Chroń prywatność dziecka w sieci! Relacja z webinaru

Wiadomość od Elli w akcji Deutsche Telekom “Share with care” ścisnęła za gardło nie jednego rodzica. Cyfrowa wersja dziewczynki komputerowo postarzona do wieku nastoletniego prosi swoich rodziców o ochronę jej prywatności w sieci. Ella wymienia, co złodziej tożsamości może z nią zrobić. To mocny materiał, który pokazuje, dlaczego powinniśmy chronić dane dzieci w sposób szczególny.

A o tym, jak możemy to robić, opowiedział podczas webinaru ClickMeeting Marek Grzywna, zwycięzca Global Principal Award 2022 dla najlepszych dyrektorów na świecie oraz konkursu Global Edu Leader. Wykładowca i nauczyciel wyróżniony w konkursie Nauczyciel Roku uczy, jak rodzice i nauczyciele powinni chronić prywatność dzieci, na co zwracać uwagę i wyczulić najmłodszych.

Materiał z godzinnego spotkania dostępny jest pod linkiem. Natomiast przydatne screeny, cytaty i rozszerzenie zagadnień znajdziecie poniżej w relacji:

Standardy ochrony małoletnich

Współczesne szkolnictwo staje przed nowymi wyzwaniami w dziedzinie bezpieczeństwa. Szczególnie w kontekście cyberzagrożeń. W odpowiedzi na tego typu zagrożenia już 13 lipca 2013 r. została uchwalona pierwsza zmiana ustawy, gdzie wspomniano o ochronie małoletnich przed dostępem do nieodpowiednich treści w Internecie.

W związku z wejściem w życie tzw. “Ustawy Kamilka”, konieczna była zmiana aż ośmiu rozporządzeń. Placówki oświatowe zostały zobligowane do wprowadzenia standardów, które dotyczą sposobów:

• komunikowania się między nauczycielem a uczniem
• korzystania z sieci
• korzystania z narzędzi cyfrowych i innych.

Większość szkół ma już zaprojektowane lub wdrożone standardy bezpieczeństwa.

A czego one dotyczą?

Cyberzagrożenia, na jakie są narażone dzieci

Najczęstszymi cyberzagrożeniami, jakie pojawiają się w placówkach oświatowych są:

• Malware, czyli złośliwe programy komputerowe, które są zaprojektowane w taki sposób, aby powodowały uszkodzenie, zainfekowanie komputera w celu kradzieży danych.
• Phishing, czyli metoda wykorzystywana przez cyberprzestępców, którzy podszywają się pod zaufane źródła, jak np. instytucja bankowa lub urząd.

Phishing nie dotyczy tylko osób dorosłych, ale również dzieci. Już uczniowie klas pierwszych, a zdarza się, że i młodsze dzieci, korzystają ze smartfonów. Dlatego powinniśmy od samego początku edukować swoje dzieci, w jaki sposób mogą z tych urządzeń korzystać. Uczulić, żeby nie klikały w linki czy okna, które się wyświetlają podczas korzystania z urządzenia mobilnego.

• Spam, czyli niechciana, masowo wysyłana wiadomość e-mail, która zawiera różne reklamy, treści komercyjne, ale także linki

Zaznaczam, że nie ma czegoś takiego, jak podejrzane linki. Gdyby były one podejrzane, to byśmy w nie nie klikali. Takie linki wykorzystywane przez cyberprzestępców mają wyglądać jak najmniej podejrzanie właśnie po to, żebyśmy w nie kliknęli. To my mamy się zachowywać tak, jakby każdy link był podejrzany i być czujnym.

• DDoS jest to atak, w którym agresor wykorzystuje wiele komputerów lub urządzeń, które są zainfekowane złośliwym oprogramowaniem, aby jednocześnie zaatakować wiele komputerów i przeciążyć serwer, powodując spowolnienie lub unieruchomienie działania komputera
• MOWA NIENAWIŚCI! To niebezpieczne zjawisko, które zalewa Internet i na które powinniśmy być szczególnie wyczuleni. Obraźliwe i pejoratywne określenia mają na celu upokorzenie konkretnych osób. Uczmy dzieci tolerancji, nie godząc się na treści dyskryminujące czy marginalizujące grupy ludzi ze względu na ich cechy osobiste. Pamiętajmy, że bezpieczeństwo w sieci dla wszystkich zaczyna się od każdego z osobna.

Ochrona małoletnich w sieci – zagrożenia

Na co jeszcze powinniśmy zwracać uwagę? Jakie kwestie powinny budzić czujność zarówno dorosłych, jak i dzieci? Oto one:

• Naruszenie prywatności
• Cyberprzemoc – ma na celu obniżenie poczucia wartości osoby atakowanej
• Seksting, czyli przesyłanie treści o charakterze erotycznym oraz nakłanianie do tego typu działań
• Phishing
• Malware
• Fake News, czyli treści, które nie są zgodne z prawdą.

Dane osobowe, tożsamość i jej kradzież

Mówiłem o tym, że dane osobowe i tożsamość często traktuje się równorzędnie. Tożsamość to dane i cechy, które są przypisywane indywidualnie do konkretnej osoby. Na podstawie tych danych osoba może zostać zidentyfikowana. Z tożsamością nierozerwalnie związane są dane osobowe, takie jak: imię, nazwisko, Pesel, numer i seria dowodu itd.

Tożsamością jest również:

• wizerunek
• wizerunek w wirtualnym świecie
• portale społecznościowe
• loginy i hasła do różnego rodzaju platform i social mediów.

Pozwalają one na autentyfikację naszej osoby, naszej aktywności w sieci. Należy pamiętać o tym, że aktywność w sieci jest częścią naszej tożsamości.

Kradzieżą tożsamości jest więc nieautoryzowane przez właściciela pozyskanie i wykorzystanie danych osobowych czy danych autoryzacyjnych.

Jakie mogą być konsekwencje kradzieży tożsamości?

Konsekwencją kradzieży tożsamości może być:

• sfałszowanie dowodu osobistego
• zakładanie firmy na daną osobę
• zawarcie lub modyfikacja umowy na daną osobę
• założenie fałszywego profilu internetowego
• podszywanie się pod daną osobę i wpływanie na jej wizerunek.

Możliwość kradzieży tożsamości związana jest z tym, jak i gdzie przechowujemy dane.

Najwięcej danych, bo około 55% danych o sobie, przechowujemy na urządzeniu mobilnym. Często na smartfonie jesteśmy zalogowani do wielu kont z dostępem natychmiastowym. Podam Państwu przykład, o którym rozmawiałem ze specjalistą do spraw cyberbezpieczeństwa. Stwierdził on, że największe ryzyko utraty danych to zgubienie lub zmiana smartfona. Sprzedając stary smartfo,n często zapominamy przywrócić ustawienia fabryczne.

Poza smartfonem najwięcej danych przechowujemy w komputerze oraz w chmurze.

Jakie są cechy dobrego hasła?

Marek Grzywna przytoczył rekomendacje CERT Polska w zakresie tworzenia silnych haseł.

Najważniejsze, aby nasze hasło nie występowało w bazie wycieków danych.

Jeśli mówimy o sile hasła, to najistotniejsza jest jego długość. Nie jest ważne, czy znajduje się tam duża, mała litera czy znak specjalny. Minimalna liczba znaków to 12, a systemy powinny umożliwiać nam wpisywanie do 64 znaków. I to hasło powinno być zmieniane tylko wówczas, kiedy zaistniało ryzyko wycieku danych.

Prowadzący zadał pytanie retoryczne o bezpieczeństwo hasła. Było to zdanie “webinardotyczącyprywatnościwsieci”. Hasło to nie jest bezpieczne. Jeżeli jakieś hasło zostało na głos wypowiedziane czy zapisane w sieci, nie należy już do bezpiecznych.

Ciekawym zabiegiem jest również stosowanie błędów ortograficznych w hasłach, aby utrudnić atak słownikowy. Można także literę “a” zastępować znakiem “@”.

Menedżery przeglądarkowe – ryzyka

W przypadku zapamiętywania haseł w menadżerach przeglądarkowych trzeba pamiętać, aby nie robić tego na komputerach, z których korzystają inne osoby. Warto o tym pamiętać również w sytuacjach, kiedy z komputerów rodziców korzystają dzieci.

Biometria jest dużo bezpieczniejszym sposobem logowania. Na przykład poprzez odcisk palca.

Zawsze pamiętajmy o logowaniu dwuskładnikowym. Czy to do poczty, gdzie wpisujemy hasło i musimy potwierdzić na smartfonie próbę logowania, czy też do innych aplikacji.

Zweryfikuj swoje hasło

Narzędziem, które służy do weryfikacji siły hasła, jest aplikacja tiny.pl/wfcgk. Hasła, które są sprawdzane w tym programie, nie są zapisywane.

Dzięki aplikacji tiny.pl/dt85z jesteśmy w stanie sprawdzić, czy nasze dane osobowe wyciekły w sieci. Jeżeli nasz adres mailowy został udostępniony podczas jakiegoś wycieku, otrzymujemy pełen raport o tym, co i w jakim ataku zostało ujawnione

Marek Grzywna podkreśla, że warto trzymać się kilku prostych zasad, aby czuć się bezpiecznie w sieci.

Zapobiegaj cyberzagrożeniom

Pamiętaj o tym, aby:

• nie klikać od razu w otrzymane linki, tylko zastanowić się, czy nie padamy ofiarą cyberataku. Możemy kursorem myszy najechać na dany link (ale nie klikać!), żeby podejrzeć, czy nie kryje się pod nim coś zupełnie innego niż to, co zapowiada;
• pozostać czujnym, jeśli otrzymujemy e-mail z prośbą o aktualizację hasła. Najlepiej wyjść z takiej wiadomości, zalogować się na swoje konto i profilaktycznie zmienić hasło, ale nigdy nie korzystając z linka podanego w takim e-mailu;
• używać i aktualizować swoje oprogramowanie antywirusowe;
• używać silnych haseł i nie wykorzystywać tego samego hasła do logowania się na różnych stronach. Wyciek jednego spowoduje bowiem możliwość zalogowania się na wiele naszych profili i aplikacji;
• stosować dwuetapową autoryzację, czyli potwierdzenie, że to Ty próbujesz się zalogować do swojego konta, poprzez potwierdzenie na smartfonie;
• zachować czujność podczas otwierania nieznanych linków czy stron internetowych, a już na pewno nie powinniśmy pobierać z nich plików, które mogą okazać się wirusem.

Na stronie virustotal.com możemy w bezpieczny sposób sprawdzić link, który otrzymaliśmy. Wystarczy go skopiować do przeglądarki.

• korzystać tylko z bezpiecznych połączeń Wi-Fi, szczególnie podczas przesyłania poufnych informacji lub dokonywania transakcji finansowych.

Phishing

Rodzajów Phishingu jest jeszcze więcej niż na załączonym slajdzie. Kryją się pod nimi różne metody pozyskania naszych danych.

Spear phishing

Na przykład Spear phishing polegać może na wysłaniu nam maila identycznie wyglądającego, jak rzeczywisty mail od danej instytucji, z zamieszczoną prośbą o aktualizację hasła.

Typowym przykładem Spear i spam phishingu jest mail z podstawioną fakturą. Oszust ma nasze hasło i śledzi ruch na koncie. Wie, w jakim terminie przychodzi do nas na przykład faktura za usługi telekomunikacyjne. I w terminie, w którym spodziewamy się rachunku, przesyła mail wyglądający identycznie do tego, którego oczekujemy z załączoną fakturą. Opłacamy rachunek, a za miesiąc dostajemy informację, że zalegamy z płatnościami, bo pieniądze przelaliśmy do oszusta.

Whaling

Whaling to atak na tzw. grube ryby.

Przykładem whaling phishingu jest wypłynięcie listy płac pracowników Snapchata w 2016 roku. Pracownik Snapchata otrzymał maila, który wydawał się pochodzić od CEO. Było tam żądanie przesłania listy płac, a że płace były częścią obowiązków danego pracownika, to nie wzbudziło w nim podejrzeń. Niedługo po tym lista płac została ujawniona w sieci.

Clone phishing

Przed tego typu próbą oszustwa możemy się bronić, wpisując adres banku czy social mediów w pasku przeglądarki, a nie w wyszukiwarce. W wyszukiwarce możemy bowiem spotkać właśnie szkodliwą kopię, która została wysoko wypozycjonowana właśnie po to, żeby pobrać jak najwięcej danych.

Smishing

Smishing to jeden z najczęściej występujących rodzajów phishingu.

Przykłady smishingu:

Tutaj należy pamiętać, aby zawsze zwrócić uwagę na otrzymany link. Każdy haker bez problemu ustawi nagłówek tak, aby wyglądał, jak otrzymany od konkretnej firmy czy instytucji.

Vishing

Vishing to pseudo kontakty z banku czy innych instytucji.

Pharmin

Pharmin to rodzaj oszustwa polegający na manipulacji nazwami domen.

Search engine phishing

Search engine phishing to phishing, który bazuje na wyszukiwarkach internetowych. Tutaj oszuści docierają do nas ze swoimi fałszywymi adresami stron dzięki ich wysokiemu wypozycjonowaniu. Strona oszusta wyświetla się wyżej od tej autentycznej, której szukamy.

Man-in-the-middle phishing

Man-in-the-middle phishing to metoda, w której oszust korzystając ze strony z błędem przekierowuje nas na właściwa stronę, ale już kopiując nasze dane do logowania. My zauważamy opóźnienie w logowaniu, ale nic podejrzanego się nie dzieje. Dlatego tak ważna jest dwuskładnikowa metoda logowania, dzięki której unikniemy takich sytuacji.

Evil Twin

Evil Twin phishing wykorzystuje sieci Wi-Fi, pod które się podszywa, zakłócając np. prawdziwą sieć kawiarni, w której chcieliśmy popracować. Możemy temu zapobiec, korzystając ze swojej sieci.

Angler phishing

Angler phishing to fałszywe oferty pracy, gdzie w formularzach jesteśmy nakłaniani do podania swoich danych osobowych, takich, jak PESEL.

Social Media phishing

Social Media phishing w celu pobrania od nas danych osobowych wykorzystuje media społecznościowe.

Mowa nienawiści

Ta kwestia jest kluczowa w poruszaniu się dzieci w Internecie. Ogrom hejtu i zalewająca nas fala mowy nienawiści może być katastrofalna w skutkach, zwłaszcza w kontekście małoletnich.

Pod poniższym linkiem można obejrzeć film nagrany przez YouTubera, który w młodzieżowy sposób opowiada o tym, jak ta mowa nienawiści wygląda i jak wpływa na psychikę dzieci.