Polska zagrożona cyberatakami

Nawet 20 mln euro kary dla firm niechroniących odpowiednio danych osobowych pracowników czy kontrahentów – w przyszłym roku w życie wchodzi restrykcyjne i kosztowne unijne prawo o ochronie danych osobowych. Zdaniem ekspertów spowoduje ono wzrost liczby ataków na bazy danych i da im zarobić. Jak? Poprzez szantaż.

Nowe prawo ma zapewnić lepszą ochronę informacji o obywatelach Unii Europejskiej. Tymczasem zdaniem ekspertów efekty mogą być gorsze od zamierzeń.

– Możemy mieć do czynienia z paradoksem. Unijne prawo, mające na celu lepszą ochronę danych, może zaktywizować cyberprzestępców – mówi Przemysław Krejza, dyrektor ds. badań i rozwoju w Mediarecovery, katowickiej firmie, która zajmuje się informatyką śledczą. – Firmy będące ofiarą cyberkradzieży staną przed dylematem: czy zgłosić ten fakt odpowiednim organom i zapłacić wielomilionową karę, czy lepiej zapłacić okup – tłumaczy.

Okup za nieszczelność

Chodzi o gigantyczne pieniądze: unijne rozporządzenie przewiduje nawet 20 mln euro kary za nieszczelną ochronę danych, co może wpłynąć na podatność firm na szantaż. Niedochowanie procedur zapewniających ochronę danych osobowych może skończyć się karą grzywny, ograniczenia wolności albo pozbawienia wolności do lat dwóch. Unijny regulator nakłada jeszcze bardziej dotkliwe sankcje, takie jak karę administracyjną do 10 mln euro lub 2 proc. łącznego obrotu oraz 20 mln euro lub 4 proc. łącznego obrotu – za brak zabezpieczenia danych. – Tak dotkliwe konsekwencje mogą być nie do udźwignięcia dla placówek publicznych czy małych przedsiębiorstw – przyznaje Jakub Sierakowski, ekspert UseCrypt.

Cyberprzestępcy nie będą żądać aż tak wielkich sum.

– Zwykle żądania okupu w przypadku kradzieży danych osobowych to kwoty od kilkudziesięciu do kilkuset tysięcy złotych w zależności od rozmiaru skradzionej bazy danych – dodaje dyrektor Krejza z Mediarecovery.

O tym, że to zagrożenie realne, pokazuje głośna sprawa ataku hakerskiego na znaną kancelarię adwokacką z Warszawy Drzewiecki, Tomaszek i Wspólnicy.

Dane jej prestiżowych klientów wykradli hakerzy dzięki wysłaniu e-mailem oprogramowania służącego do kradzieży danych tzw. mallware. Kancelaria wyznaczyła 100 tys. zł nagrody za wskazanie sprawcy, śledztwo wszczęła prokuratura w Warszawie. Wiadomo tylko, że zrobił to haker o nicku „fiat126pteam", który włamał się poprzez wysłanie fałszywego zapytania ofertowego – najprawdopodobniej wysłanego do setek kancelarii w całej Polsce. Co ważne – kancelaria miała najwyższy stopień zabezpieczenia informatycznego, a do systemu kancelarii włamano się za pomocą firmy informatycznej, która ich obsługiwała.

Prokuraturze nie udało się ustalić sprawców.

– Postępowanie jest zawieszone, czekamy na pomoc prawną z Panamy – mówi nam prok. Michał Dziekański, rzecznik Prokuratury Okręgowej w Warszawie.

Szantaż stosowany przez cyberprzestępców to coraz częściej wykorzystywany sposób łatwego zarobku.

Sposobów jest dużo. – Wśród nich znajdziemy sieci komputerów zombi do wynajęcia, serwisy aukcyjne, gdzie można sprzedać skradzione dane, programy szyfrujące dane i żądające pieniędzy za ponowny dostęp do nich, a wreszcie żądania okupu za skradzione informacje – wylicza Krejza.

Ataki z Ameryki

Według Check Point Software Technologies Polska jest szóstym najbardziej zagrożonym cyberatakami krajem w Europie – po Macedonii (69,6), Gruzji (62,6) i Albanii (53,3). Malware WannaCry oraz Fireball zaraziły już ponad 25 proc. światowych sieci korporacyjnych.

Potwierdzają to dane PwC. Jak wynika z badań PwC, w Polsce 96 proc. firm doświadczyło co najmniej 50 ataków w ciągu roku (codziennie na świecie następuje ponad 26 tys. ataków), jednocześnie wzrosły koszty wynikające z cyberataków. Średni koszt jednorazowego ataku na polską firmę sięga 1,5 mln zł. Z kolei analizy Threat Cloud Map wskazują, że największa część ataków na Polskie komputery pochodziła z amerykańskich IP.

Jeśli unijne prawo wejdzie w życie, cyberprzestępcy po dokonaniu kradzieży lub znalezieniu luki pozwalającej na taką kradzież mogą szantażować firmę, że zgłoszą to do odpowiednich organów. Można zakładać, że duża część z nich ulegnie szantażowi, by nie narazić się na karę ze strony urzędu. – Jednak firma łamiąca prawo nie ma gwarancji, że cyberprzestępca nie zgłosi niedostatecznego zabezpieczenia danych osobowych odpowiednim służbom – dodaje Krejza.

Jak zwiększyć bezpieczeństwo danych osobowych?

Firmy mają do dyspozycji wiele rozwiązań. Od najprostszych, poprzez bardziej rozwinięte, np. EnCase eDiscovery pozwalający przeprowadzać złożone analizy incydentów dotyczących danych, po naprawdę zaawansowane, takie jak GRC (Governance, Risk, Compliance), które łączy w sobie zarówno rozwiązania techniczne, jak i te prawno-organizacyjne.