu znacznych wpłat lub nawet zaciągnięciu w tym celu zobowiązań finansowych) i zgłasza żądanie wypłaty środków zgromadzonych na platformie (w tym często zysków), okazuje się, że pojawiają się problemy techniczne po stronie platformy lub banków zagranicznych. Niekiedy pojawia się informacja o zablokowaniu zleconego przez platformę przelewu ze strony Komisji Nadzoru Finansowego lub innego organu wzbudzającego zaufanie klienta.
Często przedstawiciele platform informują o konieczności uiszczenia podatku dochodowego od wypłacanej kwoty lub dokonania przelewu autoryzującego, celem zwolnienia środków przez KNF. Bywa również, że oszuści kierują żądanie uiszczenia opłaty za pracę analityka czy działanie bota, po zapłaceniu której środki zostaną zwolnione. Do klientów mogą być przesyłane dokumenty opatrywane logiem KNF, ESMA (Europejski Urząd Nadzoru Giełd i Papierów Wartościowych) lub nawet banków krajowych.
Wszystkie działania na tym etapie mają jeden cel. Oszustom chodzi o nakłonienie klienta – ofiary do dalszej wpłaty środków finansowych. Zdarzają się nawet przypadki, kiedy niewielka część środków istotnie zostaje zwrócona klientowi, celem uwiarygodnienia dobrej woli po stronie platformy i tym samym zmotywowania do działania zgodnie z wola oszustów.
Ostatecznie jednak klienci nie odzyskują środków, a w najgorszym scenariuszu, pozostają nie tylko ze stratami w postaci utraconych oszczędności, ale i zaciągniętymi przez siebie lub przez analityków platform zobowiązaniami kredytowymi. W takich sprawach klientom niezwykle trudno podważać czynności dokonane przed własnym bankiem, zrealizowane pod wpływem oszustów lub wręcz za pośrednictwem własnych komputerów. W takich bowiem przypadkach istnieje możliwość podniesienia przez banki zarzutu rażącego niedbalstwa ze strony klientów lub wręcz stwierdzenia, że wszystkie transakcje zostały zrealizowane zgodnie z wolą klientów.
Rzecznik Finansowy wskazuje, że omawiane platformy najczęściej są własnością podmiotów zarejestrowanych w egzotycznych krajach, jak Dominikana czy Saint Vincent i Grenadyny na Morzu Karaibskim. Podmioty te mogą jednak mieć również siedziby w krajach europejskich, co ma dodatkowo uwiarygodnić je w oczach ofiar.
W każdym jednak przypadku są to podmioty niepodlegające pod nadzór finansowy, nie posiadają zezwoleń na prowadzenie działalności inwestycyjnej, w tym doradztwa inwestycyjnego. Z tego też względu sukcesywnie pojawiają się na listach ostrzeżeń Komisji Nadzoru Finansowego oraz właściwych organów nadzorczych pozostałych krajów europejskich. Ostrzeżenia te pojawiają się zazwyczaj dopiero po otrzymaniu przez organy nadzoru sygnałów na temat działalności danego podmiotu, co z reguły oznacza, że szkody już zostały wyrządzone.
Klientom pozostaje zgłaszanie spraw na policję. Ta zaś ma bardzo duże trudności w ustaleniu sprawców przestępstwa. Platformy są bowiem tak samo łatwo i szybko otwierane w Internecie jak i zamykane.
W związku z tym Rzecznik Finansowy apeluje o zachowanie szczególnej ostrożności w podejmowaniu decyzji inwestycyjnych i weryfikowanie wiarygodności podmiotów, którym powierzamy swoje środki finansowe. To my sami bowiem jesteśmy w stanie najskuteczniej zabezpieczyć nasze oszczędności, dokładając należytej uwagi przy nawiązywaniu wszelkiego rodzaju relacji inwestorskich. Przy dokonywaniu oceny wiarygodności danej inwestycji, korzystajmy z pomocy w szczególności rodziny lub najbliższych przyjaciół, którzy mogą nie być pod wpływem emocji związanych z przepowiadanymi przez oszustów zyskami.
Warto również przed nawiązaniem relacji inwestorskiej zweryfikować czy podmiot nie znalazł się już na liście ostrzeżeń Komisji Nadzoru Finansowego oraz poszukać informacji na temat domniemanej platformy inwestycyjnej na stronach internetowych lub forach. Często bowiem oszukani inwestorzy informują w Internecie o zagrożeniu jeszcze zanim organy nadzoru zdążą dokonać stosownego wpisu na swoich listach ostrzeżeń.
Źródło: rf.gov.pl
– Chcemy, żeby Policja miała odpowiednie instrumenty, najlepsze rozwiązania i kompetencje do walki z cyberprzestępczością, żebyśmy mogli jak najlepiej odpowiadać na te zagrożenia – powiedział premier Mateusz Morawiecki podczas konferencji w Kancelarii Prezesa Rady Ministrów, która odbyła się 27 lipca br.
Na konferencji zapowiedziano powstanie nowej jednostki Policji – Centralnego Biura Zwalczania Cyberprzestępczości. W konferencji wzięli także udział Mariusz Kamiński – minister spraw wewnętrznych i administracji oraz Janusz Cieszyński – sekretarz stanu w KPRM, pełnomocnik rządu do spraw cyberbezpieczeństwa.
„Wiemy doskonale, że pojawienie się Internetu zrewolucjonizowało nasze życie. To jest nasza rzeczywistość, pandemia przyspieszyła te rozwiązania i informatyzację. W ślad za rozwojem technologii podążają przestępcy i do starych zagrożeń dochodzą nowe” – powiedział premier Mateusz Morawiecki.
„Oszustwa komputerowe, fałszywe maile, SMS-y czy kradzież tożsamości to zjawiska, o których coraz częściej słyszymy. Aby temu przeciwdziałać tworzymy służbę, która będzie zajmowała się wyłącznie problemami dotyczącymi cyberbezpieczeństwa”– podkreślił szef rządu. Jak dodał, wcześniej powoływane służby, takie jak CBŚP, CBA czy KAS stanęły na wysokości zadania, a dziś nadszedł czas, żeby powołać służbę, która odpowie na szerzące się cyberataki.
Minister Mariusz Kamiński ogłosił podczas konferencji prasowej, że gotowy jest już projekt ustawy przygotowanej przez MSWiA w ścisłym porozumieniu z Komendą Główną Policji. Dotyczy on powołania Centralnego Biura Zwalczania Cyberprzestępczości.
„Chcemy, aby ustawa weszła w życie 1 stycznia 2022 roku. Przystępujemy bardzo szybko do organizacji tej służby. Potrzebne będą bardzo zdecydowane kroki, aby stworzyć nową jakość. To niezbędne w stosunku do skali zagrożenia” – podkreślił. Niebawem projekt ma trafić do uzgodnień międzyresortowych.
Szef MSWiA wyjaśnił, że funkcjonariusze, którzy będą przyjmowani do nowej służby, będą mieli oddzielną ścieżkę naboru. „Będzie liczyła się ich wiedza informatyczna, wiedza na temat nowoczesnych technologii teleinformatycznych. Zrezygnujemy z testów sprawności fizycznej” – zapowiedział. Jak dodał, musi być to również służba atrakcyjna dla specjalistów, dlatego funkcjonariusze, którzy będą do niej zakwalifikowani, otrzymają stałe dodatki w wysokości od 70 do 130 procent przeciętnego uposażenia w Policji.
O działaniach rządu w kwestii bezpieczeństwa w Internecie poinformował również Janusz Cieszyński, pełnomocnik rządu do spraw cyberbezpieczeństwa.
„Aktualnie międzyresortowo pracujemy nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa. Mam nadzieje, że uda nam się uzyskać ponadpolityczną zgodę dla rozwiązań, które w niej zaproponujemy” – powiedział.
„Powołanie Centralnego Biura Zwalczania Cyberprzestępczości to bardzo dobra wiadomość. Powstanie też Fundusz Cyberbezpieczeństwa, około pół miliarda złotych. W jego ramach będziemy finansowali nowe inicjatywy i zakupy. Musimy też zadbać o najlepszych ekspertów” – podkreślił sekretarz stanu w KPRM.
Nowa jednostka w strukturach Policji
Centralne Biuro Zwalczania Cyberprzestępczości (CBZC) będzie jednostką Policji odpowiedzialną za rozpoznawanie, zapobieganie i zwalczanie cyberprzestępczości. Zgodnie z projektem zmiany ustawy o Policji, nową jednostką będzie kierować komendant Centralnego Biura Zwalczania Cyberprzestępczości, jako organ podległy komendantowi głównemu Policji. Komendanta CBZC będzie powoływał (spośród oficerów Policji) i odwoływał minister właściwy do spraw wewnętrznych, na wniosek komendanta głównego Policji. Komendant CBZC będzie posiadał również pełne kompetencje kadrowo-szkoleniowe w stosunku do policjantów CBZC.
Centralne Biuro Zwalczania Cyberprzestępczości będzie jednostką jednolitą w skali kraju, z siedzibą w Warszawie. W procesie naboru do służby zwalczania cyberprzestępczości pod szczególną uwagę będą brane wiedza i umiejętności z zakresu informatyki i nowoczesnych technologii teleinformatycznych. Funkcjonariuszom CBZC będzie przysługiwać w pełni możliwość prowadzenia działań operacyjno-rozpoznawczych, dochodzeniowo-śledczych oraz administracyjno-porządkowych, wynikających z ustawy o Policji.
„Powstanie Centralnego Biura Zwalczania Cyberprzestępczości to rzeczywisty systemowy przełom. Pragnę bardzo mocno podkreślić, to będzie służba dedykowana zwykłym obywatelom” – powiedział minister Mariusz Kamiński, przedstawiając założenia ustawy w tym zakresie.
Źródło: MSWiA