Sun Zi, chiński generał i filozof, który jest autorem traktatu o strategii wojskowej znanego pod tytułem „Sztuka wojny”, udostępnił dawno temu szereg najistotniejszych kluczowych informacji o tym, jak należy radzić sobie w obliczu konfliktów wojennych. Niektóre z jego najbardziej znanych cytatów to: „Sztuka wojny polega na pokonaniu wroga bez walki”; „Kto umie rozwiązywać problemy, rozwiązuje je, jeszcze zanim się pojawią”; oraz jeden spośród moich ulubionych, czyli „Poznaj swojego przeciwnika, a przede wszystkim poznaj siebie, a staniesz się niepokonany”. W tych zdaniach, które zostały napisane w okresie między 400 r. p.n.e. a 320 r. p.n.e., ciekawe jest to, że pozostają one nadal aktualne, i to w bardzo zróżnicowanych dziedzinach. Nie szukając daleko, możemy je zastosować do branży cyberbezpieczeństwa. Tak, dobrze przeczytaliście, ponieważ – jak się nad tym zastanowić – najlepszym sposobem ochrony przed cyberprzestępcami, którzy chcą zdobyć nasze hasła, uzyskać dostęp do naszych baz danych czy opróżnić nasze konta bankowe, jest dowiedzenie się, jak działają, czego chcą i w jaki sposób osiągają zamierzony cel. Jeśli poznasz ich metody postępowania i przeanalizujesz swoje słabe punkty, będziesz w stanie uniknąć ataku, zanim on jeszcze nastąpi, pokonując wroga bez konieczności bezpośredniego stawienia mu czoła.

Oto kilka prostych wskazówek, które każdy może zastosować i które są bardzo przydatne do ochrony przed cyberatakami.

Pierwszą rzeczą, jaką musimy objaśnić, są rozmaite środki oraz sposoby, za pomocą których cyberprzestępcy mogą uzyskać od nas istotne i poufne informacje do realizacji swoich celów.

1. Portale społecznościowe.

Wszystkie umieszczane przez nas w sieciach społecznościowych zdjęcia, filmiki i posty zawierają informacje, które mogą zostać wykorzystane do przeprowadzenia na nas ataku. Dlatego musimy zachować ostrożność podczas umieszczania na naszych kontach na tego typu portalach jakichkolwiek treści, gdyż mogą one zawierać poufne informacje. Na przykład, jeśli robisz sobie zdjęcie w biurze ze współpracownikami lub na swoim stanowisku pracy, upewnij się, że nie widać na nim żadnego hasła, nazw klientów ani typów programów, z których masz zwyczaj korzystać. Cyberprzestępca może użyć tych danych, aby uzyskać dostęp do Twojego urządzenia lub podszyć się pod kogoś, komu ufasz, prosząc Cię o udostępnienie mu informacji. Innym rodzajem danych, których często szukają tego typu przestępcy, są plany podróży, zanim jeszcze dojdą one do skutku, albo informacje, jakie mogą oni wykorzystać do celów podszycia się pod Ciebie.

2. Hasła.

Hasła to najłatwiejszy sposób na uzyskanie dostępu do Twoich urządzeń. Dlatego ważne jest, abyśmy przechowywali nasze hasła w ukrytej postaci i nie przekazywali ich nikomu, kto mógłby je wykorzystać dla własnej korzyści. Jeśli kiedykolwiek ktoś poprosi Cię o podanie hasła, twierdząc, że jest członkiem Twojej organizacji lub firmy, potwierdź tę prośbę za pośrednictwem innego kanału i znajdź alternatywny sposób kontaktu z tą osobą, niewymagający podawania jej Twoich danych uwierzytelniających. Pamiętaj również o tym, że podmioty, których jesteś klientem, nigdy nie poproszą Cię o udostępnienie im Twojego hasła.

3. Phishing.

Tzw. phishing to sposób, w jaki cyberprzestępcy wysyłają złośliwe oprogramowanie, abyś pobrał(a) je na swój komputer, otworzył(a) zawierający je link, udostępnił(a) poufne informacje lub ujawnił(a) hasła. Osiąga się to również poprzez zastosowanie SMShingu lub Vishingu, które polegają na wysyłaniu wiadomości tekstowych (SMS-ów) lub wykonywaniu połączeń głosowych, podszywając się pod osobę trzecią. Najlepszym sposobem ochrony jest ograniczone zaufanie do podejrzanych e-maili, połączeń telefonicznych i wiadomości oraz sprawdzanie wiarygodności źródeł w przypadku pojawienia się wątpliwości co do jakichkolwiek działań bądź informacji, których żąda się w treści odebranej wiadomości e-mail. Cyberprzestępcy często tworzą poczucie pilności – sprawiają, że czujemy presję, by kliknąć w podany link, i dzięki temu osiągają zamierzone cele. Dlatego należy zawsze weryfikować źródło pochodzenia i podawać w wątpliwość każdy komunikat, który wydaje się nam podejrzany.

4. Złośliwe oprogramowanie.

Tzw. malware to wszelkie złośliwe oprogramowanie, zaprojektowane w celu wtargnięcia do danego urządzenia bez naszej wiedzy. Służy ono do kradzieży haseł i poufnych dokumentów, szpiegowania działań, jakie prowadzisz na swoich urządzeniach, a nawet kradzieży pieniędzy. Przykładem złośliwego oprogramowania jest tzw. ransomware, wykorzystywane przez cyberprzestępców do celów uzyskania dostępu do Twoich urządzeń i zablokowania lub zaszyfrowania znajdujących się w Twoim posiadaniu informacji, z zamiarem zażądania w zamian za nie pieniędzy. Podobnie jak w poprzednim przykładzie, najlepiej jest starać się zachować poufność naszych haseł, nie klikać w podejrzane linki, dokumenty czy filmiki oraz nie przekazywać informacji innym osobom bez uprzedniego sprawdzenia ich wiarygodności.

Trzeba również mieć świadomość, że cyberprzestępcy wykorzystują jako „haczyk” do tego, abyśmy zrobili to, o co nas proszą, poczucie pilności, naszą chęć niesienia pomocy, skłonność ludzi do ufania innym oraz nasz strach przed popadnięciem w kłopoty. Wszyscy możemy znaleźć się na ich celowniku, a zatem najlepiej jest zawsze zachować czujność.

Dzięki tym prostym krokom możemy zapobiec wielu większym nieszczęściom, a – jak mawiał Sun Zi – „najlepszą obroną jest skuteczny atak”. W tym przypadku najlepszym atakiem jest ochrona siebie poprzez szkolenie się i uczenie innych sposobu, w jaki należy chronić się przed cyberatakami. W firmie GMV rozpoczęliśmy już szkolenie całego naszego personelu i mamy nadzieję, że przekaże on te informacje dalej swoim znajomym. Im większą ilością informacji będziemy dysponować, tym lepiej będziemy przygotowani na moment, w którym otrzymamy wysłaną nam przez cyberprzestępcę wiadomość e-mail.

Autor(ka): Paula González Muñoz i Ana Larraga Bautista