Prywatne dane na sprzedaż
Głośny ostatnio przypadek wycieku danych z banku Pekao S.A. unaocznił problem, jakim jest zachowanie poufności danych przechowywanych w formie elektronicznej. Podobne wypadki zdarzały się już co prawda wcześniej i, nie oszukujmy się, będą niestety mieć miejsce w przyszłości, ale jest kilka sposobów, aby przeciwdziałać ich występowaniu. Największym zagrożeniem dla bezpieczeństwa danych jest zawsze... człowiek.
Przypomnijmy, że sprawę wycieku danych z Pekao S.A. nagłośnił internauta Gluth, który przypadkowo odnalazł w sieci stronę, na której znajdowały się CV i listy motywacyjne osób starających się o pracę w tymże banku. Reakcją Pekao S.A. było natychmiastowe zablokowanie nieszczęsnej witryny, ale dane prawie 3 tys. osób nadal były dostępne w internecie i ich kopie można było odnaleźć choćby w sieciach P2P.
Przedstawiciele banku bronili się twierdząc, że administratorem strony, z której wyciekły informacje, była zewnętrzna firma, a za całą sytuację odpowiedzialni są hakerzy, którzy zaatakowali serwis rekrutacyjny banku. Pekao S.A. zapowiedział również skierowanie sprawy do prokuratury.
Oświadczenie rzecznika banku nie przekonało jednak wielu specjalistów od bezpieczeństwa i samych internautów. W sieci pojawiło się mnóstwo opinii mówiących, że strona, o której mowa, nie padła ofiarą hakerów, lecz była po prostu źle zabezpieczona. Całą sprawą zainteresował się również Generalny Inspektor Ochrony Danych Osobowych.
GIODO zamieścił na swej stronie internetowej apel, w którym zwracał się o niewykorzystywanie i nierozpowszechnianie pechowych materiałów. Równocześnie GIODO rozpoczął kontrolę w Pekao S.A. oraz w firmie, której bank powierzył przetwarzanie danych osobowych.
Wycieki danych? Normalna rzecz!
Kilka dni po wycieku danych z Pekao S.A, podobny przypadek ujawnił dziennik "Metro". Chodziło o 28 CV skierowanych do Włoskiej Izby Handlowo-Przemysłowej w Polsce. Dokumenty odnalazł w sieci jeden z czytelników gazety. Udało mu się to dzięki... przeglądarce Google.
Jak się okazuje, podobne przypadki wcale nie należą do rzadkości. Poufne dane wyciekają z rozmaitych instytucji na całym świecie. Informacje mogą dostać się w niepowołane ręce nie tylko za pośrednictwem internetu, ale również w wyniku utraty dysków, na których były przechowywane. Szacuje się, że w samej tylko wielkiej Brytanii z urzędów, banków lub firm prywatnych wyciekły w 2007 roku dane ok. 37 mln osób!
W marcu tego roku nowojorski Bank of New York Mellon stracił dysk z danymi niemal 4,5 mln klientów. Przepadły dokumenty, w których odnotowano nazwiska, daty urodzenia i numery polis ubezpieczeniowych. Dane nie były w żaden sposób zabezpieczone. Dochodzenie wykazało, że dysk skradziono podczas transportu.
W jednej z publicznych bibliotek w Sztokholmie znaleziono z kolei porzuconą pamięć przenośną, na której znajdowały się tajne dokumenty szwedzkiej armii. Można było w nich przeczytać między innymi o siłach NATO działających w Afganistanie.
Inny głośny przypadek utraty informacji dotyczył amerykańskiej uczelni Harvard, z której wyciekły dane prawie 10 tys. osób. Haker zaatakował serwer, na którym przechowywane były nazwiska, daty urodzenia, adresy, numery telefonów, numery ubezpieczeń, adresy e-mail, a w niektórych przypadkach także informacje o stanie zdrowia studentów.
Nie do śmiechu było też amerykańskim miłośnikom stron porno, którzy w styczniu tego roku zalani zostali nagle falą niechcianej poczty. Okazało się, że cyberprzestępcy w nielegalny sposób uzyskali dostęp do adresów mailowych dziesiątków tysięcy klientów serwisów XXX.
Rekordowy przypadek kradzieży danych odnotowano w Chile. Tamtejszy haker wykradł z kilku instytucji państwowych dane osobowe 6 milionów osób i umieścił je na dwóch stronach internetowych. Włamywacz chciał w ten sposób udowodnić, że... chilijskie władze nie chronią należycie danych obywateli.
Poważnym zagrożeniem dla bezpieczeństwa poufnych danych są również popularne serwisy społecznościowe. Okazuje się, że ich użytkownicy bardzo lekkomyślnie udostępniają publicznie informacje, które mogą się okazać niezwykle cenne dla przestępców.
Przykładem z naszego rodzimego podwórka może być tu osławiona Nasza-Klasa. Przed kilkoma miesiącami jeden z jej użytkowników zażądał od administratorów serwisu usunięcia podpisu pod zdjęciem, gdyż, jak twierdził skarżący, ułatwiał on identyfikację jego osoby. Brak reakcji ze strony Naszej-Klasy skłonił internautę do złożenia skargi do GIODO. Urząd uznał jednak, iż sprawa przekracza jego kompetencje i oddalił skargę twierdząc, że ustawa o ochronie danych osobowych nakłada na portal obowiązek ochrony danych jego użytkowników, ale nie wspomina nic o ich usuwaniu.
Podobne przypadki można by mnożyć w nieskończoność. Jak zatem ustrzec się przed utratą danych i nie pozwolić, aby cenne dla nas informacje nie trafiły w niepowołane ręce? Specjaliści od bezpieczeństwa zalecają kilka sposobów.
Chrońmy tożsamość
Znawcy problemu doskonale wiedzą, że w internecie istnieje swoisty czarny rynek danych, na którym kwitnie regularny handel poufnymi (najczęściej kradzionymi) informacjami. W styczniu firma Symantec opublikowała raport, z którego wynikało, że w drugiej połowie 2007 roku stawka za kradziony numer karty kredytowej wynosiła ok. 40 centów. Dla wygody w obrocie były pakiety 500 numerów, które można było nabyć za okrągłe 200 dolarów. Dane - obejmujące nazwisko, numer ubezpieczenia, adres czy datę urodzenia - dostępne były po 100 dolarów za pakiet.
Aby nie paść ofiarą podobnych przestępstw, warto przestrzegać kilku podstawowych zasad bezpieczeństwa. Przede wszystkim warto pilnować naszych loginów i haseł do wszelkich serwisów, w których umieszczamy prywatne dane. Za wszelką cenę należy się wystrzegać pobierania z sieci nieautoryzowanych programów i otwierania witryn, co do których autentyczności możemy mieć zastrzeżenia. Umiejętnie spreparowane przez przestępców strony mogą zainfekować nasz komputer złośliwym kodem, który posłuży im później np. do kradzieży haseł do naszego konta bankowego.
Uważajmy też na spam - pod żadnym pozorem nie otwierajmy załączników, ani nie klikajmy w linki znajdujące się w wiadomościach pochodzących od podejrzanych nadawców. Pamiętajmy również, że doskonałą furtką dla rozmaitych komputerowych włamywaczy mogą być sieci P2P.
Na nieudolne działania administratorów, którzy nie dopełniają procedur bezpieczeństwa i tracą powierzone im przez nas dane, nie mamy co prawda większego wpływu, ale w wielu przypadkach możemy z powodzeniem chronić te informacje, które znajdują się na naszym prywatnym komputerze.
Pamiętajmy: w internecie, podobnie jak w ruchu drogowym, powinna obowiązywać zasada ograniczonego zaufania i zdrowy rozsądek!
