LexDigital

Wzrost cyber-zagrożeń i ich wpływ na ochronę danych osobowych

Nie tylko prawo, ale także wzrost cyber-zagrożeń obligują nas do weryfikacji stosowanych w organizacjach rozwiązań oraz dostosowania się do nowych wymogów. Wszechstronna analiza ryzyka powinna prowadzić do ustalenia środków technicznych i organizacyjnych zapewniających odpowiedni poziom bezpieczeństwa.

Wzrost cyber-zagrożeń i ich wpływ na ochronę danych osobowych

Wzrost cyber-zagrożeń 

Nawet najmniejsze akty prawne, które tworzone są w dobrej intencji często mają znaczący wpływ na organizacje, a co dopiero kiedy taki akt ma zasięg globalny. Takim właśnie aktem o szerokim zasięgu jest ogólne Rozporządzenie o Ochronie Danych Osobowych (dalej RODO), które zostało uzupełnione 28 sierpnia 2018 Ustawą o krajowym systemie cyber-bezpieczeństwa, wprowadzając w Polsce Dyrektywę NIS Parlamentu Europejskiego i Rady w sprawie środków na rzecz wysokiego, wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii Europejskiej. 

Nie tylko prawo, ale także wzrost cyber-zagrożeń obligują nas do weryfikacji stosowanych w organizacjach rozwiązań oraz dostosowania się do nowych wymogów. Wszechstronna analiza ryzyka powinna prowadzić do ustalenia środków technicznych i organizacyjnych zapewniających odpowiedni poziom bezpieczeństwa. W szczególności powinniśmy rozważyć prawdopodobieństwo naruszenia praw lub wolności osób, których dane są przetwarzane. 

Praktyka pokazuje, że ustalenie poziomu ryzyka nie jest łatwe. Nasz świat coraz bardziej przyspiesza, następuje gwałtowny wzrost nowych technologii, który z jednej strony ułatwia nam codzienne życie, a z drugiej stwarza ryzyko dla naszej prywatności. Jest tak dlatego, że coraz częściej i chętniej dzielimy się informacjami na temat wielu aspektów naszego życia, a co najistotniejsze dane te są przesyłane dalej do Internetu i do końca nie wiemy, kto i w jaki sposób je wykorzysta. 

Mobilność, biznes oparty na modelach cyfrowych, inteligentna infrastruktura energetyczna oraz inne nowoczesne technologie często przekraczają nasze wyobrażenia, a dotyczą tak wielu aspektów życia. 

Jeżeli chodzi o cyberprzestępczość i użycie nowoczesnej technologii na uwagę zasługuje Internet rzeczy (ang. Internet of Things, dalej: IoT), który stwarza możliwości zarówno firmom jak i osobom przy pomocy niewielkich, stale podłączonych do Internetu urządzeń, które przekazują dane sieci. To niestety daje prowadzi do ryzyka niewłaściwego i nieetycznego wykorzystania danych generowanych przez te urządzenia. Te nasze dane są często poufne, jednak nie zawsze mamy kontrolę na tym, kto i w jaki sposób będzie je wykorzystywał. 

Stąd w obecnej rzeczywistości tak ważne jest, aby procesy oraz narzędzia stosowane do przetwarzania danych osobowych podlegały procesowi analizy ryzyka. Analiza ta ma na celu zwiększenie nacisku na bezpieczeństwo w celu ochrony naszych danych przed cyberprzestępczością.

Oceniając ryzyko prywatności ustalamy jakie jest prawdopodobieństwo zaistnienia danego zdarzenia oraz jaki będzie miało ono skutek. W celu lepszego oszacowania ryzyka cyber-zagrożeń zobaczmy, jak wyglądają statystyki cyberprzestępczości. 

Pierwsze półrocze 2018 wykazało dalszy wzrost ilości naruszonych danych. Oznacza to, że mimo wdrażania coraz to nowszych środków zabezpieczeń bezpieczeństwo firm i infrastruktury krytycznej państw nie staje się lepsze, a hakerzy z całego świata stają się odważniejsi i bardziej wyrafinowani w swoich działaniach.

Ponownie nastąpił znaczny przyrost naruszeń danych, według indeksu poziomu naruszeń danych Gemalto w pierwszych 6 miesiącach 2018 roku wyciekło 3,3 mld rekordów danych, czyli:

• 18 525 816 rekordów każdego dnia,

• 771 909 rekordów co godzinę,

• 12 865 rekordów co minutę,

• 214 rekordów w każdej sekundzie.

To stanowi 72 procentowy wzrost w stosunku do pierwszej połowie 2017 roku. Najczęstszym celem ataku jest sektor usług zdrowia (27%), instytucje finansowe (14%) i edukacyjne (9%).

Kradzież tożsamości jest nadal wiodącym celem ataków. Mimo, że liczba naruszeń związanych z kradzieżą tożsamości spadła o 26% w stosunku do poprzedniego roku, to liczba skradzionych rekordów wzrosła o 757%, co daje 83% wszystkich naruszonych rekordów danych.

RODO zachęca w art. 32 do stosowania szyfrowania danych jako adekwatnego środka bezpieczeństwa. Ze statystyk wynika jednak, że tylko 3% danych, które wyciekły było odpowiednio zaszyfrowanych. 

Skutki incydentów bezpieczeństwa i wykorzystanie danych to statystyki dla małych i średnich firm na terenie Polski (źródło: PWC - 5. edycja Badania Stanu Bezpieczeństwa Informacji) przedstawiają się następująco:

  • 21% - to systemy zaatakowane złośliwym oprogramowaniem typu ransomware
  • 20% - spowolnienie działania lub brak dostępu do sieci
  • 20% - utrata lub uszkodzenie przetwarzanych danych
  • 18% - narażenie lub utrata reputacji
  • 16% - brak dostępu do skrzynki pocztowej lub innych aplikacji 
  • 15% - przestój w prowadzeniu działalności lub przebiegu procesu
  • 11% - kradzież miękkich własności intelektualnych
  • 10% - wyciek danych o klientach

To samo źródło podaje, że jeżeli chodzi o źródło incydentów, to spowodowane jest przez:

  • 41% - błąd użytkownika
  • 24% - niewłaściwe wykorzystanie danych lub informacji
  • 21% - błąd konfiguracji komputerów lub serwerów
  • 20% - atak phishingowy
  • 18% - wykorzystanie znanych podatności oprogramowania
  • 15% - wykorzystanie pracownika, np. stosując socjotechnikę
  • 13% - błędy projektowe systemów
  • 13% - niewłaściwą konfigurację sieci
  • 13% - niewłaściwe wykorzystanie aplikacji
  • 12% - niewłaściwe wykorzystanie IT

Poniżej przykłady najgroźniejszych cyber-ataków w ostatnim roku.

Hakowanie sieci energetycznych USA przez Rosjan

W 2017 r. osoby zajmujące się bezpieczeństwem wszczęły alarm w sprawie rosyjskich hakerów infiltrujących i badających firmy energetyczne w Stanach Zjednoczonych. Pierwsze dowody, że hackerzy rosyjscy mieli bezpośredni dostęp do systemów kontroli amerykańskiej sieci energetycznych nie były brane pod uwagę. Jednak w połączeniu z innymi działaniami hakerów, takimi jak ataki ransomware NotPetya, wpływ na penetrację sieci stał się znaczący. Mimo tych faktów dopiero w 2018 roku rząd USA zaczął publicznie potwierdzać udział państwa rosyjskiego w działaniach hackerskich, choć urzędnicy wskazywali na ataki znacznie wcześniej. W lutym 2018 roku Biały Dom po raz pierwszy publicznie przedstawił szkodliwe działanie rosyjskiego oprogramowanie NotPetya, a następnie w marcu oskarżyła Rosję o włamanie do sieci energetycznej. Było to kluczowym krokiem w walce przeciwko cyberprzestępczości. Wcześniej zarówno rząd, jak i sektor prywatny bali się reakcji społeczeństwa na informacje o tym, że zaatakowana została infrastruktura krytyczna państwa. 

Ataki na uniwersytety

W marcu 2018 Departament Sprawiedliwości USA oskarżył irańskich hakerów o cyber-ataki na ponad 300 uniwersytetów w USA i na świecie. Podejrzani są oskarżani o infiltrację 176 uniwersytetów w 21 krajach, 144 amerykańskich uniwersytetów oraz 47 prywatnych firm oraz innych organizacji, takich jak Organizacja Narodów Zjednoczonych, Amerykańska Federalna Komisja Regulacji Energetyki oraz stanów Hawaii i Indiana. Hakerzy ukradli 31 terabajtów danych o wartości szacowanej na 3 miliardy dolarów w zakresie własności intelektualnych. Do ataków wykorzystano za pomocą socjotechniki i ransomware nieprzygotowanych profesorów i stowarzyszenia uniwersyteckie. Otrzymywali oni starannie spreparowanych e-maile ze złośliwym linkiem, po którego kliknięciu wymagano podania danych do logowania do sieci. Dane te były następnie przekazywane hackerom. Takie wiadomości trafiły do ponad 100 000 kont, z których udało im się uzyskać dostęp i hasła do około 8 000 kont, z czego 3 768 należało do instytucji amerykańskich. Walka między Teheranem a Waszyngtonem coraz częściej przenika do strefy cyfrowej powodując wysokie ryzyko nie tylko dla Państw, ale również dla praw i wolności osób.

Szerzące się przypadki udostępniania niewłaściwie zabezpieczonych danych

Znaczenia nabierają nie tylko celowe naruszenia danych, ale również przypadkowe udostępnianie. Polega ono na tym, że dane są przechowywane i chronione w niewłaściwy sposób, co zwiększa ich podatność na cyber-zagrożeni. Powodem tych sytuacji jest często błędna konfiguracja przez użytkowników chmury baz danych lub innych mechanizmów zabezpieczających przetwarzane dane, przykładowo przez minimalne wymagania uwierzytelnienia w celu dostępu lub wręcz brak uwierzytelniania. Tak było w przypadku firmy Exactis zajmującej się marketingiem i gromadzeniem danych, która pozostawiła około 340 milionów rekordów na publicznym serwerze. Baza co prawda nie zawierała numerów ubezpieczeń społecznych ani numerów kart kredytowych, ale zawierała 2 terabajty danych, które pozwalały uzyskać dostęp do bardzo osobistych informacji opartych na profilowaniu zachowań i preferencji setek milionów dorosłych osób. Naruszenie zasad bezpieczeństwa zostało odkryte przez Vinny'ego Troia zajmującego się bezpieczeństwem i zgłoszone w czerwcu. Exactis od tego tamtego czasu zmieniło ustawienia systemowe, które obecnie gwarantuje wyższy stopień ochrony danych, ale czekają ich teraz duże kłopoty prawne ze strony Państwa i pozew zbiorowy poszkodowanych przez ten incydent.

Wycieki danych składowanych w chmurze a polegający na ich niezamierzonej ekspozycji pojawiają się regularnie. Czasem przyczyną jest błąd oprogramowania, które przypadkowo przechowuje informacje w innym formacie, zakresie lub lokalizacji niż zamierzano. Twitter ujawnił na początku maja, że nieumyślnie zapisywał w logach wewnętrznym systemu hasła niektórych użytkowników jawnym tekstem. Błąd naprawiono niezwłocznie po jego odkryciu, ale nie wiadomo od jakiego czasu hasła były dostępne w taki sposób.

Po ujawnieniu ekspozycji danych organizacje często wykorzystują klasyczne zapewnienie, że nie ma dowodów na to, że dostęp do danych był nieprawidłowy. Właśnie ta niepewność budzi największy niepokój, gdyż nie wiadomo jakie dokładnie dane i przez kogo zostały pozyskane.

Wyciek danych z Under Armor

Hakerzy pod koniec lutego włamali się do aplikacji MyFitnessPal firmy Under Armor i poznali nazwy użytkowników, adresy e-mail i hasła z około 150 milionów użytkowników aplikacji. Firma odkryła włamanie w dniu 25 marca i ujawniła go w ciągu tygodnia, następnie błyskawicznie zmieniła konfigurację zabezpieczeń danych. Mimo, że hakerzy mieli dostęp do podstawowych danych użytkowników, to nie mogli uzyskać dostępu do informacji o ich lokalizacji, numerach kart kredytowych czy datach urodzenia. Hasła użytkowników były zabezpieczone zachowywanie jedynie ich skrótów hash i wyglądało na to, że firma wdrożyła odpowiednie środki techniczne, by zapewnić odpowiedni poziom bezpieczeństwa. Under Armor przyznał jednak, że tylko część haseł była zahaszowane za pomocą odpowiednio silnej funkcji o nazwie bcrypt, a do pozostałych użyto funkcji SHA-1, która nie jest już standardem zapewniającym właściwy poziom bezpieczeństwa. Może to oznaczać, że atakujący prawdopodobnie złamie część skradzionych haseł bez większych problemów i będzie mógł je sprzedać lub wykorzystać do innych oszustw internetowych. Naruszenie bezpieczeństwa, choć ze względu na swój charakter i zakres pozyskanych danych może nie powodować wysokiego prawdopodobieństwa naruszenia praw lub wolności osób, których dane dotyczą, jest dobrym przykładem niesolidnego wdrożenia bezpieczeństwa danych w organizacji.

Atak VPNFilter na routery wielu firm

Pod koniec maja 2018 FBI ostrzegło przed rosyjską kampanią hakerską, która dotknęła ponad 500 000 routerów na całym świecie. Atak rozprzestrzenia typ złośliwego oprogramowania, określanego jako VPNFilter, którego można użyć do koordynowania zainfekowanych urządzeń w celu utworzenia ogromnego botnetu. Ale może również bezpośrednio szpiegować i manipulować działaniem sieci na zainfekowanych routerach. Możliwości te można wykorzystać do różnych celów, od uruchamiania manipulacji sieciowych lub kampanii spamowych, po kradzież danych i tworzenie ukierunkowanych, zlokalizowanych ataków. VPNFilter może zainfekować dziesiątki popularnych modeli routerów takich firm jak Netgear, TP-Link, Linksys, ASUS, D-Link i Huawei. FBI pracuje nad wyeliminowaniem botnetu, ale naukowcy wciąż identyfikują pełen zakres i zasięg tego ataku.

Jest wielce prawdopodobne, że wykrywalność naruszeń będzie dalej wzrastać w związku z pojawieniem się nowych praw w różnych rejonach świata, a w szczególności RODO i Dyrektywy NIS.

Jest również w naszym interesie zwracanie uwagi w jaki sposób przetwarzane są nasze dane osobowe, w tym w naszych organizacjach. Ustalmy, czy opracowaliśmy odpowiednie procedury, których wdrożenie i stosowanie zapewni procesom przetwarzania danych odpowiedni poziom bezpieczeństwa, który jest adekwatny do ryzyka naruszenia praw lub wolności osób, których dane dotyczą oraz ochroni nas przez cyber-zagrożeniami.

 

 

Polecane

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował „Privacy Shield” („Tarczę prywatności”). Powodem jest zbyt łatwy dostęp amerykańskich służb tj. amerykańskiej Agencji Bezpieczeństwa Narodowego do danych Europejczyków. Co więcej, odbywa się to bez kontroli sądowej, a obywatele UE nie mają w praktycznie żadnej możliwości podważenia decyzji o wglądzie do informacji na ich temat.

Popularne

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie zasad to jeden z najważniejszych, ale i najtrudniejszych etapów koniecznych do przeprowadzenia na drodze do uzyskania zgodności z wybranymi standardami czy przepisami prawa. Ustanowione zasady musząbyćdostosowane do specyfiki organizacji, a ich wprowadzanie powinno być odpowiednio zaplanowane i musi uwzględniać wiele aspektów począwszy od ustalenia niezbędnych zasobów, a kończąc na zbudowaniu świadomości pracowników.

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Każdywdrożony system jest żywy i ewoluuje wraz z rozwojem przedsiębiorstwa, wprowadzaniem kolejnych zmian w procesach czy wykorzystywanych narzędziach. Zmianom ulegająrównież wytyczne w stosunku do których wprowadzane były zmiany. Bardzo często pewne sytuacje osobom na co dzień nie zajmującymsiętematyką ochrony danych czy szeroko rozumianego bezpieczeństwa informacji sprawiają trudności, w szczególności,że wiele przepisów jest bardzo ogólnych, trudnych

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers Pearson UEP

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.