Dane osobowe to cenny towar dla przestępców. Dowiedz się, na co uważać

Monika Brzozowska-Pasieka

Autor: Elżbieta Wasiak

Dodano: 4 czerwca 2018
Dane osobowe to cenny towar dla przestępców. Dowiedz się, na co uważać

Rozwój społeczeństwa informacyjnego i traktowanie danych osobowych niemal jak swoistego towaru, którym administratorzy danych obracali dotychczas dość swobodnie, wymogły na unijnym ustawodawcy nowe podejście do ochrony danych osobowych i ujednolicenie zasad ich przetwarzania. Zasady te zawarte zostały w stosowanym od 25 maja 2018 r. ogólnym rozporządzeniu o ochronie danych (RODO). Aby lepiej chronić dane osobowe, warto zapoznać się z zagrożeniami, jakie czyhają w cyberprzestrzeni i z metodami, jakimi działają przestępcy i złodzieje danych osobowych w cyberprzestrzeni.

Hacking, phishing, pharming

W ostatnich latach coraz więcej jest włamań do baz danych osobowych, w których są numery PESEL, adresy IP, numery telefonów itp., a nawet dane wrażliwe. Cyberprzestępcy kupują całe pakiety wykradzionych przez hackerów danych przypadkowych osób i robią z nich użytek. W Internecie można nawet znaleźć specjalne serwisy aukcyjne, gdzie przedaje się i kupuje skradzione dane. Jedną z metod, jakimi posługują się cyberprzestępcy, jest tzw. phishing. Phisher rozsyła pocztą elektroniczną odpowiednio przygotowane wiadomości, które udają oficjalną korespondencję z banku, serwisu aukcyjnego lub innych portali. Zawierają one informację o rzekomym dezaktywowaniu konta i konieczności jego ponownego reaktywowania. W e-mailu znajduje się odnośnik do strony, na której można dokonać ponownej aktywacji konta. Witryna wygląda na prawdziwą, ale w rzeczywistości jest pułapką. Nieostrożni i nieświadomi użytkownicy ujawniają swoje dane uwierzytelniające, kody PIN, identyfikatory i hasła.

W przypadku pharmingu zamiast wysyłania fałszywych wiadomości e-mail przestępcy przekierowują użytkowników wpisujących poprawne adresy swojego banku na fałszywe strony internetowe. Tam klient podaje żądane dane do logowania w banku i wkrótce pieniądze znikają z jego konta.

Hacking polega na wyszukiwaniu i wykorzystywaniu dziur w zabezpieczeniu oprogramowania komputerowego, dzięki czemu hacker może uzyskać dostęp, czyli włamać się do zasobów danych. 

Innym sposobem działania cyberprzestępców, który ma doprowadzić do poznania poufnych danych w celu szantażowania ich ujawnieniem, jest wykorzystywanie złośliwego oprogramowania, zwanego w zależności od swojej formy: robakami, koniami trojańskimi/trojanami lub wirusami.

Złośliwe wirusy

Dotychczas największe szkody w cyberprzestrzeni zostały spowodowane w 2017 roku przez tzw. wirusy ransomware o nazwach Wanna Cry i Petya. Ich działanie polegało na blokowaniu komputerów poprzez szyfrowanie dostępu do danych. Na ekranie wyświetlał się komunikat, że rozszyfrowanie jest możliwe jedynie za opłatą 300 dolarów zapłaconych w ciągu trzech dni, jeśli ktoś nie zdąży, to cena wzrośnie do 600 dolarów w ciągu 7 dni, a później dane przepadną. Straty dotknęły różne instytucje, rządy i prywatne osoby. Hakerzy włamali się na strony rządowe w Holandii, wykradli dane klientów brytyjskiej firmy pożyczkowej Wonga, zablokowali komputery wielkich firm w Stanach Zjednoczonych, Chinach, Rosji, Hiszpanii i zażądali okupu za ich odblokowanie, włamali się do systemu rosyjskich banków i kolei państwowych, indyjskich linii lotniczych, sieci elektrowni atomowych USA i włoskich uniwersytetów.

Hackerzy potrafią zarówno wykraść dane, jak i podrzucić do czyjegoś komputera informacje, które pozwolą następnie szantażować upatrzoną osobę. Ofiarą cyberprzestępczości stał się czeski prezydent, któremu podrzucono do komputera zdjęcia z pornografią dziecięcą i żądano pieniędzy za ich usunięcie, czy klinika chirurgii plastycznej na Litwie, z której skradziono ponad 25 tys. danych osobowych i zdjęć nagich osób, które następnie były szantażowane żądaniem okupu. Ofiarami przestępstwa stali się nawet żołnierze NATO, którym „zhakowano” telefony.

Jak podała agencja PAP, fala cyberataków za pomocą oprogramowania Wanna Cry dotknęła ponad 200 tysięcy komputerów z systemem operacyjnym Windows, 150 państw, spowodowała paraliż międzynarodowych korporacji, szpitali, instytucji rządowych i transportu. Okup zdecydowało się zapłacić tylko 200 podmiotów. W sumie hackerzy zyskali 50 tys. dolarów. 

Internetowi szantażyści – głośne sprawy

Eksperci od cyberprzestrzeni obawiają się, że po wprowadzeniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, RODO) może zwiększyć się liczba kradzieży danych, ponieważ przestępcy częściej będą szantażować firmy, które staną przed dylematem – zapłacić wysoką karę przewidzianą w RODO czy znacznie mniejszy okup za milczenie.

Mogą się do tego przyczynić zarówno cyberataki za pomocą wirusów, jak i zwykli hakerzy. Pod koniec ubiegłego roku amerykańska firma przewozowa Uber ujawniła, że kilka miesięcy wcześniej hackerzy skradli z jej bazy dane osobowe 50 milionów użytkowników z całego świata, w tym numery praw jazdy 600 tysięcy amerykańskich kierowców. Szef firmy zapewnił, że w momencie incydentu firma podjęła kroki w celu zabezpieczenia danych oraz że osoby, które dokonały włamania, zostały zidentyfikowane, a skradzione dane zniszczone. Nieoficjalnie wiadomo, że za to zniszczenie firma Uber zapłaciła 100 tysięcy dolarów.  

W kwietniu tego roku Facebook poinformował, że firma Cambridge Analytica może mieć dane około 87 mln użytkowników serwisu. Przedsiębiorstwo wykorzystywało informacje o użytkownikach Facebooka do analizowania ich osobowości i wpływania na masowe zachowania wyborców. Nielegalnie pozyskało dane 50 mln klientów. Praktyki Cambridge Analytica ujawnił brytyjski „The Observer”.  Z żądaniem informacji wystąpiła do Facebooka Komisja Europejska. W odpowiedzi portal potwierdził, że dane 2,7 mln użytkowników z Unii Europejskiej mogły być niewłaściwie przekazane do Cambridge Analytica. W Polsce sprawa dotyczy 57 138 osób.

W kwietniu tego roku odbyło się w tej sprawie specjalne posiedzenie Grupy Roboczej Art. 29, w rozmowach uczestniczył też polski Generalny Inspektor Ochrony Danych Osobowych (GIODO). Ustalono, że dochodzenie w całej sprawie ma prowadzić brytyjski organ ochrony danych – ICO. W zależności od ustaleń ICO i grupy roboczej polski organ zdecyduje o ewentualnych dalszych działaniach, które będzie podejmował w Polsce.

Wycieki lub kradzieże danych osobowych nie omijają też naszego kraju. We wrześniu ubiegłego roku w Internecie pojawiło się ogłoszenie oferujące sprzedaż szczegółowych danych osobowych klientów czterech banków w Polsce. Każdy wpis z bazy zawierał dosyć szczegółowe dane, w tym między innymi: numer rachunku, stan konta, PESEL, nazwę właściciela (imię i nazwisko), adres, numer telefonu oraz adres e-mail. Udało się opanować panikę, banki zapewniały, że ponieważ w bazie nie ma informacji o loginach i hasłach, więc potencjalny nabywca ukradzionych danych nie będzie mógł zresetować hasła przez bankową infolinię. Czy prowadzone były negocjacje ze złodziejami danych, pozostaje jednak tajemnicą.

Jaką odpowiedzialność ponosi szef firmy

Bezpieczeństwo systemu IT przekłada się bezpośrednio na bezpieczeństwo danych osobowych. Przypomnijmy, że zgodnie z art. 24 ust. 1 RODO za bezpieczeństwo danych osobowych odpowiedzialny jest administrator. Artykuł 25 ust. 1 RODO wymaga także, aby administratorzy i podmioty przetwarzające analizowali poziom ryzyka i na podstawie jego oceny samodzielnie decydowali o rodzaju i zakresie środków technicznych i organizacyjnych ochrony danych.  

A zatem przedsiębiorca, właściciel firmy, dyrektor, kierownik jako administrator danych osobowych (ADO) jest odpowiedzialny za ochronę wszystkich danych osobowych przetwarzanych w przedsiębiorstwie, firmie, organizacji, w tym także za ich upoważnione przetwarzanie. Jeżeli dojdzie do ich ujawnienia, ADO, a także podmiot przetwarzający będą ponosić odpowiedzialność. Warto pamiętać również, że oprócz odpowiedzialności karnej jest jeszcze rzecz tak cenna jak wizerunek firmy.

ZAPAMIĘTAJ!

Wszelkie nieuprawnione działania skierowane przeciw zbiorom danych osobowych w przedsiębiorstwie, firmie, organizacji mogą być podstawą oszustwa z wykorzystaniem fałszywej tożsamości kontrahenta czy klienta, doprowadzić do strat w ich majątku, szkód w wizerunku oraz penalizacji działań wobec osób funkcyjnych.

Na podstawie art. 82 RODO każda osoba, która poniosła szkodę majątkową lub niemajątkową, wskutek przetwarzania jej danych osobowych w sposób naruszający RODO, może domagać się odszkodowania od administratora lub podmiotu przetwarzającego. Administrator lub podmiot przetwarzający powinni jednak zostać zwolnieni z odpowiedzialności prawnej, jeżeli udowodnią, że szkoda w żadnym razie nie powstała z ich winy. 

Jaką odpowiedzialność ponoszą pracownicy

Międzynarodowa firma Kaspersky zajmująca się cyberbezpieczeństwem przeprowadziła w 2016 roku badania na temat incydentów naruszenia danych osobowych w Internecie. Z badań wynika, że prawie w 40% przypadków pracownicy zatajają incydenty naruszenia, do których sami doprowadzili. W anonimowej ankiecie pracownicy przyznawali, że robią tak z obawy przed odpowiedzialnością albo ze wstydu, że nabrali się na sztuczkę oszusta i np. otworzyli załącznik do e-maila udający fakturę czy informacje zawierające złośliwe oprogramowanie, które następnie doprowadziło do wycieku danych.

Ważne:

Pracownik, który doprowadził do wycieku danych, może być ukarany upomnieniem, wypowiedzeniem czy nawet zwolnieniem dyscyplinarnym. Jeśli natomiast zostanie mu udowodnione, że działał umyślnie i świadomie ujawnił dane osobowe nieuprawnionej osobie, pracodawca może dochodzić wobec niego naprawienia szkody, w tym roszczeń regresowych, do wysokości kary nałożonej na pracodawcę. Jednak generalnie konsekwencje błędu pracownika ponosi pracodawca, przedsiębiorca, szef firmy, który jako administrator danych osobowych odpowiada prawnie za ich ochronę i to na nim ciąży obowiązek nie tylko właściwego zabezpieczenia danych, ale także zastosowania właściwego systemu wykrywania incydentów.

Jak pokazują przedstawione wcześniej przykłady dotyczące firmy Uber czy banków, dotychczas bywało, że o wycieku danych firma dowiadywała się po kilku miesiącach np. z doniesień medialnych, a swoich klientów powiadamiała o tym jeszcze później lub trzymała to w tajemnicy. Od chwili rozpoczęcia stosowania RODO za naruszenie przepisów tego rozporządzenia grożą bardzo wysokie kary, sięgające milionów euro.

Jak zabezpieczyć się przed naruszeniami

Aby zabezpieczyć się przed takimi incydentami, pracodawca powinien zadbać nie tylko o właściwy system ochrony danych, ale także o właściwy stosunek pracowników do problemu danych osobowych.

Niezbędne są szkolenia pracowników dotyczące tej tematyki, a podczas nich podkreślanie, że najważniejsze jest szybkie wykrycie incydentu i naprawienie szkód. Należy zachęcać pracowników, aby nie obawiali się informować o ewentualnych wyciekach danych. Za szybko zgłoszony incydent nie powinno być kar finansowych, natomiast za nieujawnienie odwrotnie – surowe kary.

Pracodawcy powinni zdawać sobie sprawę, że zgadzając się na wykorzystywanie przez pracowników prywatnych urządzeń do celów służbowych, ponoszą ryzyko. Narażają bowiem mechanizm ochrony danych na zagrożenia wynikające z dostępu do nich za pomocą urządzeń, routerów, publicznych sieci Wi-Fi itp. Szczególnie drobiazgowo trzeba wtedy zadbać o zapewnienie bezpieczeństwa danych i szczególnie wnikliwie wszystko monitorować.

8 zasad bezpiecznego korzystania z sieci IT

Ponieważ dane osobowe są przechowywane i przetwarzane w systemie informatycznym, każdy użytkownik komputera powinien przestrzegać podstawowych zasad bezpiecznego korzystania z sieci IT. Najprostsze z nich to:

1) stosowanie loginów i haseł dostępu – identyfikator użytkownika jest zwykle jawny i bardzo często dostępny publicznie, hasło natomiast zawsze tajne i należy dokładać wszelkich starań, aby wyłącznie użytkownik, który się nim posługuje, znał jego brzmienie,

2) ograniczanie fizycznego dostępu do komputerów, oprogramowania i nośników danych osobom trzecim,

3) regularne zabezpieczanie danych przez wykonywanie kopii bezpieczeństwa, aktualizowanie na bieżąco programów antywirusowych i używanie oprogramowania z wiadomych i sprawdzonych źródeł,

4) używanie jakościowych haseł składających się z małych i wielkich liter, cyfr i znaków specjalnych, o długości powyżej 8–10 znaków – nie należy stosować haseł domyślnych ani posługiwać się jednym hasłem do wielu programów i portali, hasła powinny być co pewien czas zmieniane, zwłaszcza po wykryciu przez program antywirusowy złośliwego oprogramowania,

5) nieotwieranie e-maili niewiadomego pochodzenia, które zawierają podejrzane załączniki,

6) nieotwieranie hiperłączy bezpośrednio z otrzymanego e-maila,

7) sprawdzanie, kim jest nieznany nadawca firmowego e-maila – na ogół poważna firma ma adres z własną domeną i nie musi korzystać z bezpłatnych skrzynek, jeśli strona WWW tej firmy istnieje, jej właściciela można sprawdzić w bazie whois.org czy dns.pl, dane ukryte sugerują, że takiej firmie nie można ufać,

8) pamiętanie o tym, że banki i instytucje finansowe stosują protokół HTTPS tam, gdzie konieczne jest zalogowanie do systemu, adres strony WWW rozpoczyna się wtedy od wyrażenia „https://”, a nie http://, jeśli strona z logowaniem nie zawiera w adresie nazwy protokołu HTTPS, to nie należy podawać żadnych danych i zgłosić to pracownikowi banku.

 

Monika Brzozowska-Pasieka

Autor: Elżbieta Wasiak

dziennikarka, autorka wielu publikacji o tematyce prawnej i społecznej, specjalizuje się w tematyce RODO

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x