Cyberbezpieczeństwo w NGO

W świecie organizacji pozarządowych cyberbezpieczeństwo nie jest jedynie domeną działu IT – to fundament etyki naszej pracy. Jako NGO zarządzamy danymi wrażliwymi beneficjentów, informacjami finansowymi darczyńców oraz strategiami, które decydują o skuteczności naszej pomocy. Wyciek tych danych to nie tylko naruszenie przepisów RODO, ale przede wszystkim realne zagrożenie dla osób, które nam zaufały.

1. Architektura Cyfrowej Tożsamości: Hasła i Dostęp

Tradycyjne myślenie o haśle jako o "słowie" jest dziś największym błędem. Współczesne ataki typu credential stuffing polegają na automatycznym sprawdzaniu miliardów haseł, które wyciekły z innych serwisów.

Metoda Fraz Hasłowych (Passphrases) – Dlaczego 16 znaków?

Siła hasła nie wynika z jego skomplikowania (duże litery, cyfry), ale z jego entropii – czyli nieprzewidywalności długiego ciągu znaków.

  • Matematyka bezpieczeństwa: Złamanie 8-znakowego hasła z cyframi zajmuje hakerowi minuty. Złamanie 16-znakowej frazy składającej się z prostych słów (np. ZielonyFotografPijeSokZMalin1028!) zajęłoby setki lat.
  • Rekomendacja: Buduj hasła, które są "filmem w Twojej głowie" – łatwe do wyobrażenia, ale niemożliwe do odgadnięcia przez algorytm.

Menedżer haseł (KeePass/Bitwarden) jako standard sektorowy

Używanie tej samej kombinacji login/hasło w wielu miejscach to "efekt domina". Jeśli wycieknie Twoje hasło ze sklepu z karmą dla psów, haker natychmiast sprawdzi je w Gmailu i systemach bankowych.

  • Sejf zaszyfrowany: Menedżery haseł przechowują dane w bazie szyfrowanej algorytmem AES-256. Ty pamiętasz tylko jedno "Hasło Matkę".
  • Generator haseł: Pozwól programowi tworzyć hasła typu xK9!pL2#vR8_zQ1, których nie musisz znać na pamięć. Program sam wpisze je w odpowiednie pola (funkcja Auto-Type).

Multi-Factor Authentication (MFA/2FA) – Druga linia obrony

Hasło to tylko jeden czynnik ("coś, co wiesz"). Weryfikacja dwuetapowa dodaje drugi czynnik ("coś, co masz").

  • Klucze sprzętowe (YubiKey): To złoty standard. Nawet jeśli haker ma Twoje hasło, nie wejdzie na konto bez fizycznego włożenia klucza do portu USB Twojego komputera.
  • Aplikacje Authenticator: Są bezpieczniejsze niż SMS-y, ponieważ kody generowane są lokalnie na Twoim urządzeniu i nie można ich przejąć poprzez "duplikację karty SIM".

2. Inżynieria Społeczna: Anatomia Manipulacji

Hakerzy rzadko włamują się "przez ścianę". Zazwyczaj po prostu pukają do drzwi, a we sami im je otwieramy.

Zaawansowany Phishing i Typosquatting

Przestępcy tworzą strony niemal identyczne z oryginałem.

  • Typosquatting: Zamiast oficjalnej domeny Twojego NGO możesz otrzymać maila z łudząco podobnego adresu (np. końcówka .co zamiast .pl). Na pierwszy rzut oka wyglądają poprawnie, ale służą do kradzieży poświadczeń.
  • Zasada "Zero Trust": Nigdy nie klikaj w linki bezpośrednio w mailu, jeśli dotyczą logowania lub płatności. Zawsze wpisuj adres strony ręcznie w przeglądarce.

Atak BEC (Business Email Compromise) – Pułapka na lojalność

Scenariusz: Dostajesz maila od Dyrektora: "Jestem na ważnym spotkaniu, pilnie potrzebuję skanów dowodów wszystkich wolontariuszy z projektu X. Wyślij natychmiast na ten adres".

  • Mechanizm: Haker wykorzystuje Twój autorytet i poczucie obowiązku wobec organizacji.
  • Obrona: Każda nietypowa prośba o dane wrażliwe lub przelew musi zostać zweryfikowana innym kanałem (np. telefon lub krótka wiadomość na Slacku/Signal).

3. Higiena Pracy z Danymi Osobowymi (RODO)

Jako pracownicy NGO jesteśmy administratorami danych. Każdy dokument z PESEL-em to odpowiedzialność prawna i moralna.

Bezpieczne udostępnianie w Google Workspace

  • Dostęp wygasający: Jeśli udostępniasz plik zewnętrznemu audytorowi, ustaw datę wygaśnięcia dostępu (np. na 7 dni).
  • Blokada pobierania: Przy plikach tylko do odczytu zablokuj opcję pobierania i drukowania, aby dane nie wyciekły poza ekosystem chmury Twojego NGO.

Szyfrowanie archiwów (Standard 7-Zip)

Wysyłanie bazy danych w otwartym pliku Excel to jak wysłanie pocztówki – każdy pośrednik może ją przeczytać.

  1. Pakuj plik do formatu .7z lub .zip.
  2. Ustaw silne hasło (minimum 12 znaków).
  3. Zasada separacji kanałów: Plik leci mailem, hasło leci SMS-em lub komunikatorem Signal. Nigdy nie łącz ich w jednej wiadomości!

4. Bezpieczeństwo Fizyczne i "Czyste Biurko"

  • Skrót Win + L: Blokuj komputer nawet jeśli idziesz tylko do kuchni po wodę. To 1 sekunda, która chroni godziny Twojej pracy.
  • Zarządzanie wydrukiem: Drukarki sieciowe są często "cmentarzyskiem danych". Nie zostawiaj umów na tacy drukarki.
  • Niszczenie dokumentów: Każdy papier z danymi musi trafić do niszczarki o standardzie P-4 (mikrościnki).

5. Praca Mobilna i Zdalna: Biuro w Kieszeni

  • Hotspot osobisty vs Publiczne Wi-Fi: Używaj wyłącznie własnego internetu z telefonu (LTE/5G). Publiczne sieci są podatne na podsłuch.
  • Filtry prywatyzujące: Chronią ekran przed wzrokiem osób postronnych w pociągu czy kawiarni.
  • Zdalne czyszczenie: Skonfiguruj usługę "Znajdź mój telefon", aby móc zdalnie usunąć dane po kradzieży sprzętu służbowego.

Procedura "Czerwony Guzik" – Reagowanie na Incydenty

Panika to największy sojusznik hakera. Jeśli popełnisz błąd, działaj według schematu:

  1. Izolacja: Wyłącz internet (Wi-Fi/Kabel). Nie wyłączaj komputera.
  2. Komunikacja: Natychmiast zgłoś zdarzenie do IT. Pamiętaj: Zgłoszenie błędu to przejaw profesjonalizmu.
  3. Dokumentacja: Zapisz, co się stało (jaki link kliknąłeś). To kluczowe dla ewentualnego zgłoszenia do UODO.
Bezpieczeństwo NGO to nasza wspólna odpowiedzialność. Każdy zablokowany ekran i każda zweryfikowana prośba o dane to krok w stronę bezpieczniejszego sektora pozarządowego.