List w sprawie popularyzacji kampanii Bezpieczeństwa Bardziej Osobistego


Szanowni Państwo,

Zwracam się do Was z prośbą o pomoc w przeprowadzeniu ogólnopolskiej akcji zachęcenia użytkowników cyberprzestrzeni do realizacji dobrych praktyk w zakresie cyberbezpieczeństwa.
Jako Inicjatywa Kultury Bezpieczeństwa (społeczna forma aktywności grupy Technology Risk & Information Security Wrocław forum https://www.linkedin.com/groups/6706076) od prawie roku tworzymy materiały edukacyjne i lokalne akcje promujące budowanie nawyków bezpiecznego użytkowania Internetu.
W dniu 18 maja tego roku planujemy rozpoczęcie akcji „Ty, przeciwko cyberprzestępcom”, w ramach której zapoznajemy użytkownika z koncepcją Bezpieczeństwa Bardziej Osobistego.

Umowa społeczna

Koncepcja została ujęta w formie deklaracji każdego użytkownika, który chciałby aby Internet był bezpiecznym i wygodnym miejscem do spotkań, prowadzenia interesów i rozrywki, zarówno dla niego jak i jego dzieci. 
Treść deklaracji jest następująca:
Jestem osobiście zaangażowanym cyberużytkownikiem. To oznacza, że spotykając innych ludzi w cyberprzestrzeni:
·         dbam o prywatność swoją i tych którzy mi zaufali,
·         szanuję opinie i prywatność innych, z którymi mam kontakt,
·         odpowiedzialnie używam technologii oraz urządzeń i rozumiem ich ograniczenia,
·         reaguję na wszystkie przejawy niszczenia zaufania do cyberprzestrzeni,
·         rozumiem, że to głównie ode mnie zależy czy ja i inni którzy się ze mną kontaktują czują się dobrze w tej przestrzeni.
Jest to forma umowy społecznej między użytkownikiem i Inicjatywą Kultury Bezpieczeństwa, z naszej strony zobowiązująca do realizacji akcji z najwyższą starannością, a ze strony użytkownika do postępowania zgodnie z tymi zasadami pełniącymi rolę współczesnej netykiety i realizację zadań w ramach prowadzonej akcji. Świadomi jednak jesteśmy tego, że nie każdy użytkownik zdecyduje się na taką umowę. Dlatego złożenie tej deklaracji nie jest wymagane do realizacji zadań, które są głównym przedmiotem akcji „Ty, przeciwko cyberprzestępcom”, ale jest nagradzane, tak jak wykonanie każdego zadania cyfrową plakietką realizowaną w technologi openbadge za pośrednictwem serwisu Badgecraft.eu. 
Użytkownik samodzielnie się nagradza, bez przedstawiania żadnego dowodu realizacji zadania. Jeśli jest uczciwy zdobywa umiejętność, jeśli nie, służy za reklamę akcji „podając ją dalej”. 
Deklaracja udostępniona będzie 18 maja w formie ankiety z pytaniem wielokrotnego wyboru tak aby użytkownik samodzielnie podjął decyzje, z którymi stwierdzeniami się zgadza i deklaruje swoje zaangażowanie.


Koszt

Wyrażamy nadzieję, że włączą się Państwo w tę akcję zarówno jako organizacja jak również prywatnie, jako użytkownicy cyberprzestrzeni. Bez osobistego przykładu tego typu inicjatywy tracą na wiarygodności, co obserwujemy od ostatnich, co najmniej, 15 lat starań w zakresie podnoszenia świadomości bezpieczeństwa internautów.
Jednocześnie serdecznie zapraszamy do wsparcia idei Bezpieczeństwa Bardziej Osobistego w formie przygotwania treści merytorycznej zadań stawianych przed użytkownikami. Proponujemy następującą formę realizacji. Dla listy zadań wymienionej w punkcie 6 szczegółów koncepcji BBO poniżej, każde z zadań znajdzie swoje miejsce w Kalendarzu Dobrych Praktyk IKB – pierwsze zadania już tam są [kalendarz w formie web - https://goo.gl/2SXTe0 kalendarz w formie pliku ics - https://goo.gl/AVJTdC ].
Treść zadania znajduje się w notatce dotyczącej wydarzenia i zawiera wypunktowane zadania dla użytkownika wspierane treścią merytoryczną odpowiednią dla danej tematyki. W ten sposób poprzez działanie realizujemy cele edukacyjne.
Jeśli zechcą Państwo zredagować, zmodyfikować lub w całości zaproponować treść zadań dla użytkowników w proponowanej tematycznie ramie, będziemy bardzo wdzięczni za wsparcie. Zakładamy, że treść zadania będzie podpisana przez autora lub organizację od której pochodzi. Każdy cytat i odnośnik staramy się umieścić do źródłowych materiałów w sieci.
Głównym celem wprowadzenia koncepcji BBO i prezentacji jej użytkownikowi jest alternatywny sposób podejścia do szkoleń, skupiony na użytkowniku, dający mu do wyboru czas, miejsce i zakres materiału szkoleniowego.
Innym kluczowym aspektem jest fakt, że adresuje całą cyberprzestrzeń a nie tylko jej wycinek służbowy.
Mechanizmem i nośnikiem tych szkoleń jest technologia których dotyczy oraz sieci społecznościowe – ogólnie miejsce, w którym użytkownicy spędzają ostatnio dużo czasu, mogą zatem eksperymentować i ćwiczyć dobre praktyki.


Zyski

Nagrody budują współzawodnictwo i możliwość wyróżnienia się własnym przykładem. W perspektywie tego roku planujemy wydanie własnej kryptowaluty –secoin, którą będziemy „płacić” za wykonanie zadań i certyfikacje uzyskane w ścieżkach wiedzy (inny projekt IKB zakładający rozliczalność uzytkowników). Zawartość portfela, jego dynamika może być uzywana jako miara tej i innych akcji. Zapraszamy do współpracy (lub właścicielstwa) w tym temacie.
Kolekcje plakietek mogą posłużyć na rynku pracy do wskazania, którzy użytkownicy są aktywni w zakresie kompetencji cyfrowych.
W ramach dowolnej organizacji wymagającej od swoich pracowników kompetencji z zakresu bezpieczeństwa informacji, możliwe jest wbudowanie w procesy edukacji użytkownika postawy BBO, plakietek za zadania i zredukowanie szkolenia do treści związanych ze specyfiką organizacji (klasyfikacja danych, proces zarządzania incydentem, kultura organizacji) opierając się na dostarczonym publicznie zasobie wiedzy podstawowej, możliwym do weryfikacji w formie krótkiego testu (do opracowania).

Poniżej znajdziecie Państwo szczegółowe informacje na temat koncepcji Bezpieczeństwa Bardziej Osobistego, Inicjatywy Kultury Bezpieczeństwa i jej działalności.
Uwagi, komentarze i zasady ewentualnej współpracy prosimy o przekazanie na adres createsafetyculture@gmail.com

Akcja obecnie realizowana jest na portalu Facebook w ramach następującego wydarzenia:



Narzędzia i kanały IKB:



Zachęcamy również osoby zaangażowane zawodowo w cyberbezpieczeństwo i zarządzanie ryzykiem technologicznym do dołączenia do Technology Risk & Information Security Wrocław Forum - grupy na LinkedIn, której społeczną działalnością jest Inicjatywa Kultury Bezpieczeństwa czyli IKB, z inspiracji której prowadzona jest akcja Bezpieczeństwo Bardziej Osobiste.

Wszystkich zainteresowanych materiałami publikowanymi przez IKB informujemy, że są one publicznie dostępne i darmowe do użytku zarówno nie, jak i komercyjnego w ramach licencji Creative Commons Uznanie autorstwa-Na tych samych warunkach 3.0 Polska. Zachęcamy do ich używania we własnych programach uświadamiających, jak również rozmowach, przykładach czy poleceniach.



Więcej o samej koncepcji Bezpieczeństwa Bardziej Osobistego:


1.     Opiera się ona na personalnym zaangażowaniu każdego użytkownika poprzez:
a.     realizację wyznaczonych zadań,
b.    dawanie osobistego przykładu w najbliższym otoczeniu i
c.     uczestnictwo w dyskusji na tematy związane z cyberbezpieczeństwem.
2.     Przyjęta metodologia bazuje na:
a.     odwołaniu do doświadczeń osobistych każdego z uczestników akcji,
b.    porównaniu i przeniesieniu doświadczeń ze świata realnego na doświadczenia w świecie wirtualnym,
c.     koncentracji na aspekcie komunikacji międzyludzkiej, z uwzględnieniem środków technicznych ją umożliwiających, jako narzędzi o konkretnych ograniczeniach i zastosowaniu.
3.     Stosowane narzędzia to głównie:
a.     Kalendarz Dobrych Praktyk IKB – lista zadań do wykonania w celu realizacji zakresu tematycznego wspierana codziennymi (w dni pracujące) poradami z zakresu cyberbezpieczeństwa (bazujące na poradach instytutu SANS i poradnikach OUCH!)
b.    Infografiki – przygotowane w ramach naszej działalności na blogu IKB, ale również w ramach aktywności organizacji takich jak: Panoptykon, Fundacja Bezpieczna Cyberprzestrzeń, Fundacja Dzieci Niczyje i innych dostępnych w języku polskim.
c.     Artykuły ogólnie dostępne w sieci – głównie pochodzące z serwisów: niebezpiecznik.pl, sekurak.pl, zaufanatrzeciastrona.pl, securityinside.pl, plblog.kaspersky.com, cyberdefence24.pl, di.pl, bezpiecznyinternet.edu.pl, cert.pl, stron Policji, Ministerstwa Cyfryzacji, Urzędu Komunikacji Elektronicznej, portali wiadomości i blogów prywatnych.
4.     Preferowane kanały dystrybucji to:
a.     Media społecznościowe,
b.    Artykuły w prasie (drukowanej i elektronicznej),
c.     Wystąpienia, konferencje, wywiady i inne multimedialne.
5.     Nagrody przewidziane to:
a.     Gwarantowane: za wykonanie każdego zadania otrzymać można plakietkę w systemie openbadge wydawaną przez IKB w ramach serwisu badgecraft.eu, którą można posługiwac się w sieciach społecznościowych, zbierać w ramach portfela w tym serwisie i która może posłużyć do uzyskania opcjonalnych nagród.
b.    Opcjonalne: niematerialne – rozpoznanie zaangażowania danego użytkownika w kwestie cybebezpieczeństwa przez pracodawcę i współpracowników; materialne – nagrody przyznane przez sponsorów akcji (zarówno fanty jak np. bilety na imprezy, konferencje itp).


 Program Bezpieczeństwa Bardziej Osobistego:

a.     Ty w Internecie
                                          i.    Konta i hasła [IKB+KH]:
1.     Policz ile masz kont w usługach internetowych? Sklasyfikuj je co do ważności tych usług dla Ciebie. [IKB+KH1]
2.     Zmień wszystkie hasła. Poznaj: wyrażenia hasłowe, diceware i menadżery haseł. [IKB+KH2]
3.     Ustaw weryfikację dwuetapową. [IKB+KH3]
4.     Zainteresuj się jak awaryjnie uzyskać dostęp do konta, zabezpiecz ten kanał. [IKB+KH4]
5.     Monitoruj aktywność na Twoim koncie. [IKB+KH5]
                                         ii.    Twoja cyfrowa aktywność [IKB+CA]:
1.     Określ komu możesz ufać w Internecie i za kogo ponosisz odpowiedzialność. [IKB+CA1]
2.     Zdefiniuj kręgi zaufania w obrębie kont. [IKB+CA2]
3.     Poznaj i ustaw zasady prywatności dla kont. [IKB+CA3]
4.     Poznaj szkodliwe, dla Twoje prywatności, zapisy umów usług i aplikacji w internecie. [IKB+CA4]
5.     Dziel się swoją osobą, myślami i działaniem w zgodzie z zasadami zaufania i netykietą. [IKB+CA5]
                                        iii.    Twoje finanse cyfrowe [IKB+FC]:
1.     Przejrzyj swoją aktywność finansową. Poznaj menadżery finansów osobistych i zasady identyfikacji podejrzanych transakcji. [IKB+FC1]
2.     Poznaj i zrozum zasady reklamacji w Bankach. [IKB+FC2]
3.     Poznaj bezpieczne sposoby płatności w Internecie. Określ swoje. [IKB+FC3]
4.     Poznaj i zastosuj zasady zaufania dla operacji finansowych. [IKB+FC4]
5.     Poznaj kryptowaluty i zasady ich bezpiecznego używania. [IKB+FC5]
b.    Technologie
                                          i.    Stacjonarne [IKB+TS]
1.     Poznaj zasady bezpiecznej obsługi sprzętu elektronicznego. Zastanów się jak jego używanie wpływa na Twój dzień, styl życia, realne kontakty z innymi. [IKB+TS1]
2.     Poznaj sposób w jaki Twój sprzęt domowy łączy się z Internetem. Narysuj schemat swojej sieci domowej uwzględniając metody połączeń i punkty wejścia do sieci Internet. [IKB-TS2]
3.     Poznaj możliwości oprogramowania, jego ograniczenia. Przyjmij do wiadomości, że komputer to tylko narzędzie. Dostosuj oprogramowanie do swoich potrzeb, usuń lub ogranicz działanie zbędnego. [IKM+TS3]
4.     Włącz aktualizacje automatyczne oprogramowania i regularnie sprawdzaj czy aktualizacje się poprawnie wykonują. [IKM+TS4]
5.     Upewnij się, że wiesz kto ma bezpośredni dostęp fizyczny do Twojego sprzętu komputerowego i że wszystkie zmiany w nim wykonywane odbywają się za Twoją zgodą. [IKM+TS5]
                                         ii.    Mobilne [IKB+TM]
1.     Poznaj zasady bezpiecznej obsługi elektronicznego sprzętu mobilnego. Zastanów się jak jego używanie wpływa na Twój dzień, styl życia, realne kontakty z innymi, Twoją aktywność w miejscach publicznych i prywatnych. [IKM+TM1]
2.     Poznaj sposoby w jaki Twój sprzęt komunikuje się z innymi, szczególnie z punktami dostępu do sieci Internet. Staraj się ograniczać widoczność komunikacyjną Twojego sprzętu mobilnego w miejscach nie kontrolowanych przez Ciebie. [IKM+TM2]
3.     Poznaj możliwości oprogramowania, jego ograniczenia. Przyjmij do wiadomości, że urządzenie mobilne to tylko narzędzie. Dostosuj oprogramowanie do swoich potrzeb, usuń lub ogranicz działanie zbędnego. [IKM+TM3]
4.      
                                        iii.    Masowe [IKB+IR]
1.     Poznaj zasady bezpiecznej obsługi urządzeń Internetu Rzeczy. Zastanów się jak jego używanie wpływa na Twój dzień, styl życia, realne kontakty z innymi, Twoją aktywność w miejscach publicznych i prywatnych. Oceń czy jesteś w stanie kontrolować te aspekty swojej prywatności i życia, na których Ci zależy w otoczeniu tej technologii. [IKM+IR1]
2.     Poznaj sposoby w jakie Twoje urządzenia Internetu Rzeczy rozmawiają między sobą i komunikują się z Internetem. Zwróć szczególną uwagę na to jakie informacje przekazywane są do sieci Internet. Jeśli się nie zgadzasz ogranicz możliwości komunikacji np. regułami firewalla. [IKM+IR2]
3.     Poznaj funkcjonalności przeglądarek internetowych i aplikacji Internetu Rzeczy oraz ich ograniczenia. Zdaj sobie sprawę z ich modularnej budowy i wzajemnych zależności. Zwróć uwagę na wtyczki i dodatki. Dostosuj to oprogramowanie do swoich potrzeb, usuń lub ogranicz działanie zbędnego, odmów uprawnień z jakimi się nie zgadzasz. [IKM+TM4]
4.     Włącz aktualizacje automatyczne oprogramowania przeglądarek i Internetu Rzeczy oraz regularnie sprawdzaj czy aktualizacje się poprawnie wykonują. [IKM+TM4]
5.     Upewnij się, że wiesz kto ma bezpośredni dostęp fizyczny do Twojego wycinka Internetu Rzeczy i że wszystkie zmiany w nim wykonywane odbywają się za Twoją zgodą. Zbuduj system monitorowania aktywności Twojego Internetu Rzeczy. Zaplanuj Swoją reakcję na nieprawidłowości. [IKM+TM5]
c.     Twoje Dane
                                          i.    Poufność [IKB+DP]
1.     Przejrzyj swoje dane cyfrowe. Nadaj im kategorie pod kątem ważności dla Ciebie. Zastanów się nad konsekwencjami jakie poniesiesz w przypadku ujawnienia tych danych osobom nieuprawnionym. [IKB+DP1]
2.     Poznaj metody kontroli dostępu oferowane przez oprogramowanie które używasz. Stosuj tę, która jest kompromisem pomiędzy zaufaniem a wygodą stosowania. [IKB+DP2]
3.     Poznaj szyfrowanie i oprogramowanie do jego stosowania. Używaj tych metod i środków, które są Twoim kompromisem pomiędzy zaufaniem a wygodą stosowania. Nie pokładaj pełnego zaufania w zabezpieczeniach technologicznych – oprogramowaniu i implementacji algorytmów szyfrujących. [IKB+DP3]
4.     Poznaj mechanizmy anonimizacji i ochrony prywatności oraz oprogramowanie do ich stosowania. Zapoznaj się z szeregiem rozwiązań do trasowania cebulowego, prywatnych tuneli, systemów pośredniczących, wirtualizacji oprogramowania, oprogramowania blokującego śledzenie, tymczasowych kont mejlowych. Uświadom sobie poziom skuteczności trybów prywatnych w przeglądarkach internetowych. [IKB+DP4]
5.     Podejmij decyzje i stosuj wybrane metody anonimizacji i ochrony prywatności dla konkretnych typów Twoich danych i podczas użytkowania intenetu oraz urządzeń mobilnych czy Internetu Rzeczy. [IKB+DP5]
                                         ii.    Dostępność [IKB+DD]
1.     Przejrzyj swoje dane cyfrowe. Nadaj im kategorie pod kątem dostępu do nich, odzwierciedlające Twoje potrzeby. Zastanów się nad konsekwencjami jakie poniesiesz gdy utracisz możliwość dostępu do tych danych. [IKB+DD1]
2.     Poznaj metody tworzenia kopii zapasowych oferowane przez oprogramowanie które używasz. Stosuj te, które są kompromisem pomiędzy zaufaniem a wygodą stosowania. [IKB+DD2]
3.     Poznaj sposoby tworzenia archiwów cyfrowych oferowane przez oprogramowanie które używasz. Stosuj te, które są kompromisem pomiędzy zaufaniem a wygodą stosowania. Nie pokładaj pełnego zaufania w zabezpieczeniach technologicznych – oprogramowaniu i harmonogramach. [IKB+DD3]
4.     Rozważ włącznie automatycznych kopii zapasowych i punktów przywracania w ramach systemu operacyjnego (Windows) czy aktywacji opcji synchronizacji danych z centralnym repozytorium – np. chmurą danych (oprogramowanie dla urządzeń mobilnych i aplikacji internetowych). Weź pod uwagę prywatność swoich danych, gdy będą przekazywane poza Twoje urządzenie. [IKB+DD4]
5.     Poznaj znaczenie terminów czas odzyskania danych i punkt przywrócenia danych. Dla określonych kategorii Twoich danych wyznacz te wartości i dobierz oprogramowanie oraz sprzęt spełniające te kryteria przy zachowaniu kompromisu sprawdzonej funkcjonalności i poniesionych kosztów. [IKB+DP5]
                                        iii.    Zaufanie [IKB+DZ]
1.     Przejrzyj swoje dane cyfrowe. Nadaj im kategorie pod kątem zachowania niezmienionej treści, odzwierciedlające Twoje potrzeby. Zastanów się nad konsekwencjami jakie poniesiesz gdy ktoś bez Twojej wiedzy i zgody zmodyfikuje Twoje dane. [IKB+DZ1]
2.     Poznaj metody weryfikacji integralności danych oferowane przez oprogramowanie które używasz. Stosuj te, które są kompromisem pomiędzy zaufaniem a wygodą stosowania. [IKB+DZ2]
3.     Poznaj podpis cyfrowy. Naucz się rozróżniać między różnymi jego typami. Poznaj wartość znaczników czasu. Zainteresuj się prawnymi aspektami cyfrowego oświadczenia woli. [IKB+DZ3]
4.     Poznaj i przejrzyj dostępną ofertę usług e-administracji oraz e-gospodarki. Zapoznaj się z korzyściami jakie możesz odnieść za ich pośrednictwem. [IKB+DZ4]
5.     Zastosuj mechanizmy zachowania i weryfikacji integralności dla tych Twoich danych, dla których uważasz to za zasadne i akceptowalne z uwagi na koszt i wysiłek związany z tymi czynnościami. [IKB+DZ5]
                                        iv.    Rozliczalność [IKB+DR]
1.     Przejrzyj swoje dane cyfrowe. Nadaj im kategorie pod kątem możliwości udowodnienia tego, kto je przetwarzał i w jakim zakresie. Zastanów się nad konsekwencjami jakie poniesiesz gdy ktoś bez Twojej wiedzy i zgody zmodyfikuje Twoje dane. [IKB+DR1]
2.     Poznaj metody przypisywania użytkownikom konkretnych operacji na danych oferowane przez oprogramowanie które używasz. Stosuj te, które są kompromisem pomiędzy zaufaniem a wygodą stosowania. [IKB+DR2]
3.     Poznaj konsekwencje prawne nieautoryzowanych czynności w systemach komputerowych. Zapoznaj się ze sposobem zgłaszania takich incydentów. [IKB+DR3]
4.     Zapoznaj się z wymogami stawianymi dla dowodu cyfrowego. Zastanów się co możesz zrobić w sytuacji zaobserwowania nieautoryzowanego dostępu do Twoich danych aby ułatwić dochodzenie swoich praw a nie uniknięcie konsekwencji przestępcy. [IKB+DZ4]
5.     Zastosuj mechanizmy rozliczalności dla tych Twoich danych, dla których uwżasz to za zasadne i akceptowalne z uwagi na koszt i wysiłek związany z tymi czynnościami. [IKB+DZ5]
                                         v.    Legalność [IKB+DL]
1.     Przejrzyj swoje dane cyfrowe. Upewnij się, że posiadasz dowód na legalność ich posiadania. Pamiętaj, że nie wszystko co jest dostępne publicznie w Internecie jest legalne. Oznacz informacje co do których nie masz pewności. [IKB+DR1]
2.     Wyszukaj w Internecie potencjalne źródła materiałów oznaczonych jako nieznane co do statusu legalności. Jeśli nie znajdziesz dowodu na ich legalne posiadanie przez Ciebie, usuń je. Ich kopie też. [IKB+DR2]
3.     Poznaj sens cyfrowego podpisywania oprogramowania i cyfrowych metod ochrony przed nieautoryzowanym kopiowaniem czy uruchomieniem. [IKB+DR3]
4.     Poznaj konsekwencje prawne związane z nieautoryzowanym przetwarzaniem danych prawnie chronionych lub łamaniem zabezpieczeń. [IKB+DR4]
5.     Zawsze zwracaj uwagę, czy wobec danych jakie pobierasz lub przekazujesz dalej nie łamiesz obowiązującego prawa. [IKB+DZ5]



Z wyrazami szacunku,
Artur Marek Maciąg w imieniu Inicjatywy Kultury Bezpieczeństwa


Treść tego listu dostępna jest w serwisie: http://sci-ikb.blogspot.com/2016/05/list-w-sprawie-bezpieczenstwa-bardziej.html

Popularne posty z tego bloga

[ECSM 2016] tydzień 1 - Bezpieczne finanse w sieci

Nie dać się "złośliwym organizmom"

Co łączy atak siłowy na hasło i dezynterie?