Podstawowe zasady cyberbezpieczeństwa

Cyberbezpieczeństwo

Zarząd Morskiego Portu Gdynia S.A. przykłada szczególną uwagę do bezpieczeństwa danych w systemach informatycznych i świadczonych usług teleinformatycznych. Informacja to zasób o określonej wartości, dlatego kluczowe jest jej odpowiednie zabezpieczenie. Poufność, integralność i dostępność danych oraz ciągłość działania systemów IT są podstawą bezpiecznego funkcjonowania Spółki.

Deklaracja polityki działania (RFC 2350)

Spółka opracowała Deklarację polityki działania zgodną z RFC 2350, aby zapewnić przejrzystość zasad reagowania na incydenty cyberbezpieczeństwa:

Zgłaszanie incydentów

Nieprawidłowości w działaniu systemów informacyjnych, urządzeń elektronicznych lub telekomunikacyjnych należy zgłaszać niezwłocznie na adres: incydent@port.gdynia.pl

W zgłoszeniu warto podać:

• dane kontaktowe zgłaszającego,
• datę i czas zdarzenia,
• opis incydentu i objawy,
• systemy lub usługi dotknięte incydentem,
• dane techniczne (adresy IP, logi, zrzuty ekranu),
• podjęte działania (jeśli były wykonane).

Podstawowe zasady cyberbezpieczeństwa

W każdym systemie bezpieczeństwa najsłabszym ogniwem jest człowiek. Dlatego każdy użytkownik systemów informatycznych oraz Internetu powinien świadomie i odpowiedzialnie stosować poniższe zasady:

Aktualizacje i oprogramowanie

• Regularnie aktualizować systemy operacyjne, aplikacje oraz oprogramowanie zabezpieczające
• Instalować wyłącznie oprogramowanie pochodzące z zaufanych źródeł
• Usuwać lub wyłączać nieużywane aplikacje i usługi

Hasła i uwierzytelnianie

• Stosować silne hasła (minimum 8–12 znaków, wielkie i małe litery, cyfry, znaki specjalne)
• Nie używać tych samych haseł w różnych systemach i serwisach
• Regularnie zmieniać hasła, szczególnie w systemach służbowych
• Korzystać z uwierzytelniania dwuskładnikowego (2FA), tam gdzie jest dostępne
• Nie zapisywać haseł w przeglądarkach ani w niezaszyfrowanej formie

Poczta elektroniczna i komunikacja

• Zachować szczególną ostrożność przy otwieraniu wiadomości e-mail i SMS od nieznanych nadawców
• Nie otwierać podejrzanych załączników ani nie klikać w nieznane linki
• Weryfikować nadawcę wiadomości, zwłaszcza w przypadku próśb o dane lub wykonanie działań
• Zwracać uwagę na próby phishingu (podszywanie się pod znane instytucje lub współpracowników)

Ochrona danych i dostępów

• Chronić dane logowania – nie udostępniać ich osobom trzecim ani nie przesyłać w wiadomościach e-mail
• Nie wykorzystywać służbowych danych dostępowych w innych serwisach
• Zachować szczególną ostrożność podczas korzystania z publicznych sieci Wi-Fi
• W miarę możliwości korzystać z połączeń VPN

Bezpieczne korzystanie z Internetu

• Zwracać uwagę na strony logowania – powinny być szyfrowane (HTTPS), posiadać ważny certyfikat i nie generować ostrzeżeń przeglądarki
• Sprawdzać poprawność adresu strony internetowej (unikając fałszywych domen)
• Nie podawać wrażliwych danych na stronach budzących wątpliwości

Zabezpieczenie urządzeń

• Korzystać z oprogramowania antywirusowego oraz zapory sieciowej (firewall) z aktualnymi bazami
• Zabezpieczać dostęp do urządzeń hasłem, PIN-em lub biometrią
• Blokować komputer podczas nieobecności użytkownika
• Zabezpieczać dostęp do BIOS/UEFI hasłem
• Szyfrować dyski, szczególnie w urządzeniach przenośnych (laptopy, nośniki danych)

Nośniki danych i urządzenia zewnętrzne

• Nie podłączać nieznanych urządzeń do komputera (np. znalezionych pendrive’ów)
• Korzystać wyłącznie z zatwierdzonych nośników danych
• Skanować nośniki zewnętrzne przed użyciem

Ochrona informacji i prywatności

• Rozważnie publikować informacje i zdjęcia w mediach społecznościowych
• Nie ujawniać informacji o systemach, infrastrukturze ani procedurach bezpieczeństwa
• Nie przekazywać poufnych informacji w miejscach publicznych lub w obecności osób trzecich

Przesyłanie danych

• Nigdy nie przesyłać niezaszyfrowanych danych wrażliwych (np. PESEL, numer dowodu osobistego) przez publiczne lub niezabezpieczone sieci
• Wykorzystywać bezpieczne kanały komunikacji i szyfrowanie danych