LexDigital

Wzrost cyber-zagrożeń i ich wpływ na ochronę danych osobowych

Nie tylko prawo, ale także wzrost cyber-zagrożeń obligują nas do weryfikacji stosowanych w organizacjach rozwiązań oraz dostosowania się do nowych wymogów. Wszechstronna analiza ryzyka powinna prowadzić do ustalenia środków technicznych i organizacyjnych zapewniających odpowiedni poziom bezpieczeństwa.

Wzrost cyber-zagrożeń i ich wpływ na ochronę danych osobowych

Wzrost cyber-zagrożeń 

Nawet najmniejsze akty prawne, które tworzone są w dobrej intencji często mają znaczący wpływ na organizacje, a co dopiero kiedy taki akt ma zasięg globalny. Takim właśnie aktem o szerokim zasięgu jest ogólne Rozporządzenie o Ochronie Danych Osobowych (dalej RODO), które zostało uzupełnione 28 sierpnia 2018 Ustawą o krajowym systemie cyber-bezpieczeństwa, wprowadzając w Polsce Dyrektywę NIS Parlamentu Europejskiego i Rady w sprawie środków na rzecz wysokiego, wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii Europejskiej. 

Nie tylko prawo, ale także wzrost cyber-zagrożeń obligują nas do weryfikacji stosowanych w organizacjach rozwiązań oraz dostosowania się do nowych wymogów. Wszechstronna analiza ryzyka powinna prowadzić do ustalenia środków technicznych i organizacyjnych zapewniających odpowiedni poziom bezpieczeństwa. W szczególności powinniśmy rozważyć prawdopodobieństwo naruszenia praw lub wolności osób, których dane są przetwarzane. 

Praktyka pokazuje, że ustalenie poziomu ryzyka nie jest łatwe. Nasz świat coraz bardziej przyspiesza, następuje gwałtowny wzrost nowych technologii, który z jednej strony ułatwia nam codzienne życie, a z drugiej stwarza ryzyko dla naszej prywatności. Jest tak dlatego, że coraz częściej i chętniej dzielimy się informacjami na temat wielu aspektów naszego życia, a co najistotniejsze dane te są przesyłane dalej do Internetu i do końca nie wiemy, kto i w jaki sposób je wykorzysta. 

Mobilność, biznes oparty na modelach cyfrowych, inteligentna infrastruktura energetyczna oraz inne nowoczesne technologie często przekraczają nasze wyobrażenia, a dotyczą tak wielu aspektów życia. 

Jeżeli chodzi o cyberprzestępczość i użycie nowoczesnej technologii na uwagę zasługuje Internet rzeczy (ang. Internet of Things, dalej: IoT), który stwarza możliwości zarówno firmom jak i osobom przy pomocy niewielkich, stale podłączonych do Internetu urządzeń, które przekazują dane sieci. To niestety daje prowadzi do ryzyka niewłaściwego i nieetycznego wykorzystania danych generowanych przez te urządzenia. Te nasze dane są często poufne, jednak nie zawsze mamy kontrolę na tym, kto i w jaki sposób będzie je wykorzystywał. 

Stąd w obecnej rzeczywistości tak ważne jest, aby procesy oraz narzędzia stosowane do przetwarzania danych osobowych podlegały procesowi analizy ryzyka. Analiza ta ma na celu zwiększenie nacisku na bezpieczeństwo w celu ochrony naszych danych przed cyberprzestępczością.

Oceniając ryzyko prywatności ustalamy jakie jest prawdopodobieństwo zaistnienia danego zdarzenia oraz jaki będzie miało ono skutek. W celu lepszego oszacowania ryzyka cyber-zagrożeń zobaczmy, jak wyglądają statystyki cyberprzestępczości. 

Pierwsze półrocze 2018 wykazało dalszy wzrost ilości naruszonych danych. Oznacza to, że mimo wdrażania coraz to nowszych środków zabezpieczeń bezpieczeństwo firm i infrastruktury krytycznej państw nie staje się lepsze, a hakerzy z całego świata stają się odważniejsi i bardziej wyrafinowani w swoich działaniach.

Ponownie nastąpił znaczny przyrost naruszeń danych, według indeksu poziomu naruszeń danych Gemalto w pierwszych 6 miesiącach 2018 roku wyciekło 3,3 mld rekordów danych, czyli:

• 18 525 816 rekordów każdego dnia,

• 771 909 rekordów co godzinę,

• 12 865 rekordów co minutę,

• 214 rekordów w każdej sekundzie.

To stanowi 72 procentowy wzrost w stosunku do pierwszej połowie 2017 roku. Najczęstszym celem ataku jest sektor usług zdrowia (27%), instytucje finansowe (14%) i edukacyjne (9%).

Kradzież tożsamości jest nadal wiodącym celem ataków. Mimo, że liczba naruszeń związanych z kradzieżą tożsamości spadła o 26% w stosunku do poprzedniego roku, to liczba skradzionych rekordów wzrosła o 757%, co daje 83% wszystkich naruszonych rekordów danych.

RODO zachęca w art. 32 do stosowania szyfrowania danych jako adekwatnego środka bezpieczeństwa. Ze statystyk wynika jednak, że tylko 3% danych, które wyciekły było odpowiednio zaszyfrowanych. 

Skutki incydentów bezpieczeństwa i wykorzystanie danych to statystyki dla małych i średnich firm na terenie Polski (źródło: PWC - 5. edycja Badania Stanu Bezpieczeństwa Informacji) przedstawiają się następująco:

  • 21% - to systemy zaatakowane złośliwym oprogramowaniem typu ransomware
  • 20% - spowolnienie działania lub brak dostępu do sieci
  • 20% - utrata lub uszkodzenie przetwarzanych danych
  • 18% - narażenie lub utrata reputacji
  • 16% - brak dostępu do skrzynki pocztowej lub innych aplikacji 
  • 15% - przestój w prowadzeniu działalności lub przebiegu procesu
  • 11% - kradzież miękkich własności intelektualnych
  • 10% - wyciek danych o klientach

To samo źródło podaje, że jeżeli chodzi o źródło incydentów, to spowodowane jest przez:

  • 41% - błąd użytkownika
  • 24% - niewłaściwe wykorzystanie danych lub informacji
  • 21% - błąd konfiguracji komputerów lub serwerów
  • 20% - atak phishingowy
  • 18% - wykorzystanie znanych podatności oprogramowania
  • 15% - wykorzystanie pracownika, np. stosując socjotechnikę
  • 13% - błędy projektowe systemów
  • 13% - niewłaściwą konfigurację sieci
  • 13% - niewłaściwe wykorzystanie aplikacji
  • 12% - niewłaściwe wykorzystanie IT

Poniżej przykłady najgroźniejszych cyber-ataków w ostatnim roku.

Hakowanie sieci energetycznych USA przez Rosjan

W 2017 r. osoby zajmujące się bezpieczeństwem wszczęły alarm w sprawie rosyjskich hakerów infiltrujących i badających firmy energetyczne w Stanach Zjednoczonych. Pierwsze dowody, że hackerzy rosyjscy mieli bezpośredni dostęp do systemów kontroli amerykańskiej sieci energetycznych nie były brane pod uwagę. Jednak w połączeniu z innymi działaniami hakerów, takimi jak ataki ransomware NotPetya, wpływ na penetrację sieci stał się znaczący. Mimo tych faktów dopiero w 2018 roku rząd USA zaczął publicznie potwierdzać udział państwa rosyjskiego w działaniach hackerskich, choć urzędnicy wskazywali na ataki znacznie wcześniej. W lutym 2018 roku Biały Dom po raz pierwszy publicznie przedstawił szkodliwe działanie rosyjskiego oprogramowanie NotPetya, a następnie w marcu oskarżyła Rosję o włamanie do sieci energetycznej. Było to kluczowym krokiem w walce przeciwko cyberprzestępczości. Wcześniej zarówno rząd, jak i sektor prywatny bali się reakcji społeczeństwa na informacje o tym, że zaatakowana została infrastruktura krytyczna państwa. 

Ataki na uniwersytety

W marcu 2018 Departament Sprawiedliwości USA oskarżył irańskich hakerów o cyber-ataki na ponad 300 uniwersytetów w USA i na świecie. Podejrzani są oskarżani o infiltrację 176 uniwersytetów w 21 krajach, 144 amerykańskich uniwersytetów oraz 47 prywatnych firm oraz innych organizacji, takich jak Organizacja Narodów Zjednoczonych, Amerykańska Federalna Komisja Regulacji Energetyki oraz stanów Hawaii i Indiana. Hakerzy ukradli 31 terabajtów danych o wartości szacowanej na 3 miliardy dolarów w zakresie własności intelektualnych. Do ataków wykorzystano za pomocą socjotechniki i ransomware nieprzygotowanych profesorów i stowarzyszenia uniwersyteckie. Otrzymywali oni starannie spreparowanych e-maile ze złośliwym linkiem, po którego kliknięciu wymagano podania danych do logowania do sieci. Dane te były następnie przekazywane hackerom. Takie wiadomości trafiły do ponad 100 000 kont, z których udało im się uzyskać dostęp i hasła do około 8 000 kont, z czego 3 768 należało do instytucji amerykańskich. Walka między Teheranem a Waszyngtonem coraz częściej przenika do strefy cyfrowej powodując wysokie ryzyko nie tylko dla Państw, ale również dla praw i wolności osób.

Szerzące się przypadki udostępniania niewłaściwie zabezpieczonych danych

Znaczenia nabierają nie tylko celowe naruszenia danych, ale również przypadkowe udostępnianie. Polega ono na tym, że dane są przechowywane i chronione w niewłaściwy sposób, co zwiększa ich podatność na cyber-zagrożeni. Powodem tych sytuacji jest często błędna konfiguracja przez użytkowników chmury baz danych lub innych mechanizmów zabezpieczających przetwarzane dane, przykładowo przez minimalne wymagania uwierzytelnienia w celu dostępu lub wręcz brak uwierzytelniania. Tak było w przypadku firmy Exactis zajmującej się marketingiem i gromadzeniem danych, która pozostawiła około 340 milionów rekordów na publicznym serwerze. Baza co prawda nie zawierała numerów ubezpieczeń społecznych ani numerów kart kredytowych, ale zawierała 2 terabajty danych, które pozwalały uzyskać dostęp do bardzo osobistych informacji opartych na profilowaniu zachowań i preferencji setek milionów dorosłych osób. Naruszenie zasad bezpieczeństwa zostało odkryte przez Vinny'ego Troia zajmującego się bezpieczeństwem i zgłoszone w czerwcu. Exactis od tego tamtego czasu zmieniło ustawienia systemowe, które obecnie gwarantuje wyższy stopień ochrony danych, ale czekają ich teraz duże kłopoty prawne ze strony Państwa i pozew zbiorowy poszkodowanych przez ten incydent.

Wycieki danych składowanych w chmurze a polegający na ich niezamierzonej ekspozycji pojawiają się regularnie. Czasem przyczyną jest błąd oprogramowania, które przypadkowo przechowuje informacje w innym formacie, zakresie lub lokalizacji niż zamierzano. Twitter ujawnił na początku maja, że nieumyślnie zapisywał w logach wewnętrznym systemu hasła niektórych użytkowników jawnym tekstem. Błąd naprawiono niezwłocznie po jego odkryciu, ale nie wiadomo od jakiego czasu hasła były dostępne w taki sposób.

Po ujawnieniu ekspozycji danych organizacje często wykorzystują klasyczne zapewnienie, że nie ma dowodów na to, że dostęp do danych był nieprawidłowy. Właśnie ta niepewność budzi największy niepokój, gdyż nie wiadomo jakie dokładnie dane i przez kogo zostały pozyskane.

Wyciek danych z Under Armor

Hakerzy pod koniec lutego włamali się do aplikacji MyFitnessPal firmy Under Armor i poznali nazwy użytkowników, adresy e-mail i hasła z około 150 milionów użytkowników aplikacji. Firma odkryła włamanie w dniu 25 marca i ujawniła go w ciągu tygodnia, następnie błyskawicznie zmieniła konfigurację zabezpieczeń danych. Mimo, że hakerzy mieli dostęp do podstawowych danych użytkowników, to nie mogli uzyskać dostępu do informacji o ich lokalizacji, numerach kart kredytowych czy datach urodzenia. Hasła użytkowników były zabezpieczone zachowywanie jedynie ich skrótów hash i wyglądało na to, że firma wdrożyła odpowiednie środki techniczne, by zapewnić odpowiedni poziom bezpieczeństwa. Under Armor przyznał jednak, że tylko część haseł była zahaszowane za pomocą odpowiednio silnej funkcji o nazwie bcrypt, a do pozostałych użyto funkcji SHA-1, która nie jest już standardem zapewniającym właściwy poziom bezpieczeństwa. Może to oznaczać, że atakujący prawdopodobnie złamie część skradzionych haseł bez większych problemów i będzie mógł je sprzedać lub wykorzystać do innych oszustw internetowych. Naruszenie bezpieczeństwa, choć ze względu na swój charakter i zakres pozyskanych danych może nie powodować wysokiego prawdopodobieństwa naruszenia praw lub wolności osób, których dane dotyczą, jest dobrym przykładem niesolidnego wdrożenia bezpieczeństwa danych w organizacji.

Atak VPNFilter na routery wielu firm

Pod koniec maja 2018 FBI ostrzegło przed rosyjską kampanią hakerską, która dotknęła ponad 500 000 routerów na całym świecie. Atak rozprzestrzenia typ złośliwego oprogramowania, określanego jako VPNFilter, którego można użyć do koordynowania zainfekowanych urządzeń w celu utworzenia ogromnego botnetu. Ale może również bezpośrednio szpiegować i manipulować działaniem sieci na zainfekowanych routerach. Możliwości te można wykorzystać do różnych celów, od uruchamiania manipulacji sieciowych lub kampanii spamowych, po kradzież danych i tworzenie ukierunkowanych, zlokalizowanych ataków. VPNFilter może zainfekować dziesiątki popularnych modeli routerów takich firm jak Netgear, TP-Link, Linksys, ASUS, D-Link i Huawei. FBI pracuje nad wyeliminowaniem botnetu, ale naukowcy wciąż identyfikują pełen zakres i zasięg tego ataku.

Jest wielce prawdopodobne, że wykrywalność naruszeń będzie dalej wzrastać w związku z pojawieniem się nowych praw w różnych rejonach świata, a w szczególności RODO i Dyrektywy NIS.

Jest również w naszym interesie zwracanie uwagi w jaki sposób przetwarzane są nasze dane osobowe, w tym w naszych organizacjach. Ustalmy, czy opracowaliśmy odpowiednie procedury, których wdrożenie i stosowanie zapewni procesom przetwarzania danych odpowiedni poziom bezpieczeństwa, który jest adekwatny do ryzyka naruszenia praw lub wolności osób, których dane dotyczą oraz ochroni nas przez cyber-zagrożeniami.

 

 

Polecane

Administrator systemów informatycznych. Rola w systemie

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Analiza i szacowanie ryzyka w RODO

Analiza i szacowanie ryzyka w RODO

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Aplikacja dla Inspektora Ochrony Danych Osobowych

Aplikacja dla Inspektora Ochrony Danych Osobowych

Każdy kto podejmował się wdrożenie RODO w organizacji, nie zważywszy na jej skalę, wie jak dużym wyzwaniem jest zarządzanie dokumentacją. Wersjonowanie dokumentów, ich dystrybucja do wszystkich zainteresowanych, a także zbieranie informacji w efektywny sposób są niezwykle istotnym elementem sprawnie przeprowadzonego wdrożenia.

Popularne

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineFibar GroupPixersWykop.plGPD AgencyTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.