Raport specjalny Horyzonty Bankowości 2018: Okup lepszy niż kara
Joanna Patyńska
– Ponieważ hakerzy dokładnie teraz wiedzą, ile wynosi kara za wykorzystanie poufnych informacji, które wyciekły z baz zaatakowanej firmy, będą żądać niższych okupów niż wynoszą kary nakładane przez organy stojące na straży ochrony danych osobowych. Nie jest to dobra wiadomość dla przedsiębiorców, bo i tak będą one o wiele wyższe niż dotychczas – ostrzega Mikko Hypponen, szef rozwoju F-Secure.
Jego zdaniem, żądania cyberprzestępców mogą wzrosnąć wielokrotnie, osiągając w przypadku najprężniej działających firm pułap setek milionów dolarów, czyli 2-3% ich globalnego obrotu. Będzie tak choćby w przypadku dużych banków i innych instytucji finansowych.
Rewolucja w ochronie danych
Prace nad „The General Data Protection Regulation” (GDPR), czyli „Ogólnym rozporządzeniem o ochronie danych” (RODO) rozpoczęły się kilka lat temu. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 zostało przyjęte 27 kwietnia 2016 r., w życie weszło 17 maja 2016 r., a zacznie obowiązywać od 25 maja 2018 r.
Obowiązkowe zgłaszanie wycieków danych w ciągu 72 godzin od ich wykrycia, zwiększenie praw użytkowników oraz horrendalnie wysokie kary – to najważniejsze zmiany, z jakimi będą musieli się zmierzyć przedsiębiorcy już pod koniec maja.
Jeśli użytkownik uzna, że jego dane są przetwarzane niezgodnie z przepisami, będzie miał prawo do:
- wniesienia skargi do organu nadzorczego, jeśli sądzi, iż przetwarzanie danych osobowych jego dotyczących narusza GDPR;
- do skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącej decyzji nadzoru dotyczącej użytkownika;
- do skutecznego środka ochrony prawnej przed sądem, przeciwko administratorowi lub podmiotowi przetwarzającemu dane.
Najważniejszą zmianą, którą odczują wszystkie podmioty zbierające i przetwarzające dane osobowe, będzie konieczność dostosowania procedur pozyskiwania zgody na ich przetwarzanie do nowych przepisów.
Dyrektywa zaznacza, że musi to być dobrowolne, konkretne, świadome i jednoznaczne okazanie woli. W praktyce oznacza to, że formularze zgody powinny być sformułowane jasnym i czytelnym językiem, w sposób zrozumiały dla osoby, której dane chcemy przetwarzać.
|
Zawiłe, nieprecyzyjne i skomplikowane formularze mogą zostać uznane za wadliwe, a zgoda użytkownika za nieważną. Powszechna do tej pory praktyka przedstawiania użytkownikowi domyślnie zaznaczonych okienek ze zgodą na przetwarzanie danych osobowych i przekazywanie ich podmiotom trzecim nie będzie dopuszczalna. Wyrażenie zgody będzie mogło się odbywać się tylko i wyłącznie przez faktyczne zaznaczenie każdego z okienek, a aby zgoda została uznana za dobrowolną, od jej wyrażenia nie będzie można uzależniać wykonania umowy.
Zgoda nie będzie uważana za dobrowolną, jeżeli nie będzie możliwości wyrażenia jej osobno na różne operacje przetwarzania danych a osoba, której dane dotyczą, nie będzie miała rzeczywistego lub wolnego wyboru oraz nie będzie mogła odmówić ani wycofać zgody bez niekorzystnych dla siebie konsekwencji.
Osoba fizyczna musi być świadoma, że udziela zgody na przetwarzanie danych, a także znać jej zakres. Jeżeli dane osobowe przetwarzane będą w kilku celach, potrzebna będzie zgoda na każdy z nich osobno.
Sankcje nakładane dotychczas przez instytucje nadzorujące zbieranie i przetwarzanie danych miały głównie na celu zmuszenie firmy do wykonania decyzji i nie były nakładane często. Nowe rozporządzenia ujednolicą oraz znacząco podwyższą kary finansowe. Ich maksymalna wysokość może sięgać 10-20 mln euro lub 4% całkowitego globalnego obrotu za rok poprzedni. Wymiar będzie zależeć od tego, który dla przedsiębiorcy okaże się dotkliwszy.
Nie dość na tym. Administrator oraz podmiot przetwarzający dane muszą się liczyć z realną możliwością poniesienia odpowiedzialności administracyjnej, karnej oraz cywilnej. Wszczęcie postępowania sądowego przez poszkodowanych użytkowników będzie możliwe niezależnie od skarg złożonych do nadzoru.
Pierwsze sępy już krążą
Wykradanie danych klientów stało się lukratywnym biznesem dla hakerów. Eksperci ds. bezpieczeństwa w sieci zwracają uwagę, że hakerzy właśnie zaczęli żądać wysokich okupów za nieupublicznianie wycieków. Kilka tygodni temu haker, który zaatakował HBO, zagroził uwolnieniem skradzionych danych klientów i treści telewizyjnych (przedpremierowych odcinków seriali), jeśli HBO nie zapłaci 5,5 mln dolarów – dokładnie 2-3% rocznego przychodu stacji w 2014 r.
Czy drakońskie kary przekonają firmy, by nie ukrywały ataków? Normą jest bowiem, że nawet największe przedsiębiorstwa starają się tuszować swoje wpadki. Dość przypomnieć udaną akcję hakerską w Yahoo, do której doszło w 2014 r. Firma zarzeka się, że nie zdawała sobie sprawy, że padła ofiarą włamania. Śledztwo rozpoczęła dopiero po tym, jak internet obiegła wiadomość, że na sprzedaż wystawiono dane właścicieli 200 mln kont Yahoo. Gdy firma sprawdziła informację, okazało się, że wyciek, do którego doszło, może być jeszcze większy.
W łapy cyberprzestępców dostały się imiona i nazwiska użytkowników, ich daty urodzenia, adresy elektroniczne, numery telefonów, zahaszowane hasła, a także pytania i odpowiedzi pomocnicze, które służą weryfikacji tożsamości użytkownika. Yahoo zapewnia, że hakerzy nie przejęli niezabezpieczonych haseł ani informacji dotyczących kont bankowych czy kart płatniczych.
Po ataku na serwis Vkontakte (VK.com), rosyjski odpowiednik Facebooka, który liczy 350 mln użytkowników, ofiarą hakerów padło 171 mln haseł, przypisane do nich adresy e-mail, imiona i nazwiska, adresy zamieszkania i numery telefonów. Ataku dokonano w 2012 r., a wyszedł on na jaw dopiero cztery lata później przy okazji próby sprzedania poufnych informacji. Hakerzy zaoferowali 17 gigabajtów danych 100 mln osób za 570 dolarów.
Gdy w sieci pojawiła się oferta hakerów, rzecznik VK.com zaprzeczył, że z firmy wyciekły jakiekolwiek informacje o użytkownikach. W wydanym komunikacie podkreślała ona, że opublikowane w sieci hasła pochodzą sprzed kilku lat i są nieaktualne. Gdy jednak eksperci sprawdzili, czy to prawda, okazało się, że dane do logowania wciąż działają i są używane.
Szerokim echem odbił się też atak na Ashley Madison, największy na świecie serwis randkowy dla osób, które szukają przygód poza stałymi związkami. Portal, z którego przed atakiem korzystało 64 mln ludzi na całym świecie, reklamował się hasłem „Życie jest krótkie. Zafunduj sobie romans”.
W lipcu 2015 r. cyberprzestępcy wykradli dane 37 mln użytkowników i zażądali, by Ashley Madison natychmiast zaprzestał działalności, grożąc opublikowaniem kompromitujących zdjęć i fantazji seksualnych osób korzystających z usług serwisu. Gdy jego właściciel, spółka Avid Media, odmówiła, 19 sierpnia 2015 r. Impact Team opublikował dane milionów klientów: imiona, nazwiska, adresy e-mail, numery telefonów, numery kart kredytowych, zdjęcia i dane o preferencjach seksualnych. Wybuchła panika. Okazało się, że problemy mają brytyjscy politycy, bo wśród ujawnionych adresów poczty elektronicznej znalazło się ponad 130 wpisów z domen rządowych i samorządowych. Pojawiły się dane przedstawicieli brytyjskiego wojska, pracowników ONZ, agend rządowych i armii Stanów Zjednoczonych, pracowników wysokiego szczebla J.P. Morgana i Amazona oraz wielu uniwersytetów i instytutów badawczych, w tym z Porton Down (Defence Science and Technology Laboratory), gdzie prowadzone są badania nad bronią masowego rażenia.
Pod cyberostrzałem
Pod koniec 2017 r. ujawniono kolejny wielki wyciek. Tym razem w łapy cyberprzestępców dostało się 1,5 mld (!) e-maili i przypisanych do nich haseł, wśród nich 10 mln adresów z Polski – wyliczyli eksperci z serwisu zaufanatrzeciastrona.pl.
Ogromna baza danych, która pojawiła się w internecie, zawierała adresy i hasła pochodzące z różnych cyfrowych włamań. O kradzieży 2/3 z nich było wiadomo wcześniej. Jednak tym razem ktoś zebrał dane i połączył w jedną bazę oraz zestawił hasła z e-mailami.
– Wcześniej te dane krążyły w formie zaszyfrowanej, tym razem są to hasła, które każdy może przeczytać – wyjaśnia Adam Haertlé, naczelny portalu Zaufana Trzecia Strona.
Na liście wykradzionych adresów i haseł znajdują się również e-maile należące do państwowych instytucji, np. Ministerstwa Obrony Narodowej, Policji, Kancelarii Prezydenta i Sejmu.
Najwyższa Izba Kontroli od kilku lat alarmuje, że dane gromadzone przez państwo w systemach teleinformatycznych nie są chronione i łatwo mogą trafić w niepowołane ręce. W 2015 i 2016 r. opublikowała raport po kontroli przeprowadzonej w podmiotach państwowych, z którego jasno wynikało, że państwo polskie nie jest przygotowane do walki z zagrożeniami występującymi w cyberprzestrzeni.
„Przykłady, takie jak choćby publikacja w internecie danych osobowych 50 mln obywateli Turcji w 2016 r., kradzież danych klientów Plus Banku w 2015 r., czy wyciek danych o kontach 5 mln użytkowników Gmail w 2014 r., pokazują, że zagrożenia te są realne, a konsekwencje wycieku danych poważne i mogą stanowić zagrożenie nie tylko dla wizerunku podmiotów, z których te dane wyciekły, ale przede wszystkim dla osób, których dane zostały wykradzione” – wskazała Izba w dokumencie.
|
Z tego powodu postanowiła przyjrzeć się, jak bezpieczne są dane znajdujące się w bazach instytucji, mających istotne znaczenie dla funkcjonowania państwa. Zdaniem NIK, stopień przygotowania oraz wdrożenia Systemu Zapewnienia Bezpieczeństwa Informacji w kontrolowanych jednostkach nie zapewniał nawet akceptowalnego poziomu bezpieczeństwa danych zgromadzonych w systemach informatycznych, wykorzystywanych do realizacji istotnych zadań publicznych. Procesy zapewnienia bezpieczeństwa informacji realizowane były w sposób chaotyczny i intuicyjny.
Jedyną instytucją, w której formalnie wdrożono System Zarządzania Bezpieczeństwem Informacji, była Kasa Rolniczego Ubezpieczenia Społecznego. W przeciwieństwie do innych skontrolowanych jednostek wprowadzono w KRUS-ie wszystkie procesy wymagane dla zapewnienia bezpieczeństwa danych, co było związane z działaniami podjętymi w celu uzyskania certyfikatu zarządzania jakością ISO 27001.
W pozostałych skontrolowanych jednostkach sytuacja była nieporównywalnie gorsza. Opierano się w nich wyłącznie na uproszczonych lub nieformalnych zasadach wynikających z dobrych praktyk lub dotychczas zdobytego doświadczenia pracowników działów IT. Doraźnie prowadzone działania nie zapewniały odpowiedniego, bezpiecznego i spójnego zarządzania bezpieczeństwem danych.
Kontrola wykazała w tym obszarze m.in.: brak planów zapewnienia bezpieczeństwa danych, niewdrożenie systemów zarządzania bezpieczeństwem informacji, brak niezbędnych opracowań analitycznych i procedur (w tym dotyczących incydentów, identyfikacji zadań, dystrybucji oprogramowania antywirusowego), ograniczony zakres nadzoru, testowania i monitorowania bezpieczeństwa.
„W dobie dynamicznego wzrostu zagrożeń, zapewnienie bezpieczeństwa systemów przetwarzających istotne dla funkcjonowania państwa dane nie może być oparte na podejmowanych ad hoc, ukierunkowanych jedynie na przezwyciężanie aktualnych trudności, chaotycznie zarządzanych działaniach” – wskazała NIK.
Zdaniem Izby, podmioty publiczne przetwarzające dane istotne dla funkcjonowania państwa powinny być objęte takimi samymi działaniami jak te, które w odpowiedzi na raport NIK podjęło Ministerstwo Cyfryzacji w zakresie budowy systemu ochrony polskiej cyberprzestrzeni.
„Konieczne jest opracowanie i wprowadzenie na szczeblu centralnym, ujednoliconych, obowiązujących wszystkie podmioty publiczne, generalnych zaleceń i wymagań dotyczących zapewnienia bezpieczeństwa systemów przetwarzających dane” – zaleciła Izba.
Co zostało zrobione w tym kierunku, przekonamy się niebawem. Oby najważniejsze polskie instytucje zaufania publicznego, jak urzędy centralne, ale też banki, nie musiały się opłacać cyberprzestępcom sowitymi okupami. Wszak pieniądze na ten cel będą pochodziły z kieszeni klientów.
Zdjęcia: fotokitas – stock.adobe.com