Raport: Polacy i cyberbezpieczeństwo. Omówienie najciekawszych wyników badania

Czy Polacy czują się w internecie bezpiecznie? Jak często spotykamy się z próbami oszustwa i czy umiemy się przed nimi bronić? Odpowiedzi na te i inne pytania poznaliśmy dzięki najnowszym badaniom konsumenckim przeprowadzonym przez Grupę ING razem z Ipsos Holandia w dniach 28.10 - 07.11. Wynikom ankiety przyglądamy się wspólnie z ekspertem ds. cyberbezpieczeństwa, Adrianem Ściborem z AVLab Cybersecurity Foundation.

Pandemiczny lockdown w zauważalny sposób zmienił niektóre z naszych nawyków. W cyberprzestrzeni spędzamy obecnie więcej czasu niż dawniej i częściej wykorzystujemy internet do pracy lub nauki (59%), załatwiania spraw urzędowych (54%) i robienia zakupów (53%). Nic zatem dziwnego, że z płatności online korzysta obecnie aż 87% mieszkańców naszego kraju. Surfując po sieci, w większości przypadków czujemy się bezpiecznie (57%). Czy słusznie?

Adrian Ścibor:  Wynik badania pokrywa się z innymi opublikowanymi w ostatnim czasie analizami tego zagadnienia, chociażby tymi, które niedawno udostępniło Google Polska. Czy poczucie bezpieczeństwa w sieci jest uzasadnione, czy złudne, uzależnione będzie przede wszystkim od profilu użytkownika. Inaczej to wygląda w przypadku klientów indywidualnych i inaczej w przypadku pracowników korporacyjnych. Z mojego punktu widzenia poczucie bezpieczeństwa w dużej mierze buduje już technologia - urządzenia, które stają się coraz bezpieczniejsze i posiadają niezależne od użytkownika mechanizmy zabezpieczeń. Ochrona użytkownika realizowana jest transparentnie w urządzeniu i w chmurze producenta danego oprogramowania, z którą urządzenie to jest połączone. W tej sytuacji zadaniem użytkownika podczas korzystania z usług e-commerce staje się głównie wykrywanie fałszywych sklepów internetowych, fałszywych ofert i linków oraz podejrzenie niskich cen.

Kontakt z oszustwami internetowymi jest jednak zjawiskiem dość powszechnym. Własne lub zasłyszane od bliskich doświadczenia tego typu zadeklarowało 44% badanych. Na szczęście do utraty w ten sposób pieniędzy przyznało się tylko 18% ankietowanych.

Adrian Ścibor:  Jeśli weźmiemy pod uwagę doświadczenia związane z samą możliwością wykonania jakiegoś oszustwa, to odpowiedź twierdzącą powinno tu zadeklarować niemalże 100% użytkowników. Każdy z nas regularnie otrzymuje smsy czy maile z jakąś próbą oszustwa. Przyczyną takiego stanu rzeczy są wycieki naszych danych, na przykład z nieodpowiednio zabezpieczonych sklepów internetowych. W ogromnej większości przypadków ataki te nie są ukierunkowane na konkretnego użytkownika lecz mają na celu dotarcie do jak największego grona potencjalnych ofiar. Takie oszustwa tak samo szybko znikają z cyberprzestrzeni, jak się pojawiają.

70% Polaków uważa, że liczba cyberataków rośnie. Czy tak jest w istocie i czy Polacy z jakichś powodów narażeni są na nie bardziej niż inne nacje?

Adrian Ścibor: Informatyzacja usług publicznych i prywatnych przenika się nawzajem, dlatego wzrost liczby ataków jest nieunikniony. Rosnącą z roku na rok liczbę cyberataków potwierdzają chociażby statystyki producentów oprogramowania bezpieczeństwa. Osobiście także obserwuję tę tendencję. Każde kolejne pokolenie dorasta z urządzeniami podpiętymi do internetu, co z jednej strony zwiększa aktywność przestępców, ale z drugiej pozwala na zbudowanie odpowiedniej świadomości - wiedzy, jak się bronić - już na wczesnym etapie życia.

Każda firma, czy to działająca lokalnie, czy globalnie, musi być sprzężona z globalną siecią. Dla przestępców nie ma znaczenia, w jakim kraju znajduje się siedziba firmy. Zwykliśmy uważać, że w ostatnich miesiącach większość ataków pochodzi zza naszej wschodniej granicy, z Rosji bądź innych regionów. Pamiętajmy jednak, że technologia dostępna jest dla każdego, z dowolnego zakątka na świecie, dlatego bez głębokiej analizy ekspertów możemy tylko powierzchownie przypisać atak do regionu geograficznego, nie do prawdziwego agresora.

W temacie cyberzagrożeń Polacy wydają się zorientowani całkiem dobrze. Pojęcia takie jak phishing (np. fałszywa wiadomość e-mail, która wydaje się być ważna lub pilna, przesłana przez firmę, zwykle z prośbą o kliknięcie w link i podanie danych osobowych), malware (złośliwe oprogramowanie) czy fałszywe oferty znane były ponad 60% badanych. Być może także dlatego, że to właśnie tych niebezpieczeństw użytkownicy internetu w Polsce doświadczają najczęściej.

Adrian Ścibor:  Wiedza o działaniu przestępców internetowych to zdecydowanie podstawowy element skutecznej obrony przed nimi. Warto wypracować sobie pewne mechanizmy obronne. Jeżeli dostajemy jakąś wiadomość, weryfikujmy, czy na pewno nas ona dotyczy, czy pochodzi od zaufanego nadawcy. Zwróćmy uwagę, że aby zainfekować swoje urządzenie: telefon, laptop czy komputer PC w zdecydowanej większości przypadków musimy się na daną czynność zgodzić i uruchomić zagrożenie. Zdecydowanie łatwiejsze jest atakowanie samego użytkownika, niż obchodzenie zabezpieczeń urządzeń informatycznych. Oczywiście istnieją ataki ukierunkowane, gdzie niebezpieczne jest samo otworzenie spreparowanej strony internetowej, ale są to przypadki marginalne, zarezerwowane dla ataków przemysłowych oraz na podmioty rządowe i gospodarcze.

Polecam czytanie fachowych blogów i raportów, ale też rozmawianie o zagrożeniach internetowych z rodziną i przyjaciółmi. Wymieniajmy się informacjami, mówmy innym, kiedy zetkniemy się z jakaś podejrzaną aktywnością. Dzięki temu przestępcom będzie coraz trudniej realizować swoje niecne zamiary. Cyberbezpieczeństwo zależy od nas samych. Co więcej, edukacja w zakresie cyberbezpieczeństwa powinna być praktykowana już wśród dzieci uczęszczających do szkoły podstawowej. Młody człowiek powinien wiedzieć, jakie sprawy urzędowe czy bankowe można załatwić online, i tym samym mieć świadomość, jakie zagrożenia potencjalnie na niego czyhają.

W ślad za wiedzą idzie odpowiednia czujność w czasie korzystania z internetu. 71% ankietowanych zadeklarowało, że nie klika w łącza, które wydają się podejrzane; 64% zachowuje ostrożność w kwestii otrzymywanych wiadomości e-mail lub połączeń telefonicznych; a 61% nigdy nie podaje danych płatniczych/osobowych poza autoryzowanymi stronami lub aplikacjami. Czy jest coś, czego nie robimy, a powinniśmy? A może odwrotnie - polegamy na środkach zaradczych, które nie przynoszą żadnych skutków?

Adrian Ścibor:  Cieszy mnie, że użytkownicy dobrze rozpoznają właściwe zachowania. Pragnę jednak zwrócić uwagę na dwie rzeczy. Po pierwsze, tzw. zielone kłódeczki, certyfikaty bezpieczeństwa, dzisiaj nie dowodzą już niczego. To rozwiązanie jest dostępne za darmo dla każdego i można je wygenerować dosłownie w kilka chwil, by podpiąć do fałszywej strony internetowej. To, że ktoś wchodzi na tzw. zabezpieczoną stronę, w ogóle nie oznacza, że ta strona jest bezpieczna. Po drugie, dwuetapowa weryfikacja nie wszędzie jest możliwa, a two-factor authentication da się obejść. Eksperci rekomendują korzystanie z kryptografii klucza publicznego, co jest zdecydowanie pewniejszą metodą zabezpieczenia swojego konta przed kradzieżą (klucze U2F, potocznie zwane kluczami bezpieczeństwa). W przypadku phishingu możemy nawet mówić o niemalże 100-procentowej ochronie. Jeżeli przestępca podłoży nam fałszywą stronę, gdzie musimy się zalogować, autoryzować albo uwierzytelnić daną operację, nic nam grozi, ponieważ atakujący nie będzie w stanie autoryzować operacji w naszym imieniu. Niestety nie jest to jeszcze rozpowszechniona technologia.

Prawdopodobnie najbardziej niepokojącym wnioskiem z badania jest ten, że tylko 14% ankietowanych dobrze wie, co zrobić w przypadku stania się ofiarą oszustwa internetowego. Jak postąpić na przykład wówczas, gdy mamy przeczucie, że wyciekły nasze dane?

Adrian Ścibor:  Osoby, które padły ofiarą wycieku, oczekują przede wszystkim jak najszybszej informacji, że doszło do naruszenia ochrony danych osobowych. Co więcej chętnie przeczytałyby, co administrator zrobił, aby uniknąć w przyszłości podobnych sytuacji. W przypadku potencjalnego wycieku danych lub zgubienia dowodu osobistego warto udać się na policję, która unieważni dowód z dniem zgłoszenia. Utratę dowodu osobistego można też zgłosić w dowolnym banku i warto to zrobić, bo wymiana informacji pomiędzy instytucjami państwowymi nie zawsze jest skuteczna. Osoby posiadające Profil Zaufany mogą to zrobić bez wychodzenia z domu. Tak czy owak, warto zapisywać wszystkie dowody zgłaszania spraw na wypadek postępowania sądowego. Pomocne mogą być strony takie jak: bik.pl, chronpesel.pl, haveibeenpwned.com oraz uodo.gov.pl.

Adrian Ścibor - Prezes Fundacji AVLab dla Cyberbezpieczeństwa. Specjalista w zakresie testów oprogramowania i sprzętu do ochrony stacji roboczych i sieci. Identyfikuje się certyfikatem Cisco CCNA oraz dużym doświadczeniem w branży bezpieczeństwa.

Badanie ING Consumer Survey – "Cyberbezpieczeństwo” zostało zrealizowane przez Ipsos Holandia w dniach 28.10-07.11. Badanie zrealizowane na ogólnopolskiej, reprezentatywnej próbie Polaków, n=1003. Metoda badawcza: wywiady kwestionariuszowe wspomagane komputerowo (CAWI).

Więcej na temat badań przeczytacie w raporcie. Pobierz raport ->