2024-03-14

Cyberbezpieczeństwo

Cyberbezpieczeństwo
 
 
Zgodnie  art. 22 ust. 1 pkt 4 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz. U. z 2023 r., poz. 913) przedstawiamy Państwu podstawowe informacje dotyczące cyberbezpieczeństwa, jego zagrożeń i sposobów, w jaki sposób uchronić się przed incydentami.
 
 
Celem ustawy o krajowym systemie cyberbezpieczeństwa jest określenie organizacji oraz sposobu funkcjonowania krajowego systemu cyberbezpieczeństwa, a także sposoby sprawowania nadzoru i kontroli w zakresie stosowania jej przepisów.
 
 
Cyberbezpieczeństwo to odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych
z nimi usług oferowanych przez te systemy (art. 2 pkt 4 u.k.s.c.). Pojęcie to stanowi normatywną konstrukcję myślową oznaczającą bezpieczeństwo systemów i sieci (IT).
 
Incydenty - wszelkie zdarzenia mające lub mogące mieć niekorzystny wpływ na cyberbezpieczeństwo.
 
Najczęstszą przyczyną skutecznych cyberataków nie są jednak wadliwe zabezpieczenia fizyczne czy źle napisane oprogramowanie. Najczęstszą przyczyną skutecznych ataków cyberprzestępców są stosowane przez nich skuteczne socjotechniki, czyli przemyślane oszustwa, manipulacja i pozyskiwanie informacji niekoniecznie za pośrednictwem Internetu.
 
 
Najczęściej występujące zdarzenia, mające niekorzystny wpływ na cyberbezpieczeństwo:
  1. Phishing - metoda oszustwa internetowego, za którego pośrednictwem przestępca podszywa się pod jakąś instytucję lub osobę. Działanie to ma na celu wyłudzenie osobistych danych, takich jak: numery kont bankowych i kart kredytowych, hasła do logowania oraz inne poufne informacje.
  2. Ransomware - atak z użyciem szkodliwego oprogramowania („wirus komputerowy”, „robak”, „koń trojański”).
  3. Wiadomości SPAM- niechciana, niezamówiona wiadomość/korespondencja wysyłana za pomocą poczty elektronicznej.
  4. Kradzież tożsamości - nielegalne wykorzystanie danych osobowych ofiary przez oszusta, dająca mu możliwość podszycia się pod te osobę w celu uzyskania korzyści (zazwyczaj majątkowych).
  5. Przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp.
 
Aby zmniejszyć ryzyko skutków ataków hakerskich i incydentów utraty danych należy stosować się do niżej wymienionych zasad:
 
  1. Ograniczone zaufanie - zdecydowana większość wiadomości phishingowych jest dostarczana za pośrednictwem poczty elektronicznej lub portali społecznościowych. Zazwyczaj banki, firmy usługowe nie wysyłają e-maili z prośbą o podanie swoich danych do zalogowania się na ich stronach;
  2. Hiperłącza (linki) - nie należy otwierać hiperłączy (linków) bezpośrednio z otrzymanego
    e-maila (szczególnie jeżeli pochodzi od nieznanej osoby lub organizacji). Stosunkowo łatwo można zmodyfikować treść hiperłącza (linku) w taki sposób, by pozornie wskazujące na autentyczną witrynę kierowały do nieautoryzowanej podszywającej się strony;
  3. Aktualizacje - należy regularnie uaktualniać system i oprogramowanie w szczególności przeglądarkę. Nowsze wersje przeglądarek mają wbudowane mechanizmy antyphishingowe, które nawet po kliknięciu w spreparowane łącze mogą zablokować do niego dostęp;
  4. Instalacja, użytkowanie i bieżące aktualizowanie oprogramowania antywirusowego, posiadającego pełen pakiet bezpieczeństwa, tj. możliwość sprawdzania poczty pod kątem niebezpiecznych programów czy zabezpieczenie w postaci prostego firewalla.
Ważne: Darmowe wersje programów antywirusowych często nie posiadają istotnych aktualizacji oraz rozszerzeń, które zapewniają dużo lepszą ochronę komputera oraz jego zawartości. Płatne wersje programów chroniących przed wirusami posiadają nie tylko firewall, ale również usługę skanowania poszczególnych linków oraz witryn, a także bardzo potrzebne- zabezpieczenie internetowych transakcji bankowych, które narażone są na działanie hakerów;
  1. Dbałość o hasła - przestrzeganie zasad nadawania i zmiany hasła, wystrzeganie się automatycznego zapisywania haseł i loginów;
  2. Dbałość o dane osobowe- unikanie przesyłania poprzez wiadomości
    e-mail wiadomości z danymi osobistymi, hasłami, numerami kart kredytowych, pełnych danych logowania do systemu w postaci niezaszyfrowanej.
    Bezwzględne należy w przypadkach konieczności wysyłania danych stosować procedury szyfrowania danych;
  3. Regularne tworzenie kopii zapasowych ważnych danych;
  4. Korzystanie ze stron internetowych posiadających ważny certyfikat bezpieczeństwa - uwaga na fałszywe certyfikaty, które stały się obecnie bardzo łatwe do wystawienia
    i przestępcy chętnie z tej opcji korzystają, aby podnieść wiarygodność fałszywej strony;
  5. Każdorazowa weryfikacja adresu nadawcy wiadomości e-mail oraz treści wiadomości, wszystkie podejrzane maile muszą być sprawdzone - szczególnie mailowe zlecenia przelewów, pochodzące od nieznajomych użytkowników.
 
Czerwona lampka powinna zapalić się nam, gdy:
  • w pustej wiadomości znajduje się załącznik,
  • wiadomość nie zawiera żadnych osobistych zwrotów,
  • wiadomość podpisana jest przez nadawcę, którego dane adresowe ze stopki e-mail nie odpowiadają danym w domenie, z której e-mail został wysłany,
  • wiadomość pochodzi z nieznanego źródła i zawiera skompresowany zaszyfrowany załącznik,
  • załącznik ma nazwę o podwójnym rozszerzeniu- należy zwracać uwagę na przesyłane pliki zakończone rozszerzeniami .exe, .bat, .cmd, .com, .lnk, .pif, .scr, .vb, .vbs, .wsh. Lista ta nie jest wyczerpująca. Hakerzy mogą ukrywać złośliwe programy za fałszywymi rozszerzeniami. Domyślnie Windows ukrywa rozszerzenia plików. Plik image.jpg może
    w rzeczywistości być plikiem image.jpg.exe, a po dwukrotnym kliknięciu uruchomi się złośliwy plik .exe.
 
Hakerzy mogą również ustawić dowolną ikonę dla pliku .exe. Plik o nazwie image.jpg.exe korzystający ze standardowej ikony obrazu będzie wyglądał jak nieszkodliwy obraz z domyślnymi ustawieniami systemu Windows. Warto sprawdzać rozszerzenia w ustawieniach.
 
  1. Edukacja - podnoszenie świadomości oraz rozwijanie wiedzy użytkowników o aktualnych trendach w bezpieczeństwie są kluczowe do dalszego bezpiecznego korzystania z sieci.
 
Rekomenduje się zapoznanie się z niżej wymienionymi poradnikami:
  • Podręcznik postępowania z incydentami naruszenia bezpieczeństwa komputerowego;
  • Cyberhigiena dla każdego - serwis Rzeczypospolitej Polskiej;
  • Bezpieczny pracownik w sieci.
Podmioty zajmujące się cyberbezpieczeństwem:
  • Strona internetowa Ministerstwa Cyfryzacji;
  • Strona internetowa CERT Polska;
  • Strona internetowa Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego;
  • Strona Państwowego Instytutu Badawczego - NASK;
  • Strona internetowa Ministerstwa Obrony Narodowej;
  • Strona internetowe Niebezpiecznik;
  • Strona internetowa Zaufana Trzecia Strona;
  • Strona internetowa Legalne w Sieci;
  • Strona internetowa Cyberdefence24;
  • Strona internetowa Cyberresccue;
  • Strona internetowa Nomoreransom.
 
Zachęcamy również do zapoznania się z treściami zawartymi na stronie Ministerstwa Cyfryzacji pod adresem: https://www.gov.pl/web/cyfryzacja/cyberbezpieczeństwow celu uzyskania szczegółowych informacji dotyczących cyberbezpieczeństwa.

 

Przeczytaj o systemie i przetwarzanych w nim danych

Tożsamość administratora systemu
Administratorem Scentralizowanego Systemu Dostępu do Informacji Publicznej (SSDIP), który służy do udostępniania podmiotowych stron BIP, jest Minister Cyfryzacji, mający siedzibę w Warszawie (00-060) przy ul. Królewskiej 27, który zapewnia jego rozwój i utrzymanie. Minister Cyfryzacji, w ramach utrzymywania i udostępniania systemu SSDIP, zapewnia bezpieczeństwo publikowanych danych, wymagane funkcjonalności oraz rejestrowanie i nadawanie uprawnień redaktorów BIP osobom wskazanym we wnioskach podmiotów zainteresowanych utworzeniem własnych stron podmiotowych przy użyciu SSDIP zgodnie z art. 9 ust. 4 pkt 3 ustawy z 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. z 2019 r. poz. 1429).
Minister Cyfryzacji, jako administrator systemu SSDIP jest jednocześnie administratorem danych osób wnioskujących o dostęp do SSDIP w celu utworzenia podmiotowych stron BIP oraz osób wyznaczonych do ich redagowania.
Tożsamość administratora danych
Administratorem danych osobowych przetwarzanych w systemie SSDIP w zakresie osób wnioskujących o utworzenie podmiotowej strony BIP oraz osób wyznaczonych do ich redagowania (redaktorów podmiotowych stron BIP) jest Minister Cyfryzacji.

Administratorami danych publikowanych na podmiotowych stronach BIP utworzonych w ramach SSDIP są podmioty, które daną stronę podmiotową BIP utworzyły. Podmioty te decydują o treści danych, w tym treści i zakresie danych osobowych publikowanych na podmiotowych stronach BIP, ich rozmieszczeniu, modyfikacji i usuwaniu. Minister Cyfryzacji, jako Administrator systemu SSDIP, w odniesieniu do materiałów publikowanych na podmiotowych stronach BIP, jest podmiotem przetwarzającym. Może on ingerować w treść materiałów publikowanych na poszczególnych stronach podmiotowych BIP jedynie w przypadku, gdy właściwy podmiot, który daną stronę utworzył i nią zarządza utracił do niej dostęp lub z innych przyczyn utracił nad nią kontrolę.
Dane kontaktowe administratora systemu SSDIP
Z administratorem systemu SSDIP można się skontaktować poprzez adres email: kancelaria@cyfra.gov.pl lub pisemnie na adres siedziby administratora: ul. Królewska 27, 00-060 Warszawa.
Dane kontaktowe inspektora ochrony danych osobowych
Administrator systemu SSDIP wyznaczył inspektora ochrony danych, z którym może się Pani/Pan skontaktować poprzez email iod.mc@cyfra.gov.pl lub listownie - na adres ul. Królewska 27, 00-060 Warszawa. Z inspektorem ochrony danych można się kontaktować wyłącznie w sprawach dotyczących przetwarzania danych osobowych osób składających wnioski o udostepnienie SSDIP, redaktorów poszczególnych stron BIP, oraz incydentów bezpieczeństwa.
W sprawach przetwarzania danych osobowych zawartych w treści materiałów publikowanych w ramach poszczególnych stron podmiotowych, należy się kontaktować z inspektorem ochrony danych podmiotu, którego strona BIP dotyczy, ich redaktorem lub kierownictwem podmiotu, który daną stronę podmiotowa BIP utworzył.
Cele przetwarzania i podstawa prawna przetwarzania
Celem przetwarzania danych publikowanych na stronach podmiotowych BIP przez poszczególne podmioty jest udostępnienie informacji publicznej wytworzonej w urzędzie i dotyczącej działalności urzędu. Podstawę prawną publikacji stanowi wypełnienie obowiązku prawnego, o którym mowa w art. 8 oraz art. 9 ust 2 ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej.
Celem udostępniania systemu SSDIP przez Ministra Cyfryzacji jest umożliwienie podmiotom zobowiązanym, o których mowa w art. 4 ust 1 i 2 ustawy z 6 września 2001 r. o dostępie do informacji publicznej, utworzenia i prowadzenia własnych stron BIP (co wynika z art. 9 ust. 4 pkt 3 oraz art. 9 ust. 4a ww. ustawy).
Odbiorcy danych lub kategorie odbiorców danych
Dane osobowe w zakresie imienia, nazwiska, nr telefonu, nr faksu dotyczące redaktorów podmiotowych stron BIP oraz dane osobowe publikowane w ramach treści materiałów zamieszczanych na poszczególnych podmiotowych stronach BIP są danymi udostępnianymi publicznie bez żadnych ograniczeń, w tym Centralnemu Ośrodkowi Informatycznemu w Warszawie przy Alejach Jerozolimskich 132-136, któremu Ministerstwo Cyfryzacji powierzyło przetwarzanie danych przetwarzanych w ramach platformy SSDIP.
Okres przechowywania danych
Dane dotyczące osób wnioskujących o udostępnienie systemu SSDIP oraz dane osób wyznaczonych na redaktorów stron podmiotowych przechowywane są przez czas, w jakim osoby te pełniły swoje funkcje oraz przez okres wskazany w przepisach prawa po okresie, w którym osoby te przestały pełnić swoje funkcje.
Dane osobowe osób zawarte w materiałach publikowanych w ramach podmiotowych stron BIP przechowywane są przez okres ustalony przez osoby zarządzające treścią tych stron.
Prawa podmiotów danych
Osoby, których dane są przetwarzane w systemie głównym SSDIP, w tym osoby składające wnioski o przyznanie dostępu do SSDIP oraz osoby będące redaktorami podmiotowych stron BIP, mają prawo dostępu do swoich danych, prawo do sprzeciwu, prawo ograniczenia przetwarzania oraz prawo żądania ich sprostowania oraz usunięcia po okresie, o którym mowa powyżej. Z wnioskiem w sprawie realizacji ww. praw należy się zwracać do administratora systemu tj. Ministra Cyfryzacji lub wyznaczonego inspektora ochrony danych na adres iod.mc@cyfra.gov.pl.
Osoby, których dane są publikowane w ramach treści materiałów zamieszczanych na podmiotowych stronach BIP maja prawo dostępu do danych, prawo do sprzeciwu, prawo do ograniczenia przetwarzania, prawo żądania ich sprostowania oraz usunięcia po okresie, w którym ich publikacja jest wymagana. Z wnioskiem w sprawie realizacji ww. praw należy się zwracać do administratora danych podmiotu, którego dana strona BIP dotyczy, lub wyznaczonego przez niego inspektora ochrony danych.
Prawo wniesienia skargi do organu nadzorczego
Osobom, których dane są przetwarzane w systemie SSDIP lub na podmiotowych stronach BIP publikowanych przez poszczególne podmioty przysługuje prawo wniesienia skargi do organu nadzorczego zajmującego się ochroną danych tj. do Prezesa Urzędu Ochrony Danych Osobowych (PUODO) z siedzibą w Warszawie przy ul. Stawki 2, 00-193 Warszawa.
Informacja o dobrowolności lub obowiązku podania danych
Przetwarzanie danych osobowych osób składających wnioski o dostęp do SSDIP oraz osób wyznaczonych do redakcji poszczególnych stron podmiotowych BIP jest niezbędne dla zapewnienia kontroli dostępu i wynika z przepisu prawa, tj. art. 9 ust. 4 pkt 3 oraz art. 9 ust. 4a ustawy z 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. z 2019 r. poz. 1429) oraz § 15 ust. 2 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 18 stycznia 2007 r. w sprawie Biuletynu Informacji Publicznej (Dz. U. Nr 10, poz. 68), w związku z art. 20a ustawy z dnia 17 lutego o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2019 r. poz. 700, 730, 848, 1590 i 2294) i przepisami rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2017 r. poz. 2247).
Publikowanie danych osobowych na stronie systemu SSDIP oraz na podmiotowych stronach BIP jest dopuszczalne tylko wtedy, jeśli wynika z przepisów prawa, lub jeśli administrator danych uzyskał zgodę tych osób na ich publikację.



Zapoznałem się..