Klikaj świadomie: o kulturze cyfrowego bezpieczeństwa

Klikaj świadomie: o kulturze cyfrowego bezpieczeństwa

Piotr Grajewski

10 lutego w Europie obchodzi się Dzień Bezpiecznego Internetu. Święto ustanowiono w 2004 roku z myślą o promocji praktyk i technik mających zapewnić bezpieczny dostęp dzieci i młodzieży do sieci. 22 lata później jest to wciąż aktualny temat, który można rozszerzyć na wiele elementów związanych z cyberbezpieczeństwem i higieną cyfrową. 

Współczesne zagrożenia cyfrowe

Obecnie prawie wszystkie elementy codziennego życia opierają się na cyfrowych rozwiązaniach. Z jednej strony mamy możliwość logowania się do banków czy urzędów siedząc wygodnie na kanapie w domu czy z poziomu telefonu uruchomić i ogrzać samochód w zimowy poranek, dzięki czemu nie musimy marznąć przy skrobaniu szyb. Dynamiczny rozwój technologii oraz zwiększona cyfryzacja umożliwiły ułatwienia w wielu obszarach życia, jednak rozwój ten jest związany także z nowymi zagrożeniami. Internet jest środowiskiem otwartym, łatwo dostępnym i trudnym do pełnej kontroli, dlatego kluczowe staje się zrozumienie zasad bezpiecznego poruszania się w przestrzeni cyfrowej. Odpowiedni poziom zabezpieczeń aplikacji czy stron to za mało, żeby być w pełni bezpiecznym, należy także uważać na socjotechniki wykorzystywane do manipulowania internautami. W dalszej części tekstu zostaną omówione najważniejsze mechanizmy techniczne i psychologiczne wykorzystywane do nieuczciwych praktyk. 

Zagrożenia techniczne

Zagrożenia w cyfrowym świecie mogą mieć różne formy i wykorzystywać różne techniki. Część z nich opiera się na słabościach systemowych, a część wykorzystuje słabości ludzkie. Coraz częściej cyberprzestępczość to działania zorganizowanych grup przestępczych, które bardzo profesjonalnie podchodzą do swoich działań. Mogą one wykorzystywać różnego rodzaju ataki i podatności. 

Ataki typu ransomware charakteryzują się zaszyfrowaniem danych użytkownika oraz zażądaniem okupu za ich odszyfrowanie. Może on dotykać osoby prywatne oraz firmy, co w przypadku przedsiębiorstw może wiązać się z bardzo dużymi stratami lub wręcz zablokowaniem możliwości pracy. 

Phishing to jedno z najbardziej skutecznych i powszechnych narzędzi stosowanych przez cyberprzestępców. Celem jest wyłudzenie danych – loginu oraz hasła. Dzieje się to poprzez podszywanie się pod np. stronę internetową banku lub urzędu. Sfałszowana strona wygląda identycznie jak oryginalna, ale w rzeczywistości nie jest zarządzana przez bank, a przez cyberprzestępców. Wpisując tam swoje hasło, tak naprawdę przekazujemy je komuś innemu. Technika ta wykorzystuje nie tylko luki technologiczne, ale również słabości psychologiczne, takie jak brak uwagi, pośpiech czy skłonność do ufności wobec komunikatów wyglądających na oficjalne.

Kolejnym zagrożeniem jest złośliwe oprogramowanie (malware), obejmujące wirusy, spyware, trojany czy keyloggery. Jego celem może być zarówno kradzież danych, jak i uszkodzenie systemu, przejęcie kontroli nad urządzeniem. 

Coraz częściej słyszy się również o przypadkach kradzieży tożsamości. Cyberprzestępca przejmuje dane osobowe i wykorzystuje je w celach przestępczych. To działanie ma szczególnie dotkliwe skutki, ponieważ ofiara często dowiaduje się o problemie dopiero wtedy, gdy naruszenia są już poważne, np. gdy ktoś zaciągnie kredyt na jej dane lub dokona oszustw podatkowych.

Rozwój sztucznej inteligencji przyniósł nowe zagrożenie – deepfake. Jest to technika wykorzystująca AI do realistycznego generowania twarzy, głosu lub całych nagrań wideo. Pozwala to tworzyć materiały, które wyglądają jak prawdziwe, ale w rzeczywistości są w pełni wygenerowane komputerowo i nigdy nie miały miejsca. Mniej świadomi użytkownicy mogą nie potrafić rozpoznać, że jest to dzieło sztucznej inteligencji, a nie prawdziwe nagranie. 

Smishing to fałszywe SMS-y, które często służą podszywaniu się pod znane firmy lub instytucje. Może to być wiadomość banku lub firmy kurierskiej z linkiem do śledzenia paczki. W rzeczywistości może dojść do wyłudzenia danych logowania lub instalacji złośliwego oprogramowania.

Czynniki psychologiczne wpływające na bezpieczeństwo

Chociaż cyberbezpieczeństwo w pierwszej kolejności kojarzy się bardzo mocno z technologią i programowaniem, bardzo ważną rolę odgrywają czynniki psychologiczne. Często to człowiek jest najsłabszym ogniwem w całym łańcuchu bezpieczeństwa. Pośpiech, silne emocje, zmęczenie czy brak wiedzy to elementy zwiększające podatność na przeprowadzenie skutecznego cyberataku. 

Presja czasu jest częstym motywem ataków phishingowych. Komunikatu typu „natychmiastowa aktualizacja”, „zablokowanie usługi od godziny 12:00” nawołują do podjęcia gwałtownych działań bez możliwości do namysłu. Wtedy o wiele łatwiej dać się złapać na fałszywą stronę. Wykorzystanie silnych emocji to również podstawowy mechanizm służący manipulacji. Bardzo często ofiarami padają osoby starsze, np. popularna metoda „na wnuczka” wykorzystuje właśnie ten proces. W trosce o bezpieczeństwo bliskich i z ograniczonym czasem łatwiej zgodzić się na coś, co normalnie wzbudziłoby podejrzenia. Autorytet instytucji może być również wykorzystany do podniesienia zaufania wiadomości, która docelowo będzie przekierowywała nas na fałszywą stronę. Czasami załącznik z nieopłaconym rachunkiem lub wezwaniem z urzędu skarbowego może być sprytnie ukrytym wirusem lub innym złośliwym oprogramowaniem. Warto bardzo dobrze weryfikować nadawców wiadomości z załącznikami. Zachęta nagrodą może działać równie skutecznie, co strach przed wezwaniem do zapłaty. Bardzo często duże korporacje w ramach szkoleń i profilaktyki wysyłają podejrzane maile do swoich pracowników z informacją o podwyżce tylko po to, aby sprawdzić, ile osób nabierze się na fałszywą wiadomość i kliknie w podejrzany link. Obietnica wygrania nowego telefonu tylko dlatego, że jest się milionową osobą odwiedzającą stronę internetową to zwykłe oszustwo. Cyberprzestępcy wykorzystują też ludzką tendencję do rutynowanych działań. Nie zawsze zastanawiamy się nad każdym kliknięciem lub czytamy dokładnie każde zdanie i dostrzeżemy różnicę w literach czy kropce. Klasycznym przykładem niezauważania drobnych różnic jest litera „a” vs „a”. Pierwsza z nich to litera łacińska (kodowanie U+0061), natomiast druga to cyrylicka (kodowanie U+0430). Patrząc gołym okiem, nie można dostrzec różnicy, jednak może mieć ona kolosalne znaczenie, gdy logujemy się na stronę banku, pod którą podszywają się cyberprzestępcy. 

Cyberprzemoc 

Zjawisko przemocy nie jest zarezerwowane wyłącznie dla prawdziwego świata. Internet umożliwia cyberprzemoc, czyli zamierzone nękanie, straszenie, ośmieszanie lub wykluczanie w sieci. Wykorzystuje się do tego m.in. media społecznościowe, gry oraz różnego rodzaju komunikatory. Przemoc w prawdziwym i wirtualnym świecie nie powinna mieć miejsca, dlatego warto znać podstawowe kroki, jak radzić sobie z cyberprzemocą.

  1. Wykorzystaj wsparcie bliskich. Rozmowa z przyjacielem bądź członkiem rodziny pomoże ci zapanować nad emocjami i poczuć się lepiej. Wspólnie możecie ustalić też dalszy plan działania. Agresorzy często chcą izolować swoją ofiarę, żeby nie mogła uzyskać wsparcia od innych. Poczucie wstydu lub lęk może utrudniać poproszenie o pomoc, jednak każdorazowo warto zwrócić się o pomoc do kogoś zaufanego.
  2. Ustal zasady rozmowy. Zachowanie cyberprzemocowe to próba dominacji – nie daj się. To, kim jesteś i jak siebie postrzegasz zależy tylko od ciebie. Nie daj się wciągnąć w spiralę nienawiści.
  3. Zachowaj dowody. Zanim podejmiesz próby usunięcia obraźliwych wiadomości – pamiętaj, że są ważnym dowodem nękania. Zabezpiecz dowody w postaci wydruków lub screenshota (zrzut ekranu).
  4. Zgłoś incydent – dotyczy to szczególnie dzieci i młodzieży. Zwróć się o pomoc do rodziców lub innej zaufanej osoby dorosłej (wychowawcy, pedagoga szkolnego, dyrektora). Pomogą ci rozwiązać problem i udzielą wsparcia.
  5. Odetnij się od agresora. Zablokuj osobę, która stosuje wobec ciebie przemoc. Postaraj się odciąć od niej na każdym komunikatorze.
  6. Zwróć się do administratora. Możesz również zgłosić się z prośbą do administratora o usunięcie obraźliwych treści lub fałszywego konta – pamiętając, aby najpierw zapisać dowody nękania.
  7. Powiadom policję. Część zachowań narusza prawo (są uznawane za przestępstwo lub wykroczenie) i mogą zostać zgłoszone na policji lub w prokuraturze. Są to: zniesławienie lub zniewaga, naruszenie wizerunku, stalking, podszywanie się pod kogoś, groźby, włamania.
  8. Obecnie coraz więcej firm zajmujących się cyberbezpieczeństwem wykorzystuje AI do obrony użytkowników przed złośliwym oprogramowaniem. Algorytmy wykrywają ataki, analizują anomalie i ułatwiają filtrowanie wiadomości. 

Kompetencje cyfrowe

Rozwój technologii spowodował potrzebę kształcenia ludzi w obszarze kompetencji cyfrowych. Ich poziom bywa zróżnicowany w społeczeństwie, dlatego tak ważne jest dbanie o to, aby zwracać na nie uwagę już na poziomie edukacji szkolnej. Jednym z komponentów tych kompetencji jest kwestia cyberbezpieczeństwa i higieny cyfrowej. 

Szczególnego znaczenia nabiera edukowanie dzieci i młodzieży, która spędza w sieci coraz więcej czasu, często chroniąc prywatność w sposób powierzchowny. Rodzice, nauczyciele i specjaliści powinni ze sobą współpracować, żeby przekazywać praktyczne wskazówki, mające przełożenie na realne wsparcie. Instytut badawczy NASK na stronie cyberprofilaktyka.pl udostępnia gry planszowe i karciane, edukujące w obszarze higieny cyfrowej. Są one udostępnione za darmo, a materiały można pobrać i wydrukować. Poprzez zabawę można jednocześnie uczyć odpowiedzialnego podejścia do korzystania z internetu.

Jak zadbać o swoje bezpieczeństwo – praktyczne wskazówki dla laików

Nie każdy musi znać się na technologicznych aspektach cyberbezpieczeństwa, żeby zadbać o własne bezpieczeństwo. Bardzo prostymi elementami można utrudniać potencjalne ataki. 

  1. Warto dbać o to, żeby telefon czy komputer był zawsze aktualizowany. Najnowsze łatki publikowane przez twórców bardzo mocno kładą nacisk na poprawę bezpieczeństwa urządzeń. 
  2. Zainstaluj antywirusa, czyli program dedykowany do wykrywania różnego rodzaju zagrożeń cyfrowych. Istnieje wiele darmowych wersji, warto jednak zapłacić za rozszerzoną wersję oprogramowania, dającą największe możliwości wykrywania różnych ataków. 
  3. Na stronach wymagających logowania się i podawania danych (szczególnie na stronach banków) warto zwracać uwagę na szyfrowanie połączenia – jest to ikona kłódki (najczęściej w górnej części przeglądarki po lewej stronie paska z adresem www) oraz prefiksu https:// zamiast http://. 
  4. Warto włączyć uwierzytelnianie dwuskładnikowe: poza podaniem loginu i hasła, trzeba będzie dodatkowo wprowadzić np. kod przesłany SMS lub mailem, podpiąć specjalny klucz sprzętowy lub zeskanować odcisk palca. 
  5. Zaleca się tworzenie regularnych kopii zapasowych, które nie są zapisane w tym samym miejscu – jedną kopię zapasową można mieć na zewnętrznym dysku, który trzymamy w domu, a drugą umieszczoną w chmurze. Jeśli ktoś włamie się do chmury i usunie wszystkie dane, wciąż będzie można je odzyskać dzięki kopii zapasowej trzymanej w domu. 
  6. Regularnie zmieniaj hasła i unikaj krótkich i typowych haseł takich jak 1234, admin, qwerty. Stosuj znaki specjalne (np. !@#$), wielkie i małe litery oraz liczby. Obecnie uważa się, że hasła mające kombinację co najmniej 12 znaków są silne. Warto unikać haseł opartych tylko na jednym słowie (np. Polska1234%$) i zastąpić to losową kombinacją cyfr, liter oraz znaków specjalnych. Tworząc długie hasła, można opierać się na tworzeniu fraz, np.: czerwony_Lew$morze@las. Zdecydowanie unikaj haseł opartych na imionach, datach urodzin, fragmentach loginów/maili, nazw zwierząt czy nazw ulubionych zespołów i drużyn. Nie używaj jednego hasła do wielu kont. Warto korzystać z menedżera haseł, który ułatwi zapamiętanie długich fraz do wielu portali. 
  7. Zadbaj o osoby starsze w twoim otoczeniu i tych, którzy nie radzą sobie dobrze z nowinkami technologicznymi. Czasami wystarczy krótka rozmowa, aby dodatkowo uczulić rodziców lub dziadków na potencjalne zagrożenia.

Podsumowując, bezpieczeństwo w internecie to nie jednorazowe działanie, lecz codzienna praktyka łącząca podstawową wiedzę technologiczną z uważnością i świadomością własnych zachowań. W dynamicznie zmieniającym się świecie cyfrowym kluczowe staje się krytyczne podejście do informacji, ostrożność wobec nieoczekiwanych komunikatów oraz rozwijanie kompetencji cyfrowych – zarówno u dzieci, jak i dorosłych. Choć cyberprzestępcy wykorzystują coraz bardziej zaawansowane narzędzia i socjotechniki, odpowiednia profilaktyka, dbałość o higienę cyfrową oraz wsparcie najbliższych znacząco zmniejszają ryzyko stania się ofiarą ataku. Świadome korzystanie z internetu to inwestycja we własne bezpieczeństwo, prywatność i spokój na co dzień.