Jakie lekcje z wycieków danych powinien wyciągnąć biznes
Jacek Grzechowiak
Kwiecień 2021 r. przyniósł poważny incydent, jakim był duży wyciek danych osobowych z jednego z serwerów rządowych. W sieci znalazł się plik Excel, który zawierał informacje identyfikujące funkcjonariuszy policji, służby celno-skarbowej, Służby Ochrony Państwa, administracji skarbowej, Straży Granicznej, Straży Pożarnej (w tym strażaków ochotniczych straży pożarnych), Inspekcji Transportu Drogowego, straży miejskiej, straży ochrony kolei czy służby więziennej. Ujawnieniu uległy takie dane, jak imiona, nazwiska, numery PESEL, adres miejsca pracy, pełna nazwa jednostki pełnienia służby, numery telefonów i adresy e-mail. Zakres danych był więc znaczny, a ich liczba przekraczała 20 tysięcy.
Wszystkie te informacje dotyczyły osób, które zostały zgłoszone do programu szczepień, stąd tak szeroki zakres instytucji, w których są one zatrudnione lub pełnią służbę. To było również powodem utworzenia tego zbioru danych z wykorzystaniem popularnej aplikacji biurowej. Mamy więc do czynienia z procesem spotykanym powszechnie w wielu organizacjach biznesowych, gdzie różnego rodzaju wykazy osób szkolonych, uczestników konferencji czy zestawienia klientów są tworzone właśnie w ten sam sposób. Wkrótce dojdzie kolejny wykaz, co do zasady identyczny. Umożliwienie przedsiębiorcom samodzielnej realizacji szczepień jest bowiem obwarowane wymogiem zgromadzenia 300 chętnych, a więc w naturalny sposób wymagające tego typu wykazów. Z dużym prawdopodobieństwem one również będą tworzone w arkuszu Excel, a przynajmniej w części przedsiębiorstwa będą zapewne opracowywane na platformach współdzielonych, co będzie związane z ryzykiem nieuprawnionego dostępu.
Wyciek już sam w sobie stwarza szereg zagrożeń, jednak, jak twierdzi Biuro Rzecznika Praw Obywatelskich: W przypadku funkcjonariuszy publicznych jeszcze większe zagrożenie wiąże się z możliwością wkroczenia w życie prywatne poprzez niechciane telefony czy korespondencję, a nawet wykorzystanie możliwości kontaktu do wywierania wpływu lub podejmowanie działań w celu pozbawienia ich zaufania publicznego…1. Mimo że w biznesie nie będziemy raczej mieli do czynienia z funkcjonariuszami publicznymi (choć nie należy tego wykluczać, wszak znane są przypadki, że funkcjonariusze publiczni „dorabiają” w firmach prywatnych), to jednak ich dane zapewne nie znajdą się w tych wykazach, bo ta grupa została już zaszczepiona. Tym niemniej nie oznacza to, że wykaz biznesowy nie będzie zawierał danych wrażliwych. Co do zasady będą w nim przecież dane osobowe, a przez identyfikowanie stanowisk służbowych czy działów firmy może wchodzić w grę tajemnica przedsiębiorstwa. Jest więc powód do zastanowienia się, co w praktyce może powodować nieuprawnione ujawnienie takich danych.
A jak widać z praktyki, jest o czym myśleć, bo to nie pierwszy taki przypadek, choć patrząc z perspektywy ilości danych oraz profilu osób, których dotyczą, wydaje się najpoważniejszy. W jaki sposób tego typu zagrożenie może się zmaterializować, pokazuje historia innego wycieku, do jakiego doszło w styczniu tego roku z Platformy Szkoleniowej Krajowej Szkoły Sądownictwa i Prokuratury. W jego wyniku uzyskano w sposób nieautoryzowany dostęp do danych ponad 400 osób, wchodząc w posiadanie numerów telefonów oraz prywatnych adresów poczty elektronicznej. Informacje te zostały wykorzystane do skierowania wobec adresatów spersonalizowanych gróźb, m.in. pozbawienia życia.
Dane, które wyciekły, zostały wykorzystane do skierowania wobec adresatów spersonalizowanych gróźb, m.in. pozbawienia życia
Tego typu incydenty zdarzają się wszędzie, a nasz 20-tysięczny zbiór danych w konfrontacji z – mającym miejsce także w tym roku – wyciekiem w Brazylii2, kiedy to do sieci wyciekły 223 mln danych, czyli więcej niż liczy populacja tego kraju, wydaje się niewielki. Pozostawiając kwestie cyberbezpieczeństwa oraz
RODO specjalistom w tym zakresie, chciałbym skupić się na innych potencjalnych problemach, jakich tego typu incydenty mogą przysporzyć biznesowi. A sprawa jest istotna i jak najbardziej „na czasie”, w obecnej sytuacji epidemiologicznej bowiem różnego rodzaju wykazy już stały się powszechne, a możliwość tworzenia przez przedsiębiorstwa własnych punktów szczepień sprawia naturalną okazję do tworzenia kolejnego wykazu. W ten sposób niektóre organizacje biznesowe będą przygotowywały analogiczne wykazy do tego, który wyciekł do sieci w kwietniu.
Jednym ze sposobów zbierania informacji jest metoda mozaikowa, dlatego poszczególne wycieki danych powinny być rozpatrywane nie tylko jako pojedyncze zdarzenia, ale też jako przesłanki do wystąpienia kolejnych incydentów, do których może dojść w przypadku połączenia danych uzyskanych w trakcie różnych wycieków. Wzorem innych działalności przestępczych czy działań służb specjalnych, w których ramach dochodzi do sprzedaży lub wymiany informacji i know-how, także i tutaj może zdarzyć się tego typu sytuacja, dlatego niezbędne jest rozważenie zagrożeń już zidentyfikowanych oraz potencjalnych – jeszcze niewystępujących, choć pewnie bezpieczniej będzie powiedzieć: takich, o których wystąpieniu nie wiadomo publicznie.
Poszczególne wycieki danych powinny być rozpatrywane nie tylko jako pojedyncze zdarzenia, ale także jako przesłanki do wystąpienia kolejnych incydentów
Skoro więc mieliśmy już przypadki targetowania (obierania za cel) w odniesieniu do pracowników wymiaru sprawiedliwości, należy przyjąć, że takie samo działanie może być skierowane do biznesu, a jego celem będą przede wszystkim osoby decyzyjne i mające szczególne znaczenie dla ciągłości działania przedsiębiorstwa. Lista tworzona na potrzeby realizacji programu szczepień w zakładzie pracy z pewnością stanie się gotowym materiałem z precyzyjnie zdefiniowaną grupą odbiorców. Tym samym będzie to materiał wrażliwy, którego nieuprawnione ujawnienie może prowadzić do wielu zagrożeń, poczynając od kierowania do tych pracowników informacji dyskredytujących pracodawcę, poprzez wszelkiego rodzaju próby docierania z produktami, usługami i propozycjami korupcyjnymi, po agresywną ingerencję w życie prywatne pracowników, a nawet różne formy zastraszania, zmuszając ich do skupienia uwagi na rozwiązywaniu osobistych problemów, przez co pośrednio zostanie zmniejszona ich wydajność w pracy.
Zagrożenie może pójść dalej. Coraz częściej pojawiają się informacje wskazujące na agresywne kampanie fake newsów wobec różnych firm czy ich produktów. I tak np. posiadanie wiarygodnej bazy danych pracowników pozwala na podjęcie tego typu działań w sposób jeszcze bardziej sprofilowany, odnoszący się nie tylko do firmy, ale także do poszczególnych jej działów czy wręcz konkretnych pracowników i w ten sposób oddziałujący jeszcze bardziej destrukcyjnie. Takie dane pozwalają bowiem na kierowanie fałszywych wiadomości w sposób selektywny, np. poprzez przesyłanie destrukcyjnych komunikatów do wybranej grupy pracowników, tylko z jednego działu lub o jednej specjalności. To swego rodzaju broń precyzyjnego rażenia pozwalająca nawet na wywołanie kryzysu wewnątrz konkurencyjnego przedsiębiorstwa.
Czy to science fiction? Nie sądzę. Tego typu przypadki miały już miejsce i to w czasach, gdy wycieki danych nie były jeszcze w ogóle w polu naszego widzenia. Wyobraźmy sobie następującą sytuację: firma modernizuje linię produkcyjną, kupuje nową innowacyjną maszynę, szkoli zespół pracowników do jej obsługi, a w tym samym czasie ta właśnie grupa pracowników zostaje „zaatakowana” informacją np. o problemach z płynnością finansową swojego pracodawcy, która wzbudza u nich obawy o stabilność zatrudnienia, a tym samym zdolność pokrycia zobowiązań finansowych. Rodzi się pytanie, skąd atakujący wiedzieli, jakich informacji użyć.
Tu właśnie przychodzi im z pomocą metoda mozaikowa, za pomocą której dane z różnych wycieków mogą „skleić” i w ten sposób stworzyć spójny obraz i adekwatny model działania. Dzięki temu w tym samym czasie „atakowani” pracownicy zaczynają otrzymywać ciekawe oferty pracy, spersonalizowane, kierowane przez osoby, które najwyraźniej dokładnie znają ich kompetencje i je „doceniają”… Tak przeprowadzona operacja, nawet gdyby bazowała na fałszywych ofertach pracy, może zaburzyć projekt, a jeśli osoby poddane takiemu działaniu odczują niepewność, potrzeba poszukiwania pracy pojawi się u nich w sposób naturalny, co może doprowadzić do problemu z wdrożeniem tej przykładowej modernizacji linii produkcyjnej. Modernizacja linii produkcyjnej jest tu oczywiście tylko przykładem.
Kolejnym zagrożeniem jest precyzyjne niszczenie reputacji – zarówno przedsiębiorstwa, jak i jego pracowników. Niedawno mieliśmy okazję obserwować, w jaki sposób, dzięki posiadanym numerom telefonów oraz danych ich użytkowników, Aleksiej Nawalny był w stanie pozyskać dużą ilość informacji o zamachu na jego życie, dzwoniąc bezpośrednio do osób zaangażowanych w tę sprawę. To uzmysławia nam, że skoro w służbach specjalnych telefonicznie można uzyskać wrażliwe informacje, tym bardziej będzie to możliwe w organizacjach, w których poufność nie ma tak wysokiego priorytetu. Tak więc wyciek danych z telefonami daje możliwość kontaktu z osobami, od których analogicznymi metodami można pozyskać wrażliwe informacje biznesowe, i nie tylko. To obszar szczególnie ryzykowny, w ten sposób bowiem można pozyskać nie tylko tajemnice firmowe, ale także informacje budujące wiedzę o sprawach wewnętrznych, relacjach, atmosferze panującej w infiltrowanym przedsiębiorstwie. A stąd już jest bardzo blisko do zagrożeń dużo poważniejszych, łącznie z działaniami w zakresie szantażu i niszczenia reputacji.
Wreszcie możliwość bezpośredniego bądź pośredniego wywierania presji. Wyciek danych, zwłaszcza z numerami telefonów, pozwala na bezpośredni kontakt z wybranymi pracownikami. W ten sposób pracownik będzie angażowany w niepożądaną komunikację, niosącą jeszcze większy ładunek emocjonalny niż komunikacja e-mailowa, a przy dużym natężeniu niechcianych telefonów i wiadomości tekstowych czy multimedialnych może wystąpić potrzeba zmiany numeru telefonu, co powoduje kolejne problemy natury organizacyjnej.
Jak wiadomo, wyciek danych z platformy szkoleniowej KSSiP zmaterializował się wysyłaniem wiadomości z bramki internetowej, ale każdy SMS sprawca zaczynał od poprawnego imienia adresata. Dlaczego więc nie miałoby tak stać się w przypadku biznesu? Kluczowy jest motyw. Jeśli będzie, działanie takie jest w biznesie równie prawdopodobne, jak w sektorze publicznym. A walka konkurencyjna takim motywem bezsprzecznie może być, bo przecież wiadomo, że nie wszyscy konkurenci zachowują się etycznie, tym bardziej środowisko przestępcze.
Jak więc widać, wykazy i listy przygotowywane w różnych celach mogą nieść duży ładunek ryzyka, dlatego każde tego typu działanie należy rozpatrywać z różnych perspektyw, także szukając zagrożeń pozornie z nimi niezwiązanych. Stąd kolejny wniosek, że świadomość ciągle jest sprawą kluczową, zarówno na etapie tworzenia baz danych, nawet tych „chwilowych”, jak wykazy osób szczepionych, jak i na etapie zarządzania systemami informatycznymi i w zakresie zasad pozyskiwania, a zwłaszcza przekazywania informacji.
Świadomość bezpieczeństwa informacji gromadzonych w systemach IT w obecnych czasach jest widoczna niemal na każdym kroku. Jednak (jak pokazują przykładowe incydenty) pomyłki zdarzają się wszędzie, a więc niezbędne jest tworzenie procedur reagowania zarówno na incydent, jak i incydenty wtórne. W ten sposób RODO pomaga zarządzać ryzykiem przedsiębiorstwa, ale postrzeganie tych regulacji tylko przez pryzmat wysokich kar jest błędne.
Drugim ważnym ogniwem tego systemu jest bezpieczeństwo informacji posiadanych przez nas. Tematowi temu poświęcony był artykuł „Bezpieczeństwo informacji z perspektywy praktyka”3. W przypadkach zagrożenia wyciekiem informacji – kiedy to każdy z nas może być nie tylko celem ataku, ale także elementem ataku, z reguły nieświadomym – umiejętność właściwego dysponowania posiadanymi informacjami, zachowanie zasady wiedzy koniecznej w rozmowach i komunikacji e-mailowej jest tak samo ważne, jak cały kompleks bezpieczeństwa cybernetycznego. Stąd tak duża rola kształtowania świadomości bezpieczeństwa informacyjnego.
Wreszcie aspekt łączący nasze życie osobiste z biznesowym. Numery telefonów, adresy poczty elektronicznej, a przed wszystkim dane jeszcze bardziej wrażliwe, takie jak numer PESEL, łączą nasze bezpieczeństwo osobiste z bezpieczeństwem przedsiębiorstwa, w którym pracujemy. Dane te pozwalają nam autoryzować osobiste transakcje i decyzje, ale także funkcjonują w autoryzowaniu decyzji podejmowanych w imieniu pracodawcy. Stąd obie strony powinny zapewnić ochronę tych danych, a jej sposób musi być przemyślany jeszcze przed rozpoczęciem ich przetwarzania.
1) https://www.cyberdefence24.pl/wyciek-danych-z-rcb-co-zrobiono-by-chronic-funkcjonariuszy (dostęp: 5.05.2021).
2) https://gdpr.pl/prawdopodobnie-najwiekszy-dotychczas-wyciek-danych-osobowych (dostęp: 5.05.2021).
3) https://aspolska.pl/bezpieczenstwo-informacji-perspektywy-praktyka/ (dostęp: 5.05.2021).
|