W ramach XXX Forum Ekonomicznego w Karpaczu Krzysztof Zieliński, Dyrektor Departamentu Cyberbezpieczeństwa w UKNF, wziął udział w panelu: „Cyberhigiena – wymysł doby pandemii czy reguła bez odstępstw?”.

Główne tezy wypowiedzi Dyrektora Departamentu Cyberbezpieczeństwa UKNF:

• czytamy wszyscy na co dzień o atakach, wyciekach danych. Każda organizacja powinna inwestować w swoich pracowników, w wiedze z zakresu cyberbezpieczeństwa, budować świadomość w tym obszarze. Każda technologia niesie za sobą korzyści, ale także ryzyka. Jeszcze niedawno o cybebezpieczeństwie rozmawiali tylko specjaliści obszaru cyber, teraz rozmawiają także prezesi organizacji. To cieszy, że świadomość w tym zakresie rośnie. Ta świadomość musi zostać zaimplementowana w organizacji, musi zostać wdrożona jako jeden z jej podstawowych procesów.

• człowiek jest najsłabszym ogniwem. Budowa i wdrożenie w organizacji programu security awerness, w zestawieniu z zakupem nowoczesnych rozwiązań do ochrony danych, jest relatywnie tanie. Pierwszą linią obrony każdej organizacji jest świadomy pracownik, który jest w stanie rozpoznać zagrożenie i powiadomić odpowiedni zespół bezpieczeństwa, dopiero w następnym kroku działania podejmują systemy bezpieczeństwa organizacji.

• w UKNF świadomość pracowników budujemy głównie własnymi siłami, mamy w tym zakresie kompetencje. Zaczynaliśmy od prostych rzeczy, jak wygaszacze ekranów czy plakaty, które wiszą np. w kuchniach, w salach konferencyjnych. Są tam wskazówki dotyczące blokowania komputerów, haseł, czyli podstawowych zasad bezpieczeństwa. Uruchomiliśmy także dla pracowników 24-godzinną infolinię. Takie działania budujące świadomość cyberzagrożeń wśród pracowników nie powinny się skupiać tylko na zabezpieczeniu samej organizacji. One powinny być budowane w oparciu o wiedzę ogólną dotyczącą cyberbepiczeństwa, cyberhigieny w życiu prywatnym. Osoba, która wie jak uchronić się przed cyberzagrożeniami w życiu prywatnym, wie, jak chronić swoje środki finansowe, profile w mediach społecznościowych czy dostęp do konta mailowego, będzie też dbała o obszar cyber w swojej organizacji, przenosząc tę wiedzę na systemy pracodawcy.

• odnosząc się do podstawowych zasad cyberhigieny, w odniesieniu do bezpieczeństwa środków finansowych klientów instytucji finansowych: po pierwsze i najważniejsze – jeżeli jakakolwiek sprawa dotyczy naszych finansów, czy jest to przelew, sms z banku, mail dotyczący płatności, informacja od firmy kurierskiej – należy robić to z rozwagą i skupieniem, bez pośpiechu i bez automatycznego działania. 

Po drugie – nigdy, przenigdy nie przekazujemy, absolutnie nikomu, danych do logowania do bankowości elektronicznej – czy jest to prośba od potencjalnego konsultanta banku, czy osoby podającej się za przedstawiciela jakiegoś urzędu czy organów ścigania. Banki ani inne instytucje nigdy nie proszą o podanie takich danych. Jeżeli spotkamy się z taką prośbą możemy być pewni, że jest to próba oszustwa

Po trzecie – jeżeli ktoś kontaktuje się z nami i np. podaje się za pracownika banku, nawet jeżeli wyświetla się prawdziwy numer banku, albo podaje się za funkcjonariusza policji lub pracownika jakiegoś urzędu, ale prosi o instalację jakiegoś oprogramowania do pomocy zdalnej np. Anydesk czy TeamViewer – to na pewno jest oszustwo. 

Po czwarte – nie klikamy w linki otrzymywane w mailach lub wiadomościach sms, a jeżeli już klikniemy w taki link, to bardzo dokładnie sprawdzamy adres internetowy do którego prowadzi ten link. Bardzo często patrząc na adres widać, że nie jest to prawdziwa strona banku (mimo tego, że to co wyświetla się w przeglądarce jest łudząco podobne do oryginalnej strony).