VPN nie daje pełnej ochrony. CISA ostrzega

VPN ma poprawiać bezpieczeństwo połączenia i ukrywać nasz adres IP, jednak często błędnie postrzega się to jako rozwiązanie, które załatwia wszystkie problemy związane z prywatnością i ochroną w sieci.

Najnowsze ostrzeżenie CISA podkreśla, że korzystanie z VPN w niewłaściwy sposób może być ryzykowne. VPN to przede wszystkim technologia ochrony transmisji danych, a nie kompletny system cyberbezpieczeństwa. Nie zabezpieczy nas przed atakami, phishingiem czy złośliwym oprogramowaniem, dlatego należy korzystać z niego świadomie, traktując go jako jeden z elementów ochrony online.

Podatność zamiast zabezpieczenia

Mówiąc o VPN należy zwrócić uwagę na to, czego to narzędzie nam nie zapewnia. Po pierwsze, nie chroni nas przed phishingiem. Nawet najlepszy VPN nie zatrzyma nas przed kliknięciem w fałszywy link lub podaniem danych logowania na fałszywej stronie. Po drugie, nie blokuje złośliwego oprogramowania, gdyż VPN nie zastępuje antywirusa.

Nie gwarantuje także wcale pełnej anonimowości. Jeśli dostawca VPN prowadzi logi lub ma niejasną politykę prywatności, ruch w sieci nadal może być rejestrowany, profilowany lub przekazywany dalej.

Nie zawsze jesteśmy „niewidoczni”; niektóre protokoły VPN są podatne na tzw. fingerprinting, czyli analizę cech technicznych połączenia, które mogą pomóc w identyfikacji użytkownika.

Amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) jasno wskazuje, że nie zaleca korzystania z osobistych VPNów jako środka ochrony w sieci. Powód? Zmieniają one jedynie wektor ryzyka: zamiast ufać dostawcy internetu, ufamy dostawcy VPN, który nierzadko ma mniej przejrzyste zasady bezpieczeństwa, słabą infrastrukturę czy agresywną politykę zbierania danych. W ten sposób zamiast zwiększyć bezpieczeństwo, użytkownik rozszerza swoją powierzchnię ataku.

Na co zwracać uwagę przy wyborze VPN

Darmowe VPN-y mogą być zagrożeniem samym w sobie. Część z nich sprzedaje dane, stosuje słabe szyfrowanie, ogranicza prędkość lub posiada wątpliwą infrastrukturę. „Za darmo” często oznacza „płacisz swoimi danymi”.

Żeby VPN naprawdę dawał sensowną ochronę, warto:

• wybierać dostawcę z jasną polityką dotyczącą zbierania logów,
• sprawdzić, czy VPN używa nowoczesnych protokołów i silnego szyfrowania,
• unikać podejrzanych, darmowych VPN, zwłaszcza jeśli mają dużo reklam albo obiecują niemożliwe standardy („pełna anonimowość", „militarne szyfrowanie" itp.),
• pamiętać, że VPN to tylko jeden element ochrony, nadal należy dbać o bezpieczne hasła, aktualizacje, ostrożność przy klikaniu w podejrzane linki.

Nie pierwsze ostrzeżenie

Amerykańska CISA wydała zaaktualizowany dokument zawierający zestaw dobrych praktyk w zakresie komunikacji mobilnej. Wśród najważniejszych rekomendacji znalazły się:

• korzystanie z komunikacji szyfrowanej do rozmów i wiadomośći. Aplikacją, która spełnia te wymogi jest np. Signal;
• używanie menedżera haseł. Silne, różne i unikatowe hasła dla różnych kont to dziś podstawa;
• unikanie uwierzytelniana dwuskładnikowego oprartego na SMS do najważniejszych kont. SMS to słaby kanał dla MFA, łatwy do przechwycenia lub wykorzystania np. w atakach typu SIM-swap.

Chcesz dowiedzieć się więcej o tym, co możesz zrobić, aby być bardziej #cyberbezpiecznym? Zajrzyj do naszych poprzednich artykułów:

• Logowanie dwuskładnikowe. Czym jest i dlaczego warto z niego korzystać?: [LINK]
• Moje dane wyciekły. Jak należy zareagować?: [LINK]
• Nie każde rozszerzenie jest bezpieczne. Sprawdź, zanim zainstalujesz: [LINK]
• Sprawdź, czy Twój e-mail wyciekł. Zrobisz to w prosty sposób: [LINK]