Bezpieczne dane w sieci, czyli... jakie?

Gdy mówimy o zagrożeniach w Internecie, czesto myślimy o bezpieczeństwie różnych danych. Bezpiecznych, czyli jakich? Najprościej mówiąc takich, które sprostają ogólnym zagrożeniom. Jednym z najbardziej uniwersalnych podejść do problemu była tzw. triada PID (ang. CIA triad). W jej ujęciu bezpieczeństwo zapewniały trzy atrybuty: poufność, integralność oraz dostępność. Poufność to gwarancja, że nikt nieupoważniony nie będzie miał dostępu do danych. Aby ją zachować, najczęściej stosujemy szyfrowanie danych podczas ich przesyłania oraz przechowywania. Integralność oznacza pewność, że nie dojdzie do nieautoryzowanych, czyli niekontrolowanych i nieuprawnionych zmian danych. Z kolei dostępność to racjonalne „dawkowanie” informacji –  uprawnieni użytkownicy powinni posiadać dostęp do usług i zasobów wtedy, gdy tego potrzebują.    

Bezpieczeństwo



Szyfrowanie

Aby zrozumieć konieczność szyfrowania komunikacji, cofnijmy się do czasów II wojny światowej. Skoordynowanie działań wojsk wymagało przesyłania rozkazów na znaczne odległości. Ich nadawanie drogą radiową było niezwykle szybkie i wygodne, ale też łatwe do podsłuchania – wystarczyło być w zasięgu nadajnika. Aby to uniemożliwić, szyfrowano je, np. przy pomocy Enigmy. Nawet jeśli ktoś podsłuchał transmisję, nie był w stanie jej odszyfrować bez odpowiedniego klucza deszyfrującego. Dokładnie tak samo należy traktować przesyłanie informacji w Internecie – na każdym kroku może się tu czaić chętny do pozyskania naszych  danych uwierzytelniających, np. do banku. Dlatego, gdy korzystamy z witryn wymagających uwierzytelniania, zwracajmy uwagę na to, czy połączenie jest szyfrowane. 

Adres takich stron w przeglądarkach zaczyna się od https:// i zazwyczaj symbolizowany jest ikoną zamkniętej kłódki. To jednak wciąż nie oznacza pełnego bezpieczeństwa ani prawdziwości takiej strony. To jedynie pewność, że nikt nie może zobaczyć tego, co przesyłamy. Od tej zasady istnieją dwa główne wyjątki, ale to temat na inny artykuł. Zapamiętajmy jedno: fałszywa strona banku, serwisu społecznościowego czy skrzynki e-mail również może mieć taką kłódkę. Z tego powodu przeglądarki internetowe powoli odchodzą od jej wyświetlania – może wzbudzać złudne poczucie bezpieczeństwa. Naszą czujność powinny obudzić np. takie komunikaty:

  • „ta witryna nie jest bezpieczna”, 
  • „połączenie nie jest bezpieczne”, 
  •  „połączenie nie jest prywatne”.

…lub fakt, że strona, na której mamy dokonać uwierzytelnienia, nie zaczyna się od https. Może to świadczyć o jej błędnej konfiguracji lub próbie nieautoryzowanego podsłuchania naszej komunikacji. 

Poufność

Szersze znaczenie w kontekście bezpieczeństwa informacji ma poufność – chronione dane nie powinny dotrzeć do osób niepowołanych i nieupoważnionych. Oprócz konieczności szyfrowania komunikacji z witrynami internetowymi poufność oznacza też dbałość o to, by dostęp do informacji miały tylko autoryzowane osoby. Nie umieszczajmy chronionych zasobów na ogólnodostępnych stronach internetowych i nie udostępniajmy nikomu naszych danych uwierzytelniających. Pamiętajmy, że można łatwo zrobić to nieświadomie i pośrednio, np. zapisując hasła do komputera lub maila na karteczce na monitorze, w leżącym obok notesie lub pliku na pulpicie. Innym popularnym błędem jest stosowanie tych samych danych uwierzytelniających w wielu serwisach.

Integralność

Integralność oznacza pewność, że nie dojdzie do nieautoryzowanych zmian podczas przetwarzania danych. Pobierając aplikacje z sieci sprawdzajmy, czy nie zostały one zmodyfikowane „po drodze”, zanim trafiły do naszego komputera. Jedną z technik ataku hakerskiego jest „doklejenie” na końcu pobieranego pliku złośliwego oprogramowania. Dlatego, mając możliwość, warto porównywać tzw. sumy kontrolne funkcji skrótu, opublikowane przez producenta na stronie pobranego oprogramowania, z tymi figurującymi w naszych plikach. Sprawdzanie, czy otrzymaliśmy to, czego oczekiwaliśmy, warto też stosować podczas korzystania z bankowości elektronicznej: zawsze weryfikujmy i czytajmy ze zrozumieniem SMSy lub powiadomienia dotyczące transakcji w aplikacjach bankowych – zdarza się, że haker mając dostęp do naszego konta, dodaje siebie jako odbiorcę zaufanego lub zmienia numer konta odbiorcy przelewu bądź kwotę przelewu z użyciem złośliwego oprogramowania zainstalowanego na naszym sprzęcie. 

Atak na integralność i autentyczność spotykamy również w zabiegach socjotechnicznych. Jak wskazywaliśmy w poprzednich artykułach, pod każdy adres e-mail i numer telefonu można się podszyć. Istnieją też metody modyfikacji przesyłanych danych czy treści informacji. Wątpimy, czy dane pochodzą od właściwego nadawcy? Podejrzewamy, że zostały zmodyfikowane po drodze do naszej skrzynki? Dla pewności użyjmy innego kanału komunikacji, by je potwierdzić. Jeżeli otrzymamy od znanej nam osoby niecodzienną prośbę lub nietypowe mailowe polecenie od przełożonego, skontaktujmy się z nimi telefonicznie, by potwierdzić informacje. 

Kwestie poufności i integralności danych poruszane są też w RODO. Rozporządzenie reguluje szereg zasad związanych z przetwarzaniem danych osobowych. Pamiętajmy, że zapewnienie bezpieczeństwa danych to szeroki temat i oznacza też ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem (za pomocą odpowiednich środków technicznych lub organizacyjnych). Mamy więc obowiązek chronić zarówno dane, jak i sprzęt służący do ich przetwarzania. 

Dostępność

Ta kwestia zwykle leży daleko poza naszym obszarem zainteresowań. To dostawcy usług i administratorzy sieci są odpowiedzialni za to, abyśmy mogli w nieprzerwany i niezakłócony sposób korzystać z dostępnych zasobów. Istnieje jednak aspekt, za który jesteśmy odpowiedzialni osobiście. Jak pisaliśmy w pierwszym odcinku cyklu, złośliwe oprogramowanie szyfrujące typu ransomware może uniemożliwić nam dostęp do plików. Dlatego regularnie wykonujmy kopie zapasowe, by nie utracić dostępu do naszych danych. Kopie te (ang. backup copy) to duplikaty plików w chmurze lub na zewnętrznym i niepodłączonym przez cały czas do naszego urządzenia nośniku danych. Jak często je wykonywać? Nie ma na to uniwersalnej odpowiedzi. Wiele zależy od tego, jak często tworzymy nowe pliki na naszym urządzeniu lub modyfikujemy istniejące. Pamiętajmy zawsze o najgorszym możliwym scenariuszu – utracie wszystkich plików, których kopii zapasowej jeszcze nie utworzyliśmy. To nam pomoże znaleźć złoty środek między uciążliwością jej wykonania, a liczbą potencjalnie utraconych plików.

Bezpiecznego surfowania!







Daniel Świątek, Hestia Corporate Solutions

Warto wiedzieć

Bezpieczne dzieci w sieci

Bezpieczeństwo urządzeń mobilnych

Hasła, czyli o uwierzytelnianiu słów kilka...

Nie każdemu złośliwemu oprogramowaniu na imię wirus

Najczęstsze techniki i schematy działań hakerów część 1

Najczęstsze techniki i schematy działań hakerów część 2

Używasz starej wersji przeglądarki internetowej!

Używasz starej wersji przeglądarki internetowej, aby korzystać z wszystkich funkcjonalności strony pobierz nowszą wersję przeglądarki. Obsługujemy Internet Explorer 11, Firefox 25, Chrome 30, Edge 25, Safari i nowsze wersje tych przeglądarek

×