Przestępcy coraz bardziej pomysłowi

Z opublikowanych w General Report 2007 informacji Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) wynika, że na obszarze Unii Europejskiej około 6 mln komputerów padło ofiarą działalności cyberprzestępców. W dodatku wzrasta częstotliwość ataków na systemy informatyczne i komputery, a celem ich sprawców jest kradzież naszej elektronicznej tożsamości. Im częściej korzystamy np. z bankowości elektronicznej (a robi to ok. 12 mln Polaków), sprawdzamy pocztę i stan konta w kafejkach albo im mniej nowoczesne oprogramowanie mamy, zwłaszcza antywirusowe, tym jesteśmy bardziej narażeni na wykorzystanie przez kogoś naszej tożsamości i na utratę pieniędzy.

– Metody działania przestępców atakujących instytucje i klientów sektora finansowego, w tym banki i instytucje ubezpieczeniowe, zmieniają się bardzo dynamicznie, stosownie do nowych rozwiązań i technologii stosowanych w tych instytucjach – mówi Michał Serzycki, generalny inspektor ochrony danych osobowych. – Celem ataków grup przestępczych atakujących banki nie są wyłącznie kasy, sejfy czy konwoje bankowe. Obecnie coraz większa liczba ataków dotyczy informacji przetwarzanych w systemach bankowych, celem hakerów zaś jest głównie zdobycie danych umożliwiających podszycie się pod klienta banku i wykonanie w jego imieniu określonych operacji.

[srodtytul]Niebezpieczne nakładki[/srodtytul]

Najczęstszymi sposobami wyłudzania haseł, numerów kont, adresów mailowych, numerów kart kredytowych i identyfikatorów internetowych jest tworzenie nakładek na strony internetowe banków i sklepów oraz wysyłanie e-maili w imieniu instytucji. Zachęcają one „w trosce o bezpieczeństwo” do zalogowania się i zweryfikowania numeru karty kredytowej i swoich danych albo zmiany hasła – a to zazwyczaj umożliwia kliknięcie na załączony link. Czasem w tego typu poczcie może się znaleźć trojan – złośliwe oprogramowanie umożliwiające obserwację transakcji i przechwycenie danych. Te procedery znane są pod angielskimi nazwami jako pharming i phishing.

O tym, jakie zabezpieczenia zastosować, każdorazowo decyduje sam administrator danych osobowych. – Zna środowisko, w którym przetwarzane są dane osobowe, zna możliwe zagrożenia – mówi Serzycki. – Oczywiście rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych wskazuje jedynie podstawowe warunki, jakie powinny zostać spełnione. Dlatego zarządzający danymi muszą sami właściwie ocenić, na ile ogromne zasoby informacji zgromadzone w systemach informatycznych mogą być łakomym kąskiem nie tylko dla przestępców gospodarczych, ale i dla konkurencji, i w zależności od tego zastosować odpowiednie zabezpieczenia.

[srodtytul]Odstępstwa od normy[/srodtytul]

A jak sami możemy ochronić dotyczące nas informacje? Pamiętajmy, że sklepy internetowe, urzędy, banki oferujące elektroniczny dostęp do konta powinny uczulić klientów na wszelkie odstępstwa od normy. A normą jest, że szyfrowane połączenie – adres strony powinien zaczynać się od liter https, nie http, na pasku statusu powinna widnieć kłódka. Jeżeli któraś z tych informacji się nie pojawia albo strona wygląda nawet tylko trochę inaczej niż zwykle, przerywamy transakcję.

– Bardzo ważne jest też informowanie klientów o potrzebie posiadania oprogramowania antywirusowego z aktualną bazą wirusów. Utrudni ono potencjalnym oszustom zainfekowanie komputera wszelkiego rodzaju złośliwym oprogramowaniem typu: wirusy, robaki, trojany, i przeprowadzenia ataku na przetwarzane w systemach informatycznych dane osobowe – radzi generalny inspektor ochrony danych osobowych Michał Serzycki. – Klient banku stosownie do swoich możliwości finansowych powinien używać na swoim komputerze proponowanych przez bank sprawdzonych i bezpiecznych rozwiązań. Bank powinien mu również zasugerować, jakiego rodzaju przeglądarki powinien używać i jakie powinny być jej ustawienia. W przypadku zastosowania innych przeglądarek niż rekomendowane przez bank system informatyczny banku powinien „odmówić” współpracy, informując klienta o jej przyczynie – dodaje.

[srodtytul]Uwaga na kafejki[/srodtytul]

Nie mając do dyspozycji takiej przeglądarki, warto rozważyć ryzyko korzystania z bankowości internetowej w kafejce, biurze, na cudzym komputerze. Problem może się bowiem pojawić po wylogowaniu – niektóre przeglądarki dają możliwość cofnięcia się na stronę banku, a nawet do przebiegu szyfrowanej operacji. Wtedy ktoś łatwo może sprawdzić nasze imię i nazwisko, numer i stan konta, saldo karty kredytowej.

Banki, w których mamy konto, nie wysyłają nigdy e-maili z prośbami o weryfikację danych, podanie PIN, hasła dostępu itd.

Z kolei sklepy internetowe czasem proszą o podanie adresu e-mailowego, jeszcze zanim dokonamy przelewu i wysyłają nań informacje, że o danej godzinie z komputera o konkretnym IP wysłano wiadomość. To potwierdzenie i dla sklepu, i dla klienta, że dane sprzedawcy są prawdziwe. Taką wiadomość możemy jednak również otrzymać, nic nie kupując, a to najprawdopodobniej oznacza, że ktoś, posługując się właśnie naszymi danymi, próbuje robić zakupy w sieci.

[srodtytul]Nie tylko w banku[/srodtytul]

Dla większości z nas ochrona informacji umożliwiających przechwycenie danych pozwalających na dostęp do naszego bankowego konta bankowości elektronicznej jest najważniejsza. Konsekwencje ataku hakera mogą być bardzo dotkliwe. Ale nasze dane mogą być wykorzystane bez wiedzy i świadomości także w inny sposób: poprzez osoby i firmy zasypujące spamem – niechcianą korespondencją – naszą skrzynkę internetową czy instytucje, które nie wiadomo skąd dysponują naszym imieniem, nazwiskiem, adresem.

Do Departamentu Orzecznictwa, Legislacji i Skarg GIODO w 2007 roku wpłynęło 796, a w 2008 roku 968 skarg dotyczących łamania ustawy o ochronie danych osobowych (nie wszystkie okazały się uzasadnione). Dotyczyły m.in.: przetwarzania danych osobowych po zaprzestaniu działalności, na poczet której zostały zebrane, przetwarzania danych osobowych w celach marketingowych (np. wysyłanie ulotek, wysyłanie informacji marketingowych na wyciągach bankowych), niedopełnienia przez administratorów danych obowiązku informacyjnego wynikającego z art. 33 ustawy o ochronie danych osobowych. Zgodnie z nim możemy wystąpić do banku, firmy, organizacji wykorzystującej nasze dane z pytaniem, jakimi danymi dysponuje, w jaki sposób zostały zebrane, w jakim celu i zakresie są przetwarzane, komu i dlaczego zostały udostępnione. Odpowiedź musimy otrzymać w ciągu 30 dni.

Skargi związane z danymi przetwarzanymi w instytucjach finansowych dotyczyły natomiast głównie kradzieży tożsamości przez pracowników banku, naruszenia ustawy o ochronie danych osobowych przy cesji wierzytelności oraz umieszczania i przekazywania danych do Biura Informacji Kredytowej.

—Marta Dwořak

[ramka][b]Dane osobowe i twój komputer[/b]

Według prawa dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Taką osobą jest ktoś, kogo tożsamość można określić bezpośrednio lub pośrednio, np. przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jego cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Gdy określenie tożsamości wymaga nadmiernych kosztów, czasu i działań, to informacja nie jest uznawana za dane osobowe. Coraz częściej więc za dane osobowe uznawane są np. numery IP komputerów, zwłaszcza domowych, przypisanych konkretnemu użytkownikowi.

Zakazowi przetwarzania danych

(z wyjątkiem sytuacji, w których zezwalają na to szczególne przepisy) podlegają tzw. dane wrażliwe. Dotyczą one: pochodzenia etnicznego i rasowego, poglądów politycznych, światopoglądu, przekonań religijnych, przynależności do partii, związków, stanu zdrowia, kodu genetycznego, nałogów, życia seksualnego, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.[/ramka]

[ramka]Zasady ochrony danych osobowych regulują:

[ul][li]ustawa z 29 sierpnia 1997 r. [/li][/ul]o ochronie danych osobowych,

[ul][li] rozporządzenie ministra spraw [/li][/ul]wewnętrznych i administracji

z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia

i systemy informatyczne służące do przetwarzania danych osobowych

[ul][li] rozporządzenie ministra spraw wewnętrznych i administracji [/li][/ul]z 29 kwietnia 2004 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji generalnemu inspektorowi ochrony danych osobowych,

[ul][li] dyrektywa Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych, *dyrektywa Parlamentu Europejskiego i Rady z 15 grudnia 1997 r. [/li][/ul]w sprawie przetwarzania danych osobowych i ochrony prywatności

w dziedzinie telekomunikacji.[/ramka]

[ramka]Ze statystyk generalnego inspektora ochrony danych osobowych55 proc. Polaków wykazuje troskę o dane osobowe ujawniane w Internecie, co stawia nas na jednym z ostatnich miejsc wśród społeczeństw Unii Europejskiej.

Z drugiej strony 45 proc. z nas deklaruje, że zna oprogramowanie i narzędzia umożliwiające poprawę ochrony danych osobowych w Internecie.[/ramka]

[ramka]Przestępczość komputerowa