Opublikowano: 9 października 2017 przez Jan Nawrot

Kategoria: rodo

Lemlock Lemlock logo

Czy jesteśmy świadomi sieciowych zagrożeń?

Ludzie nie zdają sobie sprawy jak cenne są ich dane osobowe. Dopiero w momencie ich użycia przez niepowołane osoby/organizacje uświadamiają sobie, że warto było zadbać o ich odpowiednie bezpieczeństwo. Co w przypadku, gdy - mimo dbania o wysoki poziom ochrony - dane personalne zostaną nielegalnie przechwycone i wykorzystane? Pojawiają się liczne pytania, jak do tego doszło, kto za to odpowiada i jakie będą negatywne skutki powstałej sytuacji?

Kradzież danych osobowych i straty

Bazując na badaniu przeprowadzony przez Dynamics Markets Limited UK wśród krajów europejskich, w tym również w Polsce, tożsamość 17% dorosłych Polaków (w wieku 35-44 lat) została skradziona. Ponadto 46% Polaków zostało bezprawnie pozbawiona środków finansowych, znajdujących się na rachunkach bankowych. Średnia strata z powodu kradzieży danych personalnych w Polsce wynosi około 35 000 złotych! Osoby, którym została skradziona tożsamość (27%), “zaciągnęły” pożyczkę tzw. Chwilówkę lub są w posiadaniu niechcianych kart kredytowych. Dodatkowo kolejne 27% pokrzywdzonych musiało dokonać płatności za towary/usługi, na które się nie decydowało i z których nigdy nie będzie miało szansy skorzystać.

Złodzieje danych nie mają skrupułów i posługując się dokumentami ofiar, kupują nowe nieruchomości czy samochody. Około 40% osób dowiaduje się dopiero po czasie, że ktoś żyje na ich konto oraz posługuje się w przestrzeni ich tożsamością. Z czego wynikają wypisane incydenty? Albo z niedopatrzeń ze strony właścicieli dokumentów (np. nieużywania niszczarek; podarcia papierowych arkuszy w sposób umożliwiający ich odtworzenie; trzymania ważnych materiałów w ogólnodostępnych szufladach w domu/pracy), albo z zaniedbań systemów ochrony podmiotów przetwarzających dane. Bardzo często zbyt późno dochodzi do zdobycia świadomości o dokonanym przestępstwie (w Polsce średnio rok zajmuje spostrzeżenie się, że dane zostały nielegalnie przechwycone). Pojawia się wówczas bezradność i straty materialne/niematerialne.

Stopień zaufania do instytucji zbierających dane.

W badaniu przeprowadzony przez Dynamics Markets Limited UK 98% przepytanych respondentów z Polski nie jest w stanie zawierzyć podmiotom, którym przekazują swoje dane osobowe. Nie są pewni czy informacje personalne będą przechowywane w sposób bezpieczny i niedostępny dla nieupoważnionych osób. Dotyczy to w szczególności systemów ochrony danych podmiotów skupionych na oferowaniu usług lub dóbr. Duży mandat zaufania w zakresie ochrony informacji posiadają banki/instytucje finansowe (44%), ośrodki zdrowia (27%) oraz ośrodki edukacyjne (13%). Być może wynika to z funkcji, jakie pełnią na rynku oraz sposobów komunikacji (przedstawiają siebie jako profesjonalistów; jako instytucje ulepszające, a także porządkujące życie członków społeczeństwa). Wspomniany mandat zaufania prawdopodobnie ma związek z przekonaniem, że te organizacje dokonują dużych inwestycji w technologie, które pozwalają na kompleksowe podejście do obsługi bazy danych.

Kradzież danych personalnych nie zawsze z winy ich właściciela

Warto postawić sobie pytanie, w jaki sposób dochodzi do naruszenia danych ze strony organizacji publicznych czy niepublicznych. Przede wszystkim te zakłócenia powstają przez brak edukacji i uświadamiania ze strony podmiotów gospodarczych na temat stosowanych wewnątrz czy na zewnątrz procedur. Ludzie nie wiedzą, że np. banki nie mogą wymagać aktualizacji informacji osobowych, hasła czy sprawdzenia zgodności kodu PIN za pośrednictwem maila lub drogą telefoniczną. To samo tyczy się państwowych urzędów czy szpitali, które przeważnie nie są uprawnione do zdobywania wiedzy o interesariuszach w sposób inny, niż poprzez bezpośredni kontakt. Aktualnie wystosowuje się odpowiednie komunikaty ostrzegawcze na ten temat i następnie umieszcza je w broszurach, w widocznych miejscach w placówkach czy na stronach internetowych.

Kolejny powód naruszeń stanowią zaniedbania systemów zarządzających informacjami i niski (a czasem zerowy) poziom zabezpieczeń. Brak audytów bezpieczeństwa i testowania zapór powoduje, że dane można w łatwy sposób przechwycić. Duże instytucje - takie jak banki, szpitale czy urzędy - inwestują w formowanie profesjonalnych działów bezpieczeństwa; tworzą strategie ochrony swoich interesariuszy oraz podejmują działania prewencyjne. Dzieje się tak, gdyż to właśnie one znajdują się na celowniku przestępców/cyberprzestępców, zważając na jakość i ilość posiadanych personali. Mimo usilnych starań nie zawsze udaje im się w pełni zagwarantować, że powierzone informacje nie zostaną nielegalnie zawłaszczone. Potwierdzeniem na to mogą być takie zdarzenia jak:

  • wyłudzenie kilkuset tysięcy rekordów z bazy PESEL zrealizowane przez pięć biur kancelarii komorniczych z Warszawy i Łodzi w 2016 roku;
  • wyciek wrażliwych danych 50 tys. pacjentów polskiego szpitala w 2017 roku;
  • wyciek numerów rachunków, sald, numerów PESEL, adresów i numerów telefonów z czterech polskich banków (143 rekordów klientów Credit Agricole, 1990 rekordów klientów Idea Banku, 438 rekordów klientów ING Banku Śląskiego i 964 rekordy klientów mBanku) w 2017 roku;
  • przedostanie się informacji 200 milionów obywateli USA przy przerzucaniu ich na serwer publiczny Amazonu w 2017 roku;
  • błąd pracownika australijskiego Departamentu Imigracji, przez którego dane osobowe 31 polityków, w tym Baracka Obamy, Władimira Putina, Angeli Merkel, Davida Camerona, trafiły w ręce organizatorów piłkarskiego Pucharu Azji.

Jak ustrzec się przed niechcianą ingerencją w systemy zarządzania informacjami?

W obecnych czasach, gdy przestępcy stale szukają luk i niedopatrzeń w bazach danych podmiotów gospodarczych, liczy się szybkość działania, a przede wszystkim uzyskanie wsparcia partnera, specjalizującego się w utrzymaniu wysokiego poziomu bezpieczeństwa. Mali, średni czy duzi gracze na rynku powinni poważnie traktować zagrożenia w przestrzeni, a dane powierzone przez interesariuszy postrzegać jako najwyższe wyróżnienie.

Lemlock ebook. Poradnik ekspercki: Trzy podejścia do cyberbezpieczeństwa
Interesuje Cię kompleksowe rozwiązanie,
związane z bezpieczeństwem gromadzonych przez Ciebie danych?
Zgoda na  przetwarzanie danych w celu kontaktu
Potwierdzam, że zapoznałem/am się z  klauzulą informacyjną Sagiton Sp. z o.o.

Niniejszym wyrażam zgodę na przetwarzanie moich danych osobowych przez Administratora Danych Osobowych (dalej: „ADO”) – Sagiton Sp. z o.o. ul. Fabryczna 19, 53-609 Wrocław, w zakresie: imię i nazwisko, adres email lub telefon, w celach sprzedaży produktów i usług Sagiton Sp. z o.o. oraz w celu przesłania do mnie informacji zwrotnej i nawiązania ze mną kontaktu przez Sagiton Sp. z o.o.

Jednocześnie przyjmuję do wiadomości, że: w każdej chwili mogę zażądać usunięcia moich danych osobowych z bazy ADO Sagiton Sp. z o.o., poprzez wysłanie na adres poczty elektronicznej grzegorz.makosa@lemlock.com. lub na piśmie, na adres Sagiton Sp. z o.o., ul. Fabryczna 19, 53-609 Wrocław, oświadczenia zawierającego stosowne żądanie co skutkować będzie usunięciem moich danych osobowych z bazy danych ADO Sagiton Sp. z o.o.; mam prawo dostępu do treści swoich danych; podanie moich danych jest dobrowolne, aczkolwiek odmowa ich podania jest równoznaczna z nieotrzymywaniem informacji dotyczących sprzedaży produktów i usług Sagiton Sp. z o.o., a także z nieotrzymaniem informacji zwrotnej i nawiązaniem ze mną kontaktu przez Sagiton Sp. z o.o.

Zgodnie z art. 13 ust. 1 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016r., (RODO), informujemy, iż administratorem Pana/Pani danych osobowych jest Sagiton Sp. z o.o. z siedzibą przy ul. Fabrycznej 19, 53-609 Wrocław, e-mail: grzegorz.makosa@lemlock.com.

Pana/Pani dane osobowe przetwarzane będą w zakresie imię i nazwisko, adres email i/lub numer telefonu w celu odpowiedzi na Pana/Pani zapytanie/prośbę o kontakt i wystosowanie informacji zwrotnej– na podstawie art. 6 ust. 1 lit a RODO tj. zgody na przetwarzanie danych osobowych.

Administrator danych informuje, że Pana/Pani dane osobowe nie będą udostępniane podmiotom trzecim.

Pana/Pani dane nie będą przekazywane poza Europejski Obszar Gospodarczy lub do organizacji międzynarodowych.

Pana/Pani dane osobowe będą przetwarzane do wycofania przez Pana/Panią zgody na przetwarzanie danych a także w przypadku ustania celów przetwarzania tych danych.

Ma Pan/Pani prawo dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia oraz prawo do wniesienia sprzeciwu.

W przypadku wyrażenia zgody ma Pan/Pani prawo wycofania zgody w dowolnym momencie. Skorzystanie z prawa do wycofania zgody nie ma wpływu na przetwarzanie, które miało miejsce do momentu wycofania zgody.

Przysługuje Panu/Pani prawo do wniesienia skargi do organu nadzorczego tj. Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa.

Podanie przez Pana/Panią danych osobowych jest warunkiem nawiązania z Panem/Panią kontaktu przez Sagiton Sp. z o.o. z siedziba przy ul. Fabrycznej 19, 53-609 Wrocław. W przypadku niepodania danych osobowych, Sagiton Sp. z o.o., nie będzie w stanie nawiązać z Panem/Panią kontaktu.

Administrator Danych Sagiton Sp. z o.o. informuje, iż nie będzie wykorzystywał Pana/Pani danych osobowych do zautomatyzowanego podejmowania decyzji, które opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec Pana/Pani skutki prawne lub w podobny sposób istotnie na Pana/Panią wpływa.

Pozostańmy w kontakcie: