Tag: poufność

Opublikowane w

mSzyfr – NOWE NARZĘDZIE DLA JST

Każdego dnia wysyłasz i odbierasz wiadomości, które zawierają dane mieszkańców, dokumenty lub informacje urzędowe. Wiele z nich trafia przez zwykłą pocztę elektroniczną. To wygodne, ale nie zawsze bezpieczne. W odpowiedzi na rosnące zagrożenia pojawiło się rozwiązanie mSzyfr. To narzędzie przygotowane z myślą o administracji publicznej, które pozwala zabezpieczyć treść wiadomości. Jeśli pracujesz w urzędzie, musisz wiedzieć kiedy i jak z niego korzystać. Od tego zależy bezpieczeństwo danych, za które odpowiadasz.

grafika mSzyfr

Rys.1 Grafika mSzyfr Źródło: gov.pl



Jak podaje Ministerstwo Cyfryzacji, zakończono pracę nad polskim narzędziem do bezpiecznej komunikacji – mSzyfr. Rozwiązanie weszło w fazę testów z udziałem pierwszych użytkowników. mSzyfr umożliwia szyfrowanie komunikacji między użytkownikami oraz bezpieczne przesyłanie danych do serwera. Kompleksowo szyfruje nie tylko wiadomości tekstowe i głosowe, ale także połączenia audio i wideo.

Komunikator mSzyfr, jest pierwszym bezpiecznym komunikatorem będący pod w pełni pod jurysdykcją Polski. Serwery obsługujące komunikator mSzyfr,  znajdują się na terytorium Polski i administrowane są przez osoby posiadające stosowe poświadczenie bezpieczeństwa osobowego.

Komunikator mSzyfr zapewnia:

  • Pełną suwerenność cyfrową –organizacja zachowuje całkowitą kontrolę nad danymi, infrastrukturą serwerową oraz cyklem życia oprogramowania w modelu on-premise (wdrożeniu serwera Element ESS Pro),

  • Zintegrowane szyfrowanie end-to-end z zaawansowaną kryptografią –  gwarantuje to nieprzerywalne szyfrowanie komunikacji między użytkownikami oraz bezpieczne przesyłanie danych do serwera. W odróżnieniu od standardowych komunikatorów, mSzyfr kompleksowo szyfruje nie tylko wiadomości tekstowe i głosowe, ale także połączenia audio/wideo, przesyłane pliki oraz metadane pokoi.

  • Decentralizację i minimalizację metadanych – otwarta architektura pozwala na zarządzanie tożsamością i uprawnieniami w sposób ograniczający gromadzenie zbędnych informacji na serwerze centralnym. Newralgiczne dane, takie jak klucze szyfrujące, przechowywane są bezpiecznie na urządzeniach końcowych użytkowników.

  • Wysoką niezawodność i skalowalność klasy Enterprise – wykorzystanie technologii konteneryzacji gwarantuje stabilność systemu, łatwość aktualizacji oraz możliwość płynnego skalowania infrastruktury wraz ze wzrostem liczby użytkowników, co znacząco obniża koszty utrzymania (TCO).

  • Personalizację i zaufanie – zastosowanie własnej aplikacji mSzyfr pozwala na pełne dostosowanie interfejsu (branding) oraz gwarantuje, że kod aplikacji jest zgodny z wewnętrznymi politykami bezpieczeństwa organizacji.



„Komunikator mSzyfr jest finansowany z budżetu państwa w ramach zadania publicznego pn. Budowa systemu łączności mobilnej umożliwiającej przetwarzanie informacji niejawnych do klauzuli „zastrzeżone” (SKR-Z). Zadanie to realizuje Naukowa i Akademicka Sieć Komputerowa – Państwowy Instytut Badawczy”. 



Źródła:

gov.pl; mSzyfr – nowy standard bezpieczeństwa komunikacji

gov.pl; Komunikator mSzyfr;

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, oraz opracowane przez człowieka.

 

Opublikowane w

TRENUJ CYFROWĄ ODPORNOŚĆ KAŻDEGO DNIA

Internet stał się częścią codziennego życia. Sprawdzasz wiadomości, płacisz rachunki, kontaktujesz się z urzędem, rozmawiasz z rodziną. Z sieci korzysta już niemal każdy. W Polsce aż 89 procent mieszkańców używa Internetu regularnie, a 85 procent robi to codziennie. Mimo to tylko około połowa osób posiada podstawowe umiejętności cyfrowe. Oznacza to, że wiele osób korzysta z technologii, ale nie zawsze robi to bezpiecznie. Dlatego powstała ogólnopolska kampania „Buduj cyfrową formę klik po kliku”. Jej celem jest zachęcenie mieszkańców do rozwijania cyfrowych umiejętności i świadomego korzystania z technologii. Cyfrowa odporność działa podobnie jak kondycja fizyczna. Trzeba ją ćwiczyć regularnie. Każdy dzień daje okazję, aby zrobić mały krok w stronę większego bezpieczeństwa w sieci.

Inwestycje w kompetencje cyfrowe Polaków

Rys.1 Grafika „Inwestycje w kompetencje cyfrowe Polaków” Źródło: https://www.gov.pl/

Dlaczego cyfrowa odporność jest dziś tak ważna

Oszuści coraz częściej wykorzystują Internet. Podszywają się pod banki, firmy kurierskie lub znajomych z mediów społecznościowych. Wysyłają fałszywe wiadomości SMS albo e-maile z linkiem do strony, która wygląda jak prawdziwa. Wystarczy jeden nieuważny klik, aby stracić pieniądze lub dostęp do konta. W Polsce każdego roku policja odnotowuje tysiące przestępstw internetowych. W wielu przypadkach ofiarą padają zwykli użytkownicy, którzy chcieli tylko odebrać paczkę lub zapłacić rachunek. Cyfrowa odporność polega na tym, że potrafisz rozpoznać takie próby oszustwa i wiesz, jak zareagować. Nie potrzebujesz specjalistycznej wiedzy informatycznej. Wystarczy kilka prostych nawyków.

Ucz się małymi krokami

Rozwijanie kompetencji cyfrowych nie wymaga specjalistycznych kursów. Wystarczy systematyczna nauka. Nowa kampania rządowa zachęca mieszkańców do sprawdzenia swoich umiejętności i korzystania z materiałów edukacyjnych dostępnych online. Możesz tam znaleźć proste poradniki dotyczące bezpieczeństwa w sieci, ochrony prywatności czy rozpoznawania fałszywych informacji.

W całym kraju prowadzone są też warsztaty i szkolenia. Często odbywają się w bibliotekach, szkołach czy domach kultury. Z takich zajęć korzystają zarówno młodzi ludzie, jak i seniorzy. W wielu miejscach młodzież pomaga starszym mieszkańcom nauczyć się korzystania z nowych technologii.

Ministerstwo Cyfryzacji realizuje systemowe podejście oparte na trzech filarach: kompetencjach, bezpieczeństwie i infrastrukturze. Działania obejmują wszystkie grupy wiekowe – od uczniów szkół podstawowych, przez nauczycieli, po seniorów.

Na stronie cyfrowaforma.gov.pl będzie można sprawdzić swój aktualny poziom kompetencji cyfrowych i znaleźć materiały dopasowane do własnych potrzeb. Kampania wpisuje się w ideę life-long learning, czyli uczenia się przez całe życie. Każdy krok naprzód, nawet ten najmniejszy, ma znaczenie.

Cyfrowa odporność nie powstaje w jeden dzień. Tworzysz ją poprzez codzienne decyzje. Każdy taki krok zwiększa Twoje bezpieczeństwo. Internet może być miejscem pracy, nauki i kontaktu z innymi ludźmi. Warto korzystać z niego świadomie i spokojnie. Jeden dobry nawyk dziennie wystarczy, aby zbudować silną cyfrową formę.





Źródła:
gov.pl; Inwestycje w kompetencje cyfrowe Polaków – start kampanii „Buduj cyfrową formę klik po kliku”



AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, oraz opracowane przez człowieka.

Opublikowane w

ATAK NA KONTA NAUCZYCIELI W DZIENNIKU ELEKTRONICZNYM

W ostatnich tygodniach wiele szkół w całej Polsce mierzyło się z serią przejęć kont nauczycieli w najbardziej popularnych dziennikach elektronicznych. Sprawa szybko wyszła poza pojedyncze incydenty i uświadomiła, jak łatwo przestępcy potrafią wykorzystać nieuwagę użytkowników. Jeśli pracujesz w szkole czy urzędzie gminy, ta sytuacja dotyczy także ciebie, bo atak nie wynikał z błędów systemów, lecz z problemów z codziennym korzystaniem z kont i haseł. Tego typu zdarzenia pokazują, że bezpieczeństwo cyfrowe w oświacie wymaga nie tylko dobrych narzędzi, ale także większej uwagi i podstawowej cyfrowej higieny każdego pracownika.

 

atak, nauczyciel

Rys.1 Grafika „atak, nauczyciel” Źródło: COPILOT

W wielu szkołach obserwowano podobny schemat zdarzeń. Na kontach nauczycieli pojawiały się prośby o przelewy, wulgarne wiadomości albo komunikaty stylizowane na zwykłe ogłoszenia szkolne. W jednej ze szkół na Dolnym Śląsku z przejętego konta nauczycielki wysłano do rodziców prośbę o wpłatę niewielkiej kwoty na fałszywy cel. W innych miejscach wysyłano treści obraźliwe lub prowokacyjne. W Otwocku ktoś wystawił uczniom jedynki i rozesłał wiadomości pełne wulgaryzmów.

Ważne jest to, czego ostatecznie nie potwierdzono. Nie doszło do ataku na serwery Librusa czy Vulcana. Przestępcy nie musieli łamać zabezpieczeń technicznych. Zamiast tego wykorzystali dane logowania nauczycieli, które wpadły w ich ręce w inny sposób. Eksperci zwracają uwagę, że hasła często trafiają do publicznych baz po infekcji komputerów złośliwym oprogramowaniem. Takie programy potrafią kraść loginy i hasła prosto z przeglądarki. Jeżeli używasz jednego hasła w wielu miejscach lub nie zmieniasz go przez lata, zwiększasz ryzyko podobnego ataku na twoje konto.

Dostawcy dzienników potwierdzają, że systemy jako takie nie uległy złamaniu. Według przedstawicieli Librusa i Vulcana przestępcy logowali się bezpośrednio na konkretne konta, korzystając z poprawnych danych uwierzytelniających. W wielu komentarzach pojawia się jeden wspólny wniosek. Łatwo okraść kogoś, kto nie korzysta z prostych zabezpieczeń, które ma na wyciągnięcie ręki. Z udostępnionych danych wynika, że z dwuskładnikowego uwierzytelniania w Librusie korzysta niespełna jedna piąta nauczycieli, a pozostałe osoby logują się wyłącznie hasłem.

Jeśli pracujesz w administracji samorządowej, szkoła podlega twojej pieczy organizacyjnej i finansowej. Bezpieczeństwo cyfrowe nauczycieli wpływa na rodziców, uczniów i urząd, bo to właśnie gmina lub powiat odpowiada za politykę bezpieczeństwa w placówkach. Przestępcy chętnie wykorzystują każdy element słabszy niż pozostałe. Jeśli jeden nauczyciel nie zmienił hasła od lat, cała szkoła może mieć problem. To dobra okazja, by przyjrzeć się temu, jak wygląda szkolenie z cyberbezpieczeństwa i czy szkoły z terenu twojej gminy mają realne wsparcie w tym zakresie.

Najprostszym krokiem, który możesz wykonać już teraz, jest sprawdzenie, czy w twojej placówce obowiązuje dwuskładnikowe logowanie, oraz czy pracownicy wiedzą, jak je włączyć. W wielu przypadkach wymaga to jedynie zainstalowania aplikacji lub posiadania klucza bezpieczeństwa. Jeśli nauczyciele korzystają z prywatnych komputerów, przypomnij im o aktualizacjach i programach antywirusowych. Przekaż im także zasadę, by nie ufać każdej wiadomości pojawiającej się w dzienniku, zwłaszcza jeśli zawiera prośbę o pieniądze. Gdy rodzic otrzyma prośbę o wpłatę, zawsze powinien potwierdzić ją w innym kanale, na przykład telefonicznie w sekretariacie.

Ataki na e‑dzienniki pokazały też coś istotnego dla urzędów. Sam system, nawet najlepiej zaprojektowany, nie zabezpieczy nikogo, jeśli użytkownicy ignorują dostępne funkcje ochrony. Pracownik administracji ma wpływ na to, czy szkoły traktują bezpieczeństwo poważnie. Masz narzędzia, by wymagać stosowania podstawowych zasad. Krótkie szkolenia, wewnętrzne procedury i jasne wymagania wobec dyrektorów szkół podnoszą poziom ochrony szybciej niż kolejne kampanie informacyjne. Jeśli tego nie zrobisz, kolejne incydenty będą jedynie kwestią czasu.

 



Źródła:



 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, opracowany przez człowieka.

Opublikowane w

INCYDENT BEZPIECZEŃSTWA DANYCH OSOBOWYCH W ŁODZI

 

Incydent ujawnienia danych rodziców i dzieci z miejskich żłobków w Łodzi to przykład realnego zagrożenia, z którym możesz spotkać się w każdej instytucji publicznej. Nie doszło tu do zaawansowanego ataku. Wystarczył błąd aplikacji i brak kontroli nad środowiskiem, w którym przetwarzano dane osobowe. Publicznie dostępne pliki PDF z umowami, numery PESEL w nazwach plików i niezabezpieczone endpointy pokazują, że problem leży głębiej niż w jednej linijce kodu. To historia o braku procedur, nadzoru i odpowiedzialności po stronie zamawiającego system. Jeśli odpowiadasz za IT w urzędzie, szkole, żłobku lub jednostce podległej samorządowi, ten przypadek powinien uruchomić u ciebie kontrolkę ostrzegawczą. Taki scenariusz może wydarzyć się także u ciebie, nawet jeśli system działa i nikt nie zgłasza problemów.

 

dane osobowe

Rys.1 Grafika „dane osobowe” Źródło: Designed by Freepik

Co dokładnie wyciekło i dlaczego to groźne.

Jak podaje niebezpiecznik.pl publicznie dostępny katalog zawierał ponad 4900 umów i aneksów w formacie PDF. Dokumenty obejmowały imiona i nazwiska rodziców, numery PESEL, adresy zamieszkania i numery telefonów. W nazwach plików znajdowały się numery PESEL dzieci. Inne endpointy aplikacji ujawniały dane o diecie, imiona i nazwiska dzieci oraz ich adresy. Taki zestaw informacji pozwala na profilowanie rodzin, ocenę sytuacji zdrowotnej dziecka lub ustalenie struktury rodziny. To dane wysokiego ryzyka w rozumieniu RODO. Według raportu ENISA z 2024 roku sektor publiczny odpowiada za ponad 20 procent zgłoszonych naruszeń danych w Unii Europejskiej. Najczęstsza przyczyna to błędy konfiguracyjne i brak kontroli dostępu.

Aplikację rozwijano we współpracy z Politechniką Łódzką. Dane trafiły na serwer uczelni. To sygnał alarmowy. Jeśli przekazujesz dane osobowe podmiotowi zewnętrznemu, musisz mieć podpisaną umowę powierzenia przetwarzanych danych. Powinieneś wiedzieć, gdzie fizycznie i logicznie znajdują się dane. Musisz wymagać testów bezpieczeństwa przed uruchomieniem systemu produkcyjnego. Brak wiedzy o lokalizacji danych i poleganie na tym, że mało osób zna adres systemu, to podejście skrajnie nieprofesjonalne.

Z relacji na niebeizpiecznik.pl wynika, że pierwsze próby kontaktu z Inspektorem Ochrony Danych zakończyły się niepowodzeniem. Numer telefonu nie działał. To narusza podstawowe obowiązki administratora danych. RODO wymaga realnej dostępności IOD. Opóźniona reakcja zwiększa ryzyko masowego pobrania danych. Nawet po usunięciu indeksu katalogu pliki nadal pozostawały dostępne. To klasyczny błąd polegający na gaszeniu objawów zamiast przyczyny. Jako informatyk musisz dbać o procedurę reagowania na incydenty i testować ją regularnie.

Co może zrobić informatyk w JST?

Zacznij od audytu dostępności zasobów. Sprawdź, czy serwery WWW nie udostępniają list katalogów. Zweryfikuj, czy API wymaga autoryzacji i czy logujesz próby dostępu. Przeanalizuj nazewnictwo plików i strukturę danych. Nigdy nie umieszczaj identyfikatorów takich jak PESEL w nazwach plików ani w adresach URL. Sprawdź, czy posiadasz aktualne umowy powierzenia danych z każdym wykonawcą systemu. Przetestuj dane kontaktowe do IOD i procedurę zgłaszania incydentów.

Jakie zabezpieczenia możesz wdrożyć aby poprawić bezpieczeństwo.

Wymuś uwierzytelnianie i autoryzację. Stosuj zasadę minimalnych uprawnień. Włącz szyfrowanie danych w spoczynku i w transmisji. Skonfiguruj nagłówki bezpieczeństwa na serwerach HTTP. Regularnie wykonuj testy penetracyjne i skany podatności. Monitoruj logi dostępu i ustaw alerty na nietypowe zachowania. Przeszkol pracowników technicznych i merytorycznych z podstaw ochrony danych. Według informacji UODO większość naruszeń zaczyna się od błędu człowieka, nie od ataku z zewnątrz.

Ten incydent pokazuje, że rola informatyka nie kończy się na utrzymaniu systemu. Odpowiadasz za realne bezpieczeństwo danych obywateli. Musisz zadawać trudne pytania dostawcom, wymagać dokumentacji i testów. Musisz reagować szybko i zdecydowanie. Brak reakcji lub pozorne działania mogą kosztować instytucję utratę zaufania i wysokie kary finansowe. W 2023 roku średnia kara administracyjna za naruszenie RODO w Polsce przekroczyła 250 tysięcy złotych. To argument, który powinien przemawiać także do kierownictwa, aby zapewnić odpowiednią liczbę specjalistów do monitorowania i wdrażania procedur cyberbezpieczeństwa.



Źródła:

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI, opracowany przez człowieka.

Opublikowane w

PODSUMOWANIE ROKU W SFERZE CYBERBEZPIECZEŃSTWA

Rok dobiega końca. W urzędach panował wzmożony ruch, inwestycje, nowe projekty IT, audyty, aktualizacja SZBI. W tle rosło ryzyko włamań i szantażu. Wiele jednostek zbyt późno zauważyło, że utrata danych to nie awaria komputera, tylko brak ciągłości działania instytucji. Atak na urząd nie kończy się na nerwach pracowników. Płacą za to mieszkańcy, bo nie złożą wniosku o dowód, nie uregulują opłat, nie odbiorą świadczeń. Ten rok pokazał, że samorząd stał się realnym celem hakerów.

 

cyfrowa choinka

Rys.1 Grafika „cyfrowa choinka” Źródło: Designed by Freepik

Najczęściej włamania polegały na szyfrowaniu danych i żądaniu okupu oraz atakach na skrzynki e-mail. W kilku gminach systemy teleinformatyczne przestały działać a odtworzenie infrastruktury trwało kilka dni. Do wielu pracowników wpływały pisma w formie e-mail z domen przypominających GOV.PL. Cyberprzestępcy nie zawsze atakują fizyczne zabezpieczenia. Często obserwują profile pracowników, dzięki temu wiedzą kto choruje, kiedy kadrowa bierze urlop, kto odbiera wnioski o wypłatę świadczeń. To wystarczy, żeby podszyć się pod dyrektora i wysłać polecenie przelewu.

Bądź czujny każdego dnia. Sprawdź czy twoje hasła są wystarczająco silne i długie. Nie korzystaj z jednego hasła dla wszystkich systemów. Włącz podwójną autoryzację w usługach pocztowych. Aktywnie bierz udział w szkoleniach. W każdym systemie bezpieczeństwa najważniejszy jest człowiek i jego kompetencje.

Życzę wszystkim świąt pełnych spokoju i ciepła, bez telefonów o awariach, pożarach czy wyciekach danych. Niech nowy rok przyniesie mniej stresu, a więcej sukcesów, satysfakcji z pracy i poczucia sensu. Życzę wam więcej czasu dla bliskich, oddechu od codziennego pośpiechu i wiary, że to co robisz buduje lepszą przyszłość dla twojej społeczności.

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Opublikowane w

FAŁSZYWE KONTROLE URE

W ostatnich tygodniach w całej Polsce pojawiają się sygnały, że nieznane osoby pukają do drzwi właścicieli instalacji fotowoltaicznych i przedstawiają się jako pracownicy Urzędu Regulacji Energetyki (URE), rzekomo w celu kontroli paneli słonecznych. Ten przekaz brzmi oficjalnie i może Cię zmylić. Urząd wydał jednak jasny komunikat, że nie prowadzi takich wizyt u prosumentów w domach prywatnych. To oznacza, że te kontrole są fałszywe i mogą być próbą oszustwa lub wyłudzenia.

serwisant

Rys.1 Grafika „fałszywe kontrole fotowoltaiki” Źródło: Designed by Freepik

Urząd jako regulator rynku energii nadzoruje przedsiębiorstwa energetyczne, ustala taryfy, wydaje koncesje i monitoruje rynek. Osoby twierdzące, że pracują na zlecenie URE i chcą wejść na posesję w celu kontroli, robią to bez uprawnień i wprowadzają Cię w błąd.

Operator systemu dystrybucyjnego (OSD), czyli firmy takie jak PGE, Tauron, Enea czy Energa, mogą przeprowadzać kontrole sieci i instalacji podłączonych do sieci. Takie kontrole mają zasady:

  • są wcześniej zapowiedziane,

  • kontrolerzy mają imienne upoważnienia i legitymacje,

  • nie proszą o podpisywanie dokumentów poza tym, co wynika z procedur operatora,

  • nie żądają pieniędzy od właściciela.

Jeżeli ktoś pojawia się bez wcześniejszego kontaktu, nie przedstawia prawdziwego dokumentu i mówi, że robi kontrolę „z URE”, najpewniej nie mówi prawdy.

Fałszywi „kontrolerzy” starają się być wiarygodni. Mogą mieć identyfikatory z logo, nosić profesjonalne ubrania albo znać podstawowe informacje o fotowoltaice. Jeśli coś Cię zaciekawi lub zaniepokoi w zachowaniu takiej osoby, nie wpuszczaj jej na posesję do czasu wyjaśnienia sytuacji.

Zawsze możesz poprosić o dokumenty i spisać dane osoby rzekomego kontrolera. Zadzwoń wtedy do Twojego operatora sieci, on potwierdzi, czy taka kontrola miała być wykonana. Jeżeli osoba zachowuje się natarczywie, żąda pieniędzy albo wymusza podpisy pod dokumentami, zakończ spotkanie i zadzwoń na policję (112). Ostrzeż sąsiadów, bo oszuści często działają w okolicy i odwiedzają od kilku do kilkunastu domów pod podobnym pretekstem.

W administracji często spotykasz się z sygnałami od mieszkańców o dziwnych kontrolach. W tej sytuacji możesz podjąć proste działania na rzecz społeczności:

  • Wyjaśnij obywatelom, że URE nie robi kontroli instalacji w domach.

  • Naucz ich weryfikować upoważnienia operatora i kontaktować się z firmą, zanim udostępnią komuś posesję.

  • Zachęcaj do rejestrowania wizyt, robienia zdjęć dokumentów i konsultowania się z lokalnym urzędem gminy, policją albo z prawnikiem.

  • Udostępnij listę operatorów sieci lokalnych, żeby mieszkańcy mogli zadzwonić bezpośrednio w razie wątpliwości.

Statystyki pokazują, że w Polsce działa już ponad 1,5 mln mikroinstalacji OZE, z czego zdecydowana większość to fotowoltaika prosumentów. To duża liczba potencjalnych celów dla oszustów. Jeżeli potrafisz ostrzec mieszkańców, że mogą paść ofiarą fałszywych kontroli URE, i nauczysz jak je rozpoznać, minimalizujesz ryzyko oszustw w społeczności. Twoja wiedza pomaga ludziom zachować ostrożność i unikać zagrożeń związanych z nieuprawnionymi wizytami.





Źródła:



AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

 

Opublikowane w

CZY WOLNO MONITOROWAĆ SĄSIADÓW I PRZESTRZEŃ PUBLICZNĄ?

Coraz więcej osób montuje kamery wokół domu dla własnego bezpieczeństwa. To naturalne. Każdy chce chronić swój dom i majątek. Nie każdy jednak wie, że kamera nie zawsze może rejestrować wszystko dookoła. Gdy jej zasięg obejmuje teren należący do sąsiada albo publiczną drogę, wchodzi w grę prawo o ochronie danych osobowych. Prezes Urzędu Ochrony Danych Osobowych (UODO) właśnie wydał decyzję, która to potwierdza. Ta informacja ma pomóc zrozumieć granice monitoringu prywatnego i uniknąć konfliktów z prawem.

monitorowanie kamer

 

Rys.1 Grafika „monitoring publiczny” Źródło: Designed by Freepik

Prawo nie zabrania instalacji systemów monitoringu na własnej posesji. Możesz je montować po to, by chronić dom przed włamaniem albo wandalizmem. Takich kamer nie musisz zgłaszać do urzędu, jeżeli filmują tylko Twój teren. Problem pojawia się wtedy, gdy kamera nagrywa więcej niż Twój dom. Jeżeli w polu widzenia znajduje się podwórko sąsiada, wejście do domu, okna, albo nawet fragment drogi publicznej, sytuacja się zmienia. Wtedy te dane to już informacje o osobach trzecich i podlegają przepisom RODO.

Zgodnie z wyrokiem Trybunału Sprawiedliwości Unii Europejskiej z 11 grudnia 2014 r. w sprawie C-212/13 (František Ryneš), przetwarzanie danych nie ma charakteru wyłącznie osobistego lub domowego, jeśli monitoring obejmuje choćby częściowo przestrzeń publiczną lub teren należący do osób trzecich.

Na podstawie art. 58 ust. 2 lit. c RODO Prezes UODO nakazał zaprzestania przetwarzania danych osobowych skarżących za pomocą monitoringu wizyjnego w zakresie wizerunku oraz głosu, obejmującego swym zasięgiem drogę publiczną oraz nieruchomości skarżących, wobec braku podstawy prawnej dla tego przetwarzania. DECYZJA

Sąsiedzi w skardze do Prezesa UODO podnieśli, że zebrane dane są przetwarzane bez ich zgody. Mieszkańcy czują się nękani i mają poczucie naruszania ich prywatności, co negatywnie wpływa na ich codzienne życie. Kamery obejmowały kilkanaście obszarów, w tym drogę publiczną i sąsiednie budynki. Nagrywały obraz i dźwięk przez całą dobę. Jedna z kamer miała być skierowana bezpośrednio na okno toalety w sąsiednim budynku.

Jeśli kamera rejestruje przestrzeń publiczną albo cudzą posesję, jesteś traktowany jak administrator danych. W takiej sytuacji musisz stosować przepisy o ochronie danych. Nie wolno traktować kamery jak narzędzia do „utrzymania porządku” na drodze albo w sąsiedztwie. Takie zadania należą do organów państwowych i profesjonalnych służb, nie do osób prywatnych. UODO jasno wskazał, że prywatny monitoring nie może zastępować policji czy straży miejskiej.

Sprawdź zasięg kamery. Jeżeli filmujesz drogi, chodniki albo cudze posesje, zmień kąt widzenia. Skieruj kamerę tak, aby rejestrowała tylko własną działkę. Jeżeli to możliwe, wyeliminuj fragmenty z sąsiedztwa i publiczne miejsca. Nie nagrywaj dźwięku, jeśli obejmujesz cudze tereny. Zbieranie dźwięku to również dane osobowe i zwiększa ryzyko naruszenia prywatności. Umieść tabliczkę informującą o monitoringu tylko tam, gdzie to Twoje tereny.

Źródła:

 

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Opublikowane w

GDZIE JEST GRANICA BEZPIECZEŃSTWA GIER DLA DZIECI?

Gry komputerowe są dziś ogromnym rynkiem – NASK podaje, że ich wartość przewyższa przemysł filmowy i muzyczny. To nie tylko zabawa – to także ogromne zasoby: konta graczy, wirtualne przedmioty, portfele cyfrowe. Dla cyberprzestępców to atrakcyjny cel. Ryzyko pojawia się w momentach, które na pierwszy rzut oka wydają się normalne: instalowanie aktualizacji, korzystanie z testowych wersji gier („early access”), pobieranie modów, logowanie do platform. To, co wygląda jak codzienna rutyna gracza, może być pułapką.

 

dziecko przy telewizorze

 

Rys.1 Grafika „gry komputerowe” Źródło: Designed by Freepik

Fałszywe aktualizacje i zainfekowane gry

NASK opisuje przypadki, gdy aktualizacja gry zawiera złośliwy kod. Gracz myśli, że instaluje poprawkę lub nową wersję. Jednak w tle, uruchamiają się programy, które zbierają dane logowania, hasła lub nawet przejmują kontrolę nad kontem.

Przykładem jest gra „BlockBlasters”: po jej aktualizacji okazało się, że zainfekowano komputery graczy. Dane z kont Steam zostały przejęte, a 150 000 USD skradziono z portfeli kryptowalutowych użytkowników.

Fakeowe wersje testowe („early access”)

Oszuści oferują rzekome testowe wersje gier, kusząc darmowym dostępem lub kluczem. Tworzą nawet imitacje stron producentów. Gracz pobiera plik, loguje się – i przekazuje swoje dane oszustom. W niektórych przypadkach aplikacja wygląda jak prawdziwa gra, ale zawiera malware.

NASK przywołuje przykład gry „Chemia” („survival-crafting”) – użytkownicy myśleli, że testują normalny projekt, tymczasem wersja wczesnego dostępu była zainfekowana narzędziami do kradzieży danych i backdoorami. Ciekawość graczy („będę pierwszy”, „pobiorę test”) staje się narzędziem ataku.

Phishing w świecie graczy

Phishing to nie tylko e-mail – w kontekście gier może przybrać formę fałszywych stron logowania, zaproszeń na turnieje albo ofert darmowych kluczy. NASK opisuje mechanizm „browser-in-the-browser”: oszuści imitują okno prawdziwej przeglądarki lub aplikacji (np. Steam), podszywając się pod nią.

Takie strony mogą wyglądać identycznie jak oryginał. Różnica bywa w detalu – np. adres URL. Wprowadzając swoje dane, gracz przekazuje je bezpośrednio przestępcy.

Eksperci z CERT Polska zalecają: nie loguj się przez linki z wiadomości, nawet jeśli wyglądają dobrze. Lepiej wejść na stronę samodzielnie lub przez oficjalną aplikację. Warto też włączyć uwierzytelnianie dwuskładnikowe (2FA) dla konta – to prosty, ale skuteczny środek ochrony.

Ryzyko związane z modami

Modyfikacje (mody) są niesamowicie popularne. Pozwalają graczom dodawać nowe treści, postacie, mapy. Ale nie wszystkie są bezpieczne. Ponieważ mody tworzy społeczność, czasem anonimowo, nie zawsze wiesz, skąd naprawdę pochodzą.

Dobre źródło modów to podstawa bezpieczeństwa – korzystaj z zaufanych stron, sprawdzaj opinie, unikaj nieoficjalnych linków.

Psychologiczne i społecznościowe pułapki

Gry online to nie tylko kod – to społeczność. Ludzie grają razem, rozmawiają, wymieniają się treściami. To idealne środowisko dla oszustów. Fałszywe oferty turniejów, pracy jako gracz czy twórca – to wszystko może być maską do przekazywania złośliwych linków.

Przestępcy potrafią też wykorzystać komunikatory i media społecznościowe powiązane z grami, by zmanipulować graczy. Tworzą kampanie, które łączą technikę (złośliwe pliki) z socjotechniką (zaufanie społeczności).

Jak rozpoznać bezpieczne gry?

Granica między rozrywką a zagrożeniem zależy w dużej mierze od tego, jak ostrożne są nasze dzieci. Przekaż im kilka dobrych wskazówek:

  1. Pobieraj gry tylko z oficjalnych platform – Steam, Epic Games, inne zaufane sklepy.

  2. Przed aktualizacją upewnij się, że pochodzi od prawdziwego wydawcy – sprawdź komunikat, adres strony.

  3. Unikaj podejrzanych wersji testowych – jeśli ktoś oferuje „ekskluzywny klucz”, sprawdź, czy to oficjalna propozycja.

  4. Używaj uwierzytelniania dwuskładnikowego (2FA) na kontach – to znacznie zwiększa bezpieczeństwo.

  5. Przy modach – sięgaj po modyfikacje z oficjalnych stron lub renomowanych społeczności, unikaj nieznanych źródeł.

  6. Ucz dzieci krytycznego myślenia – tłumacz, że nie każdy link w grze lub na czacie jest bezpieczny.

  7. Rozmawiaj z dzieckiem o cyberzagrożeniach i monitoruj, w jakie gry gra – zwłaszcza te nowe lub tanie wersje testowe.

W Polsce coraz więcej dzieci korzysta z internetu samodzielnie. Z badań podawanych przez PAP wynika, że 77 proc. dzieci w wieku 13–17 lat korzysta z sieci bez nadzoru rodziców. To oznacza, że ryzyko, które opisuje NASK, dotyczy wielu młodych użytkowników.

Instytut Cyfrowego Obywatelstwa podaje, że 58 proc. dzieci w wieku 7–12 lat aktywnie korzysta z serwisów społecznościowych i komunikatorów, mimo że oficjalnie są one przeznaczone dla osób od 13. roku życia.

Te liczby pokazują, że granica między bezpieczną zabawą a cyberzagrożeniem może być cienka a problem może dotykać wielu rodzin.

Twoja rola jako rodzica lub opiekuna

Jeśli jesteś rodzicem, opiekunem lub pracujesz w administracji (np. w szkole, bibliotece), masz wpływ. Możesz edukować dzieci i ich rodziny:

  • Organizuj warsztaty lub spotkania o cyberbezpieczeństwie – wyjaśnij, dlaczego nie każdy link w grze jest bezpieczny.

  • Wprowadź w szkole zasady dobrej higieny cyfrowej – zachęcaj do stosowania mocnych haseł, 2FA, świadomego pobierania gier.

  • Rozważ wspólne granie z dzieckiem – to okazja, żeby sprawdzić, skąd pobiera gry i jakie mody instaluje.

  • Udostępnij materiały edukacyjne – broszury, poradniki NASK, strony zaufanych instytucji.



Źródła:

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Opublikowane w

CZY UMIESZ ROZPOZNAĆ OSZUSTWA INWESTYCYJNE?

Wszyscy na korytarzach rozmawiają o pasywnym dochodzie i inwestycjach w złoto, o zyskach i wizji emerytury na włoskim wybrzeżu morza śródziemnego. Może i ja zainwestuje oszczędności. Dzięki Internetowi inwestowanie jest dziś bardzo proste. Możesz kupować akcje, kryptowaluty czy metale szlachetne bez wychodzenia z domu. Tak duża dostępność oznacza ogromną przestrzeń dla oszustów. Przestępcy tworzą fałszywe platformy, udając znane firmy lub doradców finansowych. W swoich reklamach używają haseł typu „gwarantowany zysk”, „bonus tylko dziś” czy „zero ryzyka”, aby sprowokować natychmiastową reakcję. Wystarczy chwilowa presja emocji – jedno kliknięcie, żebyś mógł stracić oszczędności. Dlaczego oszuści celują w inwestorów takich jak ty?

 

oszustwa inwestycyjne

Rys.1 Grafika – NASK, bezpiecznymiesiac.pl

Dane GUS pokazują, że w 2024 roku aż 86,1 % gospodarstw domowych w Polsce miało możliwość oszczędzania, przy czym 29 % robiło to regularnie, a 57,1 % nieregularnie.
Wartość oszczędności Polaków rośnie – według analiz, połowa ich aktywów finansowych to nadal gotówka lub depozyty. To pokazuje, że wielu z nas ma środki, które potencjalnie może inwestować – a tym samym stać się celem oszustów. Z drugiej strony CSIRT KNF w raporcie za 2024 rok zgłosił i zidentyfikował około 45–51 tys. domen związanych z fałszywymi ofertami inwestycyjnymi. Wiedza i ostrożność mogą ochronić twoje oszczędności.

Podstawowym sposobem ochrony jest edukacja. Jeśli zrozumiesz, jak działa rynek inwestycyjny, trudniej będzie ci dać się oszukać. Zanim zainwestujesz, zadaj sobie pytania:

  • Czy naprawdę rozumiesz, w co chcesz zainwestować?

  • Czy akceptujesz możliwość strat?

  • Czy wiesz, na czym dokładnie polega ta inwestycja?

Warto też śledzić oficjalne komunikaty – np. Komisji Nadzoru Finansowego (KNF) czy Narodowego Banku Polskiego (NBP) – które regularnie ostrzegają przed nieuczciwymi podmiotami.

Zanim klikniesz: sprawdzaj firmę i warunki

Nie działaj pochopnie. Gdy pojawia się inwestycyjna oferta:

  • Sprawdź, czy firma jest legalna i posiada licencję.

  • Przejrzyj regulamin: skąd pochodzi firma, jakie są prowizje, w jaki sposób wypłacasz środki. Zwróć uwagę na zapisy o właściwości sądu.

  • Unikaj ofert typu „oferta ważna tylko dzisiaj”, „pewny zysk bez ryzyka” – to typowe sztuczki manipulacyjne.

  • Sprawdź opinie w różnych miejscach w sieci. Zwróć uwagę, czy recenzje są powtarzalne – identyczne komentarze mogą być fałszywe.

Zachowaj czujność w bankowości i transakcjach

Podczas przelewania pieniędzy:

  • Czytaj uważnie powiadomienia z banku – kwota i odbiorca muszą być dokładnie takie, jak zamierzałeś.

  • Zanim zatwierdzisz przelew, sprawdź dane konta odbiorcy. Jeśli bank ostrzega, że to może być rachunek oszustów, przerwij działanie i skontaktuj się z bankiem.

  • Nigdy nie podawaj loginów, haseł ani skanów dokumentów obcym osobom.

  • Nie pozwalaj nikomu instalować na twoim komputerze programów do sterowania zdalnego – takich jak AnyDesk czy TeamViewer – zwłaszcza gdy propozycja pochodzi od „doradcy inwestycyjnego”.

Uważaj na deepfake i manipulację z pomocą AI

Coraz częściej oszuści używają sztucznej inteligencji, by tworzyć realistyczne wideo lub nagrania głosowe. Mogą się podszywać pod znane osoby, celebrytów lub twój znajomy głos.
Kilka sygnałów ostrzegawczych:

  • Nagrania z obietnicą „pewnych zysków bez ryzyka”.

  • Nagranie pochodzi z nieznanego źródła, nie z oficjalnego kanału.

  • Błędy językowe w mowie – np. ktoś mówiący w żeńskiej formie, a wygląda jak mężczyzna.

Co zrobić, jeśli coś pójdzie nie tak

Jeśli podejrzewasz oszustwo:

  • Skontaktuj się natychmiast z bankiem – poproś o zablokowanie przelewów.

  • Zbieraj dowody: wiadomości, potwierdzenia przelewów, numery telefonów.

  • Zgłoś sprawę na policję i do CERT Polska.

  • Pamiętaj, że odzyskanie pieniędzy jest trudne. Przestępcy często projektują oszustwo tak, by przerzucić winę na ofiarę – jeśli sam zatwierdziłeś przelew, bank niekoniecznie zwróci Ci straty.

Ryzyko jest realne – nie ignoruj go

Wysokie zyski oznaczają wysokie ryzyko. Jeśli oferta brzmi zbyt dobrze, by była prawdziwa – prawdopodobnie jest oszustwem. Czasami lepiej zweryfikować dwa razy, niż ponieść przykre konsekwencje. Rozsądek i spokój powinny przewyższać chęć szybkiego zarobku.



Źródła:

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.

Opublikowane w

UWAGA! TRZECI STOPIEŃ ALARMOWY (CHARRLIE)

Uprzejmie informujemy, że w związku z zarządzeniem Prezesa Rady Ministrów od dnia 19 listopada 2025 r. (godz. 00:00) do dnia 28 lutego 2026 r. (godz. 23:59) obowiązuje trzeci stopień alarmowy „CHARLIE” na obszarach linii kolejowych zarządzanych przez PKP Polskie Linie Kolejowe S.A. oraz PKP Linia Hutnicza Szerokotorowa Sp. z o.o. Dodatkowo przedłużono obowiązywanie stopni alarmowych BRAVO i BRAVO-CRP na ternie całego kraju.

 

trzeci stopień alarmowy

 

Rys.1 Grafika „Trzeci stopień alarmowy” Źródło: gov.pl

Lista zarządzeń:

  • Zarządzenie nr 68 z dnia 18 listopada 2025 roku w sprawie wprowadzenia trzeciego stopnia alarmowego (3. stopień CHARLIE), na obszarach linii kolejowych zarządzanych przez PKP Polskie Linie Kolejowe S.A. i PKP Linia Hutnicza Szerokotorowa Sp. z o.o., obowiązuje od dnia 19 listopada 2025 r., od godz. 00.00, do dnia 28 lutego 2026 r., do godz. 23.59,

  • Zarządzenie nr 69 z dnia 18 listopada 2025 roku w sprawie wprowadzenia drugiego stopnia alarmowego CRP (2. stopień BRAVO-CRP), na całym terytorium Rzeczypospolitej Polskiej, obowiązuje od dnia 1 grudnia 2025 r., od godz. 00.00, do dnia 28 lutego 2026 r., do godz. 23.59,

  • Zarządzenie nr 70 z dnia 18 listopada 2025 roku w sprawie wprowadzenia drugiego stopnia alarmowego (2. stopień BRAVO), na całym terytorium Rzeczypospolitej Polskiej, obowiązuje od dnia 1 grudnia 2025 r., od godz. 00.00, do dnia 28 lutego 2026 r., do godz. 23.59,

  • Zarządzenie nr 71 z dnia 18 listopada 2025 roku w sprawie wprowadzenia drugiego stopnia alarmowego (2. stopień BRAVO), wobec polskiej infrastruktury energetycznej mieszczącej się poza granicami Rzeczypospolitej Polskiej, obowiązuje od dnia 1 grudnia 2025 r., od godz. 00.00, do dnia 28 lutego 2026 r., do godz. 23.59.

Stopnie alarmowe CRP są wprowadzane w przypadku zagrożenia wystąpienia zdarzenia o charakterze terrorystycznym, które dotyczy systemów teleinformatycznych organów administracji publicznej lub systemów teleinformatycznych wchodzących w skład infrastruktury krytycznej.

Jak podaje Ministerstwo Spraw Wewnętrznych i Administracji do zadań organów państwa w związku z wprowadzeniem stopni alarmowych należą:

W przypadku stopnia BRAVO m.in.:

  • prowadzenie przez Policję, Straż Graniczną lub Żandarmerię Wojskową wzmożonej kontroli dużych skupisk ludzkich;

  • prowadzenie wzmożonej kontroli obiektów użyteczności publicznej oraz innych obiektów potencjalnie mogących stać się celem ataków terrorystycznych;

  • zapewnienie dostępności w trybie alarmowym członków personelu wyznaczonego do wdrażania procedur działania na wypadek zdarzenia o charakterze terrorystycznym;

  • ostrzeżenie personelu o możliwych zagrożeniach;

  • obowiązek noszenia broni długiej oraz kamizelek kuloodpornych przez umundurowanych funkcjonariuszy lub żołnierzy bezpośrednio realizujących zadania związane z zabezpieczeniem miejsc i obiektów, które potencjalnie mogą stać się celem zdarzenia o charakterze terrorystycznym;

  • dodatkowe kontrole pojazdów, osób oraz budynków publicznych w rejonach zagrożonych;

  • wzmocnienie ochrony środków komunikacji publicznej oraz ważnych obiektów publicznych;

  • wprowadzenie zakazów wstępu do przedszkoli, szkół i uczelni osobom postronnym.,
     

W przypadku stopnia CHARLIE:

  • wprowadzić, na polecenie ministra właściwego do spraw wewnętrznych, całodobowe dyżury we wskazanych urzędach lub jednostkach organizacyjnych organów administracji publicznej; 

  • wprowadzić dyżury dla osób funkcyjnych odpowiedzialnych za wprowadzanie procedur działania na wypadek zdarzeń o charakterze terrorystycznym; 

  • sprawdzić dostępność obiektów wyznaczonych na zastępcze miejsca czasowego pobytu na wypadek ewakuacji ludności;

  • wydać broń i amunicję oraz środki ochrony osobistej uprawnionym osobom wyznaczonym do wykonywania zadań ochronnych;

  • wprowadzić dodatkowy całodobowy nadzór nad miejscami, które tego wymagają, do tej pory nieobjętych nadzorem.

W przypadku stopnia BRAVO-CRP:

  • wzmożone monitorowanie stanu bezpieczeństwa systemów teleinformatycznych organów administracji publicznej lub systemów teleinformatycznych wchodzących w skład infrastruktury krytycznej;

  • monitorowanie i weryfikowanie czy nie doszło do naruszenia bezpieczeństwa komunikacji elektronicznej;

  • sprawdzenie dostępności usług elektronicznych;

  • poinformowanie personelu instytucji  o konieczności zachowania zwiększonej czujności;

  • zapewnienie dostępności w trybie alarmowym personelu odpowiedzialnego za bezpieczeństwo systemów;

  • wprowadzenie całodobowych dyżurów administratorów systemów kluczowych dla funkcjonowania organizacji oraz personelu uprawnionego do podejmowania decyzji w sprawach bezpieczeństwa systemów teleinformatycznych.

Podczas obowiązywania stopnia alarmowego należy zwracać szczególną uwagę na wszelkie niestandardowe sytuacje i potencjalne zagrożenia, na przykład: nietypowo zachowujące się osoby, pakunki, torby lub plecaki pozostawione bez opieki w miejscach publicznych, samochody (szczególnie transportowe) zaparkowane w pobliżu miejsc zgromadzeń.

Bezpieczeństwo w czasie obowiązywania stopnia uzależnione jest nie tylko od działania właściwych służb, ale też od przygotowania administratorów obiektów użyteczności publicznej, którzy zobowiązani są do prowadzenia ich wzmożonej kontroli, a także czujności obywateli.



Źródła:

 

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.