BezpieczneWybory.pl

Dla komitetów wyborczych

Pięć kroków do cyberbezpiecznej kampanii

Praca w komitecie wyborczym to nie lada wyzwanie. Musisz zadbać o materiały promocyjne, kontakty z mediami, organizację spotkań z wyborcami... A także o cyberbezpieczeństwo. Cyberprzestępcy nie marnują czasu i jeśli zakładasz, że akurat Ty nie staniesz się celem ataku – lepiej pomyśl ponownie.

Okres poprzedzający wybory to czas szczególnie wrażliwy. Informacje przetwarzane przez komitety wyborcze mogą stać się łakomym kąskiem dla przestępców. Niektórzy mogą chcieć zaatakować Cię dla pieniędzy, inni ponieważ nie zgadzają się z Twoimi poglądami lub chcą wiedzieć jaki masz plan na kampanię.

Bez względu na powód – lepiej być przygotowanym. Zwłaszcza, że jest wiele rzeczy, które możesz zrobić by zwiększyć swoje bezpieczeństwo w sieci, a które nie będą kosztować Cię ani grosza.

Co więc możesz zrobić? Przede wszystkim rozpocznij od analizy ryzyka. Zastanów się, na jakie zagrożenia możesz być narażony i czy jesteś na nie przygotowany.

1. Świadomość pracowników pracujących przy kampanii

Pamiętaj, że do większości cyberataków dochodzi przez błąd człowieka. Dlatego uczul pracowników, aby uważali na swoje działania w sieci. Dobrym pomysłem będzie zorganizowanie szkolenia z bezpieczeństwa informacji dla wszystkich pracowników. Choć w większości przypadków wystarczy, jeśli będą przestrzegać podstawowych zasad cyberhigieny:

  • Nie otwieraj podejrzanych maili i nie klikaj odruchowo w załączniki. Więcej informacji o phishingu znajdziesz poniżej, w osobnym dziale.
  • Nie podłączaj do swojego komputera i telefonu urządzeń, które nie należą do Ciebie (dyski USB, ładowarki telefoniczne).
  • Nie używaj prywatnej poczty na służbowym komputerze.
  • Ogranicz załatwianie służbowych spraw w niezaufanych sieciach WiFi. Musisz mieć świadomość, że Twoja aktywność pozostawia ślady, takie jak odwiedzane strony czy czas dostępu. Takie informacje mogą być interesujące dla potencjalnego atakującego.

Jeśli zauważysz coś niepokojącego lub sam popełnisz błąd – nie trzymaj tego w tajemnicy. Szybkość działania ma często kluczowe znaczenie, dlatego upewnij się, że wszyscy wiedzą do kogo zgłaszać ewentualne incydenty.

Uwaga: Pamiętaj też, że incydent w kampanii wyborczej zawsze możesz zgłosić do CSIRT GOV lub CSIRT NASK. Specjaliści zajmujący się incydentami w cyberprzestrzeni przeanalizują Twoje zgłoszenie i postarają się pomóc.

2. Bezpieczna komunikacja i wymiana informacji

Warto skorzystać z aplikacji, które umożliwiają szyfrowanie przesyłanych informacji. Aplikacje takie jak Signal pozwalają również na udostępnianie plików oraz połączenia telefoniczne. Jeśli korzystasz z innych komunikatorów, warto ustawić automatyczne usuwanie wiadomości. Dzięki temu Twoje starsze konwersacje nie zostaną skradzione, nawet gdy ktoś uzyska do nich dostęp.

Jeśli analiza ryzyka wykazała, że nie jesteś pewien, czy potrafisz samodzielnie zapewnić bezpieczeństwo swoim sieciom i urządzeniom - rozważ użycie zaufanego pakietu biurowego w chmurze. Koniecznie ustaw dwustopniową autoryzację. Jest to rozwiązanie, które zapewnia wszystkie podstawowe funkcje biurowe i miejsce do przechowywania informacji.

Uwaga: Warto wybrać najwyższy poziom zabezpieczeń. Decydując się na nie, musisz jednak liczyć się z dodatkowymi kosztami. Skonsultuj z ekspertem zapewniane przez dostawcę usługi chmurowej poziomy ochrony i wybierz pakiet odpowiadający Twoim potrzebom.

3. Dostęp do kont i danych

Ostatnią rzeczą, której chcesz w kampanii wyborczej, jest dostęp nieuprawnionych osób do poufnych informacji. Dlatego powinieneś rozsądnie zarządzać dostępami do kont oraz danych. Co możesz zrobić?

Użyj uwierzytelniania dwuskładnikowego

Warto wprowadzić drugą warstwę zabezpieczeń dla swoich kont. Jest to rozwiązanie, które wymusza dodatkowe potwierdzenie, oprócz podania hasła. Może to być:

  • specjalny klucz, który podłączysz przez USB (Yubikey) – to rozwiązanie daje największy poziom bezpieczeństwa
  • kod wygenerowany w aplikacji (np. Google Authenticator, Microsoft Authenticator)
  • wiadomość wysłana na telefon – choć to rozwiązanie coraz rzadziej stanowi skuteczną ochronę przed cyberprzestępcami

Gdy masz takie zabezpieczenie, nawet jeśli ktoś pozna Twoje hasło, nie będzie mógł zalogować się do Twoich kont.

Zadbaj o silne hasła i użyj managera

Pamiętaj o tym, aby tworzyć silne hasła. Dobrym sposobem jest budowanie haseł na frazach. Użyj jako hasło prostego zwrotu lub zdania – łatwo je zapamiętasz, a cyberprzestępca będzie mieć problem z jego złamaniem.

Czytaj więcej w Biuletynie Ouch!: Tworzenie haseł w prostszy sposób.

Bardzo ważne jest również używanie różnych haseł do różnych kont. A jeśli masz problem z zapamiętaniem wszystkich swoich haseł, użyj menedżera haseł. Obecnie do dyspozycji jest wiele aplikacji, takich jak LastPass, 1Password, KeePass.

Rozdzielaj role w zespole

Zastanów się, kto za co odpowiada w zespole. Rozsądnie wybierz, komu nadać uprawnienia administratora do kont, np. w mediach społecznościowych. Zadbaj również o to, aby dostęp do poufnych informacji miały tylko te osoby, które naprawdę go potrzebują. Nie zaszkodzi, jeśli co jakiś czas przejrzysz przyznane uprawnienia. Może ktoś opuścił już Wasze szeregi, a wciąż ma dostęp do któregoś z kont?

4. Bezpieczeństwo urządzeń

Każde urządzenie, które wykorzystujesz w kampanii stanowi potencjalny cel ataku. Może to być telefon komórkowy, tablet, laptop, router, a nawet drukarka. O czym powinieneś pamiętać?

  • Zawsze aktualizuj oprogramowanie na swoich urządzeniach.
  • Zmień domyślne hasła w urządzeniach.
  • Zainstaluj oprogramowanie antywirusowe, np. system Windows ma domyślnie zainstalowany Windows Defender – upewnij się tylko, że program jest uruchomiony.
  • Szyfruj dane na wszystkich urządzeniach (BitLocker dla Windows, FileVault dla Mac). Koniecznie użyj trybu podawania hasła przy włączeniu komputera.
  • Nie używaj prywatnych kont lub poczty do prowadzenia kampanii.
  • Jeśli zgubisz urządzenie – zgłoś to natychmiast. Warto wybrać takie ustawienia, które umożliwią zdalne wymazywanie danych.
  • Zastanów się, co zrobisz z urządzeniami i danymi po zakończeniu kampanii.

5. Bezpieczeństwo sieci

Zadbaj o bezpieczeństwo sieci. Cyberprzestępcy mogą spróbować wykorzystać to, w jaki sposób łączysz się z Internetem.

  • Rozważ korzystanie z chmury. Jeśli nie jesteś przekonany, że możesz zapewnić wysoki poziom cyberbezpieczeństwa, rozważ skorzystanie z bezpiecznej i zaufanej usługi chmurowej. Poprzedź jednak taką decyzję analizą ryzyka. Skonsultuj z ekspertem zapewniane przez dostawcę poziomy ochrony i wybierz pakiet odpowiadający Twoim potrzebom.
  • Stwórz osobną sieć WiFi dla gości. Warto aby goście lub wolontariusze pracujący w ramach kampanii, nie mieli dostępu do wewnętrznej sieci. Spróbuj wybrać takie routery, które oferują „profil gościa”.
  • Jeśli to możliwe, pracownicy powinni korzystać ze służbowego VPN (wirtualnej sieci prywatnej) do łączenia się z Waszą siecią wewnętrzną. To rozwiązanie tworzy szyfrowane połączenie, które ukrywa Twój ruch internetowy przed intruzami.

Phishing

Szczególnym zagrożeniem jest phishing, czyli wyłudzanie wrażliwych lub poufnych informacji, na przykład takich jak korespondencja. Oszuści prześcigają się w takim tworzeniu wiadomości, aby skusić ofiarę do kliknięcia w zainfekowany link lub załącznik. Jak nie paść ofiarą phishingu?

  • Upewnij się, czy e-mail pochodzi z zaufanego źródła. Zwłaszcza jeśli nie spodziewałeś się wiadomości od danego nadawcy.
  • Sprawdź nadawcę i nie klikaj w linki bez zastanowienia.
  • Bądź wyjątkowo ostrożny, gdy korzystasz z mediów społecznościowych (fałszywe konta).
  • Ustaw dwustopniową weryfikację do swoich kont w internecie (FB, TT, Google).
  • Nie używaj prywatnej skrzynki pocztowej ani własnego urządzenia w pracy lub do zadań służbowych.

Czym jest phishing?

Phishing to przestępstwo, które polega na wyłudzeniu poufnych danych osobowych lub finansowych za pośrednictwem internetu lub poczty e-mail. Jest to jeden z najczęściej odnotowywanych incydentów cyberbezpieczeństwa – w 2018 roku stanowił ponad 40 proc. wszystkich zgłoszeń przesłanych do CERT Polska.

Okres poprzedzający wybory to czas szczególnie wrażliwy. Informacje przetwarzane przez komitety wyborcze mogą stać się łakomym kąskiem dla przestępców. Wykradzione dane, takie jak korespondencja, mogą zmienić oblicze wyborów. Najlepszym na to dowodem jest kampania poprzedzająca wybory prezydenckie w USA w 2016 roku. To właśnie m.in. w wyniku phishingu hakerzy wykradli przewodniczącemu kampanii Hillary Clinton ponad 50 tys. maili.

Jak może wyglądać phishing?

Przestępcy prześcigają się w takim tworzeniu wiadomości, aby skusić ofiarę do kliknięcia w zainfekowany link lub załącznik. A z każdą przeprowadzoną kampanią phishingową stają się coraz lepsi. Przykładowy tytuł e-maila może brzmieć na przykład tak:

  • Oficjalne powiadomienie o naruszeniu danych
  • Dostawa przesyłki nr 1ZBE312TNY00015011
  • IT Reminder: Twoje hasło wygaśnie w ciągu 24 godzin!
  • Wymagana natychmiastowa zmiana hasła
  • Przeczytaj ważny komunikat z działu Kadr

Image

Jak zabezpieczyć się przed phishingiem?

1. Upewnij się, czy e-mail pochodzi z zaufanego źródła

Bądź czujny, gdy otwierasz e-maile, zarówno od nieznajomych i znajomych. Zwracaj uwagę na wszelkie oznaki fałszu, błędy ortograficzne czy gramatyczne – czasem tylko jedna kropka może różnić fałszywy adres e-mail od prawdziwego. Czytając każdą wiadomość, zastanów się zanim cokolwiek klikniesz.

2. Ustaw dwustopniową weryfikację

Uwierzytelnianie dwuskładnikowe to dodatkowe zabezpieczenie, które pomaga chronić Twoje konto. Gdy ktoś spróbuje uzyskać do niego dostęp z nieznanego komputera lub urządzenia mobilnego, zostaniesz o tym poinformowany i będziesz mógł odpowiednio zareagować.

Poniżej znajdziesz instrukcje opisujące jak wprowadzić dwustopniową weryfikację na najpopularniejszych platformach:

3. Nie używaj prywatnej skrzynki pocztowej ani własnego urządzenia w pracy lub do zadań służbowych

Staraj się nie używać prywatnego sprzętu do prowadzenia kampanii wyborczej. Nigdy nie możesz być pewny, czy Twoje urządzenie nie padło wcześniej ofiarą phishingu. Nie używaj również prywatnej poczty na służbowym komputerze.

4. Sprawdź czy potrafisz rozpoznasz phishing

Cyberprzestępcy stają się coraz sprytniejsi i czasem spostrzeżenie, że ktoś próbuje od Ciebie wydobywać informacje, wcale może nie być takie proste. Myślisz, że byłbyś w stanie rozpoznać phishing? Rozwiąż test przygotowany przez Google.

Co zrobić, jeśli padłeś ofiarą phishingu?

  • Natychmiast zmień hasła do swoich aplikacji i kont online. Dla bezpieczeństwa skorzystaj w tym celu z innego komputera lub telefonu.
  • Przeskanuj swój komputer w poszukiwaniu wirusów i złośliwego oprogramowania.
  • Zgłoś incydent do CSIRT NASK lub CSIRT GOV.

Media społecznościowe

Bądź wyjątkowo ostrożny, gdy korzystasz z mediów społecznościowych.

Zadbaj o to, aby zweryfikować swoje konto u danego administratora. Pamiętaj, że fałszywe mogą być narzędziami oszustów. Jeśli natrafisz na takie konto, zgłoś daną stronę do administratora:

Na Facebooku:

  • Naciśnij ikonkę składającą się z trzech kropek przy danym koncie.
  • Wybierz opcję „Zgłoś”.

Image

  • Spośród możliwych opcji wybierz powód zgłoszenia, np. „To oszustwo”.

Image

Na Twitterze:

  • Naciśnij ikonkę składającą się z trzech pionowych kropek przy danym koncie.
  • Wybierz opcję „Report @Twitter”.

Image

  • Spośród możliwych opcji wybierz powód zgłoszenia, np. „They're pretending to be me or someone else (udaje mnie lub kogoś innego)”.

Image

Przejrzystość reklamy politycznej

Pamiętaj o przejrzystości. Obecnie największe platformy internetowe wprowadzają zmiany, które mają zapewnić większą transparentność reklam związanych z polityką lub zagadnieniami istotnymi w Unii Europejskiej.

Facebook

  • Sprawdzenie reklamodawców - jeśli chcesz zamieścić reklamę polityczną na Facebooku musisz przejść proces autoryzacji: dostarczyć dokumenty potwierdzające Twoją tożsamość oraz lokalizację.
  • Oznaczanie reklam politycznych – Twoja reklama otrzyma specjalną etykietę „Opłacone przez”. Pamiętaj, że każdy użytkownik będzie mógł sprawdzić kto zapłacił za reklamę, ile na nią przeznaczył oraz do kogo ją kierował.

Image

(Przykładowa reklama jednej z europejskich partii).

  • Biblioteka reklam – twoja reklama trafi do ogólnodostępnej biblioteki reklam politycznych. Znajdą się w niej szczegółowe informacje o reklamodawcach oraz źródłach finansowania. Będą przechowywane przez siedem lat.

Image

Czytaj więcej: Nowe wymagania dotyczące reklam związanych z polityką lub zagadnieniami istotnymi w Unii Europejskiej

Google

Zamieszczając reklamy na Google musisz przejść dwustopniowy proces weryfikacji.

  • Musisz udowodnić, że jesteś upoważnionym przedstawicielem danej organizacji.
  • Musisz zweryfikować swoją tożsamość.

Możesz to zrobić za pomocą specjalnego formularza.

Czytaj więcej: Weryfikacja reklam wyborczych w Unii Europejskiej

Ochrona danych osobowych

Kto jest administratorem danych osobowych przetwarzanych na potrzeby wyborów i jakich obowiązków musi dopełnić? Jak prowadzić kompanię wyborczą z poszanowaniem zasad ochrony danych osobowych? Jakie prawa przysługują wyborcom? To tylko niektóre z istotnych zagadnień poruszonych w poradniku „Ochrona danych osobowych w kampanii wyborczej”.

Urząd Ochrony Danych Osobowych przygotował poradnik, który ma pomóc uniknąć nieprawidłowości związanych z przetwarzaniem danych osobowych w trakcie kampanii wyborczych. Jest to szczególnie istotna pomoc zwłaszcza w związku z wejściem w życie w 2018 roku nowych przepisów w tym zakresie.

Przeczytaj poradnik "Ochrona danych osobowych w kampanii wyborczej"

Przykłady wyborów w innych państwach

Wybory przeprowadzone w ostatnich latach w różnych państwach pokazują, że kampania wyborcza może stanowić czas wzmożonej aktywności cyberprzestępców. Celem hakerskich ataków stają się poszczególni politycy i całe komitety wyborcze, ale wojna toczy się również w mediach społecznościowych. Dezinformacja, boty, trolle, ataki phishingowie – to coraz częściej rzeczywistość, w jakiej muszą odbywać się demokratyczne wybory.

Poniżej kilka przykładów z różnych państw. Pogłębioną analizę znajdziesz w zakładce "Dla NGO i Mediów".

Stany Zjednoczone

Najczęściej przytaczany w tym temacie przykład to wybory prezydenckie w Stanach Zjednoczonych w 2016 roku. Kolejne śledztwa i raporty [1] ujawniły, że mieliśmy wówczas do czynienia z atakami phishingowymi na skrzynki pocztowe setek osób zaangażowanych w kampanię wyborczą. Hakerzy używali również adresu poczty bardzo podobnego do adresu jednego z pracowników, aby rozsyłać fałszywe informacje i zachęcać do kliknięcia w link. Przestępcy wzięli również na celownik serwery i sieci komputerowe należące do Partii Demokratycznej.

Wykradzione dane zostały następnie opublikowanie na stronie DCLeaks, a w serwisach społecznościowych, uaktywniły się konta oparte o fałszywe tożsamości, które promowały wycieki.

Francja

Kolejnym przykładem na ingerencję w przebieg demokratycznych procesów są wybory prezydenckie we Francji [2]. Co więcej dr Emilio Ferrara z University of Southern California zauważył powiązania między botami, które wzięły udział w kampanii prezydenckiej w USA z tymi, które były aktywne podczas wyborów we Francji.

Badaczowi udało się zidentyfikować konta, które przestały działać po wyborach w USA, a ponownie aktywowały się przed wyborami we Francji. Pozwoliło mu to stwierdzić, że istnieje czarny rynek politycznej dezinformacji. Według jego analizy w wycieki na temat prezydenta Emmanuela Macrona (tzw. MacronLekas) zaangażowało się ponad 99 tys. użytkowników, w tym ok 18 tys. mogło być botami.

Brexit

Niepokojące doniesienia dotyczące ingerencji w referendum w sprawie Brexitu przyszły również z Wielkiej Brytanii [3]. Dziennikarze Guardiana przeanalizowali aktywność blisko 3 tys. kont zawieszonych przez Twittera, które miały być sterowane przez boty. Jak się okazało, konta te były używane do dezinformacji podczas referendum. Ich działalność była na tyle przekonująca, że zdarzało się, iż dziennikarze cytowali ich wpisy w swoich artykułach.

Polska

Przykłady z całego świata pokazują, że nieetyczne próby ingerencji w proces wyborczy stają się powoli nieodłącznym elementem kampanii wyborczych. Czy wobec tego mamy czego obawiać się w Polsce?

Obserwacje naszych mediów społecznościowych, w tym Twittera, pokazują że Polska nie jest w tym względzie wyjątkiem [4]. Niektórzy badacze Internetu zauważają pojawienie się botów, które obserwują przedstawicieli polskiej sceny politycznej, wpływowych dziennikarzy i liderów opinii publicznej.

Strona używa plików cookies, aby ułatwić Tobie korzystanie z serwisu oraz do celów statystycznych. Jeśli nie blokujesz tych plików, to zgadzasz się na ich użycie oraz zapisanie w pamięci urządzenia. Pamiętaj, że możesz samodzielnie zarządzać cookies, zmieniając ustawienia przeglądarki. Brak zmiany ustawienia przeglądarki oznacza wyrażenie zgody.