Bezpiecznie w internecie – Marcin Pieleszek – BT 37

Marcin Pieleszek

Pobierz audycję

Linki:

  • Bądź bezpieczny w cyfrowym świecie – Marcin Pieleszek – przy zakupie książki użyj kodu promocyjnego CYFROWEBEZPIECZENSTWO2020 – dzięki uprzejmości Marcina dostaniesz 35% rabatu, nie łączy się z pozostałymi rabatami wydawcy.
  • pieleszek.pl – blog który prowadzi Marcin Pilelszek
  • YouTube EasyITSecurity.pl – kanał o bezpieczeństwie cyfrowym, który prowadzi Marcin Pieleszek

Lista tematów:

  • Poważne zagrożenia w internecie: 0’52”
  • Nie demonizujmy internetu: 3’21”
  • Biznestata rozlicza informatyka: 5’55”
  • Bezpieczeństwo cyfrowe w rodzinie: 9’03”
  • Smartfon dla dziecka: 17’27”
  • Hasła, przecież nic się nie stało: 26’43”
  • Książka „Bądź bezpieczny w cyfrowym świecie”: 35’22”
  • Szkolenia internetowe: 36’33”

Transkrypcja rozmowy:

Artur Pranga: Gościem dzisiejszej audycji jest Marcin Pieleszek, specjalista od bezpieczeństwa cyfrowego z 20 letnim doświadczeniem, współautor w Biblii e-biznesu 2, współautor Biblii e-biznesu 3, która się niedługo ukaże. Konsultant wielu firm na kanwie bezpieczeństwa cyfrowego. Czy powinienem jeszcze jakoś uzupełnić swoje przedstawienie?

Marcin Pieleszek: Witam serdecznie Arturze. Witam słuchaczy, dziękuję bardzo za zaproszenie. Ja oprócz bezpieczeństwa cyfrowego też zajmuję się rozwiązaniami w chmurze, rozwiązaniami pracy zdalnej. Ostatnio też modnymi z różnych względów, między innymi w oparciu o rozwiązania Microsoft 365. 

Pierwsze pytanie, obecny stan zagrożeń w sieci internetowej, czego powinniśmy się bać na poważnie, a co traktować lekko?

Ja uważam, że w ogóle większość z nas traktuje lekko zagrożenia cyfrowe, ale to może z racji tego, czym się zajmuję. Ktoś mógł mnie posądzić o brak obiektywizmu w tym momencie, przesadza i tak dalej i tak dalej. To znaczy w tym sensie, że my się nie przejmujemy zagrożeniami, dopóki coś się nie stanie. Dopóki na przykład nie utracimy plików.

Czy w życiu osobistym, czy w firmie, naszych ulubionych, dopóki na dysku nie pojawi się wirus tak zwany. Zwykle nazywamy wszystkie zagrożenia cyfrowe wirusami, specjaliści tam sobie je klasyfikują. Natomiast nie pojawi się oprogramowanie, które nam na przykład nie zaszyfruje dysk. Tutaj złodziej grzecznie prosi na przykład o okup. I w tym momencie następuje utrata danych. W firmie też nie martwimy się zagrożeniami do momentu na przykład, kiedy ktoś się nie odezwie i nie powie, że mamy twoje dane, na przykład twoich klientów. Część firm nie monitoruje, nie ma takich narzędzi, żeby to bezpieczeństwo cyfrowe potraktować troszeczkę w poważniejszy sposób. Ale z drugiej strony, ja w swojej książce “Bądź bezpieczny w cyfrowym świecie”, bo też jestem autorem książki, takiego poradnika bezpieczeństwa dla każdego, udowadniam, że często darmowymi narzędziami można bardzo dużo zdziałać, jedynie poświęcając swój czas, choć on też jest bardzo cenny. Ale jednak. 

Pytałeś mnie o największe zagrożenia. Największym zagrożeniem jest to, że my zostaniemy wezwani do takiej złodziejskiej akcji. To znaczy w tym sensie, że ktoś podszyje się pod dostawcę usług. Podszyje się pod jakąś instytucję, która na przykład nam wyśle fakturę. I my czy w mailu, czy w jakiejś komunikacji, przy pomocy komunikatora internetowego damy się wciągnąć do takiej akcji. Klikniemy i w tym momencie pobierzemy na swój komputer jakiś mechanizm, który na przykład tak jak wcześniej wspominałem, będzie szyfrował nasze dane. Jakiś mechanizm, który będzie szpiegował to, co na naszym komputerze się dzieje.

W tym momencie zaczyna się proces, który może doprowadzić w zasadzie firmę albo do strat finansowych, wynikających z tego, że właśnie na przykład dane wyciekną. Na przykład dane osobowe, które zgodnie z Rodo powinniśmy chronić. Albo po prostu nastąpi awaria systemu komputerowego spowodowana działaniem złośliwego kodu. No i w tym momencie będziemy narażeni na straty biznesowe wynikające z jakichś tam przestojów określonych. 

 Co traktować lekko, czego powinniśmy się naprawdę nie bać?

To znaczy nie powinniśmy demonizować tych zagrożeń. Kiedyś, ktoś na moich szkoleniach to był szef IT nawet, poważny człowiek tak, w korporacji. I jak dla pierwszej grupy miałem szkolenie, on się przysłuchiwał temu mojemu szkoleniu. Ja słuchaczy ostrzegałem, że kumulacja, jakby patologii na moim szkoleniu jest duża. Z racji tego, że przykładów właśnie takich patologicznych z życia jest dużo. Z racji tego, że to jest szkolenie z zakresu bezpieczeństwa. W zasadzie w praktyce nie jest tak, że siadamy do komputera, robimy wykonujemy czynności zawodowe i zaraz coś wyskakuje. I te niebezpieczeństwa czyhają, wychodzą z każdego, że tak powiem maila, z każdej strony internetowej. Tak, że tutaj pod tym względem może powinniśmy traktować to tak, jak każde inny zagrożenie.

Ale jednak musimy być czujni, patrzeć czy faktycznie spodziewałem się tego maila, czy ten mail nie jest podejrzany. Czy w polu “od” jest właściwa domena na przykład. A nawet ja udowadniam też teraz w rozdziale do Biblii e-biznesu, pokazuję też, że bardzo prosto można się podszyć. Bardzo prosto to pole “od” można podmienić. Często jest tak, że w polu “od” może być ten phishing zrobiony w dobry sposób z punktu widzenia osoby atakującej. Tak, że to pole “od” zostanie faktycznie podmienione. Ale my musimy po prostu zwracać uwagę na to, czy faktycznie spodziewaliśmy się tego maila. Czy zajmujemy się w pracy, na przykład rozliczaniem faktur, czy spodziewaliśmy się danej przesyłki kurierskiej. I czy ten mail od firmy kurierskiej wygląda tak jak zwykle.

A może nie warto w ogóle z maila czegokolwiek się dowiadywać. Tylko na przykład pójść od razu do portalu firmy kurierskiej i sprawdzić jak wygląda droga naszej przesyłki. Jeżeli fakturę potrzebujemy pobrać od operatora usług telekomunikacyjnych, to może od razu pójdźmy tam do tego operatora i stamtąd pobierzmy fakturę. Niektóre firmy, żeby właśnie swoich klientów ostrzegać przed takimi zagrożeniami, wyeliminować to zagrożenie, faktur nie przysyłają już pocztą. Znani, na przykład operatorzy energetyczni wysyłają tylko informację o tym, że faktura się pojawiła na twoim koncie elektronicznym biurze obsługi klienta, proszę zaloguj się. Pobierz sobie stamtąd fakturę, tak w ogóle nie otwieraj tej faktury z maila. 

Biznes tata sprawdza i rozlicza swojego informatyka. Od czego zacząć, jak się upewnić, że on robi to co powinien?

To jest pytanie z gatunku dość trudnych. Od czego zacząć? Ja zawsze mówię, od poukładania tych zasobów, które mamy w firmie. Czyli jeżeli mamy coś chronić, to musimy wiedzieć co chronimy. Czyli dokładnie jaki mamy sprzęt, jakie mamy systemy, jakie mamy oprogramowanie. Jakie zbiory danych przechowujemy, gdzie te zbiory danych są przetwarzane? Ewentualnie od razu możemy zidentyfikować jakie zagrożenia się z tym wiążą. Kto odpowiada za aktualizację oprogramowania, czy ten faktycznie informatyk, czy jest jakaś procedura aktualizacji oprogramowania w poszczególnych systemach? To od naszego systemu, powiedzmy na komputerze, poprzez system na smartfonie naszym, gdzie mamy na przykład maile, do przede wszystkim naszej strony internetowej, sklepu internetowego. No chyba, że sklep internetowy jest u jakiegoś zewnętrznego operatora w całości, jak to się mówi hostowany. No to w tym momencie on odpowiada za aktualizację swojego oprogramowania sklepu internetowego.

Natomiast jeżeli strona internetowa, sklep internetowy jest w naszej administracji, tylko posługujemy się jakąś firmą hostingową, hoster nie odpowiada za aktualizację naszego oprogramowania. To my za to odpowiadamy. W związku z tym tak: aktualizacje, czy ten informatyk sprawdza, czy wie co chroni I jak wyglądają zasoby. Czy jest jakaś w ogóle inwentaryzacja, tego co mamy w firmie od strony informatycznej.

Kolejny bardzo ważny obszar, to jest procedura kopii zapasowych i kopie zapasowe. I niektórzy nawet idą bardzo daleko i mówią, że trzeba zrobić scenariusz “disaster and recovery” jak to się pięknie mówi po angielsku. Czyli taki scenariusz: wyobrazić sobie, że my dane tracimy w firmie i teraz w jaki sposób wygląda procedura odzyskiwania. I czy faktycznie po odzyskaniu z backupu te dane są widoczne i czytelne i tak dalej. Ja bym widział na “dzień dobry” te trzy obszary. Czyli czy ten informatyk wie, co chroni tak naprawdę i czy w ogóle kiedykolwiek inwentaryzował zasoby, oprogramowanie. Czy wie, gdzie potencjalne zagrożenia czyhają.

Druga sprawa to są właśnie backupy. Szalenie szalenie ważna fundamentalnie i w kontekście bezpieczeństwa: backup to nie jest rzecz którą się wymienia na pierwszym miejscu, ale ona de facto jest prawie na pierwszym miejscu. I aktualizacja oprogramowania to będzie też bardzo ważna sprawa, jeszcze przed jakimś tam antywirusem. Czy propozycjami zaimplementowania jakiegoś oprogramowania typu Internet Security, które zwykle ma takie funkcje związane z oceną reputacji przeglądanych stron internetowych. I z jakąś dalej idącą inspekcją, która już dzieje się na naszym komputerze. W związku z tym ma te mechanizmy ochrony bardziej rozbudowane. Ale jeszcze przed tym, jak się pojawi propozycja wdrożenia takiego oprogramowania, powinny być procedury backupu. Procedura aktualizacji i przede wszystkim inwentaryzacja tego co po prostu mamy. 

Aspekt ludzki i rodzinny. Żona biznes taty jest przedszkolanką, ma w telefonie milion aplikacji, nad którymi nie panuje. Jej komputer w domu zepsuł się po raz pięćdziesiąty trzeci, jak to opanować i mieć spokój?

Czy to tak często zakłóca nam spokój, to ja bym tutaj bardzo mocno dyskutował z tym, ale dobra od początku. Milion aplikacji, uważajmy po prostu, co Instalujemy na smartfonie i czy faktycznie te aplikacje nam są potrzebne. Może ta rada zabrzmi banalnie, ale jednak jest to fundamentalnie ważne. Dlatego, że jeżeli ale na smartfonie bez zastanowienia wrzucamy po kolei to, co nam potrzebne i niepotrzebne, to raz, że zasoby tego smartfona nam się szybko mogą skończyć. Szczególnie, jeżeli to słabszy model jest, ale nie o tym w zasadzie dzisiaj rozmawiamy.

Ale zdarzało się, że do sklepu tych operatorów, systemów na smartfony przeciekały aplikacje, które nie tylko były, że tak powiem kiepskie z punktu widzenia na przykład bezpieczeństwa. Ale przeciekały aplikacje wręcz, które się podszywają się pod aplikacje bankowości internetowej. Aplikacje, że tak powiem z gruntu użyteczne, a tak naprawdę są szkodliwym kodem. W związku z tym powinniśmy mieć jakieś oprogramowanie które nas dodatkowo chroni na smartfonie. Czyli pamiętajmy, że smartfon to jest też komputer ze wszystkimi cechami komputera. Bo ma system operacyjny, ma pamięć. Ten system operacyjny normalnie się uruchamia w momencie włączenia. Czyli dzisiaj smartfon, czy telefon w zasadzie, to jest po pierwsze komputer, technicznie rzecz ujmując. 

Oczywiście my musimy rozróżniać komputer od smartfona, w związku z tym jest tylko różnica nazw. Ale technicznie smartfon jest praktycznie komputerem. Ze wszystkimi niebezpieczeństwami i konsekwencjami, wynikającymi z używania jakiegoś tam systemu komputerowego tego, czy innego producenta.

I teraz jeszcze wracając do aplikacji, mamy w tych tak zwanych sklepach, gdzie pobieramy aplikacje, tylko stamtąd powinniśmy pobierać aplikacje. Ale także powiedziałbym, że nie do końca nas to stuprocentowo chroni. Przed byle jakimi aplikacjami, czy aplikacjami, które się podszywają tylko pod użyteczną aplikację. A są tak naprawdę aplikacjami złodziejskimi, jak ja to nazywam. Rzadko stosunkowo się to zdarza, ale jednak się to zdarza. Uważajmy na reputację aplikacji, sprawdzajmy, czy faktycznie ona ma dużo pobrań. Czy są jakieś oceny tych aplikacji, ile tych ocen jest. Jeżeli mamy wątpliwości, zobaczmy gdzieś tam w sieci, czy faktycznie ta aplikacja jest wysoko oceniana. Sprawdźmy czy ona jest wiarygodna, zanim tą aplikację na smartfona wrzucimy.

Instalujemy tylko to, co nam po prostu jest potrzebne. Szczególnie, jeżeli zaczynamy się bawić, słowo bawić może nie jest najwłaściwsze, ale jeżeli bawimy się w bankowość internetową na smartfon. Wtedy bardzo ważne jest, żebyśmy sobie limity realizacji transakcji na aplikacjach mobilnych bardzo mocno zracjonalizowali. Nawet jeżeli na tym smartfonie ktoś by, jakiś mechanizm, przejął kontrolę. Zacząłby podsłuchiwać naszą aplikację bankowości internetowej, tą mobilną, to tak, żeby ktoś nie miał szans nam ukraść dużych kwot pieniędzy.

Zwykle systemy bankowe dają taką możliwość, żeby limity ustawiać osobno dla tych, które są używane na komputerze, osobno dla aplikacji, które są aplikacjami mobilnymi, gdzie zwykle też stosuje się i to jest bardzo wygodne, ale no niestety nie do końca bezpieczne. Stosuje się jakąś uproszczoną autoryzację tych przelewów, tak żeby było szybciej. Nawet zdarzało mi się przy kasie, że gdzieś tam na jednym koncie zabrakło środków, ja że tak powiem szybko przelewem na smartfonie z konta na konto, żeby zapłacić. Super, wygodnie tak, bo też staram się tych limitów na kartach, (tu już na inny obszar w tej chwili weszliśmy), ale limitów tych bankowych pilnować. Również tych limitów, które są przypisane do aplikacji mobilnych.

Czyli uważajmy co Instalujemy na smartfonie, nie instalujmy tam miliona aplikacji, nie wszystkie aplikacje nam są potrzebne i niezbędne. Pamiętajmy o tym, że tam też jakieś oprogramowanie typu Internet Security, typu Antivirus się znajdzie. Większość producentów jakąś podstawową ochronę dostarcza za darmo. Jak zwykle nie polecam tutaj konkretnego dostawcy, zwykle odsyłam do jakichś, co najmniej kilku rankingów tego typu oprogramowania. Żebyśmy zapoznali się po prostu z ofertą różnych firm.

Zresztą trochę mi się dostało, że w książce krok po kroku pokazuję jak dane narzędzie się wdraża, praktycznie nic nie trzeba umieć. Kiedy rozpoczynamy czytanie tej książki krok po kroku, książka poprowadzi jak te narzędzia wdrożyć. Musiałem się skoncentrować na narzędziu konkretnego producenta. Bardzo popularnego, który między innymi ma wersję też darmową oprogramowania i na smartfona i na desktopa. No, a potem okazało się, że no niestety przez niektórych nie jest recenzowany bardzo różowo.

Ktoś tam na stronie powiedział, że książka fajna, ale ze względu właśnie na ten konkretny produkt, to może niekoniecznie, aż taka fajna. W związku z tym nie chcę tutaj konkretnego rozwiązania w tej chwili polecać. Tych czołowych dostawców jest, myślę, że tak pierwsza dziesiątka, to jest takich liczących się dostawców oprogramowania, który służy do ochrony, czy smartfona, czy komputera. I tam w tych rankingach, jakichś recenzjach różnych w miarę niezależnych, powinniśmy szukać tego właściwego oprogramowania. Ja mam oczywiście swoje preferencje. Ale zwykle mam taką zasadę, że tymi preferencjami się nie dzielę, chyba że w jakimś węższym gronie. I wtedy polecam konkretne produkty, którymi ja się posługuję. 

Natomiast komputer zepsuł się po raz pięćdziesiąty trzeci, to jest twoje kolejne pytanie. Troszeczkę, to co powiedzieliśmy w kontekście smartfona, to też ma zastosowanie do komputera. Od razu tutaj aspekt rodzinny. Drodzy rodzice nie używajcie tych samych urządzeń do pracy i do zabawy. Jeżeli komputer ma służyć rodzicom do pracy, to niech to będzie komputer do pracy.

Dzisiaj naprawdę używany komputer można kupić bardzo tanio dla dziecka do zabawy. Nawet mi się zdarzyło, że gdzieś wystawiałem jakieś używane komputery, w sumie fajne jeszcze. Zainteresowanie jest praktycznie bardzo, bardzo małe dzisiaj używanym sprzętem. Dlatego można kupić naprawdę w dobrej cenie używany sprzęt. Czy to do firmy, taki dla celów biurowych, czy to nawet dla dziecka. Chociaż gry dzisiaj są o wiele bardziej wymagające niż jakikolwiek Office Microsoft, czy nie Microsoft. W związku z tym komputer do biura kupimy taniej. Ale muszą być to osobne urządzenia, albo komputer jest do pracy, albo do zabawy. Albo smartfon jest do pracy, albo do zabawy. To jest zasadnicza granica, musi być bardzo sztywno postawiona.

I teraz, żeby ten komputer się nie psuł, żeby był stabilny i tak dalej to nie można robić z niego, brzydko mówiąc przysłowiowego śmietnika. I tak samo jak dziecko by tam sobie instalowało, nagrywało, eksperymentowało. To za chwilę okaże się, że system tego komputera jest niestabilny i po prostu my nie możemy wykonywać swojej pracy. Ja takie przypadki znam z życia. Nawet pewien prawnik pobiegł po zakup komputera dla siebie, jak mu syn tam poinstalował i okazało się, że ileś godzin pracy po prostu poszło na marne. W związku z tym tutaj ta granica musi być sztywno postawiona. Dbajmy o to co jest zainstalowane na tym komputerze. Miejmy tam porządek, doinstalujmy jakieś oprogramowanie typu “Internet Security” jeżeli nam biznesowo zależy na większym poziomie ochrony.

Aczkolwiek pamiętajmy o tym, że system Windows na przykład jest wyposażony domyślnie w oprogramowanie tego typu. I w zasadzie, jeżeli aktualizujemy ten system, nie róbmy głupot, najlepszym antywirusem jest zdrowy rozsądek. Ja się z tym zgadzam, ale czasami jesteśmy zmęczeni. Czasami dajemy się złapać w te złodziejskie pułapki, o których mówiliśmy wcześniej. Dbajmy o porządek, dbajmy o oprogramowanie, ewentualnie security i oddzielmy ten aspekt rodzinny. Jeszcze raz powtórzę, oddzielmy urządzenia do zabawy, od urządzeń do pracy, to jest bardzo zdrowe. Nie dajemy dziecku do zabawy absolutnie urządzeń, czy to smartfonów, czy komputerów, które używamy na co dzień do pracy zawodowej. Chociażby z punktu widzenia też ochrony różnych zasobów, które przetwarzamy na tym sprzęcie. Chociażby danych osobowych, jest to szalenie ważne, żeby takich rzeczy nie robić. 

Tata daje dziecku smartfona, a tam w środku już czekają źli i niedobrzy, jak to zrobić, żeby było bezpiecznie?

Tata daje dziecku smartfona. Bardzo dobre pytanie. Powiem tak, jest nawet też zainteresowanie dziennikarzy tym tematem. Bo kilka razy o to bezpieczeństwo dziecka w sieci byłem pytany w kilku mediach. Są narzędzia kontroli rodzicielskiej. I teraz pewnie niektórzy pedagodzy, psycholodzy oburzą się, że trzeba mieć po pierwsze zaufanie. To jest oczywiście nasza decyzja, nasza decyzja, być może wspólnie z dzieckiem. Bo trzeba dziecku wytłumaczyć, że słuchaj ja instaluję pewne narzędzia, po to żebyś bezpieczniej mógł eksploatować, czy komputer, czy smartfon. To cię uchroni przed niebezpieczeństwami. Też chcę wiedzieć, czym się interesujesz. W związku z tym jakąś tam historię przeglądania mogę ewentualnie podejrzeć, żebyśmy mieli jakieś wspólne tematy rozmów i tak dalej…

Ktoś może powiedzieć, że taka argumentacja jest argumentacją lekko naciąganą. Powiem tak: czego oczy nie widzą, sercu nie żal. I może nie do końca to powiedzenie pasuje w tym momencie. Na czym polega genialność systemów kontroli rodzicielskiej? Jest polskie narzędzie, polskiego producenta, który też nie tylko jest używane w szkołach, w domach, ale też są narzędzia kontroli internetu dla firm. Ono w nazwie nawiązuje do dzieci, tutaj mam na myśli Beniamina w przypadku na przykład środowiska Windowsowego, w przypadku komputera. Pytałeś się o smartfona. Do smartfona za chwilę wrócę, bo tam też są super narzędzia i też ten producent ma narzędzia na smartfona.

Na smartfona wielki hegemon informacji zadbał o to, żebyśmy też mieli narzędzia kontroli rodzicielskiej, ale do smartfona wrócę. Natomiast na chwilę chciałbym skupić się na komputerze. Narzędzie jest na tyle genialne, że ono w locie kontroluje, to co jest wyświetlane w wynikach wyszukiwania. W związku z tym, na przykład przemocy, seksu, jakichś innych niepotrzebnych rzeczy nie będzie w wynikach wyszukiwania wyszukiwarki. I to już standardowym ustawieniu tego oprogramowania. 

Czyli dziecko poszukując jakichś tam, na przykład zasobów do nauki będzie oszczędzone na zawartość, która może jakoś na to dziecko wpływać. Tak jakby chcieli tego rodzice mówiąc delikatnie. Bo wiemy, że dzisiaj Internet, niestety tam jest wszystko. I to mało tego, ciekawostką jest to, gdzie się ostatnio Dark Netem to tak umiarkowanie interesuję, czyli tą częścią Internetu, która jest ukryta. Ale ostatnio, jak pisałem, rozdział do Biblii e-biznesu 3.0 – już trzecia będzie biblia, zacząłem szukać troszeczkę więcej informacji na temat “darknetu” coś tam czytelnikom musiałam wyjaśnić. Tych zasobów w darknecie jest więcej niż w tym oficjalnym internecie, którego możemy przeszukać standardowymi wyszukiwarkami.

Ja już nie chcę się martwić, co by było, gdyby dziecko, czy nastolatek zainteresował się zasobami z darknetu. Czyli tej części internetu, która jest standardowo w jakimś stopniu ukryta, ona nie jest dostępna dla wyszukiwarek w tym momencie. Dlatego narzędzia kontroli rodzicielskiej pozwalają też kontrolować aplikacje, które są uruchamiane. Bo żeby sięgnąć do jakichś tam zasobów niestandardowych w sieci trzeba mieć odpowiednie narzędzia i sobie poinstalować i tak dalej i tak dalej. I w tym momencie to rodzice kontrolują, co ma być zainstalowane i co tak naprawdę dziecko przegląda w internecie.

Ktoś mógłby powiedzieć, że to jest ingerencja, która idzie za daleko. Brak zaufania do dziecka i tak dalej i tak dalej. To jest decyzja rodziców, to jest decyzja wspólna, która powinna być wspólnie z dzieckiem podjęta. Ono powinno być oczywiście poinformowane. Nie, że my robimy jakąś partyzantkę, czaimy się tam na dziecko, żeby przyłapać dziecko na czymś. Ja uważam, że narzędzia tego typu, które nam te kontrowersyjne treści próbują nam po prostu odfiltrować, są tutaj jak najbardziej pożądane. 

A jeżeli chodzi o smartfon, to tak jak wspominałem, mamy też narzędzia kontroli rodzicielskiej firm trzecich. Natomiast wielki hegemon informacji, który zarządza systemem Android, najpopularniejszym systemem na smartfon, stworzył narzędzie Google Family Link. I tam mamy wszystko, mamy właśnie te narzędzia kontroli rodzicielskiej, o których mówiłem. I możemy sobie wybierać aplikacje, które dziecko uruchamia.

Pamiętajmy, że też ta wielka firma, która jest operatorem serwisu multimedialnego, (mówię tutaj o YouTubie). Ona też zadbała o to, żeby wszystkie treści na YouTubie były oznaczane, że są teściami na przykład dla dzieci, albo, że nie są treściami dla dzieci. A jeszcze tam jest taka klauzula przy publikowaniu, że musimy oznaczyć, że jest na przykład od 18 lat tylko, dana treść dodatkowo. Raz, że nie jest dla dzieci, a dwa na przykład, że jest tylko od 18 lat. I teraz stworzyli cały świat YouTube Kids. Możemy zrobić tak, że na smartfonie się uruchomi YouTube Kids, a zwykły YouTube się w ogóle nie uruchomi. I w tym momencie dziecku podamy tylko treści, które są dostępne wyłącznie dla dzieci.

Natomiast Google Family Link jest to narzędzie na tyle zaawansowane, że jest pełna kontrola nad smartfonem dziecka. Nad instalacją aplikacji, wykorzystaniem tych aplikacji, raportowanie dla rodziców, wszystko. Natomiast ona idzie również w kierunku takim, że można śledzić smartfona przy pomocy GPS, smartfona dziecka, oczywiście. I teraz jak dalece my te narzędzia będziemy w stanie wykorzystać, to jest znowu wola rodziców. Ale jakaś też decyzja podejmowana wspólnie z dzieckiem. To znaczy przynajmniej dziecko musi być o tym poinformowane w sposób życzliwy. I też przedstawić dziecku aspekty, takie związane z jego bezpieczeństwem cyfrowym. I najpoważniejsze zagrożenie chyba z sieci, to jest to, że ktoś może się w sieci podszyć. Dorosła osoba może się podszyć pod dziecko, czasami media nagłaśniają takie przypadki. Ale one stosunkowo rzadko są nagłaśniane, a mówię, podszyć się w sieci pod kogoś, już wcześniej ten aspekt podszywania przy okazji maila już rozpatrywaliśmy dosyć szeroko. 

Jest to najpoważniejsze zagrożenie dla firmy i osób prywatnych. Ktoś się podszywa, podsyła nam coś i jakiś szkodliwy mechanizm zadziała. Dziecko jest bezbronne, Mechanizmy obronne też nie są rozwinięte, tak jak w życiu dorosłym. Z definicji jednak pewien brak zaufania wykazujemy w życiu dorosłym. Natomiast dziecko jest ufne. Ktoś dorosły, kto się dobrze podszyje i zacznie grać rolę dziecka jest w stanie nawiązać z dzieckiem dialog. I później ewentualnie podjąć próbę umówienia się w Realu. I tutaj rodzice to powinni kontrolować. Ktoś może powiedzieć, że ja jestem konserwatystą, mówiąc między nami, jakaś tam dusza konserwatysty we mnie troszeczkę gra. Tutaj nie o to chodzi, żebyśmy się spierali w tej chwili, kto jest bardziej konserwatywny, mniej konserwatywny. To chodzi o bezpieczeństwo dzieci. Powinniśmy zastanowić się, żeby jak najpóźniej jednak dopuścić dzieci do świata social mediów. Zastanowić się nad ewentualnymi wadami i zaletami.

W tej chwili są nawet specjalne kanały social media, wręcz przeznaczone dla dla dzieci. Tutaj chodzi o to, że jeżeli dziecko zaczyna publikować ten wizerunek w sieci swój, ktoś może ten wizerunek przejąć. Ktoś może przetworzyć go cyfrowo w celu na przykład ośmieszenia, pokazywać później w szkole. Uważajmy właśnie, kiedy publikujemy wizerunek naszych dzieci w sieci, w jakim celu to robimy. Jeżeli robimy to tylko dla fanu, zastanówmy się, czy tak naprawdę warto. Ja jestem za tym, żeby dla bezpieczeństwa naszych dzieci jak najpóźniej ich wizerunek znalazł się w sieci. Dlatego, że jeżeli raz wizerunek w sieci się znajdzie kogokolwiek, to on tam zostaje i koniec. I tego nie wykasujemy.

Ja miałem kiedyś bardzo niemiłą sytuację, że ktoś na Facebooku założył konto fejkowe. Jak to się nie pięknie mówi. Wstawił moje zdjęcie, podszył się pode mnie i próbował wchodzić w interakcje z moimi znajomymi. To się skończyło jakimś takim wręcz konfliktem w realu. Brakiem zaufania, czy rzeczywiście moje jakby wytłumaczenie tej całej sytuacji jest wiarygodne. Bo ludzie nie biorą pod uwagę, że ktoś w bardzo prosty sposób może się podszyć pod kogoś. To konto znikło szybko, to podrobione. Ale ktoś celowo po prostu, chciał jakiś cele swoje uzyskać, poprzez właśnie takie podszycie się. I wstawienie zdjęcia kogoś.

Pamiętajmy, że nawet, jeżeli nasz dorosły znajomy, odzywa się do nas to, tak naprawdę nie zawsze możemy być pewni, że to jest nasz znajomy. Uważajmy, czy to nie jest jakiś nowe konto. Uważajmy, czy tam faktycznie są wszystkie te zasoby. Moje konto w social mediach jest niesamowicie aktywne. A mimo wszystko, ta osoba nie sprawdziła tego, że to nie jest moje konto tak naprawdę. Bo tam najprawdopodobniej większości tych zasobów, które ja na swoim koncie mam, nie było. A mimo wszystko uwierzyła, że to jestem ja. 

Teraz wracając do dzieci, dziecko jest tym bardziej bezbronne na próby podszywania się. W związku z tym, uważajmy i ostrożnie wprowadzajmy dziecko w świat, właśnie, tej cyfrowej technologii. W świat Internetu, który nas wręcz pochłania, czy uzależnia. To jest jakby osobny problem I to nie jest problem bezpieczeństwa w kontekście technologii. 

Gruby temat hasła. Czy to może być imię ukochanej, bo przecież mam takie samo od 10 lat i jeszcze nic się nie stało. 

To, że nic się nie stało, to najprawdopodobniej się stanie. Nie może być to imię ukochanej, bo to, takie trochę pytanie sugerujące. Nie może być, dlatego w haśle nie umieszczamy żadnych informacji o nas, które łatwo zgadnąć. To jest ewidentne, natomiast pójdę jeszcze dalej. Zresztą Piotr Konieczny z “Niebezpiecznika” gdzieś tam, gdzieś ostatnio wykład jego jakiś słyszałem. I on uważa, że od razu nie należy tutaj mówić ludziom o polityce haseł, co można, co nie można z tymi hasłami. Tylko od razu trzeba mówić, żeby używali managerów haseł.

Zanim ja przyjdę do managerów haseł chciałbym wytłumaczyć, dlaczego to hasło jest w dobie zagrożeń internetowych strasznie istotne. Po pierwsze on ochroni często tylko nasze zasoby. Na szczęście banki dyrektywą unijną zostały też zmuszone do tego, żeby wprowadzić dwuskładnikowe uwierzytelnianie już przy logowaniu się na konto bankowe. Różnie one to realizują, w różny sposób, różne banki. Ale generalnie najczęściej jest to SMS, kod, który już przy logowaniu trzeba podać. Czyli oprócz hasła jest drugi składnik uwierzytelnienia. I w tym momencie bezpieczeństwo, jeżeli wprowadzamy ten drugi składnik uwierzytelnienia do naszych zasobów, czy do poczty, czy do do konta Facebooka, czy do konta Linkedin. A czy do innych zasobów, to w tym momencie to bezpieczeństwo rośnie w postępie geometrycznym, jak to się mówi, co najmniej. 

Ale hasło często jest jedynym w zasadzie, takim wektorem, który chroni tą jedyną kłódką którą zakładamy na nasze zasoby, które są dostępne za pośrednictwem Internetu. W związku z tym hasło jest bardzo ważne. Nie powinno być to takie same hasło do banku, nie powinno być to samo hasło do poczty. Hasło do poczty jest ultra ważne. Przez pocztę można się włamać do naszych innych zasobów i można odzyskiwać hasła do innych miejsc w sieci przy pomocy poczty. Bo są opcje odzyskiwania, które korzystają przecież z naszej poczty. No i często nasze konto pocztowe jesteś loginem po prostu, loginem do różnych miejsc w sieci.

Dlaczego używanie różnych haseł do różnych miejsc w sieci jest szalenie istotne? Dlatego, że jeżeli, czy to imię ukochanej, czy to imię naszego ulubionego zwierzątka (stosunkowo rzadziej będziemy się spotykać z takimi atakami na hasło, że ktoś próbuje zgadnąć to hasło na podstawie naszych preferencji), chyba, że ktoś w pracy pod naszą nieobecność chciałby się zalogować do naszego komputera. To takim kluczem mógłby się posłużyć. Ale zwykle jak osoba atakująca robi to z sieci, to w zasadzie nas nie zna. To w związku z tym, albo próbuje siłowo, bardzo rzadko, siłowo złamać to hasło. Czyli ma w jakimś pliku listę typowych haseł i jest mechanizm, który podstawia te hasła. Jeżeli system informatyczny pozwala 200 razy podjąć taką próbę, no to być może za dwusetnym pierwszym razem, uda się i zaloguje się.

Ale częściej jest to tak, że nasze hasło wycieka gdzieś ze sklepu internetowego, naszego ulubionego. Gdzieś sobie kupujemy odzież na przykład i ktoś w tym sklepie internetowym niestety nie zadbał o to bezpieczeństwo, nie aktualizował na przykład oprogramowania sklepu, nie aktualizował oprogramowania bazy danych. I po prostu osoba atakująca w jakiś sposób uzyskała dostęp do bazy danych tego sklepu internetowego i to hasło wyciekło. Mało tego ono tam nie było właściwie zabezpieczone. Ktoś odczytał to hasło i w tym momencie zaczyna się posługiwać tym hasłem. Próbuje się zalogować do naszej poczty. Jeżeli się zaloguje do naszej poczty próbuje zobaczyć, gdzie mieliśmy dostępy. Gdzie są ślady dostępów do różnych innych ciekawych miejsc. Były takie przypadki, że ludziom z giełdy kryptowalut ginęły kryptowaluty w ten sposób. I taki był mechanizm ataku.

Natomiast mechanizm ataku może być też inny. To znaczy, ktoś bierze to hasło, pisze maila do nas. Słuchaj Janek, Franek, Czesia powiedzmy. Ja uzyskałem dostęp do twojego komputera, mimo, że to jest blef, bo to się rzadziej zdarza zdecydowanie, niż wyciek hasła, gdzieś tam ze sklepu internetowego. Uzyskałem dostęp do twojego komputera. Popatrz to jest jedno z twoich haseł i ja widziałem co ty tam robisz na tym komputerze. Co ty tam przeglądasz i tak dalej i tak dalej. Zarejestrowałem twoją aktywność również przez kamerkę internetową. Jeżeli nie zapłacisz mi okupu, to ja po prostu podejmę jakieś określone działanie. W tym momencie on, pokazuje nam to hasło, jedno z naszych haseł, które używaliśmy w sieci. A jeżeli używamy jedno hasło, no to wtedy jest lipa, bo on ma dostęp do naszej poczty. Może mieć dostęp wręcz do naszego banku.

No teraz na szczęście jest ten drugi składnik uwierzytelniania domyślnie. Nie pójdzie mu tak bardzo prosto, (ale może mieć już), jeżeli używamy jednego hasła, to może mieć dostęp do różnych miejsc w sieci. I pójść jak po sznurku. Pologować się i sprawdzać, gdzie może coś tam uzyskać, informacje, może to są jakieś serwisy, tak jak mówiliśmy wcześniej związane z finansami. A może spróbuje nas zaszantażować w ten sposób i powiedzieć: słuchaj, dawaj kasę, a jak nie, to tam mam na ciebie kompromitujące materiały.

Pamiętajmy o tym, że większość tego typu ataków, tak zwanych ataków jest blefem, dopóki ktoś nie uwiarygodni, to blefuje. A nawet, jeżeli się uwiarygodni, to zaraz płacenie takiej osobie nie ma sensu. Dlatego, że on i tak może nas szantażować bez końca. Nie mamy nigdy gwarancji, że on jeżeli faktycznie przejął jakieś nasze pliki, z naszego komputera (stosunkowo rzadko to się zdarza). Jednak w porównaniu z takimi prostszymi atakami, gdzie wyciekło hasło i to hasło pokazuje w sieci, to nawet, jeżeli ma coś, to nie mamy gwarancji, że on to skasuje. 

Druga jeszcze sprawa związana z tym i kolejne niebezpieczeństwo. Ostatnio jeden z moich znajomych się odezwał i mówił, że duży operator pocztowy, związany z dużym portalem, mówi mu, że ktoś się włamał na jego skrzynkę. Taką informację mu wysyła i rozsyła spam z jego skrzynki. Jeżeli to hasło gdzieś wycieknie w sieci, ktoś się tym hasłem, którego używaliśmy w sklepie internetowym zaloguje do naszej poczty i zwyczajnie zacznie głupoty rozsyłać. Z naszej skrzynki dosłownie, bo on się przecież uwierzytelni na naszej skrzynce. Czyli to tak, jakbyśmy my wysyłali, może nawet głupoty do jakichś znajomych naszych wysyłać, może rozsyłać spam. W tym momencie to nasze hasło może wykorzystać do uzyskania dostępu do w zasadzie wszystkiego. Nie używajmy hasła typu, imię ukochanej i 10 lat nic się nie stało. Używajmy innych haseł do różnych miejsc w sieci.

Ten mój znajomy nawet nie chciał słuchać, powiem szczerze, na ten temat. Ale jeżeli jesteśmy przedsiębiorcami, to mamy większy stopień ryzyka. Jeżeli pracujemy w dużej korporacji w określonym miejscu hierarchii organizacyjnej, mamy jakiś obszar odpowiedzialności. Nasza odpowiedzialność i nasze ryzyko w tym momencie rośnie. W związku z tym może warto się zainteresować tematyką managerów haseł. Jednak generować te hasła do różnych miejsc w sieci, losowe, długie. Jeżeli ktoś nawet by gdzieś tam do jakiegoś sklepu internetowego, do naszego konta uzyskał dostęp, to nie uzyska dostępu do innych miejsc w sieci.

Mało tego, taki menadżer haseł jest wygodny, bo oczywiście back up musimy sobie zrobić. Baza jest chroniona jednym hasłem, jest zaszyfrowana. Po prostu mamy tych dostępów tam kilkaset i sobie elegancko, tylko przy pomocy tego menadżera haseł logujemy się. Nie musimy zapamiętywać wielu haseł do różnych miejsc oczywiście, bo nigdy tego nie zapamiętamy. Poziom bezpieczeństwa naszego, cyfrowego mimo, że te narzędzia są darmowe, że możemy tą pracę rozłożyć w czasie. Czyli sobie powoli zmieniać te hasła w różnych miejscach w sieci i sobie katalogować nasze dostępy. Bo zwykle jest tak, że jak gdzieś zostawiliśmy maila, gdzieś tam się zarejestrowaliśmy w sklepie internetowym, taki newsletter przychodzi, różne osoby, miejsca sobie przypominają o nas. I wtedy mówimy, o to mieliśmy dostęp, w związku z tym ja się zainteresuję.

Teraz zmienię hasło, wpiszę sobie w managera haseł, a jeżeli nie korzystam z tego dostępu, to może warto zrezygnować z tego newslettera. Usunąć nasze dostępy, gdzieś tam w sieci. Wtedy też powiedzieć: dobra miałem tam dostępy, miałem tam jakieś swoje hasła, ale po prostu już usunąłem i tego nie ma. Ja bym powiedział, że to jest fundamentalnie ważny aspekt bezpieczeństwa. Wszystko w zasadzie zaczyna się od hasła, które często jest jedynym elementem, który chroni nasze zasoby. A jeżeli mówimy tutaj w kontekście chmury, to tym bardziej. Często dyski chmurowe są dostępne z każdego miejsca na świecie. 

Teraz wyobraźmy sobie, że ktoś złamie hasło do tych dysków. Teraz zastanówmy się, co mamy na swoim Google Drive, One Drive jakimś Dropboksie, czy w jakichś innych serwisach chmurowych. I tak naprawdę, co się stanie, jeżeli ktoś uzyska dostęp do tego miejsca i będzie mógł po te zasoby sięgnąć i te zasoby wykorzystać. Zastanówmy się w kontekście właśnie używania chmury, na ile ta chmura jest bezpieczna. I czy nie warto jakichś innych elementów, chociażby dwuskładnikowego uwierzytelniania, o którym zaczęliśmy mówić, zaimplementować. Ze względu właśnie na ryzyko przechowywanych w chmurze danych. 

 Czas na reklamę! Co polecimy każdemu biznes tacie? 

Ja bym polecił książkę wydawnictwa Helion mojego autorstwa “Bądź bezpieczny w cyfrowym świecie”. Tutaj też przekaże specjalny kod rabatowy, tak, że ta książka naprawdę wyjdzie za niewielkie pieniądze. Tam krok po kroku i te aspekty bezpieczeństwa są z narzędziami podane. Nawet jeżeli będziemy szukać innych narzędzi, to możemy sobie taki audyt bezpieczeństwa podstawowy, nawet po spisie treści, jak sobie popatrzymy, to są te obszary bezpieczeństwa, o które powinniśmy zadbać. Te podstawowe obszary bezpieczeństwa. I tam też jest rozdział na temat bezpieczeństwa dzieci.

Ja też na swoim kanale YouTube opublikuję i na swojej stronie pieleszek.pl niebawem taki podstawowy kurs dla rodziców. Gdzie będę między innymi mówił o tych narzędziach, które właśnie mogą być wykorzystywane do ochrony dziecka w sieci. Mam nadzieję, że już w momencie emisji tego odcinka podcastu, albo jak słuchacze będą go słuchać, mam nadzieję, że wielokrotnie, to ten kurs będzie dostępny na moim kanale YouTube Easy IT Security pl, oraz na mojej stronie pieleszek.pl, tutaj serdecznie zapraszam do zapoznania się z praktycznie darmowymi zasobami. 

Czy zauważasz wokół siebie coś, co ostatnio przywiodło refleksję: o można by wokół tego zbudować biznes, ale przecież ja już mam zajęcie. 

Tak, myślę, że też, jeżeli chodzi o szkolenia w zakresie bezpieczeństwa. Też o ten obszar bezpieczeństwa dzieci w sieci, da się zbudować taki system szkoleń, system edukacji, też edukacji w kierunku bezpieczeństwa biznesu, który w tej chwili zdalnie można sprzedawać. Natomiast ja dużo miałem szkoleń stacjonarnych dla moich klientów. Jak obecna sytuacja epidemiczna się zaczęła, no, to w zasadzie póki co, szkolenia stacjonarne jeszcze nie wróciły w takiej postaci, jak to wszystko było przed sytuacją, która obecnie ma miejsce. Więc dla branży szkoleniowej jest to zagrożenie, z drugiej strony to jest olbrzymia szansa. Dlatego, że wzrosła jednoznacznie akceptacja dla różnych form szkolenia zdalnego.

I to nie tylko chodzi o takie szkolenia, że ja coś tam w Internecie opublikuję i tak dalej. Ale też o szkolenia takie, które w sposób interaktywny można realizować. Czyli jak to się mówi symultaniczny, to znaczy, ja włączam kamerę, włączam jakieś oprogramowanie określone i spotykam się jednocześnie z tymi odbiorcami szkolenia.

Tak jakbym był na sali szkoleniowej prowadzę to szkolenie. Odpowiadam na pytania, wyjaśniam wszystkie wątpliwości i mogę się w tym momencie praktycznie nie ruszać z domu. Jest to olbrzymia szansa w różnych dziedzinach wiedzy. Tego typu produkty szkoleniowe kreować i sprzedawać wykorzystując to, że często ta tolerancja dla zdalnych spotkań, spotkań online, również dla spotkań szkoleniowych online, bardzo mocno wzrosła. Z takich względów niekoniecznie korzystnych dla nas niestety, ale mam nadzieję, że też tendencja w jakiś sposób się utrzyma. Że jednak produkty szkoleniowe, takie zdalne w większym stopniu zagoszczą już na tych salonach biznesowych. I my będziemy chcieli je wykorzystywać. Może one będą też troszeczkę tańsze, aczkolwiek nie byłbym taki szybki do obniżania cen, bo wiadomo, że obniżenie ceny zawsze uderza w ten biznes, w nasz biznes.

Ale zawsze można zaoferować jakieś dodatkowe korzyści klientowi. Można faktycznie pokazać, że w stosunku do szkolenia stacjonarnego pewne formy są tańsze i mogą być sprawnie przeprowadzone, elastycznie czasowo. Może być w prosty sposób stworzony zapis tego szkolenia, cenę nie zmieniać, ale w gratisie udostępnić zapis takiego szkolenia i powiedzieć, że to jest w gratisie. I może być później, gdzieś tam wewnętrznie używane w firmie, na jakim serwerze. Należy pamiętać, że nawet na YouTubie można przecież w takim trybie opublikować, żeby to nie było publicznie dostępne, tylko dla wybranych, na przykład, którzy mają linka i tylko dany materiał jest dostępny wewnętrznie w firmie.

Tak, że też trzeba skupić się w tej chwili na szansach, które się pojawiły związku z tym wszystkim, które ma literkę “e”. E- biznes, e – szkolenia, jakaś e- edukacja. Nie wiem czy coś takiego w ogóle jest, ale możemy sobie na potrzeby naszego podcastu szybko stworzyć takie pojęcie. Chyba jest, czyli ta edukacja zdalna, to raczej chyba to określenie jest używane. E- biznes, e- szkolenia to częściej dla tych biznesów, które są związane z Internetem. Jeżeli te narzędzia mamy opanowane, a nasi słuchacze pewnie interesują się mocno technologią, skoro słuchają podcastów też. I działają w biznesie również. Obecna sytuacja jest zagrożeniem dla wielu biznesów, ale jest też ogromną szansą. Bo zmieniają się preferencje klienta. 

Dziękuję serdecznie. Ze swojej strony życzę wielu pożytecznie spędzonych godzin z rodziną. I jak najmniej problemów z wirusami i przejęciami w Internecie. 

Dziękuję bardzo za zaproszenie Arturze i mam nadzieję do zobaczenia do usłyszenia też w innych jeszcze okolicznościach 

Podobne audycje:

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *