Podcast - Piotr Henzler rozmawia z Beatą Frankiewicz

W dobie cyfrowej transformacji cyberbezpieczeństwo stało się nie tylko technologicznym wyzwaniem, ale też codzienną troską każdego z nas. W tym podcaście Piotr Henzler rozmawia z Beatą Frankiewicz, specjalistką ds. budowania świadomości cyberbezpieczeństwa z NASK – Państwowego Instytutu Badawczego. Dowiemy się, czym tak naprawdę jest cyberbezpieczeństwo, jakie zagrożenia czyhają na nas w sieci i jak proste nawyki mogą nas przed nimi skutecznie chronić. Podpowiemy, jak nie dać się zmanipulować i dlaczego warto być czujnym – nawet podczas zwykłego przeglądania internetu. Warto posłuchać, jak zadbać o swoje dane, finanse i prywatność online.

Piotr Henzler, Beata Frankiewicz

Transkrypcja podcastu

Beata Frankiewicz, specjalistka ds. budowania świadomości cyberbezpieczeństwa
NASK Państwowy Instytut Badawczy

Piotr Henzler: Dzień dobry, nazywam się Piotr Henzler i zapraszam na rozmowę o cyberbezpieczeństwie. Ekspertką podczas dzisiejszej rozmowy jest Beata Frankiewicz, specjalistka do spraw budowania świadomości cyberbezpieczeństwa z NASK, z Państwowego Instytutu Badawczego. Zanim zapytam naszą ekspertkę, czym jest cyberbezpieczeństwo, chciałbym dodać, że nasza rozmowa dzisiejsza jest organizowana w ramach programu Perspectives „One Europe - Many Stories”, projektu który koordynowany jest przez Goethe-Institut i wspierany przez Unię Europejską. A teraz wracam już do Beaty, do naszej ekspertki. Czym jest w ogóle cyberbezpieczeństwo, czym się zajmujesz jako specjalistka do spraw budowania świadomości wokół cyberbezpieczeństwa?

Beata Frankiewicz: To zaczynając, czym jest cyberbezpieczeństwo… Tak w jednym zdaniu, żeby to zawrzeć, to jest chyba ochrona przed zagrożeniami w internecie, czyli sposób, w jaki chronimy swoje dane, swoją prywatność, w jaki sposób chronimy swoje urządzenia, z których korzystamy i w jaki sposób chronimy przede wszystkim nasze finanse, do których przez internet mamy dostęp. I czym ja się zajmuję? Właśnie uczulam różne osoby wokół, by były bardziej uważne na różnego rodzaju manipulacje, socjotechniki i niecodzienne sytuacje, które mogą nam się przytrafić. Po to, żeby nie wpaść w pułapki cyberoszustów.

Piotr Henzler: Czy naprawdę jest tak niebezpiecznie? Czy to jest tak, że kiedy siadam przy komputerze albo wyjmuję telefon i łączę z internetem, wchodzę w jakaś aplikację czy na stronę, to muszę spodziewać się, że w każdej chwili ktoś mnie atakuje?

Beata Frankiewicz: Może nie musisz się spodziewać, że w każdej chwili to może mieć miejsce, ale nie możesz tego wykluczyć. To znaczy, to może się przytrafić faktycznie i nie ma znaczenia, czy wejdziesz do internetu, czy połączysz się przez 5 minut, czy będziesz tam 5 godzin. Jeśli uświadomimy sobie, co jest po drugiej stronie, czyli co chronimy, czyli chronimy nasze dane, nasze pieniądze i nasze urządzenia, to jeśli mamy to na uwadze, to nie ma znaczenia, jak długo trwa połączenie, bo przez te 5 minut może być taki niefortunny zbieg okoliczności, że może się przytrafić coś, czego byśmy sobie nie życzyli.

Piotr Henzler: A co się może przytrafić tak naprawdę, jeżeli wchodzę do internetu, wysyłam pocztę, przeglądam sobie kilka stron internetowych, coś sobie poczytam, może pogram w grę, a może coś innego zrobię, czego się spodziewać?

Beata Frankiewicz: Możesz się spodziewać na przykład, że otrzymasz wiadomość e-mail, w której to ktoś pod bardzo sprytnie zbudowanym pretekstem będzie próbował wywrzeć na tobie taką presję, żebyś kliknął link i na przykład zalogował się na stronie swojego banku. Stronie, która łudząco przypomina stronę twojego banku, a tak naprawdę jest stroną, która jest podstawioną przez cyberoszustów i która może przejąć twoje dane do logowania. I ty myśląc, że logujesz się na właściwej stronie, podajesz swój login, podajesz swoje hasło, być może nawet podajesz swój kod weryfikacyjny z jakiejś dodatkowej aplikacji w poczuciu, że jesteś zabezpieczony, bo pomoże ten dodatkowy składnik, który ma cię chronić przed właśnie różnego rodzaju przestępstwami, oszustwami. Ale jeśli te dane podasz na niewłaściwej stronie, to one bardzo szybko trafią w ręce przestępców, a potem już krótka droga do tego, że twoje oszczędności mogą znaleźć nowego właściciela.

Piotr Henzler: To dosyć przykra perspektywa, oczywiście, ale co ja mogę zrobić? Jestem po prostu zwykłym człowiekiem, chciałem skorzystać z banku, zrobić przelew, wchodzę i...

Beata Frankiewicz:  Co możesz zrobić? Warto by było mieć takich kilka swoich żelaznych zasad, które powodują, że w sytuacji nieoczekiwanej właśnie zapala nam się czerwona lampka, że tutaj należałoby wzmożyć swoją uważność. Trochę tak jak przechodzimy przez jezdnię na drugą stronę, tak? Wszyscy wiedzą, że trzeba spojrzeć w lewo, w prawo i w lewo i potem można przejść bezpiecznie. I fajnie by było, gdybyśmy podobnymi mechanizmami bezpieczeństwa posługiwali się w internecie. Czyli z założenia, na przykład, nie loguję się na żadne strony, na żadne konta, czy to bankowe, społecznościowe i tak dalej, których link otrzymam na przykład w mailu albo wiadomości smsowej. To może być np. nasza taka czujność, że jeśli ja chcę się zalogować na stronę swojego banku, to np. mam ją w zakładce „moje ulubione” i wiem zawsze, że to jest ta strona i że ten adres jest wpisany poprawnie. Na przykład taka prosta rzecz, bo zwróćmy uwagę, że np. w telefonie, jeśli klikamy w link, przestrzeń telefonu, pasek adresowy jest dosyć małą przestrzenią, trudno dostrzec czasem pełen adres domenowy i sprawdzić, zweryfikować, czy aby na pewno to jest mój bank. I też pytanie, czy my w ogóle zastanawiamy się, logując się właśnie do banku, na konta społecznościowe do poczty, czy mamy ten nawyk weryfikacji adresu. Czy my tam zerkamy, tak jak przechodzimy przez ulicę, przez jezdnię, obracamy się w lewo, w prawo, w lewo, czy my mamy ten odruch: „ok, rzucę okiem, czy tam, aby na pewno te literki się zgadzają i czy tam nie ma jakiejś literówki i dziwnego znaku albo ciągu znaków, który wcześniej nie występował”?

Piotr Henzler: Ale to w sumie to, co mówisz, jest bardzo proste. To nie wymaga ode mnie wiedzy informatycznej, nie wymaga nie wiadomo jakich analiz, tylko kilka kroków, które muszę wykonać, żeby mieć pewność, że robię dobrze. To czemu takie oszustwa się udają?

Beata Frankiewicz: Ponieważ jest to oplecione bardzo dobrze stworzoną historią, manipulacją, która opiera się na trzech filarach. Po pierwsze, ktoś będzie próbował wzbudzić kredyt zaufania, czyli będzie się podszywać pod instytucje, pod osoby znane albo osoby zawodów zaufania społecznego, albo instytucje, które się mogą ze mną kontaktować, np. bank. Czyli my wtedy już wychodzimy z założenia, że osoba, która podaje się za pracownika banku, to na pewno jest pracownik banku. Czyli kredyt zaufania, to jest ten pierwszy filar. Druga kwestia, na czym się opierają cyberprzestępcy, to próbują wzbudzić nasze silne emocje. To znaczy, że będą przedstawiać historię np. dotyczącą, zagrażającą życiu, zdrowiu naszych bliskich, najbliższych. Będą informować nas o tym, że nasze oszczędności na koncie bankowym są zagrożone. I słysząc taką informację, prawdopodobnie trochę już nam się robi ciepło i tutaj emocje na pewno się pojawiają. A trzeci czynnik to jest presja czasu. Czyli należy podjąć decyzję teraz, zaraz natychmiast, bo za 15 minut te moje oszczędności na koncie, które mam, zostaną przejęte przez przestępców. A mój bank jest tak wnikliwy, dociekliwy, że zauważył niepokojącą sytuację, dzwoni do mnie osoba podająca się za przedstawiciela banku, informuje o tym, że zauważyli niepokojący ruch na koncie i że prawdopodobnie tutaj cyberprzestępcy działają, ale oni mogą zabezpieczyć te moje oszczędności na takim specjalnym koncie technicznym. I mamy 15 minut, żeby te pieniądze przelać na konto techniczne, bo już przestępcy okradli kilku, kilkunastu innych klientów. I że „proszę się nie martwić, bo nad tą akcją czuwa policja i za chwilę zadzwoni do pana, do pani policjant, potwierdzi, że to jest sytuacja pod kontrolą, proszę się nie martwić, ale musimy szybko działać”. I tutaj, przy takim scenariuszu, kiedy są właśnie: kredyt zaufania, silne emocje, które powodują, że nie możemy się opierać na zdroworozsądkowym myśleniu i ta presja czasu, to jest mieszanka wybuchowa. I jak my sobie tutaj siedzimy i rozmawiamy, to możemy sobie myśleć: „ach, ja się na to nie dam nabrać”. Ale prawdopodobnie na każdego z nas być może jest taki scenariusz, w który jesteśmy w stanie uwierzyć. Być może nie będzie dotyczył banku, a będzie dotyczył tego (popularny scenariusz), że ktoś z naszych bliskich był uczestnikiem wypadku drogowego, w wyniku którego potrącił ciężarną kobietę i ona zmarła. I są potrzebne pieniądze na to, żeby załatwić sprawę polubownie, zadośćuczynić tej rodzinie, żeby nie trafić od razu do aresztu. Jeśli w słuchawce słyszymy szloch, płacz, jeśli słyszymy kilka innych osób, które mówią, że są z policji, z prokuratury, potwierdzają tę wersję zdarzeń, to te emocje są naprawdę bardzo silne. I jeśli wcześniej nie usłyszymy, że są właśnie te trzy filary, że w taki sposób przestępcy grają na nas, w ten sposób nas manipulują, i jeśli nie złapiemy takiego oddechu i chwili zatrzymania, „ok, dzieje się coś, co wzburza moje emocje”, to tym bardziej ja powinnam na chwilę się zatrzymać i pomyśleć, co tu się wydarzyło. I jeśli nie mamy takich nawyków, to już tutaj krótka droga do tego, żeby podążać za instrukcjami przestępców.

Piotr Henzler: Ale jak powiedziałaś o tym przypadku, takiej historii o wypadku i tak dalej, to przypomniałem sobie, że słyszałem takie historie, że podobno w telefonie słyszało się nie głos osoby obcej, tylko kogoś z rodziny właśnie, tego dziecka, które ten wypadek spowodowało, czy właśnie żony, męża, który właśnie w emocjach strachu prosi o pomoc, o szybkie działanie…

Beata Frankiewicz: Tutaj mogły mieć miejsce dwie sytuacje. Po pierwsze, my chcemy wierzyć, że to była ta osoba, czyli nasza zdolność oceny w silnych emocjach jest trochę inna. I jak będziemy mieć wątpliwości co do barwy głosu, to ktoś powie, „no, ale jestem przeziębiony, no płaczę, szlocham” itd. Więc będzie racjonalny argument, że coś tam się wydarzyło, i ten głos brzmi nieco inaczej.  A druga sytuacja jest taka i być może będzie coraz częściej miała miejsce, że rozwój technologii powoduje to, że w bardzo łatwy sposób można wygenerować głos. Nie powiem, że idealny, ale zbliżony w jakiś sposób do głosu, którego próbkę wgramy. A patrząc na liczbę informacji, które udostępniamy o sobie w internecie, kilkunastosekundowa próbka głosu, na przykład jakieś nagranie na naszym koncie w mediach społecznościowych, może już być zalążkiem do tego, żeby na tej podstawie wygenerować dowolną frazę, która potem może być faktycznie puszczona i ktoś może potraktować to jako nasz głos.

Piotr Henzler: Naprawdę kogoś bliskiego…, O te dane w różnych formach się jeszcze zapytam, ale wcześniej chciałem dopytać o jedną rzecz. Bo mówiłaś o tych dwóch takich sytuacjach, czyli że sfałszowana strona banku, no i taki telefon od osoby już nieważne, czy rozpoznaje gość, nie rozpoznaje jakaś taka akcja. Ale z tego, co słyszę, to ta jakby warstwa technologiczna tego, to jest taka bardzo prosta narzędziowa, to jest jakaś utworzona strona w internecie, jakiś telefon, natomiast jakby główna relacja między oszustem a osobą oszukiwaną, to jest taka zwykła: w sensie rozmowa, interakcja, a nie jakieś wyrafinowane sposoby wymagające zaawansowanej technologii i tak dalej, tylko jednak po prostu ludzie i wpływ na ludzi.

Beata Frankiewicz: Oczywiście, jest dokładnie tak, jak tutaj mówisz. Cyberprzestępcy rzadziej się włamują, oni po prostu się logują częściej, a logują się dlatego, że my, w dobrej intencji, w dobrej wierze, te dane im udostępniamy, podajemy i niestety tak to się dzieje. Mając na uwadze raport CERT Polska 2024 z działalności, na 103 tysiące incydentów, które były zgłoszone do CERT Polska, blisko 98 tysięcy to były oszustwa komputerowe. Z czego 43 tysiące, tak w zaokrągleniu mówiąc, to jest phishing, to są właśnie te próby wyłudzenia danych, bo jest to o wiele łatwiejsze przekonać drugą osobę do tego, żeby udostępniła mi swoje dane, loginy, hasła, niż żeby sforsować zabezpieczenia kont bankowych od strony technicznej.

Piotr Henzler: I właśnie to pojęcie phishing oznacza udostępnienie danych, w różnych celach, w różnych formach, tak? Bo to się pojawia w różnej przestrzeni, ale ten phishing kojarzy się z rybami, a mniej z oszustwami.

Beata Frankiewicz: Ktoś próbuje znaleźć przynętę na nas i nasze dane wyłowić i tak, stąd też ta nazwa.

Piotr Henzler: A co właśnie z tymi danymi? No bo tak, powiedziałaś o tym, że może być fragment wypowiedzi zamieszczony gdzieś na Facebooku, rozumiem w jakimś innym medium, gdzie ktoś będzie w stanie zebrać mój głos, ale generalnie w internecie jesteśmy stale zapraszani do podawania swoich danych. A to nas do konkursu zapraszają, a to nam mówią, wpisz swoje dane, pokażemy cię, jak będziesz wyglądać za 30 lat.  A to jeszcze coś. Czy to jest groźne, czy to jest niegroźne, na co uważać?

Beata Frankiewicz: No, ja bym powiedziała, że powinniśmy uważać na takie trzy sytuacje. Każda sytuacja, która dotyczy naszych finansów i nieważne, czy ktoś nas prosi o dopłatę złotówki do faktury z powodu przeterminowania, niedopłaty czy jakkolwiek. Czy to będzie złotówka, czy to będzie 350, czy to będzie 300 złotych – nieważne, jaka kwota. Bo nie chodzi o wielkość kwoty, tylko o to, żebyśmy właśnie na stronie łudząco przypominającej nasz bank podali nasze dane i przekazali je przestępcom. Czyli każda sytuacja dotycząca finansów, każda sytuacja dotycząca naszych danych, czyli jeśli ktoś prosi o nasze dane, to „chwileczkę, chwileczkę, ale w jakim celu pan, pani prosi o dane” i czy aby na pewno zniżka na zakupy 5% jest warta podania moich danych. To sami musimy sobie odpowiedzieć, ale warto by było mieć taki moment zastanowienia. I trzecia sytuacja, kiedy ktoś pod dowolnym pretekstem prosi nas o to, żebyśmy się zalogowali na nasze konto pocztowe, pocztę e-mail czy też do mediów społecznościowych, bo znów to będą te sytuacje, w których jest duże prawdopodobieństwo, że możemy natrafić na strony łudząco przypominające oryginalne strony. I to, o czym wspominasz, że te kwestie nagrywania głosu i podszywania się pod naszych bliskich, to już jest takie bardzo sprofilowane działanie. Czyli my wiemy, kto to jest, ten głos wykorzystujemy i tak dalej i oczywiście to się dzieje. Natomiast na o wiele większą skalę dzieje się rozsyłanie informacji do przypadkowych osób, przypadkowych baz danych, adresów, numerów telefonów, które wyciekły być może z innych firm, które krążą w internecie. I jest to takie działanie masowe i tutaj cyberprzestępcy zakładają, że jakiś odsetek tych osób nie zauważy, nie będzie uważna i wykona działania zgodnie tutaj z zamierzeniem cyberprzestępców. I na ten właśnie procent oni liczą, bo o wiele łatwiej jest wysłać tysiące smsów na przypadkowe numery niż zadzwonić do tysiąca osób i przedstawić historię. Więc tutaj musimy mieć na uwadze, że tych przestępstw jest bardzo dużo, one rosną z roku na rok - tak jak wspomniałam, to jest 103 tysiące incydentów zgłoszonych do CERT. Ale po drugiej stronie też jest taka rzecz, że nasza świadomość rośnie, to znaczy wiemy, że takie sytuacje mają miejsce i też częściej zgłaszamy incydenty, które nas niepokoją. I to jest rzecz bardzo ważna, bo ja otrzymując takiego smsa, na przykład z dopłatą do przesyłki kurierskiej - z pewnością każdy z nas kiedyś widział takiego smsa - widząc, że ten sms jest próbą jakby wyłudzenia moich danych, mogę zareagować, mogę tego smsa przekazać na numer 8080. Jest to bezpłatny numer, ten sms wówczas trafia do zespołu CERT, oni weryfikują zawarte w nim informacje i jeśli ta strona jest niebezpieczna, jest blokowana. Czyli w ten sposób mogę przyczynić się do tego, że być może ktoś inny już tego smsa nie otrzyma, bo on zostanie zablokowany. Może nie powiemy, że na pewno, ale w taki sposób metaforyczny, tak ja jako zwykły obywatel, Kowalski, Kowalska, mogę przyczynić się do tego, że to cyberbezpieczeństwo będzie większe.

Piotr Henzler: Te wszystkie przykłady historii, o których mówiłaś, dotyczą właśnie poziomu wpływu człowieka na człowieka, natomiast też jest część przestępstw polegających na tym, że dochodzi do „włamu” na komputer. Czy to jest poważne zjawisko, czy to się zdarza, czy to są sporadyczne historie, a o wiele bardziej zyskowne dla oszustów są te działania skierowane na budzenie emocji, budowanie zaufania i tutaj są te profity, po które oni chcą sięgać.

Beata Frankiewicz:  Oczywiście te zdarzenia mają miejsce, natomiast ich skala jest naprawdę znikoma w liczbie incydentów, które są zgłaszane, takie włamanie na komputer. Natomiast to, co się dzieje bardzo często, to cyberprzestępcy wykorzystują dane, które wyciekły z różnego rodzaju serwisów, miejsc, kont i krążą w internecie. I jeśli my nie zadbamy wcześniej o to, żeby nasze hasła były po pierwsze silne, czyli żeby były długie, minimum 14 znaków, żeby były unikatowe, to znaczy, żebyśmy do każdego konta mieli inne hasło i wszędzie tam, gdzie to jest możliwe, mieli uruchomioną weryfikację dwuetapową, czyli muszę podać dodatkowy składnik, czynnik, jakkolwiek to nazwiemy, żeby uwierzytelnić, że właściwa osoba z tego korzysta. I jeśli nie mamy tych trzech kwestii, to może się zdarzyć, że na przykład właśnie gdzieś kiedyś podałam swoje dane do jakiegoś serwisu, swój adres mailowy, swoje hasło, z którego korzystam we wszystkich możliwych usługach, bo przecież łatwiej zapamiętać jedno hasło niż mieć 15 czy 20 różnych. I jeśli to jedno hasło wyciekło w sposób niezawiniony ode mnie, bo ta firma, która opiekowała się moimi danymi w jakiś sposób, albo została zaatakowana, albo nie dopełniła formalności, w każdym razie te moje dane krążą w internecie. I jeśli korzystam z tego samego hasła w różnych miejscach, no to w sposób automatyczny przestępcy sprawdzają i weryfikują, w popularnych miejscach, serwisach, mediach społecznościowych, różnego rodzaju skrzynkach mailowych, czy ja nie wykorzystuję tego samego hasła. Czyli oni włamują się w ten sposób do moich kont, ale robią to przy wykorzystaniu w pewnym sensie mojej nieostrożności. No bo tak jak jesteśmy przyzwyczajeni do tego, że zazwyczaj mamy pęk kluczy, takich fizycznych do domu, do samochodu, do furtki, być może piwnicy itd., jesteśmy przyzwyczajeni, że otwieramy różne zamki różnymi kluczami, niestety bardzo rzadko w ten sam sposób podchodzimy do bezpieczeństwa w internecie. I bardzo często właśnie korzystamy z jednego hasła, które po prostu jest słabym hasłem i w ten sposób narażamy się na to, że ktoś faktycznie może włamać się i tę naszą prywatność zachwiać.

Piotr Henzler: Ale korzystając z twojej metafory kluczy, w nowoczesnych budynkach mamy klucz centralny, klucz główny, który wszystko otwiera. W internecie też pojawiają się propozycje, manager haseł, nakładka, która pozwala wykorzystywać jeden tylko klucz, jedno hasło. Korzystać z tego czy nie, czy jest to bezpieczne, czy nie?

Beata Frankiewicz:  Korzystać, jak najbardziej, ponieważ o wiele łatwiej będzie nam zapamiętać jedno hasło do wszystkich innych haseł, które tam gromadzimy niż pamiętać kilkanaście haseł. Po prostu fizycznie prawdopodobnie nie jesteśmy w stanie temu sprostać i znowu będziemy powielać hasła. Menadżery haseł mają to do siebie, że one w sposób bezpieczny przechowują nasze hasła. Mogą podpowiadać nasze hasła przy tworzeniu, generować i to, co też ważne, większość z takich menadżerów zapamiętuje stronę, na której podajemy hasło, to pierwsze. I jeśli zdarzy się, że trafimy na stronę fałszywą, łudząco przypominającą oryginalną i tam będziemy wpisywać swój login, to automatycznie nie zostanie dopisane hasło, bo menadżer hasła zauważy różnicę w adresie i nie przyporządkuje tego. Więc to jest bardzo, bardzo trafna decyzja, żeby korzystać z menadżerów haseł. A jeśli mówimy o samych hasłach, bardzo dużym wyzwaniem jest stworzenie hasła bezpiecznego, czyli żeby miało 14 znaków, żeby nie dotyczyło informacji związanych z nami, czyli to nie mogą być daty urodzin naszych partnerów, dzieci, dziadków, wnucząt, jakkolwiek. I tutaj mogę podpowiedzieć taką rzecz, strategię tworzenia haseł. Możemy stworzyć frazy składające się z kilku wyrazów, z czterech, pięciu wyrazów, przypadkowych, znanych tylko mi, które będą hasłem bezpiecznym i łatwym do zapamiętania. Na przykład „cztery różowe słonie biegną w maratonie”. Ja to hasło jestem w stanie zapamiętać, wprowadzić, ale od strony bezpieczeństwa i złamania jest to długie hasło, te słowa ze sobą nie mają jakiejś logicznego związku, nie jest to cytat gotowy, który można przeczytać. Więc w ten sposób warto tworzyć bezpieczne hasła, bo o bezpieczeństwie stanowi długość, a nie zawarte tam znaki, że próbujemy, nie wiem, podmienić literkę „a” na „małpę”, „l” na wykrzyknik i tak trochę kombinujemy. Chodzi o długość hasła, czyli możemy ze spokojem stworzyć hasło łatwe do zapamiętania dla nas, a trudne do złamania.

Piotr Henzler: Czyli jak w różnych serwisach, które wymagają od nas logowania i tworzenia hasła, piszą, że minimum 5, 7, 8 znaków, minimum 1 cyfra, minimum 1 znak specjalny, to oczywiście musimy spełnić to kryterium, bo inaczej nie puści nas dalej, ale nie ograniczać się w liczbie znaków do tego minimum, które proponują w tym serwisie i postawić na dłuższą wersję.

Beata Frankiewicz: Tak, tutaj tę odpowiedzialność bierzemy na swoje barki i nawet jeśli gdzieś zdarzy się w serwisie, mam nadzieję, że już nie ma takich serwisów, które wymagają ośmioznakowych haseł, bo kiedyś one było bezpieczne, ale w tej chwili moc obliczeniowa jest tak duża, że nie stanowi żadnego problemu złamanie go, to wówczas miejmy na uwadze, żeby hasło było po prostu długie.

Piotr Henzler: Rozmawiamy już dosyć długo o zagrożeniach, jakie na nas czyhają w internecie, ale jeszcze zapytam cię o jedną rzecz, o zmierzenie z pewnym mitem, z którym mam czasami do czynienia, jak rozmawiam ze znajomymi, z rodziną, w różnym wieku, nie wiązałbym tego jednak z wiekiem czy doświadczeniem z korzystania z technologii. Kiedy osoby mówią, no dobra, jakieś hasło mi wyciekło albo może mi wyciec, ale ja w końcu jestem „nikim”. W sensie - nie jestem znaną osobą, nikt nie wie, ile mam pieniędzy, nikt nie wie, że jestem cennym, bądź mało cennym łupem. Czy taka osoba która nie postrzega się jako szczególnie atrakcyjny łup, może takim łupem się stać?

Beata Frankiewicz:  Oczywiście, że może się stać i jest bardzo cennym łupem. Bo po pierwsze prawdopodobnie ma jednak jakiś dostęp do kwestii finansów, swoich oszczędności, więc warto w każdej sytuacji o to zadbać. Ale jeśli na przykład, w kontekście mediów społecznościowych, mówimy, „ale ja tam nie mam nic do ukrycia, nawet jeśli ktoś się włamie, tam są tylko moje zdjęcia, informacje”. 

Piotr Henzler: No właśnie: data urodzenia, dwa zdjęcia i że byłem na wakacjach gdzieś…

Beata Frankiewicz:  OK, ale musimy mieć na uwadze, że my dajemy swoją osobą kredyt zaufania dla naszych znajomych. Więc jeśli na przykład mówimy: „moje dane są nieważne”, ale jeśli ktoś je wykorzysta i podszyje się pod nas, żeby oszukać naszych bliskich, naszych znajomych, przyjaciół, rodziców, dziadków, no to wtedy być może nam się zmienia perspektywa, tak?  Bo jeśli wykorzysta nasze dane i podszyje się po prostu dzwoniąc do kogoś albo wysyłając informacje, słuchaj pożycz mi 100 zł blikiem, bo zapomniałem portfela, jestem na stacji czy jakaś inna sytuacja, no to wtedy te nasze dane nabierają innego znaczenia.

Piotr Henzler: No tak, możemy być „szarym, nieznaczącym człowiekiem”, ale stać się koniem trojańskim, który wprowadzi wroga do bliskich, do rodziny.

Beata Frankiewicz: Tak, nasi bliscy mają kredyt zaufania, że jeśli widzą korespondencje z naszej adresu, z naszej skrzynki, z naszego konta, to zazwyczaj przyjmują, że to właśnie my się kontaktujemy, to my jesteśmy tą zaufaną osobą, co też jest błędem. Bo tak jak wspominaliśmy wcześniej w rozmowie, w każdej sytuacji, która dotyczy finansów, ja muszę się zastanowić. I jeśli mam taką prośbę o pieniądze, od znajomego, to kontaktuję się z tym znajomym w znany mi sposób przez numer telefonu, który znam, jeśli on pisze do mnie na komunikatorze, pytam: „co się stało? czy wszystko w porządku?”. Bo może się okazać, że po prostu dane tej osoby zostały skradzione, ktoś po prostu podszywa się pod nią, a ona nie ma o tym pojęcia. Czyli ta weryfikacja nieustannie w każdej sytuacji.

Piotr Henzler: Rozumiem, że jak dostanę prośbę o sto złotych blikiem przez Messengera, to nie przez Messengera sprawdzam, czy to prawda, tylko SMS-em albo dzwonię, albo w jakiś inny sposób, żeby nie używać tego samego kanału.

Beata Frankiewicz: SMS odłóżmy, bo może być sytuacja, że ktoś nie ma przy sobie telefonu, albo ten telefon został w jakiś sposób skradziony, ale taka rozmowa jak najbardziej i to dotyczy każdej sytuacji. Jak ktoś dzwoni do nas z banku, podszywa się pod osobę, to też kończymy taką rozmowę i wtedy dzwonimy na znany sobie numer do banku i pytamy się, czy faktycznie taka sytuacja miała miejsce.

Piotr Henzler: Powstaje taki trudny obraz świata, w którym żyjemy, a przynajmniej tej sfery technologiczno-online’owej. Na początku naszej rozmowy, kiedy mówiłaś, jako pierwszy przykład o tych bankach, tym wyłudzaniu danych i potem dalej pieniędzy, to podałaś już kilka podpowiedzi, żeby właśnie sprawdzać adresy, jakie są tam wpisane, sprawdzać, czy to na pewno bank. Mówiłaś dużo o tej kwestii budowania zaufania, a tym samym też weryfikowania, czy na pewno to ta sama osoba. Ale czy jeszcze możesz na koniec naszej rozmowy trochę rozgonić te czarne chmury, które się pojawiają nad nami użytkownikami, użytkowniczkami internetu, żeby coś jeszcze się optymistycznego pojawiło? Albo jakaś informacja, że pewne przestępstwa już znikają, pewne rzeczy się już nie pojawiają. Z drugiej strony mówiłaś, że według CERTu to rośnie ciągle, więc te dane chyba niekoniecznie będą pozytywne, albo być może jakieś podpowiedzi, może jakieś sugestie… Co zrobić, żeby korzystanie z internetu było bezpieczne, ale też nie było takie żmudne, kojarzące się z tym, że muszę ciągle sprawdzać, weryfikować, nie mogę się pobawić, nie mogę wykorzystać aplikacji zabawowej, nie mogę swobodnie i szybko przelewu zrobić. Może jednak jest coś optymistycznego, co możesz powiedzieć?

Beata Frankiewicz:  Te dane CERTu są w jakiś sposób optymistyczne, bo one pokazują, że rośnie świadomość, że ludzie zgłaszają te incydenty… I nie wiem, czy to jest optymistyczne, ale po prostu powinniśmy mieć ostrożność w życiu i takie ograniczone zaufanie do każdej sytuacji, w której się znajdujemy. Nie tylko w kontekście internetu, ale też w kontekście takiej przestrzeni. Jeśli ktoś do nas podejdzie na ulicy, poprosi o pieniądze, to prawdopodobnie właśnie się zastanowimy, „ale co tutaj się dzieje?”. I taka uważność powinna być w internecie. Jeśli będziemy się trzymać tej zasady, że jeśli coś dotyczy pieniędzy, danych osobowych albo logowania na konto, to wtedy się zatrzymuje, to te inne sytuacje być może będą takie codzienne. Takie do przejścia, takie niebudzące strachu. Silne hasła, weryfikacja dwuetapowa, bezpieczne urządzenia, czyli aktualizujemy je, nie odkładamy tego na potem. No i ten zdrowy rozsądek przede wszystkim, żeby mieć bardziej nieufność niż ufność do sytuacji, które nas zaskakują, które są nieoczekiwane.

Piotr Henzler: I w których w grę chodzi wysoka stawka, czy to pieniężna, czy jakaś relacyjna, czy coś innego. Dziękuję ci bardzo.  Za nami rozmowa o cyberbezpieczeństwie, ekspertką w naszej rozmowie była Beata Frankiewicz, specjalistka do spraw budowania świadomości cyberbezpieczeństwa z NASK-u, Państwowego Instytutu Badawczego. Dziękuję ci bardzo, życzę ci i nam wszystkim, żeby cyberbezpieczeństwo i różne przestępstwa były jak najbardziej teoretyczne do rozmów, do omawiań, a nie do wspominania, jak to tutaj wpadło się w różne pułapki zastawione przez świat.

Beata Frankiewicz:  Dziękuję bardzo za rozmowę i życzę nam wszystkim, żeby ten temat bezpieczeństwa nie był tematem tabu i żebyśmy o nim rozmawiali i potrafili rozmawiać, bo im więcej tych rozmów, tym większa nasza uważność. I tego bezpieczeństwa nam wszystkim życzę. 

Piotr Henzler: Dziękuję ci bardzo.