#CyberMagazyn: Wyciek danych. Jak się chronić? [PORADNIK]

„Wyciek danych medycznych w Kongresie”; „ T-Mobile informuje o kolejnym wycieku danych”; „ Wyciek z PayPala. Ucierpiały dane wrażliwe niemal 35 tys. osób”; „Wyciek danych z Ubera. Ujawniono adresy mailowe pracowników z Polski”; „Wyciek danych 200 mln użytkowników Twittera” – to tylko kilka nagłówków z naszego serwisu z ostatnich kilku miesięcy, gdzie opisywaliśmy incydenty bezpieczeństwa danych. Wszystkie łączy jedno: dotyczyły informacji o osobach, których dane znalazły się w określonym systemie i które nie miały przecież żadnego wpływu na fakt wystąpienia wycieku.

Stąd rodzą się pytania: jak dochodzi do wycieków? Czy da się przygotować na tego typu incydent i jeśli tak, to jak? Jeśli już do niego dojdzie, co należy zrobić?

Na te pytania odpowiada najnowszy raport CERT Polska, czyli Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego w NASK (CSIRT NASK). Materiał przedstawia sytuację w cyberprzestrzeni w 2022 roku – między innymi wpływ wojny w Ukrainie na bezpieczeństwo użytkowników w sieci i wzrost cyberataków. O tym także piszemy na łamach #CyberMagazynu.

Jak dochodzi do wycieków?

Specjaliści CERT Polska wskazują na cztery powody wycieków danych: brak wystarczającej uwagi i ostrożności w przetwarzaniu danych (przykład: przy wysyłce maili, które zamiast do każdego indywidualnie, przez pomyłkę wysyła się do grupy odbiorców); błędy w konfiguracji systemów (przykład Szkoły Głównej Handlowej - na skutek błędu programistycznego udostępniono publicznie dane osobowe części studentów); łańcuch wycieków (czyli jeden wyciek danych może powodować kolejne) i np. ataki typu „credential stuffing”.

Ostatni, choć nie mniej ważny powód to ataki cyberprzestępców np. za pomocą złośliwego oprogramowania typu ransomware. Zaszyfrowanie systemu i danych łączy się wtedy z żądaniem okupu, a w wypadku braku zgody na wpłatę pieniędzy, zwykle przestępcy grożą ich publicznym ujawnieniem.

Jak przygotować się na wyciek?

W dokumencie wskazano w kilku punktach, w jaki sposób powinno się przygotować na wyciek. Choć mówi się często, że „Polak mądry po szkodzie”, warto zastosować się do poniższych zasad, nim stracimy dane i pieniądze (dzięki danym bankowym cyberprzestępca może zalogować się na nasz rachunek).

CERT Polska wskazał na kilka ważnych zasad:

• podawaj minimum wymaganych danych. „Im mniej danych przekażemy np. tworząc konto w serwisie lub robiąc zakupy w internecie, tym mniej informacji może ulec wyciekowi i będą one mniej użyteczne dla przestępców” – zwracają uwagę eksperci. Warto o tym pamiętać, szczególnie korzystając z serwisów i usług jednorazowo. Alternatywą jest także „zapasowy” mail, za pośrednictwem którego będziemy zapisywać się na różnego rodzaju usługi, a z którego na co dzień nie korzystamy;
• używaj unikalnych, silnych haseł – stosuj zasadę „1 hasło do 1 konta”, nie formułuj haseł z ogólnodostępnych informacji o tobie (jak imię, nazwisko, data urodzenia czy np. imię pupila);
• reaguj na powiadomienia o incydentach – warto śledzić komunikaty administratorów danych, którzy mają obowiązek poinformować swoich klientów o ew. wycieku;
• stosuj separację tożsamości - rozdzielenie adresów e-mail na te wykorzystywane prywatnie i służbowo;
• sprawdzaj obecność swoich danych w wyciekach.

Jak sprawdzić czy moje dane wyciekły?

Istnieje sposób, by sprawdzić czy twoje dane wyciekły. Umożliwia to serwis „Have I Been Pwned?”, który pozwala na wpisanie adresu e-mail lub numeru telefonu i pokazanie czy informacje o tobie występują w znanych wyciekach danych.

Inną przydatną funkcją jest włączenie stałego monitoringu - dzięki temu otrzymamy informację o wystąpieniu maila/numeru w wycieku.

Co zrobić po wycieku?

Jeśli mimo stosowania zasad ostrożności w sieci i codziennej cyberhigieny, nie udało się uniknąć niebezpieczeństwa i doszło do wycieku, eksperci radzą, by przede wszystkim możliwie jak najszybciej zmienić hasła w każdym serwisie, w którym zostało ono wykorzystane (jeśli użytkownik mimo zaleceń nie stosował unikalnych haseł).

Od siebie dodamy, by lepiej zmienić również hasła pokrewne, których zhakowanie może być bardzo proste. Rekomendacją jest również włączenie weryfikacji dwuetapowej na każdym z kont. Przydatne jest stosowanie klucza bezpieczeństwa na co dzień. Dlaczego? O tym posłuchacie w specjalnym materiale wideo, w którym ekspert dokładnie objaśnia zasady używania klucza U2F.

Z kolei – jak wskazano w raporcie – jeśli obawiamy się nie tylko o swoje hasło, login czy numer telefonu, a o numer PESEL czy dowodu osobistego to trzeba pamiętać, że istnieje zagrożenie, iż oszust będzie próbował wziąć na nas np. pożyczkę. Dlatego warto rozważyć np. skorzystanie z portalu bezpiecznyPESEL.pl, który pozwala na bezpłatne zastrzeżenie naszego numeru PESEL (by zapobiec zaciągnięciu pożyczek na nasze dane osobowe) czy sprawdzenie w Biurze Informacji Kredytowej (BIK) czy ktoś próbował uzyskać kredyt na nasze dane.

Obecnie trwają prace legislacyjne nad projektem, który ma zapobiec kradzieży tożsamości. Swój numer PESEL będzie można zastrzec w m.in. aplikacji mObywatel, dzięki czemu niemożliwe ma być wzięcie wspomnianej pożyczki czy kredytu na cudze dane.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].