Polski Barometr Cybebezpieczeństwa Społecznego 2019
dr Krzysztof Gawkowski
dyrektor Polskiego Instytutu Cyberbezpieczeństwa
Pierwsze badanie Polaków w cyberprzestrzeni
Polacy coraz bardziej mobilni, ale mało świadomi zagrożeń
Nowoczesne technologie zmieniają zarówno Polskę, jak i całą naszą cywilizację. Integracja cyfrowa stała się już zjawiskiem powszechnym, a jeszcze nie tak dawno telefon przewodowy był szczytem technologicznego postępu. Podstawą życia jednostki i wielkich korporacji stała się szybka wymiana informacji. Tak sformułowane zapotrzebowanie społeczne przesunęło środek ciężkości komunikowania się w stronę rynku mobilnego. Wiąże się to z nowymi szansami i możliwościami dla biznesu i konsumentów.
Mobilny boom niesie jednak zagrożenia związane przede wszystkim z aktywnością cyberprzestępców, którzy na gruncie nowych trendów próbują i będą próbować osiągać swoje cele. Czy Polacy są przygotowani na niebezpieczeństwa wynikające z mobilnego dostępu do sieci? Czy rozumieją, że nowe technologie to nie tylko szansa na wygodniejsze życie, ale także wiele ograniczeń? Czy są świadomi zagrożeń i rosnącej skali cyberincydentów, których skutki mogą być groźne i dla użytkowników indywidualnych, i dla przedsiębiorstw oraz instytucji publicznych?
Zasygnalizowane zagadnienia stały się podstawą do przygotowania raportu #PolskiBarometrCybebezpieczeństwaSpołecznego2019 (#PBCS19). Autorem opracowania jest Polski Instytut Cyberbezpieczeństwa, który zlecił przeprowadzenie badania diagnozującego świadomość oraz opinie Polaków na temat współczesnych zagrożeń płynących z cyberprzestrzeni i świata wirtualnego. To pierwsza w Polsce tak szeroka i tak kompleksowa publikacja poświęcona tematyce cyberzagrożeń. Stanowi jednocześnie zaproszenie do publicznej dyskusji o tym, jak edukować polskie społeczeństwo, by skutecznie minimalizować ryzyka wynikające z codziennej aktywności człowieka w sieci oraz wpływu rozwoju technologicznego na nasze życie.
Raport ma być publikacją cykliczną, wydawaną raz w roku. Pozwoli na pogłębioną analizę trendów i zmian w poziomie wiedzy Polaków na tematy związane z korzystaniem z technologii mobilnych, Internetu Rzeczy, automatyzacji i bezpieczeństwa danych. Takie źródło aktualizowanej co roku wiedzy jest niezbędne wobec dynamicznych zmian, jakim poddany jest otaczający nas świat.
Rozwój komunikacji, postępująca informatyzacja, nieunikniony rozwój technologii wspierany sztuczną inteligencją wymagają ogromnej odpowiedzialności, opartej przede wszystkim na wiedzy i umiejętności korzystania z tych innowacji. Zarówno dostawcy różnych rozwiązań, jak i ich potencjalni użytkownicy powinni mieć świadomość, że to, co dla jednych jest komfortem i ułatwieniem życia codziennego w różnych jego aspektach, dla innych może być narzędziem realizacji przestępczych procederów, kradzieży danych czy tożsamości. Zrozumienie i zdefiniowanie źródeł zagrożenia jest tym bardziej konieczne, gdy okaże się, że duża grupa Polaków, mimo entuzjazmu wobec rozwoju technologicznego, wciąż nie jest świadoma ryzyka, z jakim ten rynek się wiąże.
Komunikacyjna rewolucja
Z badania Polskiego Instytutu Cyberbezpieczeństwa (PICB) wynika, że już 92 proc. Polaków posiada lub korzysta z telefonu komórkowego, z komputerów stacjonarnych – 78 proc. populacji, a co trzeci używa też innego urządzenia mobilnego (np. tabletu).
Wyniki badania pokazują jednak zaskakujące zróżnicowanie w zakresie stosowania oprogramowania antywirusowego na różnego typu urządzeniach. W przypadku użytkowników komputerów stacjonarnych z tej formy zabezpieczeń korzysta 89 proc. badanych, a tylko 5 proc. jednoznacznie udzieliło odpowiedzi negatywnej. Posiadacze telefonów komórkowych są pod tym względem bardziej nieostrożni.
Z oprogramowania antywirusowego korzysta bowiem tylko 6 proc. ankietowanych, 13 proc. nie wie, czy ma takie rozwiązanie, a 81 proc. jednoznacznie stwierdza, że nie stosuje takiej formy zabezpieczenia danych.
Badanie potwierdza również nonszalanckie podejście Polaków do ustawiania haseł. Zarówno w komputerach, smartfonach, jak i skrzynkach pocztowych, portalach społecznościowych czy innych aplikacjach daje się zauważyć brak rozsądku i rozwagi. Aż 11 proc. nigdy nie zmienia haseł, 21 proc. rzadziej niż w raz w roku. Największa grupa, bo 28 proc., dba o coroczną zmianę danych dostępowych. Najostrożniejsza grupa jest zdecydowanie w mniejszości, hasła raz w miesiącu zmienia tylko 9 proc. badanych, a raz na kwartał – 15 proc.
Czyhające niebezpieczeństwa
Brak oprogramowania antywirusowego to niejedyny dowód nieostrożności Polaków w korzystaniu z telefonów i innych urządzeń mobilnych. 76 proc. Polaków korzysta z internetu, ale tylko 32 proc. ma zabezpieczone hasłem łącze internetowe. Ponad 39 proc. go nie ma, a 29 proc. nie wie, jak na takie pytanie odpowiedzieć. Niemal co piąty ankietowany korzysta z niezabezpieczonych w żaden sposób publicznych sieci internetowych. Optymizmem napawa fakt, że jedynie 6 proc. Polaków użycza dostępu do Internetu innym osobom, 55 proc. deklaruje, że z publicznych sieci nie korzysta w ogóle.
Rosnąca skala cyberprzestępczości, o której efektach niemal codziennie informują światowe media, niestety nie skłania Polaków do podejmowania działań prewencyjnych, minimalizujących ryzyko sieciowych zagrożeń. Tymczasem co godzinę dochodzi na świecie do ok. 1000 zorganizowanych cyberataków. Aktywność cyberprzestępców rośnie, wiele ataków jest dziś skierowanych nie na globalne korporacje czy osoby o wysokim stopniu zamożności, ale na niewielkie firmy i użytkowników indywidualnych, których dostęp do sieci jest niezabezpieczony lub zabezpieczenia te są niewystarczające. Hakerzy działają globalnie, nie respektują granic, a przykre konsekwencje ich poczynań wcześniej czy później dosięgną wielu ludzi, nieostrożnie korzystających z niezabezpieczonych urządzeń mobilnych.
9 proc. Polaków deklaruje, że stało się celem różnych form cyberataku, np. zablokowania konta czy kradzieży danych. Rośnie liczba użytkowników telefonów komórkowych, którzy mają już takie doświadczenia. Ponadto wielu z nas nie potrafi jednoznacznie odpowiedzieć na pytanie, czy w przeszłości stało się ofiarami cyberprzestępców.
Tylko 11 proc. użytkowników telefonów uważa, że występuje duże zagrożenie związane z cyberprzestrzenią w szerokim ujęciu tego tematu, obejmującym zarówno urządzenia mobilne, jak i komputery osobiste czy powszechne korzystanie z Internetu. 16 proc. ankietowanych ocenia, że takie ryzyko jest większe w innych państwach Unii Europejskiej, a 38 proc. widzi takie zagrożenie, ale w ujęciu globalnym.
Celem ataków stają się nie tylko strony internetowe i wewnętrzne systemy wielkich korporacji, ale także systemy pocztowe czy nawet witryny polskich sklepów internetowych. Motywy działań hakerów są różne i nie zawsze chodzi o zwykłą kradzież pieniędzy z konta bankowego. Coraz częściej powodem masowych blokad rachunków czy kont jest ideologia, chęć zwrócenia uwagi na jakieś zjawisko, np. problemy grup etnicznych, sprzeciw wobec pogłębiania się dysproporcji w podziale dóbr konsumpcyjnych itp. Z tego typu zagrożeniami walczy się jeszcze trudniej, a ich skutki wykraczają poza straty finansowe.
Polacy rzadko dostrzegają, że efekty ich nieostrożności mogą być odczuwalne również przez pracodawców. Powszechne korzystanie z różnych urządzeń zwiększa ryzyko zainfekowania szkodliwymi treściami systemów informatycznych. Okazji do takich sytuacji może przybywać, a z badania #PBCS19 wynika, że aż 89 proc. Polaków korzysta z urządzeń służbowych w celach prywatnych. Nieostrożność tę potęguje fakt, że aż 71 proc. badanych przyznaje, że pozwala na korzystanie z mobilnych urządzeń służbowych również swoim dzieciom!
Prywatna korespondencja, zdjęcia, nagrania, możliwość zdalnego uruchomienia kamery w telefonie czy tablecie, dzięki czemu możemy być inwigilowani 24 godziny na dobę, to tylko kilka przykładów potwierdzających, że to najczęściej telefon staje się skarbcem naszej prywatności. Gdy dodamy do tego fakt, że aż 39 proc. z nas loguje się do innych serwisów, np. handlowych, z wykorzystywaniem profilu z serwisu społecznościowego, rysuje się obraz potencjalnych zagrożeń i, niestety, naszej ignorancji. Tylko w ostatnich miesiącach zostały potwierdzone praktyki handlowania danymi osobowymi użytkowników mediów społecznościowych.
Wiedza kluczem do większego bezpieczeństwa
Z raportu jasno wynika, że wiedza Polaków w zakresie bezpiecznego korzystania z sieci internetowej i urządzeń mobilnych jest ograniczona. Paradoksem zatem może być fakt, że na pytanie o to, co jest najczęstszą przyczyną incydentów naruszających cyberbezpieczeństwo, aż 31 proc. badanych wskazuje, że to sami użytkownicy. Polacy zatem z jednej strony mają świadomość, kto najczęściej popełnia błędy, z drugiej – nie podejmują trudu wzięcia na siebie odpowiedzialności za konsekwentne zabezpieczanie danych i ostrożność w korzystaniu z sieci. 22 proc. twierdzi, że wspomniane incydenty to wina wadliwego oprogramowania, a 19 proc. – awarii sprzętu. Tylko 13 proc. badanych winą obarcza hakerów, co może wskazywać na mylne przeświadczenie Polaków, że nasze zasoby internetowe, infrastruktura IT i prywatne urządzenia nie są dla hakerów interesujące.
Z innego badania zrealizowanego dla PICB – #CyfrowaTransformacja2018 wynika, że polskie firmy mają świadomość potrzeby cyfrowego przeobrażenia, ale rzadko zestawiają to z koniecznością większych nakładów na bezpieczeństwo. Cyfryzację postrzegają najczęściej jako czynnik, który decyduje o przewadze konkurencyjnej (76 proc.), strategię transformacji cyfrowej ma ponad połowa badanych firm (tj. 57 proc.), natomiast o konieczności wdrożenia odpowiednich zabezpieczeń czy ewentualnych problemach związanych z cyberbezpieczeństwem myśli jedynie 21 proc. badanych.
W badaniu #PBCS19 ankietowani wskazali branże, które ich zdaniem są najbardziej narażone na cyberataki. Zgodnie z globalnym trendem aż 56 proc. uważa, że są to finanse i bankowość, ale już 47 proc. wymieniło administrację. Trzecią pozycję pod względem liczby wskazań zajął sektor bezpieczeństwa publicznego z 26 proc. wskazań. Kolejne sektory, czyli szkolnictwo, transport czy logistyka, miały poniżej 20 proc. odpowiedzi. W odróżnieniu od badań międzynarodowych stosunkowo niewielu Polaków – bo tylko 11 proc. – wskazuje wśród najbardziej zagrożonych sektorów opiekę medyczną.
Wynika to prawdopodobnie z przeświadczenia, że w Polsce sektor ten jest stosunkowo mało zinformatyzowany, większość procedur wciąż odbywa się na podstawie dokumentów papierowych, co obniża prawdopodobieństwo ataku z cyberprzestrzeni. Niestety to przeświadczenie niekoniecznie jest zgodne ze stanem faktycznym.
Polacy krytycznie oceniają również poziom zabezpieczeń stosowanych w systemach informatycznych ich pracodawców. Zdaniem co trzeciego ankietowanego, będącego przedstawicielem sektora prywatnego, są one w odpowiedni sposób zabezpieczone na wypadek cyberataku, ale 48 proc. jest przeciwnego zdania. W przypadku sektora publicznego oceny są jeszcze bardziej krytyczne – 17 proc. badanych twierdzi, iż poziom zabezpieczeń jest wystarczający, a aż 60 proc uważa, że tak nie jest.
Choć zarówno właściciele przedsiębiorstw, jak i pracownicy wciąż nisko oceniają poziom stosowanych zabezpieczeń, to jednocześnie niewiele robią, aby zdiagnozować ich stan faktyczny. Mogłoby to przyczynić się do zdefiniowania głównych punktów narażonych na szczególne ryzyko oraz obszarów wymagających natychmiastowej zmiany. Mimo to audyty bezpieczeństwa informatycznego to wciąż domena mniejszości. Z raportu wynika, że w sektorze prywatnym tylko 15 proc. ankietowanych potwierdza, że u ich pracodawcy kiedykolwiek był przeprowadzony taki proces, przeciwnego zdania jest 6 proc., a aż 69 proc nie jest w stanie udzielić na to odpowiedzi. W przypadku sektora publicznego przeprowadzenie audytu potwierdziło 24 proc. badanych, a zdaniem 32 proc. taka operacja z pewnością nie wystąpiła. Pozostali respondenci nie mają wiedzy na ten temat.
Straty spowodowane cyberprzestępczością
Globalne koszty związane z przestępczością cyfrową są już bardzo duże, a będą jeszcze większe. Obecnie szacuje się je na ponad 3 bln dol., jednak już w 2021 r. spodziewane jest przekroczenie poziomu 6 bln dol., czyli wzrost o ponad 100 proc. Wielkie straty przyniosły takie ataki, jak WannaCry czy NotPetya, które zebrały swoje żniwo globalnie, a ich skutki były odczuwalne w większości krajów europejskich. Przykłady cyberataków na mniejszą, acz kosztowną skalę można mnożyć. Po tym, jak we wrześniu 2018 r. doszło do ataku na systemy firmy hostingowej Home.pl, przez wiele godzin nie działały serwisy utrzymywane na serwerach tej firmy, m.in. czołowych potentatów polskiego sektora e-commerce. Na wiele godzin wystąpiły problemy w komunikacji służb, w tym lokalnych oddziałów straży pożarnej. Nie funkcjonowały systemy kart miejskich, aplikacje płatnicze i wiele innych. Problemy te spowodował największy w ponad 20-letniej historii firmy atak DDoS.
Analitycy coraz częściej zwracają uwagę, że w najbliższych latach problemem stanie się cyberprzestępczość sterowana przez władze państw, realizujące w ten sposób swoje cele polityczne. Tym bardziej zatem powinien się obawiać sektor publiczny, ponieważ celem tak motywowanych działań są najczęściej podmioty strategiczne z punktu widzenia zarządzania państwem – centralne agendy, urzędy, państwowe spółki energetyczne, paliwowe czy transportowe.
Mimo niskich poziomów wskazań dla przeprowadzania audytów Polacy dość wysoko oceniają poziom użytkowanych przez pracodawcę systemów i infrastruktury informatycznej – w sektorze prywatnym 51 proc. uważa, że jest on bezpieczny, w przypadku sektora publicznego podobnie twierdzi już tylko 21 proc. Przeciwnego zdania jest 50 proc. reprezentantów sektora publicznego oraz 30 proc. sektora prywatnego. Taki rozkład odpowiedzi także może być efektem generalnego przeświadczenia, iż sektor prywatny jest bardziej doinwestowany, co ma również wpływ na stosowane systemy zabezpieczeń.
W sektorze publicznym, odczuwającym permanentny brak środków na projekty inwestycyjne, ocena tego obszaru działalności wypada bardziej krytycznie. Z drugiej strony, to w sektorze publicznym znacznie lepiej wypada poziom wiedzy, choćby o tym, kto w danej organizacji odpowiada za bezpieczeństwo systemów IT – wie o tym aż 54 proc. ankietowanych w nim zatrudnionych. W tym ujęciu świadomość pracowników sektora prywatnego jest znacznie mniejsza, odsetek odpowiedzi pozytywnych jest o połowę niższy, a tylko 27 proc. wie, do kogo w sytuacji wystąpienia cyberincydentu się zwrócić.
Ciekawych informacji dostarcza segment dotyczący badania oceny poziomu bezpieczeństwa cyfrowego i procedur postępowania w miejscu zatrudnienia respondentów. W sektorze prywatnym tylko 15 proc. potwierdziło, iż wie, że pracodawca ma plan reakcji na incydenty cyberbezpieczeństwa, a aż 72 proc. nie było w stanie udzielić na takie pytanie odpowiedzi. W sektorze publicznym nie jest lepiej, gdyż o planie na wypadek tego typu incydentu wie 12 proc., odpowiedzi negatywnej udzieliło 30 proc., a aż 58 proc. nie wie, czy takie procedury zostały opracowane. Po lekturze odpowiedzi na to pytanie można jednoznacznie stwierdzić, że głównym problemem w podejściu pracowników do cyberbezpieczeństwa jest brak wiedzy o stosowanych w ich organizacji zabezpieczeniach. Z perspektywy firm i instytucji publicznych jest to bardzo ryzykowne, ponieważ nawet w przypadku posiadania zabezpieczeń pracownicy nie będą wiedzieć, jak w sytuacji kryzysowej zareagować albo jakich zachowań zdecydowanie unikać. Nie zawsze można się zdawać tylko na automatyczną reakcję systemu, gdyż to czynnik ludzki jest często najsłabszym ogniwem.
Zgodnie z odpowiedziami respondentów polskie firmy mają do nadrobienia duże zaległości. Wciąż stosunkowo mało ankietowanych, w kontekście cyberataków, dostrzega ekstremalnie wysoki poziom narażenia bezpieczeństwa swojego pracodawcy. W 10-punktowej skali najwyższą ocenę wskazało 2 proc. zatrudnionych w sektorze prywatnym i 4 proc. w publicznym. Najwięcej było ocen na poziomie średnim. W przedziale 4–7 pkt umieściło je 69 proc. pracowników sektora prywatnego oraz 66 proc. z sektora publicznego. Problem zatem zdecydowanie istnieje i pilnie trzeba znaleźć sposób na jego rozwiązanie. Zjawisko cyberprzestępczości zdecydowanie narasta, a polskie firmy nie mają wypracowanego scenariusza na wypadek takich zagrożeń.
W podsumowaniu tej części badania #PBCS19 warto ponownie sięgnąć do raportu #CyfrowaTransformacja2018. Wynika z niego, że firmy w Polsce nie radzą sobie z wykrywaniem incydentów bezpieczeństwa i tym samym identyfikują bardzo mało cyber-
ataków. 45 proc. firm nie odnalazło żadnych naruszeń swojej cyberprzestrzeni, a 35 proc. badanych przedsiębiorstw w ciągu roku wykryło od zera do pięciu incydentów. Zdecydowanie gorzej zestawienie to wygląda dla małych i średnich firm, gdzie deklaracje o zidentyfikowaniu jakiegokolwiek cyfrowego zagrożenia zgłasza jedynie 22 proc. ankietowanych. Wskazane dane dowodzą, że firmy polskie często nawet nie wiedzą o zagrożeniach i inwigilacji, jakiej są poddawane, a to tym bardziej powinno skłaniać ten sektor do większego samodoskonalenia w obszarze cyberbezpieczeństwa.
Prewencja podstawą bezpieczeństwa w sieci
Choć otaczająca nas rzeczywistość staje się coraz bardziej cyfrowa i kolejne sfery życia notują systematyczny wzrost udziału aktywności dokonywanych przez Internet, stosunkowo niewiele mówi się o zmianach prawnych dotykających tych aspektów. W ostatnich miesiącach sytuacja poprawiła się jedynie w kontekście wejścia w życie dyrektywy RODO, zmieniającej zasady zbierania i przetwarzania danych osobowych użytkowników. W mediach przetoczyła się duża dyskusja wokół stanu przygotowań kraju zarówno firm, jak i instytucji publicznych. Przeważał ton krytyczny, z naciskiem na bezsensowność i przesadną biurokratyzację nowych zasad.
Tymczasem brak odpowiedniego wdrożenia procedur może okazać się kosztowny. Zgodnie z rozporządzeniem RODO wśród kar administracyjnych najwyższe sięgają 10 mln euro, firmy mogą zapłacić do 2 proc. rocznych obrotów. Na tym kary się nie kończą, ponieważ jeśli podmiot nie będzie przestrzegał nakazu orzeczonego sądownie, po wykryciu złamania procedur kara może wynieść do 4 proc. obrotów lub nawet 20 mln euro. Urzędnicy zastrzegli, że zastosowanie ma kara wyższa.
Okazuje się, że mimo wielu dyskusji wokół tego tematu kilka miesięcy po wejściu w życie przepisów o RODO poziom świadomości w tej kwestii wciąż jest niewielki. Z badania #PBCS19 wynika, że tylko 39 proc. osób zatrudnionych w sektorze publicznym kiedykolwiek o takim prawie słyszało, w sektorze prywatnym wypada to nieco lepiej – odsetek odpowiedzi pozytywnych wynosi 55 proc. Krytycznie pracownicy oceniają również stan dostosowania systemów pracodawcy do wytycznych RODO. Jedynie 26 proc. osób z sektora prywatnego uważa, że faktycznie doszło do pełnego dostosowania się firmowych zasad i procedur do nowej regulacji. W przypadku sektora publicznego optymistów widzących dostosowanie jest więcej, pozytywnie odpowiedziało 43 proc. badanych.
W Polsce mamy poważny kłopot z edukowaniem o kwestiach związanych z bezpieczeństwem w środowisku internetowym. Tematyka ochrony danych osobowych w najbliższych latach znajdzie się w natarciu. Skoro dziś tak wiele osób nadal nie wie, o jakich naruszeniach, problemach i zmianach mówimy, tym bardziej ważne jest wzmocnienie procesu edukacji w tym obszarze.
Po ataku hakerskim na nieprzygotowaną firmę, w której są przetwarzane dane, może dojść do utraty wszelkich wrażliwych informacji o klientach, a blokada systemów może zdestabilizować pracę wielu ludzi i innych firm. Dla użytkowników indywidualnych to ryzyko zarówno utraty środków finansowych, jak i danych z kont, np. w serwisach społecznościowych czy skrzynkach pocztowych. W biznesie mogą to być straty sięgające milionów, a w konsekwencji zmuszające do zamknięcia firmy.
Cyberedukacja do poprawy
Mimo poważnych konsekwencji dotyczących nienależytej ochrony przed zagrożeniami płynącymi z internetu zdaniem tylko 19 proc. badanych w Polsce mówi się dostatecznie dużo na ten temat. Kto zatem powinien być za to odpowiedzialny? Ankietowani krytycznie oceniają wiedzę, jaką przekazuje polski system edukacyjny. W przypadku szkół podstawowych i średnich tylko wg 16 proc. opinii kształcenie spełnia wymagania związane z cyberbezpieczeństwem, przeciwnego zdania jest 31 proc. Niewiele lepiej wypada ocena szkół wyższych, które zdaniem 27 proc. badanych dostatecznie wywiązują się ze swoich obowiązków edukacyjnych w zakresie cyberbezpieczeństwa. To jednak bardzo niski poziom, mogący przekładać się na niewystarczającą wiedzę merytoryczną Polaków na tematy związane z ochroną swoich zasobów, a także zagrożeniami wynikającymi z przestępczości w sieci.
Z raportu wynika, że Polska jest w trakcie globalnej rewolucji mobilnej, choć może nie w jej głównym nurcie. Większość, bo 55 proc. potwierdza, że najważniejsze dane przechowuje w swoim telefonie komórkowym czy smartfonie, a już tylko 21 proc. wskazuje w tej roli komputer stacjonarny. Zastanawia zatem, dlaczego te urządzenia nie są traktowane równorzędnie w zakresie stosowanych zabezpieczeń. Polacy sięgają też po nowe sposoby na przechowywanie danych, 8 proc. ankietowanych zapisuje je już w chmurze obliczeniowej.
Kopię bezpieczeństwa danych urządzeń mobilnych przechowuje jedynie 17 proc., a 49 proc. tego nie robi. Pozostali nie wiedzą, jak odpowiedzieć. Tylko 27 proc. badanych uważa, że dane przetwarzane na komputerze lub innych urządzeniach mobilnych są bezpieczne. To dowodzi, że ignorujemy zagrożenia, przynajmniej do czasu, gdy sami staniemy się ofiarami przykrych w skutkach cyberincydentów.
W przypadku wymiany urządzenia (telefonu, smartfonu, komputera) na nowszy model stare urządzenie w większości przypadków jest sprzedawane. Tak twierdzi 47 proc. badanych, 27 proc. przekazuje je innej osobie, a 16 proc. woli na wszelki wypadek zostawić je w domu; 7 proc. wyrzuca uszkodzony telefon. Czy w związku z tym usuwają z urządzenia wrażliwe dane na swój temat? W tym przypadku krajowi użytkownicy telefonów wykazują się wysoką odpowiedzialnością. 69 proc. formatuje urządzenie i kasuje wszystkie dane. Ale niemal co czwarty nie robi z nim nic szczególnego.
Nowoczesne technologie w każdym domu
Internet wkracza w kolejne sfery życia, na naszych oczach urzeczywistnia się teoria Internetu Reczy (IoT). Zgodnie z nią za pośrednictwem Internetu czy sieci energetycznej gromadzić dane czy komunikować się będą mogły także przedmioty i urządzenia, których nigdy byśmy o to nie podejrzewali. Z jednej strony to zastosowania IoT w urządzeniach domowych – w sprzęcie RTV, AGD, oświetleniu, ogrzewaniu, z drugiej – to szybko rosnący rynek tzw. technologii ubieralnych (wearables), które ten trend przenoszą na zegarki, sprzęt monitorujący stan zdrowia, czy nawet buty i ubrania. Urządzenia potrafią dziś zbierać dane podczas uprawiania sportu, transferować komunikację na nowe nośniki z wyświetlaczami ciekłokrystalicznymi, dbać o naszą aktywność w mediach społecznościowych. Prognozuje się, że globalny rynek Internetu Reczy do 2020 r. przekroczy 580 mld dol.
Wysoki poziom korzystania z telefonów komórkowych to niejedyny argument przemawiający za tezą, że Polacy coraz chętniej i intensywniej korzystają z nowych technologii także w sferach życia, które dotychczas opierały się tak intensywnemu postępowi technologicznemu. Już 11 proc. wie, co oznacza pojęcie Internetu Rzeczy, a 21 proc. badanych przyznało, że posiada takie urządzenia w domu.
W ramach rynku IoT producenci dbają o podaż urządzeń. Rozwiązania Smart Home czy możliwość zdalnego zarządzania automatyką domową (sterowanie ogrzewaniem, oświetleniem, klimatyzacją, nawadnianiem ogrodu czy roletami okiennymi) to dziś nic zaskakującego, choć jeszcze dekadę temu mało kto mógł przewidzieć, że pracą lodówki, piekarnika czy pralki będziemy mogli zarządzać z poziomu smartfona. Nie mówiąc już o tym, że piekarniki będą mogły pobrać z sieci przepisy czy porady kulinarne, a lodówki samodzielnie składać zamówienia w e-sklepach po stwierdzeniu, że zabrakło konkretnego produktu. Choć sprzęty te nie mają przesadnie rozbudowanych funkcji, to przez możliwość łączności z siecią stają się narzędziem dla hakerów, którzy mogą przejąć kontrolę nad tysiącami takich urządzeń i za pośrednictwem ich numerów IP realizować swoje przestępcze plany ataków na upatrzone serwery. Dotychczas miało miejsce już co najmniej kilka ataków hakerskich, w których wykorzystano podłączone do internetu lodówki. Brzmi to śmiesznie, ale skoro lodówka może sama składać zamówienia, to znaczy, że również dysponuje danymi karty kredytowej. Z pewnością nikt z nas nie chciałby, aby trafiły one w niepowołane ręce.
Użytkownicy takich urządzeń, choć będący w awangardzie postępu technologicznego, na ryzyko patrzą przez palce. Tylko 6 proc. zabezpiecza takie sprzęty oprogramowaniem, nie robi tego 26 proc., a aż 68 proc. udzieliło odpowiedzi „nie wiem”.
Dokąd zmierzamy
Raport przygotowany przez Polski Instytut Cyberbezpieczeństwa zwraca uwagę na nieodpowiednie traktowanie przez Polaków kwestii bezpieczeństwa cyfrowego. Potwierdza się to zwłaszcza w przypadku telefonów, z których korzysta zdecydowana większość ankietowanych. Choć to najczęściej właśnie smartfon jest miejscem przechowywania najwrażliwszych i najcenniejszych danych, z oprogramowania antywirusowego na takich urządzeniach korzysta tylko 6 proc. badanych.
Zdaniem ankietowanych Polska nie jest specjalnie zagrożona cyberprzestępczością, czym poniekąd tłumaczą własną nieostrożność. Ta nieświadomość ma też bardziej prozaiczny wymiar, gdyż w razie awarii urządzenia konsumenci bezrefleksyjnie przekazują je do napraw serwisowych, nie zastanawiając się, co może stać się z zawartymi tam wrażliwymi danymi. To zaskakujące, tym bardziej że sami ankietowani przyznają, iż właśnie telefon jest teraz nośnikiem, na którym przechowuje się najcenniejsze dane.
Głównym wnioskiem płynącym z przeprowadzonego badania jest konieczność pogłębionej edukacji w zakresie cyberbezpieczeństwa. Zdaniem badanych system edukacyjny nie najlepiej wywiązuje się z takich zadań, a powinien uaktywnić się w obszarze bezpieczeństwa, zwłaszcza że szkolne sieci również stają się celem ataków. W erze cyfrowych dzienników to coraz częściej obiekt pierwszych prób hakerskich wielu uczniów, chcących w sposób „nieautoryzowany” zmieniać swoje oceny.
Bez skutecznego działania, profilaktyki i edukacji Polacy mogą szybko przekonać się na własnej skórze, że ryzyko ataku hakerskiego staje się problemem globalnym, a jego koszty są coraz większe. Użytkownicy aplikacji bankowych muszą znacznie częściej zmieniać hasła, powinniśmy tworzyć regularnie kopie zapasowe najważniejszych danych. Rynek jest pełen rozwiązań pozwalających skutecznie i niedrogo zabezpieczyć swoje cyfrowe tajemnice. W wielu szkołach w USA czy Wielkiej Brytanii testowo wprowadzono lekcje na temat zagrożeń związanych z atakami hakerskimi i wyłudzaniem danych wrażliwych.
Świadomość takich zagrożeń musi wzrosnąć, ponieważ stają się one realne na każdym poziomie codziennej komunikacji w sieci – i to nie tylko tej międzyludzkiej. Coraz większa liczba domowych czy biurowych urządzeń zbiera na nasz temat dane, którą są bez udziału człowieka przesyłane, przetwarzane lub archiwizowane. Ich utrata naraża na duże straty, a okazji do cyberincydentów na tym polu będzie bez wątpienia przybywało.
Dane dotyczące naszych zachowań, potrzeb, przyzwyczajeń czy gustów będą stawały się produktem pożądanym nie tylko przez producentów i usługodawców, ale także rosnącą rzeszę przestępców internetowych, którzy nie odchodząc od swojego biurka, będą się bogacić na nieostrożności zwykłych użytkowników sieci. Cyberprzestępcy działają globalnie, nie respektują granic. Bezustannie poszukują słabych ogniw systemu, coraz częściej upatrując ich właśnie w urządzeniach mobilnych. Mając tę świadomość, powinniśmy stale podejmować działania prewencyjne i dbać o to, aby korzystać z dobrodziejstw współczesnego wirtualnego świata w sposób bezpieczny i odpowiedzialny. W przeciwnym razie będziemy zmuszeni do ponoszenia gigantycznych kosztów finansowych, utraty danych, kradzieży tożsamości i wielu innych przestępstw, których dziś nawet nie znamy.
Cały raport jest dostępny na stronie www.picb.org.pl
Krzysztof Gawkowski
Społecznik i wykładowca akademicki. Doktor nauk humanistycznych specjalizujący się w zakresie bezpieczeństwa państwa. Dyrektor Polskiego Instytutu Cyberbezpieczeństwa oraz kierownik Katedry Bezpieczeństwa Wewnętrznego Uczelni Techniczno-Handlowej im. Heleny Chodkowskiej w Warszawie. Członek Komitetu Technicznego PKN oraz przewodniczący Rady Programowej Instytutu Bezpieczeństwa Inteligentnych Miast. Autor książek: Obudzić państwo oraz Administracja samorządowa w teorii i praktyce, a także powieści kryminalnych Piętno prawdy oraz Cień przeszłości.