Przypadający na 28 stycznia Europejski Dzień Ochrony Danych Osobowych to dobra okazja, by przypomnieć o znaczeniu szyfrowania w ochronie informacji przed szpiegowaniem i innymi działaniami naruszającymi prywatność. Chociaż od ujawnienia przez Edwarda Snowdena wycieków dotyczących działalności amerykańskiej NSA minęło już niemal 13 lat, debata wokół szyfrowania typu end-to-end wciąż pozostaje aktualna, ostatnio w kontekście sporu wokół inicjatywy Chat Control. Eksperci Sophos ostrzegają, że próby wprowadzania backodoorów oraz polityki „autoryzowanego dostępu” do danych nie zwiększają poziomu bezpieczeństwa, a wręcz mogą go obniżać.
Na czynniki ryzyka związanego z takim podejściem zwraca uwagę Chester Wisniewski, Director, Global Field CISO w Sophos. Podkreśla on na podstawie doświadczeń ostatnich lat, że osłabianie mechanizmów ochrony prywatności prowadzi do skutków odwrotnych od zamierzonych.
– Stosowanie backdoorów oraz polityki „autoryzowanego dostępu” nie działa. Widzieliśmy liczne przypadki, w których amerykańskie firmy technologiczne zostały oszukane przez grupy cyberprzestępcze takie jak LAPSUS$ i Scattered Spider, które podszywały się pod organy ścigania, aby uzyskać „legalny dostęp” do danych osobowych ludzi – mówi Chester Wiśniewski.
Ekspert wskazuje jednocześnie, że fundamentem bezpieczeństwa w cyfrowym świecie pozostaje kontrola użytkownika nad własnymi danymi: – Szyfrowanie pozwala nam udostępniać to, co chcemy, kiedy chcemy i komu chcemy. Rozpoczynając od założenia, że to użytkownik sprawuje kontrolę, dajemy mu możliwość bezpiecznego i świadomego dzielenia się danymi za jego zgodą. Dzień Ochrony Danych Osobowych to dobry moment, aby przejrzeć aplikacje, platformy i media społecznościowe, z których korzystamy na co dzień i ocenić, czy są one bezpiecznym wyborem na przyszłość.
W tym kontekście Sophos przedstawia pięć praktycznych wskazówek dla lepszej ochrony danych:
Wybieraj odpowiednie hasła
Warto uporządkować swoje hasła i włączyć uwierzytelnianie dwuskładnikowe. Menedżer haseł ułatwia zmianę starych haseł, zastąpienie ich nowymi i silnymi oraz stosowanie różnych kombinacji dla każdego konta. Chroni on również przed fałszywymi stronami. Jeśli użytkownik trafi na nieprawdziwą, phishingową stronę logowania do banku, menedżer haseł jej nie rozpozna i nie wstawi żadnego hasła. Z kolei w ramach uwierzytelniania dwuskładnikowego zazwyczaj wykorzystywane są jednorazowe kody wysyłane na telefon w wiadomości SMS lub generowane za pomocą aplikacji. Użytkownikowi ta dodatkowa czynność nie zabiera wiele czasu, ale dla przestępców stanowi ogromne utrudnienie.
Przejrzyj ustawienia prywatności
Większość systemów operacyjnych, aplikacji i kont online pozwala użytkownikowi zdecydować, ile informacji chce udostępniać, kiedy i w jaki sposób. Przy okazji Dnia Ochrony Danych Osobowych warto zadać sobie pytania, czy każda aplikacja w telefonie rzeczywiście powinna mieć dostęp do lokalizacji? Czy istnieje potrzeba, aby pozostawać zalogowanym na swojej ulubionej stronie internetowej przez wiele tygodni? Czy aplikacje powinny mieć prawo publikowania treści w mediach społecznościowych w imieniu właściciela konta?
Nie istnieje jedna uniwersalna zasada w tym zakresie, ponieważ każda aplikacja i strona zawiera własny zestaw opcji i ich nazw oraz inne menu konfiguracji, w którym można dostosować ustawienia. Dlatego warto, aby użytkownicy samodzielnie poświęcili chwilę na odnalezienie odpowiednich ustawień i świadomie zdecydowali, które z nich chcą zmienić.
Nie udostępniaj wizerunków i danych innych osób bez ich zgody
Media społecznościowe mogą być świetną zabawą i właśnie po to zostały stworzone. Nie należy w nich jednak dzielić się każdą informacją, a tym bardziej udostępniać treści o innych osobach bez ich zgody. Warto wyrobić w sobie nawyk, aby zawsze prosić o pozwolenie, niezależnie od tego, jak mało istotne może się to wydawać. Dzięki temu użytkownik pokazuje również, jak sam chciałby być traktowany przez znajomych. Ponadto, publikowane treści mogą przypadkowo dostarczać cyberprzestępcom informacji, które nie powinny być jawne, jak miejsce zamieszkania, data urodzin czy fakt, że ktoś spędza czas poza domem, który stoi wtedy pusty. Informacje tego rodzaju mają dla przestępców realną wartość.
Zachowaj szczególną ostrożność w pracy
W kontekście pracy warto zachować szczególną uważność na to, jakimi danymi się dzielimy. Wycieki danych firmowych, a zwłaszcza informacji powierzonych przez klientów i takich, które zgodnie z prawem muszą być chronione, mogą mieć niezwykle poważne konsekwencje. Nierozważne obchodzenie się z zasobami firmowymi może mieć wpływ bezpośrednio na sytuację pracownika: od odpowiedzialności dyscyplinarnej po realne zagrożenie dla jego miejsca pracy.
Znaj swoje granice prywatności
Każdy użytkownik powinien samodzielnie określić wartość swoich danych osobowych: ile jest gotów udostępnić i co otrzymuje w zamian. Jeśli firma lub strona internetowa prosi o więcej informacji, niż faktycznie potrzebuje, nie należy temu ulegać. Na przykład wypożyczalnia samochodów ma uzasadnione powody, by poprosić o potwierdzenie adresu przed przekazaniem kluczyków do pojazdu wartego 100 tys. złotych. Jednak, jeśli portal informacyjny lub hotspot w kawiarni domaga się podania adresu zamieszkania albo daty urodzenia, warto się zastanowić, do jakich celów miałyby te dane posłużyć i dlaczego w ogóle należy je udostępniać.