Cyberhigiena potrzebna od zaraz

Dane na tacy
Ryzyko, że informacje dotyczące Polaków zostaną wykradzione z urzędowych i ministerialnych komputerów, jest ogromne. A dzięki nim można przecież kogoś okraść albo szantażować.
Wydatki na cyberochronę traktowane są często przez administracje jako zbędny koszt.
Getty Images

Wydatki na cyberochronę traktowane są często przez administracje jako zbędny koszt.

Cyberprzestępcy sprzedają na czarnym rynku wykradzione bazy z milionami profili.
OleGunar/PantherMedia

Cyberprzestępcy sprzedają na czarnym rynku wykradzione bazy z milionami profili.

audio

AudioPolityka Bartosz Józefiak - Dane na tacy

Pod koniec sierpnia media alarmowały o ogromnym wycieku z krajowej bazy PESEL. Z serwerów pięciu wielkich kancelarii komorniczych wysłano zapytania o dane milionów Polaków. Głównie nocą. Sprawą zajęła się prokuratura. Padło podejrzenie, że komputery kancelarii przejęli hakerzy. Za pomocą wirusa kradli informacje z rządowych baz. Przestępcy będą mogli brać kredyty na nazwiska osób, których dane zdobyli. Po paru dniach afera PESEL przygasła. Dane najprawdopodobniej legalnie pobierali sami komornicy. Obywatele odetchnęli z ulgą. Niesłusznie.

Rządowa baza PESEL zawiera m.in. informacje o nazwisku, adresie, dacie urodzenia, nazwisku małżonka, dacie ślubu, dacie rozwodu, numerze dowodu osobistego, a nawet sygnaturze akt rozwodowych. Oszustwa kredytowe to tylko jeden ze sposobów, w jaki można spieniężyć te wiadomości. – Każde bazy danych, które mówią cokolwiek o naszej sytuacji finansowej, przyzwyczajeniach, zachowaniach, są cenne. Np. zestaw informacji potrzebnych do podpisania umowy na konto słupa to jedna z cenniejszych rzeczy w świecie przestępstw komputerowych – tłumaczy Mirosław Maj, prezes fundacji Bezpieczna Cyberprzestrzeń. – Z kolei informacje o sytuacji zdrowotnej mogą być wykorzystane do zniszczenia reputacji ofiary, ale także do oszacowania ryzyka ubezpieczeniowego.

Cyberprzestępca, który sporo wie o ofierze, z łatwością będzie mógł udawać przedstawiciela instytucji: banku, urzędu skarbowego czy operatora komórkowego. Jeden mail lub telefon pozwoli mu wyciągnąć kolejne wrażliwe dane, np. hasło do bankowego konta internetowego. Może też przypomnieć swojemu „klientowi”, że zalega z opłatami. Pogrozi komornikiem, więc zdezorientowana ofiara szybko przeleje pieniądze na wskazane konto. Tego typu działania nazywają się social engineering, inżynieria społeczna, bo wykorzystują wiedzę o atakowanym.

Często wiadomości są sprzedawane po to, by spamować nasze skrzynki reklamami, w dodatku profilowanymi pod konkretną osobę. Informacje o nas chętnie kupią firmy zarejestrowane w krajach, gdzie prawo nie chroni danych osobowych, np. w Tajlandii. Tym bardziej że za nasz kompletny profil nabywca zapłaciłby niecały 1 zł.

Sprzedam kupię wszelkie dane

Cyberprzestępcy sprzedają na czarnym rynku wykradzione bazy z milionami profili. Po wiadomości o obywatelach chętnie sięgają też szpiedzy. – Informacje mają potencjał polityczny i ekonomiczny. Jeśli ktoś będzie potrzebował wiedzy o instytucji lub firmie, w której pracuję, to dzięki bazie danych będzie miał instrumenty, żeby na mnie naciskać. Dowie się np., że mam chorą mamę w domu opieki społecznej, ile mam dzieci, w jakim wieku, gdzie mieszkają. W ten sposób obcy wywiad łatwo znajdzie osoby, z którymi może nawiązać współpracę lub zmusić je do działania. To duża karta przetargowa w polityce międzynarodowej – mówi dr Joanna Kulesza z Uniwersytetu Łódzkiego, ekspertka Rady Europy ds. cyberbezpieczeństwa.

Nie jest to jedynie political fiction. Przykładem historia z USA, gdzie w 2014 r. wyciekły informacje o 21 mln pracowników rządu federalnego. Oskarżono o to hakerów działających na zlecenie chińskiego rządu. Z kolei z rządowej bazy w Meksyku skradziono wiadomości o 93 mln obywateli. Wybuchła panika. Takie informacje to łakomy kąsek dla karteli narkotykowych, które dzięki nim mają swoich przeciwników i ich rodziny na widelcu.

Polacy też nie mają powodów, by czuć się bezpiecznie. Badania pokazują, że tylko 13 proc. organizacji prowadzi tzw. politykę bezpieczeństwa, ma i respektuje wytyczne dotyczące ochrony informacji. To jeden z najniższych wskaźników w Europie, gdzie średnia to ponad 30 proc. Złudzeń nie pozostawia Najwyższa Izba Kontroli, która w maju przedstawiła raport o bezpieczeństwie rządowych systemów informatycznych. Pod lupę wzięto KRUS (system Farmer), NFZ (eWUŚ), Straż Graniczną (centralna baza danych), Ministerstwo Sprawiedliwości (system elektronicznej księgi wieczystej), MSW (baza paszportowa) oraz Ministerstwo Skarbu Państwa. Wniosek? Administracja kompletnie lekceważy problem cyberbezpieczeństwa. – Szefowie instytucji nie byli świadomi problemu – mówi Marek Bieńkowski, dyrektor Departamentu Porządku i Bezpieczeństwa Wewnętrznego NIK. – Mówimy o danych medycznych, imionach, adresach, numerach PESEL obywateli. Groźba wycieku takich informacji to poważna sprawa.

Rząd stwarza zagrożenia

Kontrola pokazała, że w organizacjach brakuje standardów i regulacji dla cyberochrony. Ich szefowie zlecali co prawda audyty, ale wyniki trafiały na dno szuflad. Za bezpieczeństwo systemów, w jakich przechowywane są dane milionów Polaków, często odpowiedzialny jest jeden informatyk, w dodatku niemający pieniędzy i realnego wpływu na instytucję. Wydatki na cyberochronę traktowane są przez administrację jako zbędny koszt. Szeregowi pracownicy i szefowie działów w ogóle się tym tematem nie zajmują.

Za bezpieczeństwo informacji odpowiada cała organizacja, każdy z pracowników. Procedury powinny być jasne i kontrolowane. Cóż z tego, że mamy zaszyfrowane bazy danych w systemie, skoro możemy swobodnie przekopiować te dane na dysk wymienny, bez żadnej procedury wrzucić go do kieszeni i przewieźć na drugi koniec miasta. Gdzie tu bezpieczeństwo? – pyta Marek Bieńkowski.

Kontrola dotyczyła okresu, gdy rządy sprawowała PO. Czy za czasów PiS wiele się zmieniło? Sprawdzone instytucje deklarują, że tak. Niechętnie jednak dzielą się szczegółami, co do tej pory zrobiono. Prawdy dowiemy się zapewne po kolejnej kontroli NIK, którą zapowiedziano na 2018 r.

Rząd PiS deklaruje, że cyberbezpieczeństwo to dla niego priorytet, ale sam stwarza nowe zagrożenia. Sztandarowy przykład to program Rodzina 500 plus, na potrzeby którego gromadzone są informacje kompletnie niepotrzebne do wypłacania świadczeń. Dostęp do wrażliwych danych ma szeregowy urzędnik w każdej gminie. W takim wypadku ryzyko wycieku jest bardzo duże. Przy ustawie wprowadzającej 500 plus po raz pierwszy w Polsce zgromadzono tak szeroki zakres danych, do których tak wiele osób ma łatwy dostęp.

W ustawie o 500 plus pojawia się pojęcie zbiorowego administratora danych. Zasada jest jednak taka, że jeżeli jakiś urzędnik przetwarza dane obywateli, to właśnie on musi zapewnić im bezpieczeństwo. Tutaj mamy podmiot zbiorowy: wszyscy pracownicy administracji, którzy pracują przy wypłacaniu świadczeń, mają dostęp do poufnych informacji. Chodzi m.in. o szeregowych pracowników urzędów gmin i MOPS. To rozmywa indywidualną odpowiedzialność za przetwarzanie danych. I zwiększa ryzyko wycieku – twierdzi dr Kulesza.

Wystarczy, że jeden z urzędników przyniesie zarażonego wirusem pendrive’a do pracy albo otworzy niewłaściwą stronę na służbowym komputerze. Pozwoli sobie zhakować komputer i tym samym otworzy rządowe serwery dla cyberprzestępców. Nie można też wykluczyć sytuacji, gdy kryminaliści znajdą sojusznika wśród pracowników instytucji. Przy tak dużej liczbie osób korzystających z baz danych znalezienie źródła wycieku graniczyłoby z cudem.

O problemie alarmowali rzecznik praw obywatelskich i generalny inspektor ochrony danych osobowych. RPO i GIODO zgłaszali uwagi do projektu ustawy wprowadzającej 500 plus, ale nie zostały uwzględnione. Lista zastrzeżeń jest dłuższa. Resort rodziny na potrzeby programu utworzył centralny rejestr, gdzie gromadzi informacje zebrane przez samorządy. Osoby ubiegające się o świadczenie podają m.in. swój stan cywilny, numer dowodu osobistego, adres zamieszkania, orzeczenie o niepełnosprawności, dochody. Z ustawy nie wynika, po co gromadzone są tak szczegółowe dane. W dodatku rząd chce je trzymać aż przez 10 lat. Łamie to przepisy ustawy o ochronie danych osobowych i unijne regulacje. Po co ministerstwu takie informacje? Magdalena Bukowska z resortu rodziny tłumaczy, że rejestr centralny pomoże samorządom sprawdzić, czy ta sama osoba nie pobiera pieniędzy w dwóch różnych miejscach. Poza tym informacje przydadzą się do statystyk i sprawdzania, kto pobiera świadczenie. Rząd będzie mógł łatwo prognozować, ile pieniędzy będzie potrzebować na 500 plus w przyszłości. Co z tym wspólnego mają informacje np. o czyjejś niepełnosprawności, tego resort nie wyjaśnia. Bukowska zapewnia, że dane gromadzone w rejestrze urzędnicy będą analizować bez sprawdzania, kogo dokładnie dotyczą.

Tak szeroki rejestr spędza sen z powiek ekspertów od cyberbezpieczeństwa. – Wszyscy znamy historię Edwarda Snowdena. W Polsce może dojść do podobnych wycieków w mniej szczytnych celach. Jeśli nie zablokujemy możliwości, by z systemów administracji można było w jednym momencie ściągnąć całą bazę danych bez szczególnego, wysoko kontrolowanego uprawnienia, to sami tworzymy takie ryzyko. Po prostu ktoś skopiuje całą bazę, wyniesie z urzędu i sprzeda, bo ona ma swoją wartość rynkową. Niemałą – tłumaczy Mirosław Maj.

Miliony na ochronę

Ministerstwo Cyfryzacji obiecywało wzmocnić ochronę rządowych baz danych. Deklarowano, że powstanie system wczesnego ostrzegania przed cyberzagrożeniami oraz jednostka, która będzie odpowiadać za ochronę całej sieci rządowej. Ze wsparciem marszałków województw komórki do spraw ochrony sieci pojawić się miały w samorządach. Sytuację prawną uporządkować miała najpierw krajowa strategia cyberbezpieczeństwa (przyjęta w tym roku), a następnie ustawa o cyberbezpieczeństwie, którą zobaczyć mamy w połowie 2017 r. Jej powstanie wymusza unijna dyrektywa. – Wprowadzamy trzypoziomowe zabezpieczenia cyberprzestrzeni. Pierwsza warstwa to monitorowanie granicznych punktów wymiany internetu. Drugi poziom to stworzenie klastrów bezpieczeństwa dla systemów rządowych i regionalnych. Trzeci to stworzenie mechanizmów zabezpieczenia baz danych i serwisów rządowych. Chcemy rozdzielić użytkowników od administratorów i przygotować zasady tworzenia kopii zapasowych – tłumaczy gen. Włodzimierz Nowak, pełnomocnik ministra cyfryzacji ds. cyberbezpieczeństwa.

Przedstawiciele resortu zakładają, że w 2017 r. ministerstwo wyda na ochronę danych 40–60 mln zł. To pozwoli na wyposażenie narodowego centrum cyberbezpieczeństwa i zbudowanie klastra rządowego. W kolejnym roku ma to być 70 mln zł. Tym razem do programu dorzucić się miałyby samorządy. Pieniędzy minister cyfryzacji zamierza szukać także w funduszach unijnych. Założenia wydają się jednak zbyt optymistyczne. W połowie listopada, podczas spotkania zorganizowanego przez Amerykańską Izbę Handlową w Warszawie, minister cyfryzacji Anna Streżyńska poskarżyła się, że zaledwie ułamek potrzebnej kwoty zapewniono w przyszłorocznym budżecie.

Jeżeli resort cyfryzacji naprawdę chce zrealizować swoje plany, to mówimy o wydatkach idących w setki milionów złotych każdego roku – ocenia Mirosław Maj. Poza tym inwestycja w sprzęt i ekspertów to tylko częściowe rozwiązanie. Równie ważne są procedury i cyberhigiena – świadomość wszystkich pracowników administracji, co wolno, a czego nie. Bez tego następny news o wycieku naszych danych to kwestia czasu. Tym razem może się nie skończyć na medialnej panice.

Czytaj także

Ważne tematy społeczne

W nowej POLITYCE

Zobacz pełny spis treści »

Poleć stronę

Zamknij
Facebook Twitter Google+ Wykop Poleć Skomentuj

Ta strona do poprawnego działania wymaga włączenia mechanizmu "ciasteczek" w przeglądarce.

Powrót na stronę główną