U podstaw problemu leży brak świadomości realności zagrożenia i jego skali. To z kolei powoduje, że jesteśmy skłonni do udostępniania informacji, które jeszcze kilkadziesiąt, a nawet kilkanaście lat temu uzyskać było niezwykle trudno. Czym to grozi? Z tych informacji i wiedzy na nasz temat może korzystać bardzo wiele osób dla własnych potrzeb.

Mogą to być nasi biznesowi partnerzy, ale też rywale. Znajomi, a także wrogowie. A także (choć to zagrożenie jest zdecydowanie najniebezpieczniejsze) przestępcy. Jak w takim razie chronić swoje dane, aby nie stać się ofiarą kradzieży tożsamości? Spróbujmy znaleźć właściwą odpowiedź na to pytanie…

Nie dać się złowić

W ostatnim czasie w kręgach specjalistów zajmujących się cyberbezpieczeństwem spore zamieszanie wywołała publikacja wyników badania „Jak Polacy chronią swoje dane osobowe?” przeprowadzonego przez Krajowy Rejestr Długów Biuro Informacji Gospodarczej oraz serwis ChronPESEL.pl. Wynikało z niego, że zaledwie 55 proc. Polaków boi się kradzieży tożsamości. To jeszcze nic. Praktycznie co trzeci badany nie był w stanie określić, czy właściwie chroni swoje dane osobowe. Co ciekawe, respondenci byli zgodni w jednej kwestii – jako największe zagrożenie wskazali działalność internetowych oszustów.

Sporo do myślenia daje fakt, że uczestnicy badania (aż 74,6 proc.) są przekonani, że złodzieje tożsamości wchodzą w posiadanie danych osobowych, przeważnie wyłudzając je z wykorzystaniem fałszywych stron logowania lub e-maili. Spora grupa (50,3 proc.) uważa także, że przestępcy mogą wejść w posiadanie danych osobowych poprzez fizyczny dostęp do dokumentów w postaci papierowej i plastikowej. Polacy obawiają się co prawda, że ich dane, gdy trafią w niepowołane ręce, mogą zostać wykorzystane do podrobienia kart płatniczych lub dokumentów, jednak grupa osób zaniepokojonych tym faktem to zaledwie 41 proc. badanych.

Spójrzmy zatem na fakty. Grupa przestępcza (rozbita w czerwcu tego roku) na podrabianiu i handlu fałszywymi dokumentami uzyskała niemal 3,5 mln zł. 

Statystyki dobitnie pokazują, że często lekceważymy kwestie związane z ochroną danych osobowych. Tymczasem zagrożenie jest całkiem realne. Nawet jeden zwykły, niezaszyfrowany e-mail wysłany wraz z całą listą adresatów może nieść ze sobą spore zagrożenie. Sprawdźmy więc, dlaczego warto chronić swoje dane i co może się stać, gdy wpadną one w niepowołane ręce.

Kto poluje na nasze dane?

Gdy myślimy o bezpieczeństwie w internecie i nagłaśnianych co jakiś czas przez media przypadkach kradzieży tożsamości oraz pozyskiwania danych osobowych, zapewne pierwszą grupą agresorów, która przychodzi nam do głowy, są hakerzy. Choć przez lata wokół tej grupy narosło wiele mitów, zgodnie z relacją zawartą w autobiografii Kevina Mitnicka (jednego z najsłynniejszych hakerów na świecie) całemu środowisku, dokonującemu spektakularnych włamań i ataków na systemy operacyjne, komputery lub strony internetowe, początkowo chodziło głównie o zabawę i swojego rodzaju wyzwanie. Hakerzy sprawdzali się nawzajem, wyznaczając sobie coraz trudniejsze cele. Z pozoru niewinna, a niekiedy również prostacka zabawa ewoluowała. Praktycznie nieograniczone możliwości działania sprawiły, że w pierwszej kolejności cyberprzestępcy wykorzystywali swoje umiejętności w celu osiągniecia korzyści majątkowych. Szybko jednak okazało się, że informacje przechowywane na komputerach oraz publikowane w internecie są łakomym kąskiem dla wszelkiej maści przestępców, szpiegów, specjalistów zajmujących się tzw. wywiadem gospodarczym, a nawet przedstawicieli rządów, partii politycznych, reklamy i marketingu. Nie bez znaczenia pozostaje również fakt, że coraz częściej dane te oraz usługi cyberprzestępców zaczęto wykorzystywać również w kampaniach politycznych. Wiedza, którą do tej pory trzeba było gromadzić godzinami, a nawet miesiącami, w przypadku internetu i komputerów kryła się dosłownie za kilkoma kliknięciami. Odpowiednio użyta mogła wpłynąć pozytywnie na czyjąś karierę, rozwój firmy, wizerunek lub wręcz przeciwnie – mogła się stać podstawą tzw. czarnego PR. Nic więc dziwnego, że zaczęto rozważać zastosowanie tych wszystkich umiejętności i mechanizmów w handlu, gospodarce, a także w sferze militarnej.

Co ciekawe, kwestia prywatności i ochrony danych osobowych trafiła na czołówki mediów na całym świecie już w 2013 roku za sprawą Edwarda Snowdena, który za pośrednictwem platformy WikiLeaks ujawnił istnienie programu PRISM, mogącego zbierać dane na temat użytkowników internetowych gigantów. Następnie ujawnił istnienie systemu XKeyscore, który w swoim założeniu zapewnia dostęp do niemal wszystkiego, co typowy użytkownik robi w internecie, i pozwala penetrować bazy danych, na których z kolei zgromadzone są informacje na temat tego, co dzieje się w sieci w wymiarze globalnym. Dzięki temu w prosty sposób można odnaleźć adresy e-mailowe, ściągnięte z internetu pliki, a nawet numery telefonów i treści rozmów z internetowych czatów.

Wydawać by się mogło, że po ujawnieniu informacji na ten temat w sferze ochrony prywatności nastąpi istne trzęsienie ziemi. Nic bardziej mylnego. Okazało się bowiem, że problemem jest nie tylko możliwość inwigilacji użytkowników internetu, lecz przede wszystkim lekceważenie przez nich tego zagrożenia. W debacie publicznej powtarzano wciąż jeden argument: „To mnie nie dotyczy, bo nie mam nic do ukrycia”.

Tymczasem coraz częściej to właśnie sami użytkownicy – świadomie lub nieświadomie – ujawniają w sieci coraz więcej informacji na swój temat. Czym grozi tego typu wirtualny ekshibicjonizm i gdzie leży granica pomiędzy rozrywką a bezpieczeństwem? Odpowiedź na te pytania jest kluczem do świadomego funkcjonowania w cyberprzestrzeni i budowania świadomego społeczeństwa informacyjnego, o wiele bardziej odpornego na zagrożenia płynące z cyberprzestrzeni.

Możliwość komunikacji ważniejsza od prywatności

Okazuje się jednak, że problem jest znacznie bardziej złożony, niż początkowo mogłoby się wydawać. Dość łatwo dostępne są informacje na temat dochodów, wykształcenia, pochodzenia etnicznego, a nawet liczby dzieci. Gdy dodamy do tego dane pochodzące z mediów społecznościowych i możliwość analizowania ich pod kątem kluczowych słów, okazuje się, że informacji na temat statystycznego Kowalskiego jest już całkiem sporo. A to jeszcze nie wszystko. Są to jedynie dane, po które możemy sięgnąć z ogólnodostępnych źródeł. Do tego dochodzą jeszcze dane, które można kupić z obszernych baz. Są to najczęściej informacje na temat konsumentów zbierane w różnego rodzaju ankietach i programach lojalnościowych. Znaleźć tam można m.in. imiona i nazwiska, dane teleadresowe, historię zakupów, a nawet informacje o zadłużeniu i hipotece.

Problem ten w grudniu 2019 roku analizowali uczestnicy debaty „Władza algorytmów. Nasze cyfrowe portrety, które rządzą światem”. Zwracano wówczas uwagę na fakt, że żyjemy w czasach internetu, a każda informacja, którą pozostawiamy w sieci, każde słowo, ruch, śledzone są przez miliony algorytmów, które tworzą nasz cyfrowy portret i w następstwie decydują o tym, co widzimy, z kim się komunikujemy, co czytamy i jakie decyzje podejmujemy.

Z kolei założyciel Facebooka Mark Zuckerberg oświadczył, że nasza prywatność nie jest już dłużej normą społeczną, ponieważ dowodzą tego jednoznacznie zachowania użytkowników Facebooka, którzy od ochrony swojej prywatności cenią znacznie bardziej możliwość komunikacji i wymiany informacji.

Oczywiste jest, że postęp technologiczny stanowi poważne wyzwanie dla prawników zajmujących się kwestiami ochrony danych osobowych. Ich głównym zadaniem jest opracowywanie przepisów, które będą na swój sposób ponadczasowe i aktualne nawet w obliczu rozwoju nowych technologii, służących do przetwarzania danych. Taki pogląd wyraził dr Maciej Kawecki, koordynator prac nad reformą ochrony danych osobowych. – Odpowiadając za wdrożenie RODO do polskiego porządku prawnego, jednym z największych wyzwań było dla mnie stworzenie norm prawnych, które nie będą dezaktualizowały się wraz z rozwojem technologicznym. Największym wyzwaniem jest analityka danych oparta o algorytmy, które dzisiaj kreują naszą wirtualną rzeczywistość. To właśnie algorytmy decydują o tym, że wpisując w wyszukiwarce internetowej określone hasło, inne wyniki wyszukiwania zobaczy Polak, a inne Amerykanin. To algorytmy decydują o tym, do jakiej grupy odbiorców trafi post, który udostępniamy na Facebooku – mówił w trakcie debaty „Władza algorytmów. Nasze cyfrowe portrety, które rządzą światem”.

Nie da się ukryć, że w kwestii ochrony danych osobowych podstawową formą zabezpieczenia swojej tożsamości przed kradzieżą i oszustwem jest świadomość zagrożenia i wiedza na temat tego, jak długi cyfrowy ślad ciągnie się za nami w internecie.

Sposoby wyłudzania danych. Na co należy uważać?

W kwestii próby podnoszenia bezpieczeństwa danych osobowych kluczowe jest przyjęcie za pewnik faktu, że cyberprzestępcy sięgają po najnowocześniejsze metody. Nie oznacza to jednak, że sposoby na wyłudzanie danych i kradzież tożsamości stosowane lata temu wyszły z mody. Duże znaczenie dalej mają te oparte na socjotechnice. Kevin Mitnick przyznaje otwarcie: „łamałem ludzi – nie hasła”. W dzisiejszych czasach ten i tak spory arsenał możliwości powiększył się o masową analizę danych (Big data), dokonywaną z pomocą sztucznej inteligencji, która z powodzeniem wkracza w kluczowe dziedziny i branże, począwszy od fizyki i ekonomii, a na medycynie i psychologii skończywszy. To właśnie dzięki Big data informacje na temat poszczególnych użytkowników można przeanalizować z niezwykłą precyzją.

Przyjrzyjmy się zatem najgroźniejszym technikom stosowanym przez cyberprzestępców w celu wyłudzenia danych:

Phishing – oszustwo to polega na tym, że przestępca w wiarygodny sposób podszywa się pod inną osobę lub instytucję i w ten sposób dąży do wyłudzenia poufnych informacji, zainfekowania komputera szkodliwym oprogramowaniem lub nakłonienia ofiary do określonych działań. Spora część ataków phishingowych rozpowszechniana jest za pośrednictwem e-maili oraz mediów społecznościowych. Zdarzają się jednak „tradycyjne” próby ataku za pośrednictwem telefonu. Szczególnym rodzajem phishingu jest ten zorientowany głównie na sektor bankowości. Jego celem jest wówczas pozyskanie danych z karty kredytowej lub płatniczej. Fałszywe wiadomości często rozsyłane są rzekomo w imieniu banku lub systemu płatności. Dla wzmocnienia ataku w temacie wiadomości często pojawia się zagrożenie zablokowania konta lub informacja o „podejrzanej aktywności wykrytej na koncie osobistym potencjalnej ofiary. Użytkownik pod pretekstem przywrócenia dostępu do konta lub karty proszony jest o potwierdzenie tożsamości lub anulowanie transakcji. Po przeniesieniu na fałszywą stronę imitującą stronę banku ofiara ataku proszona jest o wprowadzenie szczegółowych danych z karty wraz z numerem CVV/CVC. Użytkownik jest przekonany, że loguje się na konto, tymczasem przekazuje pełne dane dostępowe do niego przestępcom.

Whaling – mechanizm ataków tego typu jest zbliżony do phishingu, jednak w tym przypadku inny jest cel – mówiąc kolokwialnie „grube ryby” (dlatego w odróżnieniu od zwykłego „łowienia” używa się angielskiej formy whaling – wielorybnictwo). Przestępcy w pełni świadomie atakują przedstawicieli kierownictwa wyższego szczebla w dużych firmach lub starannie wyselekcjonowane cele ze świata szeroko pojętego biznesu. W tym przypadku fałszywa strona internetowa lub e-mail uwzględnia również informację na temat stanowiska ofiary w firmie. Warto mieć na uwadze, że treść e-maili bardzo często łudząco przypomina pisma pochodzące z kancelarii prawnych lub państwowych urzędów. W wiadomości tego typu może pojawić się link lub załącznik w postaci złośliwego oprogramowania, z informacją o konieczności instalacji dodatkowego oprogramowania lub nakładki w celu uzyskania dostępu do ważnego dokumentu.

Pharming – jedna z najbardziej niebezpiecznych form phishingu i jednocześnie niezwykle trudna do wykrycia. Cechą szczególną tego typu ataku jest to, że nawet po wpisaniu prawidłowego adresu strony www ofiara może zostać przekierowana na fałszywą (do złudzenia przypominającą oryginał) stronę. Celem pharmingu jest przede wszystkim pozyskanie informacji i przejęcie wpisywanych przez użytkownika do zaufanych witryn haseł, numerów kart kredytowych oraz poufnych danych.

Oszustwa w mediach społecznościowych – są to przeważnie ataki polegające na włamaniu na konto Facebooka, Twittera lub Instagrama, a następnie rozsyłanie w imieniu właściciela profilu informacji do znajomych. Często w treści takiej wiadomości pojawia się prośba o przesłanie jakiejś kwoty na podane konto. Podając się za znajomego i pisząc z jego konta, przestępcy tłumaczą na przykład, że zostali oszukani za granicą i nie mają pieniędzy na powrót do kraju. Ta forma oszustwa okazuje się niezwykle skuteczna, ponieważ wiele osób faktycznie myśli, że pomaga swojemu przyjacielowi w potrzebie. Aby nie zostać ofiarą tego typu przekrętu, warto zaopatrzyć się w silne hasła, programy antywirusowe i antyszpiegowskie, a także – a może przede wszystkim przed przesłaniem jakiejkolwiek sumy pieniędzy podjąć próbę kontaktu ze znajomym, chociażby w formie telefonicznej, w celu potwierdzenia autentyczności całej historii.

Oszustwo na „nigeryjskiego księcia” – jedna z najstarszych form internetowego spamu. Często wiąże się z rozsyłaną e-mailem obietnicą szybkiego wzbogacenia się. Osoba podająca się za krewnego lub prawnika pełniącego funkcję pełnomocnika zmarłego milionera obiecuje ofierze nagrodę w zamian za pomoc w wypłaceniu pieniędzy z kont w różnych bankach. Aby uzyskać upoważnienie do wypłaty fortuny, należy wcześniej podać dane na swój temat, m.in. dotyczące numeru dowodu lub paszportu, dane do konta itp. Przypieczętowaniem umowy ma być także wpłata niewielkiej kwoty w celu pokrycia „formalności” na wskazany w e-mailu numer konta. Choć oszustwo tego typu może wydawać się śmieszne, na całym świecie jego ofiarą padły już setki tysięcy osób.

Kradzież tożsamości – cyberprzestępcy wykorzystują dane osobowe takie jak numer PESEL, dane do konta bankowego, numer karty kredytowej, a następnie podają się za inną osobę. Dzięki pozyskanym wcześniej autentycznym danym mogą bez trudu przejść proces weryfikacji i otworzyć rachunek bankowy, a częściej kupić coś na raty lub wziąć pożyczkę. Zdarzały się nawet przypadki kradzieży tożsamości w celu wyłudzenia zwrotu podatku lub całkowitego wyczyszczenia rachunku bankowego ofiary.

Skimming – przestępstwo polegające na skopiowaniu zawartości paska magnetycznego karty płatniczej bez wiedzy jej posiadacza w celu wytworzenia kopii i wykonywania nieuprawnionych płatności za towary i usługi lub wypłat z bankomatów. Aktualnie skimming wymierzony jest także w karty chipowe z układami niechronionej klasy SDA, a także takie z układami klasy DDA, uchodzącymi za bezpieczniejsze Rozróżnia się dwa rodzaje: skimming w placówce handlowej oraz skimming bankomatowy.

Ponieważ skopiowana karta w elektronicznych systemach bankowych zachowuje się jak oryginał, do chwili jej zastrzeżenia przez ofiarę wszystkie operacje wykonane za jej pomocą odbywają się kosztem posiadacza oryginalnej karty i obciążają jego rachunek.

Na celowniku cyberprzestępców

Można powiedzieć, że kluczem do cyberbezpieczeństwa jesteśmy my sami. W tym kontekście każdy użytkownik internetu narażony jest na potencjalne ryzyko utraty danych osobowych czy kradzież tożsamości. Są jednak grupy znajdujące się w szczególnym niebezpieczeństwie. Do tego grona można zaliczyć celebrytów, osoby na eksponowanych stanowiskach i dobrze zarabiające. Szczególnie narażona na utratę wrażliwych danych i ataki hakerów jest kadra zarządzająca przedsiębiorstw. Dlaczego akurat te osoby brane są na celownik przestępców i oszustów? Przede wszystkim dlatego, że skutecznie przeprowadzony atak na pracownika wyższego szczebla znacznie podnosi prawdopodobieństwo powodzenia w wyłudzeniu pieniędzy, a ponadto można pozyskać cenniejsze dane. Innym, dość przyziemnym powodem jest to, że niejednokrotnie w całym przedsiębiorstwie najłatwiej jest zhakować właśnie członków zarządu, a nie zwykłych pracowników. Jaka jest tego przyczyna? Przestępcy działają dość metodycznie, a pracownicy wyższego szczebla z racji na obowiązki służbowe często podróżują, niejednokrotnie korzystając z wielu punktów dostępu do internetu (niekiedy nawet publicznego lub hotelowego Wi-Fi) o różnej skali zabezpieczeń. Ponadto zdarza się im także częste korzystanie z jednego urządzenia zarówno do załatwiania spraw służbowych, jak i prywatnych. Otwiera to hakerom, przestępcom i oszustom boczną furtkę.

Kolejną grupę osób zagrożonych próbą wyłudzenia danych stanowią ludzie starsi, w przypadku których przestępcy wykorzystują ich potencjalną niewiedzę lub ewentualne braki w kwestii podążania za najnowszymi technologiami. 

Szczególnie intrygujące jest jednak to, że w ostatnim czasie rośnie także skala przestępstw wymierzonych w grupę aktywnych użytkowników mediów społecznościowych z młodszego pokolenia, określanych coraz częściej dość dosadnie jako „insta-idioci”. Do tej grupy zaliczają się najczęściej osoby w wieku 16–25 lat, które w mediach społecznościowych po prostu chwalą się drogimi ubraniami, biżuterią, samochodami i technologicznymi gadżetami. Doskonałym przykładem obrazującym skalę zagrożenia jest choćby wzrost statystyk dotyczących włamań i kradzieży, do których dochodzi, ponieważ złodzieje uważnie obserwują swoje ofiary w mediach społecznościowych i szacują bardzo dokładnie wartość każdego skoku. Co więcej, są w stanie bez konieczności prowadzenia wielogodzinnej obserwacji obiektu upewnić się, że samochód, mieszkanie czy biuro jest puste, bo przebywające tam osoby właśnie oznaczyły w mediach społecznościowych, że jedzą obiad w restauracji kilka-kilkanaście kilometrów dalej.

Powszechność dostępu do internetu, nowych technologii i mediów społecznościowych sprawiają, że tego typu informacjami błyskawicznie zainteresował się także cały świat przestępczy. Nie oznacza to może, że każdy złodziej to groźny haker, ale dziś nie trzeba nawet być hakerem, żeby poznawać sekrety i wykradać dane na temat wybranego celu. Wystarczy jedynie uważnie obserwować i... sprawdzać status na Facebooku, Instagramie itd.

Oczywiście podobne efekty można uzyskać poprzez klasyczną obserwację, jednak to właśnie nowe technologie dają możliwość skrócenia całego procesu do kilku, maksymalnie kilkunastu minut, zamiast kilku-kilkunastu dni żmudnej obserwacji obiektu lub ofiary. Jak można temu zapobiec? Jedną z ciekawszych metod radzenia sobie z problemem tego typu obserwacji jest zamieszczanie zdjęć i relacji z wyjazdów dopiero po powrocie i w miarę możliwości nieoznaczanie swojej lokalizacji w mediach społecznościowych. 

– Wielu użytkowników internetu pytanych o kwestię danych i ryzyko kradzieży tożsamości twierdzi: „nie mam nic do ukrycia”. Tymczasem powinniśmy mieć świadomość, że każda informacja, którą pozostawiamy w sieci, każdy wpis w mediach społecznościowych, zdjęcie wstawione na Facebooka, Instagram lub Twitter, zawierają masę danych m.in. na temat tego, gdzie się w danej chwili znajdujemy, i są śledzone przez całą dobę przez miliony algorytmów. To właśnie one odpowiadają za opracowanie naszego cyfrowego portretu i wnikliwą analizę behawioralną. Nie byłoby to możliwe, gdyby nie cyfrowy ślad, który zostawiamy za sobą w internecie. Jest to o tyle groźne zjawisko, że na tej podstawie algorytmy zaczynają w pewnym momencie decydować o tym, jakie wyniki wyszukiwania wyświetlą nam się w przeglądarce, co będziemy mogli przeczytać, obejrzeć itd. Zanim podejmiemy jakąś decyzję, jesteśmy odpowiednio prześwietlani, a następnie ukierunkowywani przez tysiące algorytmów. Z doświadczenia wiem, że kwestia zbierania, a coraz częściej także wyłudzania danych osobowych i ich wykorzystywania dotyczy dzisiaj każdego, kto korzysta z telefonu czy komputera i ma konta w mediach społecznościowych. Przykładów nie trzeba wcale daleko szukać. Przecież my sami bardzo często świadomie, a często nawet nieświadomie zgadzamy się na ich wykorzystywanie, nie mając do końca pewności, do czego mogą zostać wykorzystane oraz kto ostatecznie uzyska do nich dostęp

– mówi Maciej Karczyński, były rzecznik Agencji Bezpieczeństwa Wewnętrznego. 

Kradzież danych – realne konsekwencje

Ustawa o dokumentach publicznych, zakazująca m.in. handlu fałszywymi dokumentami, takimi jak dowód osobisty lub prawo jazdy, miała stanowić remedium na nielegalny proceder sprzedaży fałszywych dokumentów tożsamości w formie „dokumentów kolekcjonerskich”. Tymczasem w internecie bez trudu można znaleźć oferty sprzedaży „repliki” dowodu. Tak pozyskana tożsamość najczęściej służy do próby wyłudzenia pieniędzy lub zaciągnięcia pożyczki. Warto jednak zwrócić uwagę, że skala problemu wyłudzania danych nasiliła się znacząco wraz z pandemią koronawirusa. Wówczas oszuści zaczęli wykorzystywać wprowadzenie stanu epidemii na terenie całego kraju i podszywać się pod pracowników państwowych instytucji. W ostatnich miesiącach głośno było o przypadku wyłudzenia numeru PESEL, serii oraz numeru dowodu osobistego, a także danych teleadresowych przez osobę podającą się za pracownika sanepidu. Powód? Weryfikacja do odbycia kwarantanny. W tym przypadku ofiara została poinformowana, że przez najbliższe dni ma nie wychodzić z domu i oczekiwać na przybycie pogotowia ratunkowego. Dni mijały, a pogotowie nie przyjeżdżało. Próbując wyjaśnić całą sytuację, po kontakcie z sanepidem okazało się, że żadnej interwencji wobec tej osoby nie było w planach. W tym czasie pozyskane przez oszustów dane zostały użyte do wyłudzenia pieniędzy.

Z najnowszego raportu rocznego (Krajobraz bezpieczeństwa polskiego Internetu 2019) CERT Polska, opublikowanego w lipcu 2020 roku, wynika, że to właśnie wspomniany już phishing i różne jego odmiany są najczęstszą formą cyberataku. Zjawisko to stanowi blisko 54 proc. wszystkich incydentów.

Przestępcy bardzo często wybierają jako moment ataku sezony urlopowe i okresy świąteczne. Wówczas istnieje większe prawdopodobieństwo uśpienia czujności wytypowanej ofiary i pozostałych pracowników firmy. Wykorzystując obserwację w mediach społecznościowych, oszuści i przestępcy są w stanie podszyć się pod pracownika i podając mnóstwo informacji, uwiarygodnić się w oczach szefa lub „kolegów” i „koleżanek” z pracy, aby dzięki temu wyłudzić na przykład dostęp do firmowego systemu lub poufnych danych.

W przypadku tego typu ataku można nakreślić pewną prawidłowość. Cała akcja z reguły zaczyna się od wiadomości e-mail imitującej komunikację przebywającego na urlopie członka kadry kierowniczej z pilną prośbą o przesłanie lub przypomnienie danych dostępu do bankowości mobilnej lub elektronicznej i firmowej karty kredytowej Często zamiast e-maila przestępcy decydują się na rozmowę telefoniczną. Bezpośredni kontakt głosowy pozwala sprawniej manipulować rozmówcą z wykorzystaniem socjotechniki i dodatkowo usypia czujność – w końcu dzwoni przełożony. Niekiedy dla spotęgowania efektu łączy się obie formy kontaktu e-mail oraz następujący po nim telefon.

No dobrze, ale skąd – poza mediami społecznościowymi – pozyskują informacje i dane na temat swoich ofiar? Wykorzystanie sezonu urlopowego odgrywa tu kluczowe znaczenie. Istnieje wówczas największa szansa na wyśledzenie połączenia z kiepsko zabezpieczoną siecią publiczną, taką jak Wi-Fi w hotelu lub hot-spoty w kurortach wypoczynkowych. Włamanie w jedno z takich miejsc to istna kopalnia danych. Z tego właśnie względu zaleca się, aby ograniczyć do niezbędnego minimum korzystanie z takich punktów dostępu do internetu, a jeżeli zajdzie już taka konieczność, należy po prostu nie logować się do służbowej poczty, a przede wszystkim bankowości elektronicznej.

Jeszcze innym problemem jest korzystanie w trakcie urlopu lub delegacji z prywatnego, a nie służbowego sprzętu. Często są one słabiej zabezpieczone, przez co ułatwiają atak. Co ciekawe, hakerom nie trzeba nawet dostępu do samego urządzenia. Wystarczy im przejęcie danych logowania do mediów społecznościowych. Wykorzystując tego typu komunikator, z powodzeniem będą mogli przeprowadzić atak phishingowy.

Na realne konsekwencje wirtualnych zagrożeń zwraca uwagę Mateusz Kalbarczyk, dziennikarz specjalizujący się w technikach wywiadowczych. Relacjonuje on historię początkującej influencerki, która wychodząc na imprezę, chwaliła się w internecie zdjęciem modnej torebki. W tym przypadku fotografia oraz oznaczenie lokalizacji w mediach społecznościowych znacznie ułatwiło przestępcy włamanie.

Napisała, że to niezwykle funkcjonalna rzecz – mieści puder, klucze do mieszkania oraz że można spokojnie wepchnąć ją do rękawa kurtki i zostawić w szatni. W kolejnym poście oznaczyła się w jednym ze stołecznych klubów. W ciągu czterdziestu minut w lokalu pojawił się mężczyzna, który bez trudu odnalazł kurtkę dziewczyny, wyjął z rękawa torebkę i wydobył klucz do mieszkania. Zaledwie jedno zdjęcie wystarczyło, by średniej klasy ślusarz wykonał dokładny odlew. Po kilku dniach, gdy dziewczyna w kolejnym poście oznaczyła swoją lokalizację, chwaląc się wizytą na siłowni, ten sam mężczyzna otworzył drzwi do jej pustego mieszkania. Bez problemu odnalazł drogocenną biżuterię, którą influencerka często pokazywała na zdjęciach. Ze zdjęć znał dokładnie rozkład pomieszczeń. Po dwóch minutach wyszedł i nawet zamknął za sobą drzwi.

Ekspert podkreśla, jak ważna jest kwestia ochrony danych osobowych i radzi, aby zwracać szczególną uwagę na otoczenie, gdy nagrywamy film lub robimy zdjęcie, które następnie publikujemy w internecie.

– Ustawiajmy się tak, by nie zdradzać topografii mieszkania. Nie pokazujmy, jak wyglądają od środka nasze drzwi i okna oraz… gdzie rozmieszczone są czujki alarmu. Jeden film i jedno zdjęcie może nam nie zaszkodzą, ale regularnie publikowane mogą być brzemienne w skutkach. Generalnie warto zwracać uwagę na drugi plan. Sprawdźmy, czy w kadrze nie mamy np. fragmentu ważnej umowy lub karty kredytowej

– wyjaśnia Kalbarczyk.

Z ekonomicznego punktu widzenia kary za nieprzestrzeganie zapisów RODO są niezwykle surowe. W uzasadnionych przypadkach mogą sięgać nawet do 20 mln euro lub 4 proc. całkowitego rocznego światowego obrotu firmy z poprzedniego roku. Nie trzeba chyba nikogo przekonywać, że w kontekście globalnych korporacji w grę wchodzą niewyobrażalne wręcz sumy. Tego typu polityka egzekwowania zapisów RODO ma na celu zwiększenie motywacji poszczególnych podmiotów do poprawy bezpieczeństwa danych osobowych.

Choć w ostatnim czasie coraz więcej mówi się na temat ochrony danych osobowych, z najnowszego raportu PrivacyAffairs wynika się, że przepisy RODO są dość często łamane. W zestawieniu kar znajdziemy praktycznie wszystkie kraje Unii Europejskiej. 

– W Polsce odnotowano osiem przypadków ukarania organizacji za naruszenie RODO. Najwyższą karę – 644 tys. euro – przyszło zapłacić firmie Morele Net, zaś najniższą w wysokości 4,6 tys. euro ukarano spółkę Vis Consulting. Jak widać, Urząd Ochrony Danych Osobowych działa dość ostrożnie i nie szafuje karami. Niemniej samo upublicznianie informacji o dotkliwych karach działa na wyobraźnię przedsiębiorców i zachęca ich do inwestycji w narzędzia bezpieczeństwa

– tłumaczy Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.

W raporcie znalazło się też zestawienie zawierające najwyższe kary nałożone na osoby fizyczne. Jak się okazuje, najwięcej (20 tys. euro ) musiał zapłacić hiszpański przedsiębiorca za niezgodny z prawem nadzór wideo pracowników. Natomiast mieszkaniec Niemiec wysłał wiadomość do kilku odbiorców, nie ukrywając ich adresów e-mail.

Ta niefrasobliwość kosztowała go 2,5 tys. euro.

Przedstawione powyżej historie dowodzą, jak duże znaczenie mają nasze dane. Jednak już od 25 maja 2018 roku nie jesteśmy w kwestii ochrony danych tak bezbronni, jak mogłoby się wydawać. To właśnie od tego dnia obowiązują przepisy RODO, stanowiąc niezbity dowód na kierunek zmian zachodzących w podejściu do kwestii ochrony prywatności w całej Unii Europejskiej. Kluczowym aspektem wprowadzenia przepisów RODO jest powiązanie danych osobowych z fundamentalnymi prawami obywatelskimi. Na tej właśnie zasadzie przetwarzanie wrażliwych danych może się obywać w ściśle określonych ramach prawa. Należy podkreślić, że wszelkie próby przetwarzania danych osobowych wymagają uzyskania zgody od osób zainteresowanych. Wyjątek stanowi sytuacja, w której na przetwarzanie danych bez uprzedniej zgody zezwala prawo – taki stan rzeczy ma miejsce choćby w przypadku przeciwdziałania terroryzmowi i walki z przestępczością zorganizowaną.

W kontekście RODO bardzo ważnym aspektem jest konieczność pełniejszej niż dotychczas informacji dla wszystkich, których dane są przetwarzane. Poza realnym wpływem na możliwość przetwarzania danych i cały ten proces obywatele UE mogą także domagać się całkowitego zaprzestania przetwarzania danych na swój temat, co określane jest mianem „prawa do bycia zapomnianym”. Bardzo ważna jest świadomość, że mamy prawo zażądać od administratora danych odpowiedzialnego za ich przetwarzanie ich całkowitego usunięcia. Na tym jednak możliwości się nie kończą. Zgodnie z zapisami RODO można bowiem domagać się, aby administrator wystąpił do innych podmiotów, którym nasze dane zdążył udostępnić, z wnioskiem o usunięcie wszelkich łączy do danych lub ich kopii, jeśli takie zostały utworzone.

Należy mieć jednak świadomość, że nie zawsze reguła ta będzie równie skuteczna. Np. gdy przetwarzanie danych osobowych nakazane jest przepisami prawa lub gdy podmiot, który je przetwarza, ma prawo do ustalenia, dochodzenia lub obrony swoich roszczeń z naszej strony, a bez dostępu do danych nie może tego uczynić.

W kwestii przetwarzania danych osobowych warto zwrócić jeszcze uwagę na proces zwany profilowaniem. Jest to zautomatyzowana procedura gromadzenia danych, opisywana już w tym artykule szerzej w kontekście funkcjonowania i możliwości algorytmów. W odniesieniu do zapisów RODO i realnych ich skutków dla obywateli UE należy podkreślić, że każdy przypadek wykorzystania profilowania wymaga przynajmniej poinformowania osoby zainteresowanej o stosowaniu tego mechanizmu, a niekiedy nawet także w tym przypadku wymagana jest zgoda samych zainteresowanych. Chodzi o to, że przy wykorzystaniu algorytmów i profilowania możemy np. otrzymywać odpowiednio dobrane treści marketingowe i reklamy, lecz także na podstawie tych przesłanek algorytm może podejmować decyzje implikujące skutki formalnoprawne, jak np. ocena zdolności kredytowej. Zgoda w tym aspekcie nie jest wymagana jedynie wtedy, gdy proces profilowania wynika bezpośrednio z obowiązków podyktowanych przepisami prawa lub też jest niezbędny przy zawieraniu i wykonywaniu umów.

Przedstawione powyżej przypadki to tylko przykładowe skutki oddziaływania RODO.

Wprowadzenie rozporządzenia o ochronie danych osobowych bez wątpienia stanowi kamień milowy w kwestii podnoszenia poziomu bezpieczeństwa użytkowników w internecie. Należy jednak zwrócić uwagę na fakt, że przestępcy nie stosują się do spisanych w ramach RODO zasad. Oznacza to, że za bezpieczeństwo naszych danych w dużym stopniu odpowiedzialni jesteśmy my sami. Z tego właśnie względu tak ważne jest obalenie mitu o nieszkodliwości danych osobowych i tym, że „nie mamy nic do ukrycia”. Dla nas może to być tylko jedno zdjęcie lub wpis w mediach społecznościowych, lecz dla przestępców jest to najcenniejsze źródło informacji. Przecież nie rozpowiadamy wszystkim dookoła, jaki mamy PIN do karty, adres lub numer PESEL – dlaczego zatem tak łatwo przychodzi nam udostępnianie wrażliwych danych na swój temat w internecie? Warto zadać sobie to pytanie i choć przez chwilę się nad tym zastanowić.   

Informacje o autorze:
Medioznawca, ekspert ds. cyberbezpieczeństwa. Redaktor naczelny serwisu FilaryBiznesu.pl.
Adiunkt w Instytucie Edukacji Medialnej i Dziennikarstwa Uniwersytetu Kardynała Stefana Wyszyńskiego w Warszawie. Ekspert Instytutu Staszica. Autor pierwszej w Polsce książki o cyberwojnie „Cyberwojna. Wojna bez amunicji?”. Pola zainteresowań/badań naukowych: internet, cyberbezpieczeństwo, cyberwojna i cyberterroryzm, komunikacja cyfrowa, konwergencja mediów, wpływ nowoczesnych technologii na komunikację społeczną.

Czym jest RODO?

Ogólne rozporządzenie o ochronie danych, inaczej rozporządzenie o ochronie danych osobowych, RODO – rozporządzenie unijne obowiązujące od 25 maja 2018 roku, zawierające przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych.

Fakty o RODO
1. 
Twoje dane osobowe mogą być przetwarzane tylko w zakresie, czasie i celu jasno określonym w chwili pozyskiwania zgody.
2. 
Twoje dane nie mogą zostać przekazane bez zgody poza obszar UE. Kraj, do którego mają trafić dane, musi gwarantować odpowiednio wysoki poziom ich ochrony. 
3. 
Masz prawo do „bycia zapomnianym”. Możesz domagać się zaprzestania przetwarzania danych na Twój temat, a także żądać ich usunięcia z baz danych. Możesz także wymagać przeniesienia danych do innego administratora – czyli podmiotu, który nasze dane przetwarza i za cały ten proces odpowiada. 
4. 
Gdy nie chcesz, aby Twoje dane były przetwarzane, możesz powoływać się bezpośrednio właśnie na zapisy RODO.
5. 
W przypadku profilowania i wykorzystania Twoich danych przez algorytmy wymagana jest Twoja zgoda na stosowanie tego typu praktyki, gdy profilowanie wywołuje skutki prawne lub może istotnie wpłynąć na Twoją sytuację.

Kary za naruszenia ochrony danych w ramach RODO

Państwa, w których nałożono najwyższe kary:
Francja: 51,100,000 euro
Włochy: 39,452,000 euro
Niemcy: 26,492,925 euro
Austria: 18,070,100 euro
Szwecja: 7,085,430 euro
Hiszpania: 3,306,771 euro
Bułgaria: 3,238,850 euro
Niderlandy: 3,490,000 euro
Polska: 1,162,648 euro
Państwa z największą liczbą naruszeń:
Hiszpania: 99
Węgry: 32
Rumunia: 29
Niemcy: 28
Bułgaria: 21
Czechy: 13
Belgia: 12
Włochy: 11
Polska: 8

Jak chronić swoje dane?

  • Łącz się z internetem wyłącznie za pośrednictwem sprawdzonych sieci (uwaga na publiczne Wi-Fi)

  • Uważnie czytaj informacje od banku (na oficjalnej stronie)

  • W przypadku firm rozważ dwuosobową weryfikację przelewów

  • Stosuj zasadę ograniczonego zaufania do korespondencji elektronicznej. Sprawdzaj prawdziwość e-maila z banku, urzędu lub administracji.

  • Zwracaj uwagę na adresy stron logowania na konto bankowe. Jedna zmieniona litera w adresie strony może drogo kosztować. 

  • Sprawdzaj szyfrowanie strony (szczegółowe informacje na temat szyfrowania i użytego certyfikatu uzyskamy, klikając w ikonę kłódki obok adresu strony w przeglądarce internetowej).

  • Uwaga na phishing. Najbardziej perfidna forma to… ostrzeżenie o phishingu z prośbą o podanie hasła do konta. Pamiętaj, że banki nigdy nie żądają podania przez osobę hasła do konta – jedynie przy autoryzacji transakcji.

  • Ogranicz dzielenie się szczegółami osobistymi w sieci.

  • Gdy wyciekły dane widniejące np. na dowodzie osobistym lub karcie kredytowej, zastrzeż dokument. Najprostszym sposobem jest połączenie się z infolinią swojego banku i zastrzeżenie karty zgodnie z procedurą przewidzianą przez daną instytucję. Możesz też założyć konto w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej.

 

Zachęcamy do wypełnienia ankiety ewaluacyjnej dostępnej >TUTAJ<