Dzień Bezpiecznego Internetu 2024 w Twojej organizacji: wskazówki i inspiracje

sektor3-0.pl 10 miesięcy temu

Wielkimi krokami zbliża się Dzień Bezpiecznego Internetu (DBI), który w tym roku przypada 6 lutego. Przyznam szczerze, iż kiedy widzę kolejny tekst o profilaktyce zagrożeń online, odruchowo przewracam oczami, a mój palec bezwiednie kieruje się ku krzyżykowi w prawym górnym rogu ekranu. Ile razy można wałkować ten sam temat? – mruczę pod nosem. Macie podobnie? A potem wzdycham, cofam palec i czytam, bo bezpieczeństwo w sieci to taki temat, z którym trzeba być na bieżąco. Brak wiedzy w tym zakresie może słono kosztować: Was osobiście i Wasze organizacje też.

Dzień Bezpiecznego Internetu 2024. Co to jest bezpieczna sieć?

Dzień Bezpiecznego Internetu (DBI) został ustanowiony przez Komisję Europejską w 2004 roku i obchodzony jest na całym świecie. To inicjatywa na rzecz bezpieczeństwa młodych internautów, ale i wszystkich użytkowników i użytkowniczek sieci. Polskie Centrum Programu Safer Internet (PCPSI), składające się z NASK i Fundacji Dajemy Dzieciom Siłę, organizuje wydarzenie w Polsce od 2005 roku. Głównym partnerem jest Fundacja Orange. Celem DBI jest działanie na rzecz bezpiecznego dostępu dzieci i młodzieży do zasobów internetowych, uwrażliwianie na te kwestie przedstawicieli sektora edukacyjnego, rodziców, ora promocja pozytywnego wykorzystywania Internetu. Obchody DBI 2024 są planowane do końca marca, z galą 6 lutego w Warszawie i online. Edukatorzy i edukatorki zaangażowani w DBI mogą uczestniczyć w webinarach dotyczących profilaktyki online do końca marca. Organizatorzy zachęcają szkoły, firmy i organizacje do tworzenia lokalnych inicjatyw związanych z problematyką bezpieczeństwa online i zgłaszania ich do końca marca 2024.

Jest święto – są życzenia! Z okazji Dnia Bezpiecznego Internetu życzę Wam:

  • Mądrych wyborów online i świadomej aktywności w wirtualnym świecie.
  • Niech Wasze hasła będą silne, a Wasze dane zawsze w bezpiecznych rękach.
  • Niech cyberprzestrzeń będzie dla Was miejscem, gdzie każdy klik to krok w kierunku bezpiecznych i pozytywnych doświadczeń.

Jak wiadomo, życzenia same się nie spełniają… Dlatego przygotowałam dla Was trzy wskazówki, dzięki którym będziecie sprawniej meandrować między zagrożeniami czyhającymi w świecie cyfrowym. A ponieważ wiedzą warto się dzielić pod wskazówkami, znajdziecie garść inspiracji jak świętować Dzień Bezpiecznego Internetu w Waszej organizacji.

Razem dla lepszego Internetu. 3 wskazówki na Dzień Bezpiecznego Internetu (DBI)

Sprawdź, czy Twoje dane nie wyciekły

Coraz więcej spamu na skrzynce e-mailowej, podejrzanych SMS-ów, telefonów od konsultantów z propozycjami „nie do odrzucenia”? Być może robiąc zakupy online nieopatrznie zaznaczyłeś_aś tzw. zgody marketingowe i Twoje dane powędrowały nie tylko do bazy klientów sklepu, ale i jego 20 partnerów. Takie zgody możesz w każdej chwili wycofać.
A co, jeżeli doszło do nieuprawnionego wycieku Twoich danych? Cóż, najpierw musisz się o tym dowiedzieć. Do takiego wycieku może dojść z dwóch stron:

  • z bazy danych firmy czy instytucji, którym je udostępniłeś – pomyśl o wszystkich aplikacjach, kartach lojalnościowych, portalach społecznościowych, hotelach, w których spałeś itp. Trochę tego jest, prawda? Każde takie miejsce może paść ofiarą cyberataku i Twoje dane mogą zostać upublicznione;
  • bezpośrednio z Twojego urządzenia, które zostało zainfekowane szkodliwym oprogramowaniem, przekazującym Twoje dane cyberprzestępcom – taka sytuacja miała miejsce podczas głośnego cyberataku z maja zeszłego roku. Wyciekła wówczas baza danych użytkowniczek i użytkowników z Polski zawierająca ponad 6 milionów wierszy z danymi do logowania m.in. na Facebooka, Allegro, gov.pl. W tym wypadku zabezpieczenia portali były skuteczne, a dane wyciekały od poszczególnych osób.

W jaki sposób możesz dowiedzieć się, czy Twoje dane wyciekły?

Sprawdź to na stronach Have I Been Pwned lub Bezpieczne dane.

Bezpieczne dane to serwis Centralnego Ośrodka Informatyki, który umożliwia zweryfikowanie czy Wasze dane wyciekły w maju 2023 r. w ramach wspomnianego wyżej ataku lub w grudniu 2023 w ataku na firmę Alab, gdzie informacje na temat jej pracowników i pacjentów. Aby to sprawdzić, musisz się zalogować na jeden z poniższych sposobów:

Have I Been Pwned to popularny serwis zbierający dane z wielu dużych wycieków. Wystarczy wpisać swój adres e-mail lub adres Waszej organizacji i kliknąć napis po prawej stronie „pwned?”
Jeśli Waszym oczom ukaże się ekran z zielonym tłem – nie ma się co martwic – Wasze dane nie zostały upublicznione. Gorzej, jeżeli pojawi się komunikat „Oh no – pwned!” na czerwonym tle. W takim przypadku trzeba działać. Bezpośrednio pod komunikatem znajdziecie trzy kroki do zwiększenia bezpieczeństwa – to reklama 1Password – jednego z menedżerów haseł. Warto rozważyć korzystanie z tego rodzaju programu. Bezpłatną alternatywą, którą polecamy jest Bitwarden.

Jeszcze niżej przeczytacie, jakiego typu dane zostały upublicznione i skąd wyciekły. W prezentowanym przeze mnie przykładzie wyciekły dane 137 milionów osób korzystających z serwisu Canva: adresy e-mailowe, nazwy użytkownika, hasła i lokalizacje. jeżeli jesteście wśród nich pora zmienić hasła.

Zadbaj o swoje hasło

Nie zliczę sytuacji, gdy osoby uczestniczące w moich warsztatach próbowały dzielić się ze mną swoimi hasłami: „Bo Pani szybciej wpisze”, „Ja mam imię dziecka i rok urodzenia”, „Wszędzie mam takie samo, bo trudno te wszystkie hasła zapamiętać”, „Ja mam różne i nie muszę pamiętać, bo noszę je przy sobie” – tu osoba wyciągnęła z etui telefonu karteczkę z hasłami. Bardzo rozczulają mnie te wspomnienia, są wyrazem dużego zaufania i więzi, która buduje się podczas zajęć. Są również dowodem na to, iż Dzień Bezpiecznego Internetu jest przez cały czas potrzebny.

Tworząc swoje hasła, miejcie na uwadze, iż co do zasady są dwie grupy osób, które mogą chcieć je złamać:

  • takie, które Was znają i dużo o Was wiedzą – dlatego imiona (Wasze, dzieci, zwierząt), daty urodzenia i inne powszechnie znane o Was informacje nie są dobrym materiałem na hasło. Choć wiem, iż pokusa ich wykorzystania jest ogromna, bo łatwo je zapamiętać;
  • cyberprzestępcy, dla których jesteście anonimowymi ofiarami – takie osoby często rozsyłają programy służące do łamania haseł, które przez nieuwagę instalujemy na naszych urządzeniach. Tutaj znaczenie ma stopień skomplikowania naszego hasła – im dłuższe i bardziej skomplikowane (tzn. zawierające małe i wielkie litery, cyfry i znaki specjalne), tym lepiej, bo program będzie potrzebował więcej czasu, żeby je złamać, np. kilku miesięcy. jeżeli w międzyczasie przeskanujemy urządzenie antywirusem, mamy szanse pozbyć się intruza, zanim narobi poważniejszych szkód.

Pisząc te słowa z jednej strony czuję, iż powielam truizmy. Jednak, gdy spoglądam na statystyki widzę, iż wiedza na ten temat przez cały czas jest potrzebna. Oto lista najpopularniejszych haseł na świecie w 2023 roku, opracowana przez firmę NordPass (to również nazwa popularnego menedżera haseł). Każde z nich można złamać w niecałą sekundę:

Ranking najpopularniejszych haseł w Polsce prezentuje się podobnie. Oto dane z 2022 r.:Wśród osób, z którymi na co dzień współpracujecie, wśród beneficjentek i beneficjentów Waszych działań mogą znajdować się osoby, które korzystają z takich właśnie haseł. Dzień Bezpiecznego Internetu to dobry moment, żeby ten temat poruszyć. jeżeli Wasz lub Waszych bliskich hasło znajduje się na powyższych listach – koniecznie trzeba je zmienić na bardziej skomplikowane.

Jak sprawdzić, czy udało Wam się stworzyć wystarczająco silne hasło?Chociażby na stronie How Secure Is My Password. W białe pole wpisujemy pomysły na hasła i odczytujemy, ile czasu potrzeba na jego złamanie. I tak, na złamanie hasła 12345678910 wystarczą tylko dwie sekundy.

Podczas prowadzonych przeze mnie warsztatów często spotykam się z sytuacją, iż osoby uczestniczące nie mają pomysłu na hasło, które byłoby wystarczająco skomplikowane, żeby być trudnym do złamania i jednocześnie łatwym do zapamiętania. Podpowiadam im wtedy, żeby wykorzystały piosenkę lub wiersz, które dobrze znają i w oparciu o nie stworzyli swoje hasła.

Ćwiczymy to na przykładzie słów piosenki:
Wlazł kotek na płotek i mruga, ładna to piosenka, nie długa.
Możemy je zapisać dzięki pierwszych liter kolejnych wyrazów: WkNpiM,łTp,Nd.

Stosujemy naprzemiennie małe i wielkie litery, zostawiamy w haśle znaki przestankowe tym samym zwiększając jego siłę. Jaki jest efekt końcowy? Zamiast 2 sekund mamy 600 miliardów lat!

Oczywiście biorąc pod uwagę błyskawiczny postęp technologiczny, nie można spocząć na laurach, warto od czasu do czasu monitorować hasłowy temat. Niemniej 600 miliardów lat brzmi całkiem optymistycznie.
Pamiętajcie o tym, iż nie powinniśmy stosować jednakowego hasła w wielu miejscach w sieci, dlatego nasze hasło podstawowe WkNpiM,łTp,Nd możemy uzupełnić na początku lub na końcu np. o nasze skojarzenia z danym portalem:

  • media społecznościowe – skojarzenie: „znajomi”; proponowane hasło: „znajWkNpiM,łTp,Nd”,
  • skrzynka e-mailowa – skojarzenie: „koperta”; proponowane hasło: „kopeWkNpiM,łTp,Nd”.

Zdarza się, iż na warsztatach śmiejemy się, iż teraz wszyscy będą używać takich właśnie identycznych haseł, a ja teatralnie łapię się za głowę i grożę palcem.

Zwróćcie jeszcze uwagę na literę „ł”, która pojawia się w zapisie hasła. To może stanowić wyzwanie podczas wyjazdu za granicę i korzystania z obcojęzycznej klawiatury.

W praktyce bywa, iż coraz częściej korzystamy z tego samego hasła, bo logujemy się na różnych stronach np. dzięki konta Google czy konta Microsoft, nie tworząc osobnych profili użytkowników_czek. Tym bardziej zadbajmy o to, żeby było silne i monitorujmy czy przypadkiem nie wyciekło do sieci.

Uodpornij się na phishing

Phishing to rodzaj cyberataku, którego celem jest wyłudzenie poufnych informacji na Wasz temat, takich jak:

  • dane do logowania,
  • numer PESEL,
  • numery kart kredytowych,
  • miejsce urodzenia,
  • nazwisko panieńskie matki,
  • poufne informacje na temat Waszej organizacji.

Przestępca podszywa się pod wiarygodne instytucje, np. urzędy administracji publicznej, firmy kurierskie a choćby pod Waszych znajomych. Początkowo ataki phishingowe miały postać fałszywych e-maili, od jakiegoś czasu coraz popularniejsze są ataki SMS-owe lub za pośrednictwem portali społecznościowych i komunikatorów. Schemat takiego ataku wygląda zwykle następująco:

  1. Otrzymujemy fałszywą wiadomość, której się nie spodziewamy, ale jest ona łudząco podobna do oficjalnego komunikatu.
  2. Z treści wiadomości wynika, iż wystąpiła nadzwyczajna sytuacja, która wymaga od nas podjęcia natychmiastowego działania, np. z powodu rzekomej niedopłaty zostanie nam odłączony prąd, musimy dopłacić niewielką kwotę do wysłanej do nas paczki itp.
  3. Wiadomość zawiera link do fałszywej strony internetowej, która wyglądem przypomina oryginalną, gdzie mamy podać poufne informacje. Czasami mamy podać te dane bezpośrednio w odpowiedzi na maila czy wiadomość na komunikatorze.
  4. W oparciu o podane przez nas dane następuje, przestępca robi zakupy, zaciąga pożyczkę, otrzymuje dostęp do naszego konta bankowego czy innych usług online.

Niekiedy fałszywe wiadomości zawierają złośliwe załączniki lub linki, które po kliknięciu instalują na naszym komputerze złośliwe oprogramowanie. Oto kilka przykładowych wiadomości mających na celu wyłudzenie moich danych, które otrzymałam mailem lub SMS-em:

Czytając tego typu wiadomości zestawione obok siebie, nietrudno o myśl – „przecież ja bym się na coś takiego nie nabrał_a”. Podobnie mówią osoby, które doświadczyły wyłudzenia danych poprzez atak phishingowy: iż w normalnych okolicznościach by się nie nabrały (przecież nie raz, nie dwa, ignorowały podobne wiadomości), ale akurat tamtego dnia bardzo się spieszyły, były nieuważne, faktycznie czekały na przesyłkę kurierską i kliknęły…

Twórcy tego typu wiadomości robią wiele, aby nadać im wiarygodności, np.:

  • w tytule wiadomości o spadku pojawia się moje imię i nazwisko, a w treści maila pada nazwisko rzekomego krewnego, które pokrywa się z jednym członem mojego,
  • w fałszywej wiadomości od policji podana jest sygnatura akt, nazwy adresów mailowych zawierają frazę „gov.pl”, co sugeruje organizację rządową, przestępcy zuchwale podpisują się prawdziwym nazwiskiem Komendanta Centralnego Biura Zwalczania Cyberprzestępczości,
  • w SMS-ie o odłączeniu prądu podano link sugerujący bezpieczne połączenie zaczynający się od „https” i zawierający w adresie „pge” (skrót od Polska Grupa Energrtyczna),
  • w SMS-ie o zatrzymanej przesyłce pada nazwa realnej firmy kurierskiej DPD.

Jednocześnie wiadomości phishingowe zawierają często pewne charakterystyczne elementy. Co powinno wzbudzić naszą czujność?

  • błędy w wiadomościach: brak polskich znaków, literówki w tekście, nietypowa konstrukcja zdań. Uwaga – wykorzystywanie sztucznej inteligencji do tworzenia ataków phishingowych może je niedługo wyeliminować!
  • skrócone adresy stron internetowych – zanim klikniesz, najedź wskaźnikiem myszy na link, a na dole przeglądarki zobaczysz pełen adres strony, do której link prowadzi,
  • adres mailowy nadawcy – sprawdź czy na oficjalnej stronie instytucji widnieją adresy o tej samej domenie, uważaj na literówki i zastępowanie kropek myślnikami w fałszywych adresach,
  • prośba o podanie poufnych informacji, choćby jeżeli na pierwszy rzut oka wydaje się uzasadniona – banki i urzędy nie proszą o takie dane mailem czy SMS-em.

Po takiej dawce teorii pora na odrobinę praktyki. Czy będziesz w stanie rozpoznać fałszywą wiadomość? Rozwiąż Phishing Quiz i sprawdź czy jesteś podatna_y na tego typu manipulacje!

Co zrobić, jeżeli rozpoznawanie phishingu przez cały czas stanowi dla Ciebie wyzwanie? Skorzystaj z darmowych narzędzi proponowanych przez IMNS Polska:

  • phishing security test i social media phishing test – które pomogą Tobie i osobom z Twojej organizacji rozpoznawać sfałszowane wiadomości,
  • phish alert buton – przycisk, który można dodać do popularnych programów obsługujących pocztę elektroniczną. Przycisk umożliwia zgłaszanie podejrzanych wiadomości jednym kliknięciem.

Chcesz dowiedzieć się więcej? Obejrzyj rozmowę z Anną Kwaśnik, ekspertką NASK: Nie klikaj w ten link! Jak dbać o swoje bezpieczeństwo online?

Jak świętować Dzień Bezpiecznego Internetu 2024 w Waszej organizacji?

Oto kilka pomysłów na dzień lepszego Internetu i promocję pozytywnego wykorzystywania internetu w Waszym stowarzyszeniu lub fundacji.

Zorganizuj spotkanie o bezpieczeństwie dla zespołu Fundacji – korzystając z powyższych wskazówek sprawdźcie, czy Wasze dane nie wyciekły, jak silne macie hasła, rozwiążcie wspólnie phishing quiz. W natłoku codziennych obowiązków trudno wygospodarować na to czas. Niech Dzień Bezpiecznego Internetu będzie impulsem do wpisania takiego spotkania w Wasz kalendarz!

Zapiszcie się na jeden z kursów online przygotowanych z myślą o osobach pracujących w organizacjach pozarządowych:

Cyfrowa defensywa – wprowadzenie do cyberbezpieczeństwa w organizacji – kurs dla osób początkujących w tym temacie, jego ukończenie zajmie Wam 3 godz.

Cyberbezpieczeństwo w organizacji – od teorii do praktyki – kurs dla osób średniozaawansowanych, zajmuje 3-4 godz.

Oba kursy można rozpocząć w dowolnym momencie i pracować w swoim tempie. Nie trzeba przechodzić całego kursu w ciągu jednego dnia.

Posłuchajcie podcastu Sektora 3.0 o hasłach, linkach i bezpieczeństwie w sieci, który trwa 16 minut – w sam raz do kawy!

Wybierzcie się na Galę Dnia Bezpiecznego Internetu do Warszawy (zapisy tutaj) albo obejrzyjcie transmisję Gali która odbędzie się tutaj.

Weźcie udział w jednym z webinarów prezentujących szczegółowe zagadnienia związane z bezpieczeństwem (m.in. sztuczna inteligencja, dezinformacja, media społecznościowe, hejt, higiena cyfrowa). Listę webinarów znajdziecie tutaj: https://www.saferinternet.pl/dbi/webinary.html . A może warto zaprosić Waszą społeczność do wspólnego oglądania, po którym odbędzie się spotkanie dyskusyjne pogłębiające dany temat?

Zaproście zaprzyjaźnione szkoły do wzięcia udziału w Lekcji DBI. Lekcje z podziałem na grupy wiekowe realizowane są online w godzinach przedpołudniowych do końca marca 2024 r. Wykaz dat i tematów znajdziecie tutaj.

Zorganizujcie warsztaty dla społeczności lokalnej online dotyczące bezpieczeństwa internetowego. Materiały edukacyjne skierowane do różnych grup wiekowych przydatne do przygotowania takich zajęc przejrzycie tutaj.

Przygotujcie quiz online, prezentację interaktywną lub grę edukacyjną, które pomogą w przekazywaniu informacji na temat bezpiecznego korzystania z Internetu. Możecie wykorzystać do tego Mentimeter (tu uczymy, jak z niego skorzystać) lub Narpod (o tym narzędziu również napisałam artykuł).

Na którykolwiek z pomysłów się zdecydujecie, warto zgłosić go na stronie. Otrzymacie wówczas pakiet materiałów edukacyjnych, banery oraz grafiki do wykorzystania podczas realizacji i promocji DBI. Ponadto każda instytucja, która zarejestruje swoją inicjatywę, otrzyma elektroniczne zaświadczenie udziału. Do tej pory zgłoszono ponad 1500 inicjatyw! Będzie się działo!

Przeczytaj także

Cyfrowy reset w 5 krokach. Zrób miejsce w komputerze i w swojej głowie na nowy rok
Jak rozmawiać, edukować i dbać o bezpieczeństwo młodych ludzi w Internecie?
Jak chronić prywatność i dbać o bezpieczeństwo w Internecie? Radzi Gosia Fraser

Idź do oryginalnego materiału