Dlaczego to ważne?
Jako pracownik instytucji publicznej codziennie przetwarzasz dane osobowe obywateli, dokumenty urzędowe i informacje wrażliwe. Jeden błąd — kliknięcie w fałszywy link, wysłanie maila do niewłaściwej osoby — może skutkować wyciekiem danych tysięcy osób, karami RODO i utratą zaufania obywateli. Poniżej znajdziesz praktyczne zasady, które pomogą Ci chronić siebie i Twój urząd.
Hasła i logowanie
- Używaj silnych, unikalnych haseł — minimum 12 znaków, z dużymi i małymi literami, cyframi i znakami specjalnymi. Nigdy nie używaj tego samego hasła w dwóch systemach
- Nie zapisuj haseł na karteczkach — ani pod klawiaturą, ani na monitorze, ani w pliku "hasla.txt" na pulpicie. Używaj menedżera haseł (poproś IT o rekomendację)
- Włącz uwierzytelnianie dwuskładnikowe (MFA/2FA) — wszędzie, gdzie to możliwe. Nawet jeśli ktoś pozna Twoje hasło, nie zaloguje się bez drugiego składnika
- Nie udostępniaj swoich danych logowania — nikomu, nawet "informatykowi", który dzwoni i prosi o hasło. Prawdziwy IT nigdy nie poprosi Cię o hasło
- Blokuj komputer, gdy odchodzisz — nawet na minutę. Skrót: Win+L (Windows) lub Ctrl+Cmd+Q (Mac). To nawyk, który chroni dane
E-mail i komunikacja
- Sprawdzaj nadawcę — nie patrz tylko na wyświetlaną nazwę, kliknij w adres i sprawdź pełny e-mail. "Jan Kowalski" to nie to samo co jan.kowalski@urzad.gov.pl vs jan.kowalski@urzad-gov.pl.com
- Nie otwieraj podejrzanych załączników — szczególnie pliki .exe, .scr, .zip z nieznanych źródeł. Nawet pliki Word i Excel mogą zawierać złośliwe makra
- Nie klikaj w linki bez sprawdzenia — najedź kursorem na link (bez klikania) i sprawdź, dokąd naprawdę prowadzi. Jeśli adres wygląda dziwnie — nie klikaj
- Sprawdź, zanim prześlesz dane — upewnij się, że wysyłasz dane do właściwego odbiorcy. Sprawdź adres e-mail dwa razy, szczególnie przy danych osobowych
- Nie przesyłaj danych osobowych mailem bez szyfrowania — jeśli musisz wysłać dane wrażliwe, użyj szyfrowanego kanału lub zabezpiecz plik hasłem i wyślij hasło innym kanałem (np. SMS)
- Zgłaszaj podejrzane wiadomości — jeśli coś wygląda podejrzanie, nie usuwaj — przekaż do działu IT lub osoby odpowiedzialnej za bezpieczeństwo. Lepiej zgłosić fałszywy alarm niż przegapić prawdziwy atak
Praca z dokumentami i danymi
- Nie kopiuj danych służbowych na prywatne urządzenia — dane urzędowe nie powinny trafiać na prywatne laptopy, telefony, pendrive'y ani do prywatnego maila
- Nie używaj prywatnych pendrive'ów — mogą zawierać wirusy. Jeśli musisz przenieść dane, użyj nośników zatwierdzonych przez IT
- Szyfruj wrażliwe dokumenty — szczególnie dane osobowe, dane medyczne, dane finansowe obywateli
- Niszcz dokumenty papierowe — nie wyrzucaj do kosza dokumentów z danymi osobowymi. Używaj niszczarki
- Nie korzystaj z ChatGPT i podobnych narzędzi AI do przetwarzania danych służbowych — wklejanie danych obywateli, dokumentów urzędowych czy informacji wrażliwych do publicznych narzędzi AI to naruszenie RODO i bezpieczeństwa
Bezpieczeństwo fizyczne
- Nie zostawiaj dokumentów na biurku — polityka czystego biurka (clean desk policy). Na noc wszystkie dokumenty powinny być schowane w zamkniętej szafce
- Nie wpuszczaj nieznajomych osób — weryfikuj tożsamość gości, nie trzymaj drzwi otwartych dla obcych. Socjotechnicy podszywają się pod kurierów, serwisantów, kontrolerów
- Chroń ekran przed podglądaniem — na stanowiskach obsługi obywateli używaj filtrów prywatyzujących na monitorze
Aktualizacje i oprogramowanie
- Nie ignoruj aktualizacji — gdy system lub program prosi o aktualizację, zrób to jak najszybciej. Aktualizacje łatają luki bezpieczeństwa, które wykorzystują hakerzy
- Nie instaluj programów na własną rękę — każde oprogramowanie powinno być zatwierdzone przez IT. "Darmowe narzędzia" z internetu mogą zawierać wirusy
Co robić w razie incydentu?
Jeśli podejrzewasz, że coś się stało:
- Nie panikuj, ale działaj szybko
- Odłącz komputer od sieci (wyjmij kabel sieciowy lub wyłącz Wi-Fi)
- NIE wyłączaj komputera (zachowaj dowody)
- Natychmiast powiadom dział IT lub osobę ds. bezpieczeństwa
- Zanotuj, co się wydarzyło, kiedy i co robiłeś
- Nie próbuj sam naprawiać problemu
Złota zasada
"Jeśli coś wygląda podejrzanie — prawdopodobnie jest podejrzane."
Nie wstydź się pytać. Nie bój się zgłaszać. Lepiej 100 fałszywych alarmów niż 1 prawdziwy atak, który przejdzie niezauważony. Twoja czujność to najlepsza ochrona urzędu.
Nie wstydź się pytać. Nie bój się zgłaszać. Lepiej 100 fałszywych alarmów niż 1 prawdziwy atak, który przejdzie niezauważony. Twoja czujność to najlepsza ochrona urzędu.