Jak zabezpieczyć dane przed kradzieżą?

W obecnych czasach, wszechobecność internetu oraz jego niemożliwa do przecenienia użyteczność jako narzędzia, umożliwiającego szybkie i łatwe przesyłanie i gromadzenie danych oraz sprawne załatwianie spraw typowych dla codziennego życia (spraw urzędowych, płatności, komunikacji) doprowadziły do sytuacji, w której w wirtualnym świecie egzystuje coraz więcej danych, określanych jako poufne lub wrażliwe (numery kont bankowych, bazy danych, dane medyczne itp). Osoby lub instytucje gromadzące tego rodzaju informacje „drżą” na myśl, iż mogłyby one zostać skradzione. Ważne jest więc, aby poprzez odpowiednie postępowanie zminimalizować ryzyko takiej ewentualności.

 

Czy możliwe jest takie zabezpieczenie danych, że ich wykradzenie będzie po prostu niemożliwe?

 

Niestety nie. Internet to pole ciągłej wojny pomiędzy informatykami a cyberprzestępcami. Co prawda stale powstają nowe rodzaje zabezpieczeń, ale w praktyce jedynie zmniejszają one prawdopodobieństwo stania się ofiarą internetowej kradzieży, a nie likwidują je zupełnie.

 

Czy w związku z tym, zamieszczanie danych w sieci jest krokiem ryzykownym i nieodpowiedzialnym?

 

Nie, aż tak źle nie jest. Powiedziałbym nawet że jest dokładnie odwrotnie. Systemy zabezpieczeń są coraz doskonalsze; do tego stopnia, że ryzyko ich utraty jest zdecydowanie niższe niż ryzyko kradzieży portfela lub włamania do mieszkania. Za 2017 rok wszczęto 374 postępowania związane z Ustawa o ochronie danych osobowych, art. 49 – 54, przy czym stwierdzono 179 przestępstw (wykryto 114). W tym samym roku, przypadków kradzieży z włamaniem stwierdzono 53 496, a zwykłych kradzieży: 107 701! Widać zatem wyraźnie, o ile bezpieczniejsza jest sieć, niż realny świat. Zwłaszcza, że użytkownicy internetu odpowiedzialni za poufne dane swoje lub cudze, mogą wspomóc pracę twórców zabezpieczeń poprzez podjęcie prostych działań jeszcze bardziej utrudniających życie cyberprzestępcom.

 

Jakie to działania?

 

Hasła

Zasadniczo jest ich kilka. Pierwsza dotyczy haseł. Zwykłe hasła broniące dostępu do stron zawierających poufne dane – np. informacje dotyczące klientów firm – składające się z ciągu cyfr i liter są stosunkowo łatwe do złamania przez sprawnego hakera, (zwłaszcza jeżeli ich twórca nie wykaże się wyobraźnią ustawiając jako hasło np. nazwę firmy i rok jej założenia). Dlatego tez ważne jest, aby zwykłe hasło wspomóc dodatkowo sprawniejszymi metodami uwierzytelniającymi, jak chociażby weryfikacja poprzez skan linii papilarnych użytkownika sprzętu (telefonu, tabletu), ewentualnie stosowanie tokenów, czyli generatorów jednorazowych kodów, urządzeń elektronicznych służących do uwierzytelniania transakcji internetowych.

 

Karty płatnicze

Inna metoda jest bardziej typowa dla użytkowników indywidualnych niż firm chcących chronić swoje bazy danych. Mowa tu o zaprzestaniu używania kart płatniczych z paskami magnetycznymi. Na tymże pasku zamieszczony jest kod weryfikacyjny, który może zostać łatwo przechwycony przez odpowiedni program zamieszczony w oprogramowaniu umożliwiającym realizację płatności internetowych, a następnie skopiowany przez czytnik. W rezultacie, zwykła płatność kartą w sklepie czy restauracji może zakończyć się… utratą pieniędzy z konta na rzecz hakera, który złamał kod zamieszczony na magnetycznym pasku.

 

Dane w chmurze

Kolejna sprawa ma związek z chmurami obliczeniowymi. Ta technologia rozwija się bardzo szybko, w rezultacie czego coraz więcej poufnych informacji jest zamieszczanych właśnie w chmurach. Chcąc bezpiecznie logować się do „swoich” chmur, zamiast cyfrowo – literowych haseł, można użyć sprzętu mobilnego (np. smartfonu) wyposażonego w oprogramowanie umożliwiające logowanie się do chmury dzięki zbliżeniu jednego urządzenia – telefonu – do innego, z którego także można połączyć się z internetem (laptop, terminal). Oprogramowanie telefonu generuje jednorazowy kod; użytkownik nie musi więc zapamiętywać wielu haseł, a haker złamać ich, ponieważ już po jednym użyciu stają się nieaktualne.

 

Zabezpieczenie wielopoziomowe

Jednak najbezpieczniejsze będzie stosowanie strategii wielopoziomowych; składają się na nie uwierzytelnienie użytkownika, może to być klient, pracownik, właściciel firmy, następnie uwierzytelnienie sprzętu, a potem odpowiednie zabezpieczenie przeglądarek internetowych, odpowiednich aplikacji oraz dokonywanych on-line transakcji. Jeżeli taki zespół zabezpieczeń wspomożemy odpowiednim oprogramowaniem antywirusowym, ryzyko skutecznego ataku hakera spada niemal do zera.

 

Czy istnieją jeszcze jakieś sposoby?

Ależ oczywiście. Część z nich opiera się o rozwiązania informatyczne, jak chociażby stosowanie programów antywirusowych do wykrywania i usuwania programów zagrażającym bezpieczeństwu stron chronionych hasłami, a część o tzw „zdrowy rozsądek”. Mam tu na myśli odpowiedzialne korzystanie ze sprzętu używanego do komunikacji z siecią; oto kilka przykładów – regularna zmiana haseł do używanych stron www, aktualizowanie antywirusów i natychmiastowe usuwanie wykrytych zagrożeń, nie podawanie nikomu haseł i numerów PIN, nie udzielanie poufnych informacji podczas rozmów telefonicznych (nigdy nie wiadomo, kto jest po drugiej stronie słuchawki), nie zezwalanie na zapamiętywanie hasła przez przeglądarkę, wybieranie tylko zaufanych sklepów internetowych (korzystać przy tym można z opinii innych internautów), dokonywanie płatności  przy wykorzystaniu certyfikowanych pośredników, nie otwieranie maili, co do których nie mamy pewności skąd pochodzą, sprawdzanie, czy w adresie internetowym banku znajduje się fraza https, (gdyby tak nie było, nie należy tam pozostawiać żadnych danych), czy też używanie tylko oprogramowania pochodzącego z autoryzowanych źródeł a następnie regularne ich aktualizowanie.

 

Podsumowując, żadne narzędzie internetowe nie będzie skutecznie chronić poufnych danych, jeżeli nie będzie odpowiednio używane, a jego właściciel nie wykaże się właściwym stopniem rozsądku i odpowiedzialności.

Niko Bałazy