Κορονοϊός: Συμβουλές για την ασφάλεια των παιδιών στο internet την περίοδο της καραντίνας

Την εκτίμηση ότι μετά τη λήξη της πανδημίας «ο κόσμος δεν θα μετακινηθεί στο διαδίκτυο καθώς η διαπροσωπική επαφή είναι αναντικατάστατη», εξέφρασε ο Eugene Kaspersky, διευθύνων σύμβουλος της εταιρείας ψηφιακής ασφάλειας Kaspersky, μιλώντας σήμερα σε τηλεδιάσκεψη με δημοσιογράφους.

Ο ίδιος, απαντώντας σε ερώτηση του Αθηναϊκού Πρακτορείου Ειδήσεων, έδωσε συμβουλές για την ασφάλεια των παιδιών που χρησιμοποιούν το διαδίκτυο σε μεγαλύτερο βαθμό αυτήν την περίοδο, λόγω της καραντίνας.

«Μόλις τελειώσει αυτή η σύντομη περίοδος, τα ταξίδια και τα συνέδρια θα ξαναρχίσουν. Όμως η on line επικοινωνία δεν θα διακοπεί. Τα διαδικτυακά συνέδρια και οι τηλεδιασκέψεις θα συνεχιστούν παράλληλα, ο όγκος εργασίας θα αυξηθεί», εκτίμησε ο Kaspersky.

Μιλώντας για την ασφάλεια στο διαδίκτυο την εποχή της πανδημίας, ο κ. Kaspersky τόνισε ότι οι εγκληματίες προσπαθούν να εκμεταλλευτούν τις αδυναμίες της τηλε-εργασίας για να επιτεθούν σε δίκτυα και υπολογιστικά συστήματα. Έχουν καταγραφεί έως τώρα επιθέσεις σε αεροδρόμια, εταιρείες ενέργειας αλλά και νοσοκομεία, για τις οποίες ο κ. Kaspersky είπε ότι ισοδυναμούν με τρομοκρατικές επιθέσεις. Συχνά χρησιμοποιείται ως «δόλωμα» ηλεκτρονική αλληλογραφία που αναφέρεται στον κορονοϊό, προκειμένου να κερδίσει την προσοχή του παραλήπτη.

Για την ασφάλεια των παιδιών στο διαδίκτυο -αλλά και τον περιορισμό του χρόνου που αφιερώνουν σε αυτό- υπάρχουν διαθέσιμα ηλεκτρονικά εργαλεία. Ωστόσο, όπως τόνισε ο επικεφαλής του τμήματος έρευνας και ανάλυσης της εταιρείας για τη Ρωσία, Yury Namestnikov, είναι σημαντικό οι γονείς να εξηγήσουν στα παιδιά τους κινδύνους πριν επιβάλουν απαγορεύσεις, ενώ ο κ. Kaspersky σημείωσε χαρακτηριστικά, σχολιάζοντας τη σχετική ερώτηση του ΑΠΕ-ΜΠΕ, ότι είναι εξίσου σημαντικό για τους γονείς να διασφαλίσουν ότι οι γνώσεις τους στην πληροφορική είναι περισσότερες από εκείνες των παιδιών τους! Διαφορετικά, οι περιορισμοί μπορεί να παρακαμφθούν.

Τέλος, αναφερόμενος στα εργαλεία παρακολούθησης που αναπτύσσονται προκειμένου να εμποδιστεί η διασπορά του κορονοϊού, ο διευθυντής του τμήματος έρευνας και ανάλυσης της εταιρείας, Costin Raiu, είπε ότι χρειάζεται να βρεθεί η κατάλληλη ισορροπία μεταξύ της διασφάλισης της δημόσιας υγείας και της προστασίας του απορρήτου. Εξέφρασε δε την ελπίδα, όταν τελειώσει η κρίση, όλα αυτά τα εργαλεία που μπαίνουν τώρα σε εφαρμογή να καταργηθούν.

Προστασία προσωπικών δεδομένων και τηλεργασία

Σαφείς οδηγίες για τη λήψη μέτρων ασφαλείας στο πλαίσιο της τηλεργασίας που εφαρμόζουν πολλοί οργανισμοί και επιχειρήσεις στο πλαίσιο των μέτρων αποτροπής της διάδοσης του κορονοϊού δίνει η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Συγκεκριμένα, η Αρχή επισημαίνει πως πρέπει να τηρούνται συγκεκριμένες διαδικασίες για την τηλεργασία, λαμβάνοντας υπόψη την προστασία των προσωπικών δεδομένων. Την ίδια στιγμή η εκάστοτε επιχείρηση θα πρέπει να εκπαιδεύει και συνδράμει τους εργαζόμενους στην εφαρμογή των διαδικασιών.

Επιπλέον, η Αρχή συνιστά τη χρήση του επαγγελματικού ηλεκτρονικού ταχυδρομείου ενώ και για τις τηλεδιασκέψεις συνιστά τη χρήση πλατφορμών που υποστηρίζουν την κρυπτογράφηση.

Παράλληλα, θα πρέπει να τηρούνται οι όροι και οι προϋποθέσεις για ασφαλή σύνδεση μέσω εικονικού ιδιωτικού δικτύου στο οποίο πραγματοποιείται κρυπτογράφηση δεδομένων.

Αναλυτικά, το κείμενο των οδηγιών τυης Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για τη λήψη μέτρων ασφαλείας στο πλαίσιο της τηλεργασίας έχει ως εξής:

Λόγω των μέτρων περιορισμού που έχουν επιβληθεί για την αποτροπή εξάπλωσης της COVID-19, πολλοί οργανισμοί και επιχειρήσεις προτρέπουν ή/και υποχρεώνουν το προσωπικό τους σε τηλεργασία, αξιοποιώντας σχετικές δυνατότητες της τεχνολογίας. Ως τηλεργασία θεωρείται η εργασία από απόσταση (δηλαδή χωρίς φυσική παρουσία στον χώρο της εργασίας) με χρήση των απαραίτητων τεχνολογιών πληροφορικής και επικοινωνιών. Η Αρχή, με στόχο την ευαισθητοποίηση των υπευθύνων επεξεργασίας, των εκτελούντων την επεξεργασία, των εργαζομένων και γενικότερα του κοινού αναφορικά με τους κινδύνους που αφορούν την προστασία των προσωπικών δεδομένων αλλά, ταυτόχρονα, και τις σχετικές υποχρεώσεις που απορρέουν από τον Γενικό Κανονισμό Προστασίας Δεδομένων και τον νόμο 4624/2019, παραθέτει τις ακόλουθες Κατευθυντήριες Γραμμές:

1. Ο οργανισμός/επιχείρηση (εφεξής, φορέας) οφείλει να ορίσει και να υποστηρίξει συγκεκριμένες διαδικασίες για την τηλεργασία. Οι διαδικασίες αυτές πρέπει να λαμβάνουν υπόψη, για την κάθε περίπτωση, τη φύση και τη σοβαρότητα των κινδύνων ως προς την προστασία προσωπικών δεδομένων, οι οποίοι απορρέουν από την εξ αποστάσεως εργασία.

2. Ο φορέας οφείλει να ενημερώνει επαρκώς, να εκπαιδεύει και να συνδράμει τους εργαζομένους του στην εφαρμογή των διαδικασιών αυτών, λαμβάνοντας υπόψη ότι πολλοί χρήστες δεν είναι εξοικειωμένοι με τις τεχνολογίες που υποστηρίζουν την τηλεργασία και τους σχετικούς κινδύνους. Για τον σκοπό αυτό, είναι πολύτιμη η συμβολή του Υπεύθυνου Προστασίας Δεδομένων (DPO) όπου έχει ορισθεί.

3. Επισημαίνεται ιδιαίτερα ότι οι υποχρεώσεις των φορέων αναφορικά με την προστασία των προσωπικών δεδομένων των εργαζομένων τους αποκτούν ιδιάζουσα βαρύτητα στην περίπτωση της τηλεργασίας. Και τούτο, διότι ο εργαζόμενος, λόγω του γεγονότος ότι βρίσκεται στο σπίτι του, έχει μεγαλύτερη προσδοκία για την προστασία της ιδιωτικής του ζωής.

Οι διαδικασίες για την τηλεργασία συστήνεται να περιλαμβάνουν μέτρα, όπως τα ακόλουθα:



Πρόσβαση στο δίκτυο

1. Διασφάλιση ότι δεν υπάρχει δυνατότητα μη ασφαλούς απομακρυσμένης πρόσβασης σε πόρους των πληροφοριακών συστημάτων του φορέα, όπως υπολογιστές εσωτερικού δικτύου και εσωτερικά αρχεία. Η ασφαλής σύνδεση μπορεί, ενδεικτικώς, να επιτευχθεί μέσω εικονικού ιδιωτικού δικτύου στο οποίο πραγματοποιείται κρυπτογράφηση των δεδομένων και αυθεντικοποίηση των χρηστών (π.χ. IPSec VPN). i. Καθορισμός και περιορισμός των πόρων στους οποίους επιτρέπεται η απομακρυσμένη πρόσβαση στο απολύτως απαραίτητο, ανάλογα με τα καθήκοντα που επιτελεί ο τηλεργαζόμενος. ii. Σύνδεση σε υπολογιστικά συστήματα του φορέα μέσω υπηρεσίας “απομακρυσμένης επιφάνειας εργασίας” (“Remote Desktop Protocol – RDP”), μόνο εφόσον αυτή γίνεται μέσω ασφαλούς εικονικού ιδιωτικού δικτύου (VPN).

2. Χρήση ασφαλούς πρωτοκόλλου WPA2 με ισχυρό κωδικό, όταν η σύνδεση της συσκευής του τηλεργαζόμενου στο Διαδίκτυο γίνεται μέσω ασύρματου δικτύου (Wi-Fi). Τούτο ισχύει ακόμα και όταν μετά τη σύνδεση στο Διαδίκτυο, γίνεται ασφαλής σύνδεση στο δίκτυο του φορέα π.χ. με χρήση VPN.

3. Αποφυγή αποθήκευσης αρχείων με προσωπικά δεδομένα σε υπηρεσίες διαδικτυακής αποθήκευσης (π.χ. Dropbox, One Drive, google drive), εκτός και αν υπάρχουν τα κατάλληλα εχέγγυα, όπως π.χ. να πρόκειται για υπηρεσία που παρέχεται, με κατάλληλα μέτρα ασφάλειας, από τον φορέα ή τα δεδομένα να αποθηκεύονται αποκλειστικά σε κατάλληλα κρυπτογραφημένη μορφή.
Χρήση εφαρμογών ηλεκτρονικού ταχυδρομείου/ανταλλαγής μηνυμάτων

1. Αποφυγή χρήσης προσωπικού ηλεκτρονικού ταχυδρομείου (π.χ. gmail, yahoo, hotmail) για αποστολή ή λήψη μηνυμάτων για σκοπούς τηλεργασίας, τα οποία σχετίζονται με προσωπικά δεδομένα. Αντ’ αυτού, θα πρέπει να χρησιμοποιείται η επαγγελματική ηλεκτρονική διεύθυνση την οποία παρέχει ο φορέας. Εάν αυτό δεν είναι τεχνικά εφικτό (π.χ. μη δυνατότητα πρόσβασης στο εσωτερικό ηλεκτρονικό ταχυδρομείο από εξωτερικό του φορέα δίκτυο), τότε το περιεχόμενο των μηνυμάτων που αφορά προσωπικά δεδομένα πρέπει να κρυπτογραφείται κατάλληλα (π.χ. είτε ολόκληρο το μήνυμα είτε μόνο τα συνημμένα αρχεία).

2. Αποφυγή χρήσης εφαρμογών ανταλλαγής μηνυμάτων (κείμενο ή/και βίντεο) για τους σκοπούς της τηλεργασίας, όταν τα μηνύματα αυτά περιέχουν προσωπικά δεδομένα, των οποίων τυχόν διαρροή θα επέφερε κινδύνους. Αν είναι πραγματικά απαραίτητο, να προτιμώνται υπηρεσίες των οποίων τα χαρακτηριστικά ασφάλειας (κρυπτογράφηση, ρυθμίσεις προστασίας δεδομένων) αξιολογούνται ως ισχυρά. 



Χρήση τερματικής συσκευής\αποθηκευτικών μέσων

1. Εγκατάσταση και τακτική ενημέρωση αντιϊκού προγράμματος και “αναχώματος ασφαλείας” (firewall) στη συσκευή (π.χ. υπολογιστής, laptop κτλ.) μέσω της οποίας πραγματοποιείται η τηλεργασία.

2. Εγκατάσταση των πλέον πρόσφατων ενημερώσεων του λογισμικού εφαρμογών και λειτουργικού συστήματος της συσκευής των εργαζομένων.

3. Χρήση προγραμμάτων πλοήγησης στο Διαδίκτυο (π.χ. Firefox, Chrome κτλ.) με τις πλέον πρόσφατες, κάθε φορά, εκδόσεις τους. Μη τήρηση ιστορικού (ανώνυμη περιήγηση) ή διαγραφή από το ιστορικό των συνδέσμων εκείνων που σχετίζονται με την τηλεργασία, κατά το τέλος της εργασίας.

4. Διαχωρισμός των αρχείων που περιέχουν προσωπικά δεδομένα, τα οποία σχετίζονται με την εργασία από προσωπικά αρχεία τα οποία τηρεί ο εργαζόμενος στη συσκευή (π.χ. σε σαφώς διακριτούς φακέλους, με κατάλληλη προσδιοριστική ονομασία). Χρήση «εικονικού μηχανήματος» (virtual machine) αποκλειστικά για την παροχή τηλεργασίας, όταν αυτό είναι εφικτό.

5. Υποστήριξη από τον φορέα διαδικασιών κατάλληλης κρυπτογράφησης αρχείων που περιέχουν προσωπικά δεδομένα, ιδίως όταν τηρούνται σε φορητό/αποσπώμενο μέσο αποθήκευσης (π.χ. usb stick). Ανά περίπτωση, θα πρέπει να εξετάζεται και το ενδεχόμενο κρυπτογράφησης των αρχείων και στην κυρίως συσκευή από την οποία πραγματοποιείται η τηλεργασία (H/Y, laptop κτλ.), ιδίως για δεδομένα υψηλού κινδύνου.

6. Υποστήριξη, από τον φορέα, διαδικασιών λήψης αντιγράφων ασφαλείας για αρχεία με προσωπικά δεδομένα, τα οποία υφίστανται επεξεργασία στο πλαίσιο δραστηριοτήτων τηλεργασίας. Για τα αντίγραφα ασφαλείας πρέπει να τηρούνται μέτρα ανάλογα με όσα περιγράφονται στο σημείο 5.

7. «Κλείδωμα» της συσκευής από την οποία γίνεται η τηλεργασία (π.χ. προφύλαξη οθόνης, με κωδικό απενεργοποίησης) εφόσον μένει, για κάποιο λόγο, χωρίς επιτήρηση.




Πραγματοποίηση τηλεδιασκέψεων

1. Στην περίπτωση τηλεδιασκέψεων, θα πρέπει να αξιοποιούνται πλατφόρμες που υποστηρίζουν υπηρεσίες ασφαλείας (κρυπτογράφηση). Για παράδειγμα, θα πρέπει να αποφεύγεται λογισμικό τηλεδιάσκεψης το οποίο δεν εξασφαλίζει κρυπτογράφηση από άκρη σε άκρη (end-to-end encryption).


2. Σε περίπτωση προγραμματισμένης τηλεδιάσκεψης, προστασία του συνδέσμου (link) αυτής (π.χ. όχι δημοσιοποίησή του σε κοινωνικό δίκτυο).

3. Προσεκτική μελέτη των όρων χρήσης και των όρων προστασίας προσωπικών δεδομένων κατά την επιλογή της λύσης τηλεδιάσκεψης

Προσοχή σε νέο email-απάτη από επιτήδειους που εκμεταλλεύονται τον κορονοϊό – Τι αναφέρει το μήνυμα

Μια νέα απάτη έχουν στήσει τις τελευταίες μέρες επιτήδειοι στο διαδίκτυο προκειμένου να αποσπάσουν χρήματα από τα θύματά τους, εκμεταλλευόμενοι την πανδημία του κορονοϊού.

Στέλνουν email σε τυχαίες διευθύνσεις ηλεκτρονικού ταχυδρομείου προσποιούμενοι ασθενείς που πάσχουν από κορονοϊό και δεν έχουν ελπίδες επιβίωσης. Ένα απ' αυτά ήρθε και σε εμάς.

Ως αποστολέας εμφανίζεται υποτίθεται ένας 68χρονος που λαμβάνει θεραπεία για τον Covid19 στο νοσοκομείο Huoshenshan της πόλης Ουχάν στην Κίνα, αλλά δεν έχει ελπίδες να ζήσει.

Για το λόγο αυτό ζητάει από τους παραλήπτες να τον βοηθήσουν να... διανείμει την περιουσία του αφού «έχασα όλα τα μέλη της οικογένειάς μου από την ασθένεια και δεν έχω κανέναν να κληρονομήσει τα κεφάλαια» τα οποία έχει καταθέσει σε οικονομική εταιρεία του Λονδίνου.

Για το λόγο αυτό καλεί να πατήσουν οι παραλήπτες σε ένα συγκεκριμένο email ώστε να επικοινωνήσουν υποτίθεται με τον δικηγόρο τους.

Αξίζει να σημειωθεί ότι το κείμενο είναι κακομεταφρασμένο από τα αγγλικά στα ελληνικά (προφανώς μέσω μιας από τις εκατοντάδες εφαρμογής μετάφρασης που υπάρχουν στο Internet).

Η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος προτρέπει τους παραλήπτες τέτοιου είδους μηνυμάτων να τα αγνοούν, να μην καταθέτουν χρήματα σε λογαριασμούς, που τους παραθέτει ο δράστης, να μην ανοίγουν τυχόν συνημμένα αρχεία σε μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους αποστολείς, και να αλλάζουν άμεσα κάθε κωδικό ασφαλείας (password) που νομίζουν ότι διακυβεύεται, αξιολογώντας παράλληλα τις ρυθμίσεις ασφαλείας του υπολογιστή τους.

Νέο επικίνδυνο malware κάνει την εμφάνισή του με την αφορμή του Covid-19

Καθώς όλος ο πλανήτης παρακολουθεί συγκλονισμένος την εξέλιξη της ασθένειας που προκαλεί ο κορωνοϊός, νέες μορφές κακόβουλου λογισμικού εμφανίζονται στο Διαδίκτυο.

Οι ειδικοί τονίζουν προς όλους τους χρήστες του Διαδικτύου ότι θα πρέπει να είναι ιδιαίτερα προσεκτικοί, καθώς μια σειρά από νέα malware έχουν κάνει την εμφάνισή τους και απειλούν να σβήσουν όλα τα δεδομένα του ηλεκτρονικού σας υπολογιστή, κάνοντας παράλληλα επανεγγραφή το master boot record ή αλλιώς MBR του υπολογιστή, καθιστώντας ένα μηχάνημα πρακτικά άχρηστο. Σύμφωνα με τα όσα αναφέρει το ZD Net, έχουν ήδη ανακαλυφθεί περισσότερες από 5 διαφορετικές εκδοχές κακόβουλου λογισμικού που έχουν ως θέμα τους τον κορωνοϊό και μπορούν να πλήξουν όλους τους υπολογιστές.

 

Αυτό που σημειώνουν οι ειδικοί είναι πως ο απώτερος στόχος του κακόβουλου λογισμικού αυτού δεν είναι η κλοπή χρημάτων, ή η υποκλοπή κωδικών και άλλων προσωπικών στοιχείων του χρήστη, αλλά η καταστροφή του υπολογιστή. 

Ειδικά το κομμάτι που αφορά στην επανεγγραφή του MBR δύναται να κάνει έναν υπολογιστή να μην ξεκινά το λειτουργικό του σύστημα και ουσιαστικά να μην μπορεί να χρησιμοποιηθεί προτού να γίνει format και εγκατάσταση λειτουργικού συστήματος εκ νέου. Υπάρχουν εργαλεία που διορθώνουν το σφάλμα αυτό, αλλά απαιτούν πιο εξειδικευμένες γνώσεις από αυτές που έχει ο μέσος χρήστης.

Στις περισσότερες περιπτώσεις οι χρήστες βλέπουν τον υπολογιστή τους να εμφανίζει ένα ενοχλητικό μήνυμα στην οθόνη από το οποίο δεν μπορούν να απαλλαγούν. Στο παρασκήνιο, το κακόβουλο λογισμικό κάνει την εκ νέου εγγραφή της διαδικασίας boot, προκαλώντας σοβαρά προβλήματα με ύπουλο και αθόρυβο τρόπο. Το λογισμικό αυτό είχε κάνει την εμφάνισή του από τον Φεβρουάριο, ενώ σταδιακά φαίνεται πως έχουν εμφανιστεί και άλλες εκδοχές του.

Δεν είναι αυτές οι χειρότερες απειλές που μπορεί να βρει κανείς στο Διαδίκτυο, αλλά θεωρείται πολύ επικίνδυνο να εξαπλωθούν ευρέως, καθώς μπορούν να μεταδοθούν από το ένα PC σε άλλο με χαρακτηριστική ευκολία, όπως ακριβώς συμβαίνει και με τον κορωνοϊό και τους ανθρώπους.