Czym są dane osobowe i jakie są konsekwencje ich kradzieży? Jak czas pandemii przypieszył cyfrową rewolucję? Kto może paść ofiarą cyberprzestępców? Zapraszamy do wysłuchania nowego odcinka Podcastu Sektor 3.0, dostępnego na Spotify, Google Podcasts i Apple Podcasts.
Słuchaj także na Google Podcasts | Apple Podcasts
O czym dowiesz się z tego odcinka
01:37 Czym są dane osobowe i jakie są konsekwencje ich kradzieży?
04:30 Kto może paść ofiarą cyberprzestępców?
06:10 Jak czas pandemii przypieszył cyfrową rewolucję?
7:20 Jak sprawdzić czy nasze dane wyciekły?
8:20 Czy cykliczne zmiany haseł mają sens?
10:06 Dlaczego lepiej nie oszczędzać na cyberbezpieczeństwie?
13:00 Gdzie szukać informacji o dofinansowaniu oprogramowania i rozwiązań dot. cyberbezpieczeństwa?
Gościni – Anna Kwaśnik
Absolwentka Instytutu Profilaktyki Społecznej i Resocjalizacji na Uniwersytecie Warszawskim, ekspertka w Zespole Projektów Informacyjno-Popularyzatorskich w Państwowym Instytucie Badawczym NASK. Autorka materiałów popularyzacyjno- edukacyjnych z zakresu cyberbezpieczeństwa, różnych zagrożeń internetowych, jak również trenerka z zakresu profilaktyki niebezpiecznych zachowań w Internecie, nowoczesnych technologii oraz zagadnień związanych z cyberhigieną. Odpowiedzialna za działania promocyjne Zespołu oraz różne kampanie edukacyjno-informacyjne, w tym polską edycję kampanii Europejskiego Miesiąca Cyberbezpieczeństwa.
Polecane książki, blogi, kursy, aplikacje
Transkrypcja
Filip Jędruch (FJ) Technologie, edukacja, komunikacja. Trzy tematy, jeden blog. Blog Sektor 3.0 to miejsce, gdzie pomagamy lepiej pracować, wydajniej korzystać z technologii i dobrze żyć. To miejsce dla organizacji społecznych, społeczników, społeczniczek i wszystkich tych, którzy chcą robić dobre rzeczy zarówno offline jak i online. Na naszym blogu przeczytacie ciekawe artykuły, publikujemy także rozmowy z ekspertami i ekspertkami oraz poradniki, które pozwolą Wam poznać najróżniejsze narzędzia. Z tej strony Filip Jędruch, witam i zapraszam na nasze spotkanie z cyberbezpieczeństwem.
Anna Kwaśnik (AK) Jeżeli decydujemy się na jakąkolwiek działalność w sieci, zawsze powinniśmy myśleć o bezpieczeństwie naszym, o bezpieczeństwie strony, z której chcemy korzystać, a także o bezpieczeństwie klientów i urzutkowników, którzy w pewnym sensie powierzają nam swoje dane, powierzają nam swój czas, swoją aktywność.
(FJ) Rozmawiam z Anną Kwaśnik z Państwowego Instytutu Badawczego NASK. Pełną wersję rozmowy znajdziecie na blogu Sektor 3.0, a teraz zapraszamy na krótką pigułkę w wersji audio. Dowiecie się z niej m.in. czy warto zmieniać cyklicznie hasła i gdzie szukać informacji dotyczących naszego bezpieczeństwa w sieci. Jeśli już dojdzie do wycieku naszych danych, jeśli już udostępnimy trochę za dużo albo możemy też wpuścić coś do naszego komputera, coś co może tam narobić nam szkodę albo właśnie zabrać te dane, co może stać się z naszymi danymi? Myślę, że to jest też jakiś klucz albo taki krok w stronę zrozumienia tego o co chodzi w bezpieczeństwie. Co może z takimi danymi zrobić taka osoba, która je wykradnie?
(AK) Przede wszystkim myślę, że warto przypomnieć sobie czym są nasze dane osobowe i dlaczego one są tak ważne. W obecnych czasach nie każdy z nas zdaje sobie z tego sprawę, że nasze dane tak właściwie są swego rodzaju walutą i to właśnie naszymi danymi płacimy za różne usługi w sieci, za różne, chociażby portale serwisy społecznościowe i za różne inne miejsca, gdzie w tej sieci się poruszamy. Dlatego tak ważne jest, abyśmy dbali o nie i abyśmy dokładali wszelkich starań, żeby nasze dane nie wyciekły. Tak właściwie od naszych danych, od bezpieczeństwa naszych danych zależy ogólne bezpieczeństwo, a także bezpieczeństwo naszych chociażby środków finansowych czy naszych pieniędzy. My nie zawsze sobie zdajemy z tego sprawę, zwłaszcza przy zakładaniu kont na różnych mediach społecznościowych, w różnych serwisach czy w różnych usługach, jak wiele danych pozostawiamy o sobie w sieci albo jak wiele danych można z nich wyciągnąć, które mówią o nas. Myślę, że w kontekście danych osobowych i ochrony naszych danych i wycieku naszych danych warto jest poruszyć kwestie związane z bezpiecznymi hasłami, aby nasze hasła nigdy nie były powiązane z naszą osobą. Z tym, co mówi coś o nas, wyciek danych, jakichkolwiek o nas, może być furtką tak naprawdę do naszych pieniędzy czy do naszej tożsamości online. Tak właściwie wyciek naszych danych może mieć różne skutki w naszym takim życiu codziennym.
(FJ) Jeśli mówimy o wiedzy, bo naszym głównym celem w tym spotkaniu jest niesienie dalej wiedzy, przekazywanie tej wiedzy. Czy ta wiedza o bezpieczeństwie, czy ona jest skończona? Mam na myśli to, że wystarczy być może posiąść tylko jakiś taki ułamek wiedzy na temat bezpieczeństwa w internecie i tego się trzymać. Czy może z drugiej strony trzeba właśnie cały czas tę wiedzę zdobywać, aktualizować i pojawiają się nowe wątki, które powinniśmy wrzucać sobie właśnie do głowy?
(AK) Myślę, że tak jak w wielu innych aspektach naszego życia, stale podnosimy naszą wiedzę w różnych dziedzinach, tak samo powinniśmy stale dbać o taki nasz poziom wiedzy i kompetencji związanych z użytkowaniem sieci, użytkowaniem nowoczesnych technologii, bo tak samo jak rozwijają się nowoczesne technologie, internet, różne usługi, tak samo szybko przestępcy dostosowują się do tego i tak samo szybko oni reagują. Myślę, że tak samo jak dbamy o naszą taką higienę codzienną, tak samo myślę, że powinniśmy sobie przyswoić takie zasady cyberhigieny i stale je stosować, powinny one na stałe wejść do naszych codziennych nawyków i stale powinniśmy dbać o to, aby poziom naszej wiedzy, poziom naszych kompetencji się podnosił. Jeśli my nie będziemy na bieżąco z takimi nowinkami, nie będziemy na bieżąco śledzić tego, co się dzieje, niestety możemy wpaść w pułapkę i gdzieś niestety możemy skusić się i kliknąć niepotrzebnie w link, czy też pobrać jakieś złośliwe oprogramowanie na swój sprzęt.
(FJ) Uleganie pokusie tego kliknięcia ten link, czy to zależy od wieku?
(AK) Przede wszystkim pamiętajmy o tym, że ofiarą różnego rodzaju ataku cybernetycznego może zostać każdy z nas, bez względu na to, jakie jesteśmy płci, ile mamy lat, bo niestety cyberprzystępcy sprytnie działają, ich działania są coraz bardziej dopracowane, ich różnego rodzaju kampanie rzeczywiście bardzo często wyglądają na bardzo realistyczne ich maile, więc tak w zasadzie można śmiało powiedzieć, że każdy z nas może paść ofiarą. I czy to mówimy o człowieku indywidualnie, czy mówimy o organizacjach? Tak samo jak ofiarami mogą paść giganci, ponieważ słyszymy doniesienia o wycieku danych chociażby z Facebooka, czy z jakichś linii lotniczych, czy z jakichś ogromnych korporacji, tak samo na to narażone są mniejsze instytucje, mniejsze firmy, a także różnego rodzaju organizacje pozarządowe i myślę, że dlatego zawsze powinniśmy rozmawiać o bezpieczeństwie i zawsze powinniśmy pamiętać o tym bezpieczeństwie. I jeżeli decydujemy się na jakąkolwiek działalność w sieci, zawsze powinniśmy myśleć o bezpieczeństwie naszym, o bezpieczeństwie strony, z której chcemy korzystać, a także o bezpieczeństwie klientów i użytkowników, którzy w pewnym sensie powierzają nam swoje dane, powierzają nam swój czas, swoją aktywność. Zawsze ta kwestia bezpieczeństwa powinna być gdzieś tam na pierwszym miejscu, czy gdzieś tam na pewno na górze.
(FJ) Mówimy dużo o tym, że powinniśmy mówić o bezpieczeństwie, my mówimy dzisiaj, ale jest też dużo kampanii, dużo akcji internetowych, to jest na przykład Dzień Bezpiecznego Internetu, to jest kampania Chroń Dziecko w sieci, to są różne grupy docelowe, ale ten sam cel, więc pytanie, czy takie bezpieczeństwo w sieci może nas jednoczyć i też, czy takie działania przynoszą rezultaty, takie kampanie, które są wypuszczane dość szeroko.
(AK) Tak naprawdę myślę, że pandemia, z którą się borykaliśmy dwa lata temu, mocno przyspieszyła taką cyfrową rewolucję, z którą się cały czas gdzieś tam ścieramy. Teraz mam wrażenie, że my ludzie jesteśmy już trochę bardziej obyci z technologiami i lepiej sobie radzimy z różnego rodzaju zagrożeniami, ale te kwestie są bardzo ważne. My zawsze staramy się powtarzać, że cyberbezpieczeństwo, dbanie o takie nasze bezpieczeństwo online jest naszą wspólną odpowiedzialnością. Gdy mówimy o bezpieczeństwie, nie mówmy tylko o nas, o osobach, które na przykład posiadają strony internetowe, ale dbajmy też o naszych użytkowników. Jeśli decydujemy się na przykład na prowadzenie bloga internetowego, sklepu internetowego, czy jakiejkolwiek innej strony, pamiętajmy, żeby zadbać też o naszych użytkowników, żeby też gdzieś, jeśli chcemy ich gromadzić wokół siebie, czujmy się też odpowiedzialni za nich i starajmy się robić wszystko, aby rzeczywiście ten cały czas, co nam poświęcają dane, które nam poświęcają, żeby o nie zadbać, zadbać o ich bezpieczeństwo.
(FJ) Jak powinniśmy się zachować, kiedy te nasze dane wyciekną do sieci? Kiedy jest już za późno, a kiedy jeszcze jest jakiś taki mały margines, że możemy coś zrobić, możemy w jakiś sposób zachować się, zrobić krok do tyłu?
(AK) Są dostępne serwisy internetowe, na których można sprawdzić, czy nasze dane wyciekły. Można wprowadzić swój adres e-mail albo swój numer telefonu i sprawdzić, czy nasze dane wyciekły. Jeśli nasze dane wyciekły, to przede wszystkim zadbajmy o to, aby zmienić hasła w usługach, z których korzystamy, bo jeśli wyciekły nasze dane, nasz adres e-mail czy nasz numer telefonu, to istnieje duże prawdopodobieństwo, że mogły wyciec również nasze hasła, które umożliwią na przykład przestępcom dostęp do naszych kont bankowych, czy do innych wrażliwych danych, które gdzieś tam mogą im posłużyć, chociażby też do kradzieży tożsamości. Jeżeli doszło do wycieku, zachęcam, żeby zmienić hasła dostępu we wszystkich usługach, bo niestety my często mamy skłonność do zakładania kont i tworzenia takich samych haseł do wszystkich usług, co niestety może być dla nas bardzo zgubne i niestety może mieć dla nas bardzo poważne konsekwencje.
(FJ) To właśnie pytanie o taką higienę bezpieczeństwa. Czy powinniśmy na przykład, może jest to jakaś praktyka, a może nieco jakiś czas zmieniać hasła w ogóle do serwisów, z których korzystamy najczęściej?
(AK) To niedawno była taka praktyka i być może część z Państwa w różnych serwisach też tam serwis wymagał jakiejś tam cyklicznej zmiany haseł i gdzieś tam to było wymagane. Teraz najnowsze rekomendacje zakładają i mówią, żeby tego nie robić, bo niestety cykliczna zmiana haseł można powiedzieć w teorii, że była przydatna i że była bardzo dobra, ale niestety my zmieniając cyklicznie hasło najczęściej zmienialiśmy tak jak mieliśmy moje hasło czerwiec, to niestety w następnym miesiącu mieliśmy moje hasło lipiec. Niestety, ale my ludzie jesteśmy słabi w tworzeniu haseł i rzeczywiście często idziemy na skróty, dlatego nowe rekomendacje mówią, żeby nie zmieniać hasła cyklicznie, ale żeby tworzyć silne i długie hasło, minimum 12 znaków i żeby to były na przykład pełne zdania, czy jakieś frazy wynikające z połączeń, jakiś piosenek, przysłów, czy takie frazy, które będą nam się tylko kojarzyły. Hasła nie musimy zmieniać cyklicznie.
(FJ) Myślę, że możemy teraz trochę od strony organizacji społecznych spróbować spojrzeć na temat bezpieczeństwa. Takie pojęcia jak audyt strony internetowej, certyfikat SSL, różne wtyczki, to są pojęcia, które są znane, ale też pewnie dość mgliste, jeśli chodzi o ich wprowadzanie w organizacji. Myślę sobie, że organizacje mogą do końca nie wiedzieć jak wdrożyć pewne rozwiązania, albo nawet co one oznaczają, co ze sobą niosą. Gdzie powinniśmy szukać takich informacji od strony na przykład słowniczka, czy podstawowych takich pojęć, żebyśmy je po prostu rozumieli, a gdzie szukać też informacji o tym jak wdrożyć takie rozwiązanie.
(AK) Czasami trudno o dodatkowe środki finansowe, ale mimo to nie oszczędzajmy na bezpieczeństwie, zwłaszcza na tym takim cybernetycznym, bo myślę, że łatwiej jest zainwestować kilkaset czy kilka tysięcy złotych w jakieś rozwiązania, o których jeszcze będziemy za chwileczkę rozmawiać, niż na przykład później borykać się z ogromnymi stratami finansowymi związanymi z wyciekiem danych, czy z jakimś atakiem cyberprzestępców. Trzeba przeklikać się przez kilka stron internetowych i poszukać darmowych rozwiązań. One są bezpieczne i można z nich korzystać. Jak przygotować dobrą stronę internetową, jak zbadać ruch na naszej stronie, sprawdzić, które miejsca na naszej stronie są bardziej klikalne, które mniej klikalne, z jakiej strony do nas przychodzą użytkownicy. Myślę, że bardzo fajnym rozwiązaniem jest Google Analytics, które można sobie podpiąć pod swoją stronę internetową i samemu można sobie różne dane wyciągnąć i gdzieś tam sprawdzić, co na naszej stronie jest atrakcyjne, co być może powinniśmy zmienić. W internecie, na stronie Google z pewnością znajdziecie jakieś tutoriale, jak korzystać z takich rozwiązań i jak to zaimplementować i na swoją stronę internetową i jak tam się poruszać. Ja zachęcam do tego, żeby próbować, by się stale uczyć i nie bać się tych nowych technologii, bo my czasami mamy takie podejście, a dobra, to na pewno jest trudne, ja takich rzeczy nie potrafię, bo jestem, nie wiem, na przykład humanistą i ja w ogóle nie idę w takie klikanie. Próbujmy, sprawdzajmy, bo bardzo często są to intuicyjne narzędzia, które mogą być bardzo pomocne w promowaniu naszej marki i w zapewnieniu też bezpieczeństwa. Jeżeli będziemy próbować, jeśli będziemy się stale uczyć i gdzieś tam podnosić kompetencje, to rzeczywiście możemy otrzymywać fajne rezultaty i gdzieś ta nasza cała praca na pewno nie pójdzie na marne. Jeśli chodzi o różnego rodzaju certyfikaty, również zachęcam Państwa, żeby sprawdzić, co macie w pakiecie. Przeklikanie się i sprawdzenie, chociażby u swojego hostingodawcy, czyli u osoby, u której macie wykupioną stronę internetową, i czy na przykład taki certyfikat bezpieczeństwa na stronę internetową, certyfikat SSL, czy macie wykupiony na swoją stronę internetową, czy na pewno go macie. I żeby też dbać o to, żeby ten certyfikat był stala aktualny. To nie są duże koszta, wiem, że można też sobie wgrać taką darmową wersję i zachęcam, żeby to robić, żeby z tego korzystać, bo w ten sposób dbamy nie tylko o nas, o naszą markę, ale także dbamy o naszych użytkowników i o naszych klientów.
(FJ) Są też takie programy, prawda, na dofinansowanie, jeśli chodzi o bezpieczeństwo, jeśli chodzi właśnie o sfinansowanie tych spraw związanych z tymi rozwiązaniami, o których mówiliśmy, i innymi rozwiązaniami też. Czy organizacji powinny brać udział w takich konkursach grantowych, programach związanych z dofinansowaniem?
(AK) Jak najbardziej zachęcam do tego, zachęcam do odwiedzania i naszych stron rządowych, ale też szukania dotacji i dofinansowania u partnerów zagranicznych, bo czasami można nie tylko dostać dofinansowanie i sobie zapewnić fajne oprogramowanie czy skuteczne oprogramowanie, ale bardzo często można też podjąć działania w zakresie jakiejś tam współpracy, można zaangażować się w jakieś projekty społeczne, można zrobić coś razem i takie rozwiązania na pewno będą z korzyścią dla nas i dla naszej instytucji. Czasami procedury takich składania wniosków o projekt, czy składania wniosków o dofinansowanie mogą nas przerastać i gdzieś tam możemy czuć się niepewnie. Nie bójmy się, wypełniajmy takie formularze, praktycznie wszędzie też jest podany kontakt i jeśli nie potrafimy tego zrobić sami, to osoba gdzieś tam na infolinii poinstruuje nas, jak wypełnić taki wniosek, jakie dokumenty dostarczyć i nie rezygnujmy z tego, wręcz przeciwnie, starajmy się z tego korzystać, bo tak jak już powiedziałam, jest to dla nas i jest to po to, żebyśmy my się i rozwijali, ale żebyśmy też pomagali i naszym użytkownikom, naszym klientom i żebyśmy się spełniali w 100% w tym, co robimy.
(FJ) Jeszcze w kontekście organizacji społecznych, bo to jest specyficzna sytuacja, kiedy ktoś wiedziała w takiej organizacji i często laptop domowy, prywatny jest też laptopem, który jest wykorzystywany do pracy, to znaczy, że nie mamy takiego równego podziału, że to jest sprzęt, z którego korzystamy, jeśli chodzi o pracę, to jest sprzęt, z którego korzystamy, jeśli chodzi o nasze prywatne sprawy. Czy powinniśmy jednak doprowadzić do takich sytuacji, żeby gdzieś rozdzielić te dwa światy, bo wtedy być może jest to, jak je tak mieszamy, może jest to trochę bardziej jeszcze niebezpieczne?
(AK) Ja zawsze powtarzam, że tak samo jak w takim życiu codziennym powinniśmy pamiętać o zasadzie work-life balance i oddzielać nasze życie zawodowe od tego życia prywatnego, tak samo taką zasadę powinniśmy wprowadzić właśnie w tych takich sferach związanych z naszą pracą, związaną ze sprzętem, z pocztą. Nigdy nie powinniśmy łączyć spraw zawodowych ani prywatnych. Starajmy się robić tak, że sprzęt służbowy wykorzystujemy tylko w celach służbowych, a sprzęt prywatny w celach prywatnych. Ja wiem, że to może być trudne i czasami wręcz nie do przeskoczenia i jeśli naprawdę Państwo już nie macie innego wyjścia i gdzieś ten sprzęt jest jeden, to starajcie się zawsze mieć dwa konta użytkowników, czyli jedno to konto użytkownika, które będzie przeznaczone do tych celów powiedzmy służbowych, a drugie konto użytkownika, które będziecie mieli Państwo też zabezpieczone hasłem, to będzie oddzielne hasło, oddzielne konto do tych spraw prywatnych. Nie jest to najlepsze rozwiązanie, ale już w drodze wyjątku starajmy się te rzeczy rozdzielać, bo niestety wypadki chodzą po ludziach, różne rzeczy się dzieją i czasami my nawet na to wpływu nie mamy i mieszanie takich spraw niestety może mieć dla nas bardzo różne konsekwencje. Może się też wiązać chociażby z utratą nie tylko danych prywatnych, ale też właśnie danych służbowych, które gdzieś tam nie powinny ujrzeć światła dziennego czy być tam przekazane do osób trzecich.
(FJ) Pełną wersję rozmowy z Anną Kwaśnik znajdziecie na blogu Sektor 3.0. Zachęcamy do odwiedzenia naszej strony, subskrybowania newslettera i odsłuchania innych odcinków naszego podcastu. Do usłyszenia!