Był rok 2000 kiedy pracując jako Dyrektor handlowy w pewnej niemieckiej korporacji, zadzwonił do mnie telefon. Po drugiej stronie rozpoznałem głos byłego pracodawcy, który głosem wyrażającym najwyższą wściekłość cedził: „Byłeś u naszego klienta i śmiałeś oferować swoje rozwiązania? To nasz Klient! Masz dziecko? Uważaj, by mu się nic nie stało” – po czym rozłączył się. Mój synek miał wtedy niecałe 8 lat. Pamiętam to, jakby wydarzyło się to wczoraj. I chociaż od tego czasu dzieli mnie 19 lat, to wydarzenie miało na mnie ogromny wpływ. Zrozumiałem, że każdy kto pracuje, prowadzi biznes, odpowiada za jakąś część gospodarki, wcześniej czy później znajdzie się w sytuacji dramatycznej – będzie musiał dokonać wyboru – czy będzie dalej robił swoje narażając się czasami na nieprzyjemności czy będzie wycofywał się wtedy, kiedy napotka na problem, zagrożenie lub kryzys.
Historia, jaką opowiadam Państwu na początku serii moich artykułów zakończyła się dobrze dla mojego synka i dla mnie, natomiast źle skończyła się dla osoby, która mi groziła. Może kiedyś zdecyduję się opisać o kogo chodziło, co tak wywołało furię u moich byłych pracodawców, ale w tym miejscu powiem, że wtedy odkryłem, że biznes w Polsce wymaga od ludzi sporej wiedzy i doświadczenia. Ja mając wtedy 27 lat, dopiero zdobywałem szlify w zakresie bezpieczeństwa biznesu, ale moi późniejsi szefowie wrzucili mnie na głęboką wodę za co jestem im wdzięcznym, bo w ten sposób zmusili mnie, bym szybko nauczył się pływać w „wodzie pełnej piranii, krokodyli i rekinów” jakim jest świat naszego rodzimego biznesu. Na prośbę redaktora naczelnego zapraszam Państwa do przeczytania mojego obecnego felietonu i zachęcam do lektury kolejnych. Z wielką przyjemnością będę dzielił się z Państwem wiedzą związaną z problemami, jakie spotykają nas wszystkich, działających w realiach biznesu XXI wieku i jak sobie z nimi można poradzić. Będę Państwu pisał i o problemach z ochroną danych osobowych, ale też jak uniknąć nierzetelnych kontrahentów, nielojalnych pracowników, jak obronić się przed oszustami, przestępcami oraz tymi wszystkimi, którzy ze szkodzenia nam uczynili dochodowy biznes.
Dzisiaj zatrzymajmy się nad kwestią wycieków danych. Do opinii publicznej dociera coraz więcej informacji o kolejnych wyciekach. Biorąc pod uwagę, że od 2004 roku zgłoszono ponad osiem tysięcy przypadków naruszenia danych w naszym regionie, istnieje prawdopodobieństwo, że informacje o nas wpadły już dawno w niepowołane ręce. W samych Stanach Zjednoczonych odnotowano prawie 9.000 przypadków naruszenia danych w ciągu ostatnich 12 lat, i są to w miarę bezpieczne szacunki, które wskazują, że każda informacja elektroniczna mogąca zawierać informacje o Tobie jest albo zagrożona, albo została już przynajmniej raz narażona na szwank. Jak mówi James Comey, były dyrektor FBI, „istnieją dwa rodzaje firm. Te, które zostały zhakowane i te, które jeszcze nie wiedzą, że zostały zhakowane”.
Wymienię tylko kilka wielkich wycieków danych, odnotowanych w bieżącym 2019 roku.
Rozmiar naruszenia:
2,2 mld rekordów
Hakerzy zebrali, przekazali i wystawili w Darknecie ponad 2,2 miliarda skradzionych rekordów z wielu stron internetowych, w tym Dropboxa i LinkedIn. Wydaje się, że dane te były gromadzone i łączone od kilku lat, a obecnie są oferowane do sprzedaży w Darknecie. Pierwszy z tych zrzutów skradzionych danych, znany jako Kolekcja #1, zawiera nazwy użytkowników i hasła.
Rozmiar naruszenia:
1 mld rekordów
Haker o nazwie „Gnosticplayers” pobrał prawie 1 miliard rekordów użytkowników w pierwszych miesiącach 2019 roku. Informacje obejmują nazwy użytkowników, adresy email, adresy IP i hasła z kilku stron internetowych, w tym między innymi firm Evite, MindJolt i Wanelo.
Rozmiar naruszenia:
900 mln rekordów
Firma ubezpieczeniowa First American utraciła 900 milionów wrażliwych plików klientów narażonych na straty przez ponad 2 lata. Informacje te obejmowały numery kont bankowych, wyciągi z kont bankowych, numery ubezpieczenia społecznego, zdjęcia prawa jazdy, co stanowi więcej niż wystarczającą ilość informacji, aby skutecznie wykraść tożsamość i pieniądze ofiarom. Nie wiadomo, czy do któregokolwiek z ujawnionych danych uzyskano nielegalny dostęp.
Rozmiar naruszenia:
80 mln rekordów
Naukowcy znaleźli niezabezpieczoną bazę danych zawierającą dane osobowe ponad 80 milionów amerykańskich gospodarstw domowych i rodzin. Wyciek zawierał informacje obejmujące adresy, przybliżoną lokalizację geograficzną czyli długość i szerokość geograficzną, wiek, daty urodzenia, dochody, stan cywilny, status właściciela domu, rodzaj mieszkania i wiele innych. Nie ustalono do kogo należały te dane
Rozmiar naruszenia:
Nieznany (poniżej)
W czerwcu br. amerykański US Customs Border Patrol (amerykańska służb graniczna i celna) poinformował, że nieujawniona liczba danych biometrycznych została skradziona podwykonawcy federalnemu. Dane te obejmowały obrazy tablic rejestracyjnych i zdjęcia identyfikacyjne podróżnych wjeżdżających do i wyjeżdżających ze Stanów Zjednoczonych. CBP poinformowało, że nienazwany podwykonawca przekazał te dane z serwerów rządowych na swoje własne serwery bez zezwolenia, gdzie dane te zostały skradzione w wyniku włamania.
To tylko wierzchołek wielkiej góry lodowej, która pokazuje, iż w rękach osób niepowołanych, chcących zarobić na nielegalnych działaniach, jest ogromna liczba danych o nas wszystkich. Potrzeba prywatności i anonimowości w Internecie rośnie wraz z każdym naruszeniem, które ma miejsce i nie wydaje się, aby gdzieś był kres tych działań. Każda korporacja zbiera informacje na temat swoich klientów, kontrahentów, a nawet przypadkowych osób. Duże korporacje co roku inwestują miliardy dolarów w systemy gromadzenia danych, technologie bazodanowe do przechowywania ich wszystkich, drogie serwery z ogromnymi ilościami pamięci masowej i analityków danych, które te dane analizują, tworząc kolejne dane po to, aby nadać im użytkowy sens.
To nie tylko działania na rzecz firm. Agencje wywiadowcze na całym świecie gromadzą i przetwarzają dane by je później wykorzystać do swoich celów. Jakąś ironią jest to, że wiele firm wydaje się nie przejmować utrzymywaniem tych informacji w bezpiecznym miejscu i z dala od innych, gdy już je posiadają. Jeśli wpadną one w niepowołane ręce, istnieją różne potencjalne reperkusje dla zaangażowanych stron, w tym zwiększone ryzyko stania się ofiarą przestępstw, takich jak programy ukierunkowanego (adresowanego) phishingu, szantażu czy kradzieży tożsamości.
I chociaż powyższe przykłady naruszeń odnoszą się do naruszeń z udziałem firm amerykańskich lub takich, które dotknęły klientów amerykańskich, to jest to tylko próbka tego, o czym tak naprawdę niewielu ludzi wie – gdzie i kto wszedł w posiadanie naszych danych.
Nie chcę pisać dzisiaj o obowiązujących przepisach RODO. Ale chciałbym zwrócić uwagę na implikacje faktu, że ktoś, jeśli bardzo chce, może wiedzieć, gdzie mieszkamy, co robimy, ile mamy pieniędzy na koncie, jak na imię mają nasze dzieci, do jakiej szkoły chodzą i kiedy, jaki mamy email, telefon służbowy, co lubimy jeść, oglądać, czytać, a nawet co robimy gdy mamy zły nastrój albo gdzie i czym jedziemy w danej chwili.
Najmniejszym zmartwieniem jest to, że te informacje mogą być w posiadaniu władz państwowych czy organów ścigania lub obcych agencji wywiadowczych. Wątpię, by czytająca mnie osoba, była w zainteresowaniu którejś ze służb krajowych czy zagranicznych. Ale posiadane przez nich narzędzia pozwalają na stwo-rzenie pełnego modelu behawioralnego a mówiąc językiem potocznym, algorytmu opisującego nasze zachowania fizyczne, profil psychologiczny oraz stworzenia pełnej mapy naszych zachowań na tyle dokładnej, by przewidzieć, co Ty czy ja możemy zrobić, jak się zachować i jakich dokonywać wyborów. Dlatego tego rodzaju działań nie wolno zgodnie z prawem stosować wobec obywateli własnego kraju i bez zgody sądu. Ale czy pokusa, iż ktoś może mieć pełną kontrolę nad człowiekiem i jego zachowaniem może być na tyle silna, by nie doprowadzić do nadużyć? Nie można tego niestety wykluczyć.
Gorzej dla nas już jest, jeśli te same dane trafiają w ręce osób nam nieżyczliwych, przestępców, osób mających złe intencje. Niestety znane są przypadki, kiedy przestępcy wykorzystywali dane wykradzione albo zakupione w Darknecie do kradzieży albo do działań na zlecenie. Nie brakuje osób, które poszukują dotarcia do hackerów, w celu dokonania działań skierowanych wobec konkretnych osób i firm. Dzisiaj celem nielegalnych działań może stać się każdy: osoba czy firma. Nie ma tu większych ograniczeń.
W Darknecie, ukrytej dla postronnych stronie sieci, znaleźć można bez trudu informacje o kosztach konkretnych „usług”. Dla przykładu podam kilka z nich. Doxing to nic innego jak szpiegowanie ludzi poprzez internet. Informacje zdobyte w ramach doxingu (przez złośliwe oprogramowanie, śledzenie mediów spo-łecznościowych etc.) są wykorzystywane przez osoby zlecające takie usługi do własnych celów. W tym przypadku cena od osoby waha się między 25 a 100 dolarów. Ataki DDoS blokujące wskazane serwisy czy strony to niewielki wydatek. Cena? 3–5 dolarów za godzinę, 90–100 dolarów za dzień lub 400–600 dolarów za atak trwający tydzień. Z tej usługi korzystają niebyt uczciwe firmy, by blokować klientom dostęp do ich usług i przejmować klientów na swoje serwery, na których świadczą konkurencyjne usługi. Zablokowanie na dłużej określonego serwisu internetowego, to wydatek około 1000 USD. Wbrew pozorom na pozyskanie danych kart kredytowych nie trzeba wiele wydać. Ceny wahają się od kilku do kilkuset dolarów. Wiele zależy nie tylko od typu karty (np. złota czy platynowa), ale także dodatkowych danych, które zdobył haker, a które mogą utrudnić lub ułatwić wykorzystanie czyjejś karty (np. informacje „zaszyte” w pasku magnetycznym). Potencjalnie lepszym biznesem dla hakerów niż sprzedaż danych kart kredytowych są włamania na konta w bankach internetowych. Dane konta bankowego (z loginem i hasłem/PINem) można kupić w USA za ok. 2 proc. salda konta. Za dane umożliwiające włamanie na konto w banku na terenie UE hakerzy kasują między 4 a 6 proc. stanu rachunku. Za dane otwierające drogę do konta PayPal przestępcy liczą sobie od 6 do 20 proc. salda.
Czujecie już Państwo, co może zrobić ktoś, kto ma wobec Was niezbyt uczciwe zamiary? Wynajęcie killera, może zakończyć się źle dla wynajmującego. O wiele prościej można komuś zniszczyć życie i jest to o wiele bezpieczniejsze, mając dostęp do hackera, który za naprawdę niewielkie pieniądze, jest w stanie zniszczyć nam firmę, wykraść nasze pieniądze, na nasze dane dokonać przestępstw, obciążyć nam karty kredytowe, zepsuć nam opinię, ujawnić nasze sekrety i zniszczyć nam życie. Za niecałe 3000 zł, można nam z życia zrobić piekło i narazić nas i najbliższych na potworne problemy.
Czy możemy się bronić?
Oczywiście, że tak – przede wszystkim dbając o nasze dane, o ich ochronę. Musi-my pilnować naszych kont, kart, naszych danych osobowych, dowodów osobistych i paszportów. Nie pozwalać sobie na przechowanie tych danych w miejscach łatwo dostępnych, kopiowania ich i trzymania ich kopii na komputerach. Nie można lekceważyć najmniejszych sygnałów, z których może wynikać, że ktoś posługuje się naszymi danymi. Należy wykorzystując dostępny serwis ZBP, uruchomić powiadamianie, czy ktoś w sektorze bankowym wykorzystywał nasze dane, posługiwał się naszym numerem PESEL. Nie wolno lekceważyć telefonów, gdy ktoś z nieznanego numeru wypytuje nas o dane osobowe.
Należy unikać ujawniania jakichkolwiek danych w mediach społecznościowych. Jeśli ktoś nas prosi o dane, nie podajemy ich nikomu nieznanemu i nie budzącemu zaufania. Tak, każdy z nas musi być ostrożny a szczególnie wtedy, kiedy prowadzi biznes, ma pieniądze i ma co stracić. Prowadząc biznes, wiele naszych danych jest jawnych i może trafić do osób nieuczciwych. Każde zdarzenie, które wydaje się nam dziwne, warto weryfikować, sprawdzać. Musimy kontrolować nasze otoczenie i nie bagatelizować informacji wskazujących, że ktoś może na nasze dane prowadzić jakiekolwiek działania. Jeśli tego nie robimy, niestety wystawiamy się na ogromne zagrożenia.
Zapraszam do lektury kolejnych moich artykułów, w których pomogę Państwu dbać o własne bezpieczeństwo w domu, biurze i własnej firmie.
Michał Czuma
