Przeglądając informacje w sieci można natrafić na opinie sugerujące, iż wiele firm nigdy nie miało problemów z wyciekiem danych i ten problem ich nie dotyczy. Co więcej są nawet tezy, mówiące o tym, że dana firma w ogóle nie ma do czynienia z przetwarzaniem danych osobowych. W tym momencie wystarczyłoby zadać pytanie: kogo wobec tego taki podmiot zatrudnia? Zakładając, że są to jednak ludzie mamy szybką odpowiedź obalającą ten niebywały absurd. Należy również przypomnieć, że przetwarzanie danych to na dobrą sprawę jakiekolwiek podjęte przez nas działanie z nimi związane. Zatem samo wejście w posiadanie danych to już ich przetwarzanie. Skoro już ustaliliśmy, że przetwarzanie danych dotyczy praktycznie każdego podmiotu, warto się przyjrzeć jakie są związane z tym zagrożenia. Najpowszechniejszymi i najniebezpieczniejszymi z nich są wycieki.

Pod koniec września 2017 roku, gruchnęła informacja o sporym wycieku danych z 4 dużych banków. Jak można było przeczytać w artykułach krążących w sieci sprawa dotyczyła przeszło 3,5 tys. klientów. „Rozkład” wyglądał następująco: Credit Agrigole – 143 klientów, Idea Bank – 1990, ING Bank Śląski – 438 oraz mBank – 964 klientów. Dane, które wyciekły zawierały takie informacje jak: imię i nazwisko, modulo, nr rachunku, PESEL, e-mail, nr telefonu, kwota jaka widniała na rachunku (na dzień 11.09.2017r.). Wszystko to można było kupić w cenie 3 zł za „rekord”. Tak tak, to nie pomyłka. W tzw. darknecie, zostały one bowiem wystawione na sprzedaż po takiej właśnie cenie – czyli np. kupuję sobie bazę danych mBanku dotyczącą 964 klientów za 2892 zł. Ale to nie wszystko. Jeżeli jednak byśmy się zdecydowali na komplet 4 banków to oferent gwarantował spory rabat! A trzeba też zauważyć, że wykradzione dane dotyczyły raczej zamożnych klientów, gdyż środki zgromadzone na rachunkach z reguły opiewały na co najmniej 10 tys. zł. Choć zdarzały się i konta z kwotą na poziomie KILKUSET tysięcy.

Jeżeli powyższy wyciek uznać za „spory” czy „duży” to trzeba się zastanowić nad klasyfikacją tego, o którym można było przeczytać 23.11.2017r. Jak bowiem poinformował ówczesny nowy szef Ubera (mobilna aplikacja, która służy do zamawiania usług transportu samochodowego poprzez kojarzenie pasażerów z kierowcami korzystającymi z tejże aplikacji, która jest także dostępna w Polsce) Dara Khosrowshahi, ROK TEMU (!) doszło do kradzieży danych…57 mln użytkowników – zarówno pasażerów jak i kierowców. Skradzione informacje to m.in. nazwiska, numery telefonu, adresy e-mail czy numery prawa jazdy. Sprawa została utajniona i ujrzała światło dzienne zapewne dzięki zmianie kierownictwa, gdyż jak sam przyznał Khosrowshahi (szefem został we wrześniu 2017 r.) o zaistniałym zdarzeniu dowiedział się niedługo po objęciu nowego stanowiska. Ubolewał przy tym, że do takiego ataku doszło, przyznał, że baza danych była słabo chroniona i jednocześnie… wyraził przekonanie(!), że w ręce hakerów nie dostały się tak ważne dane jak numery kart kredytowych, rachunków bankowych, ubezpieczenia społecznego, czy dane dotyczące historii przejazdów. Małe to jednak pocieszenie dla użytkowników Ubera, podobnie jak to, że człowiek odpowiedzialny tam za bezpieczeństwo już stracił swoją posadę. Wydaje się, że klienci Ubera woleli by jednak wiedzieć o takim wycieku nieco wcześniej, nie wspomniawszy już o tym, że firma powinna się upewnić jakie konkretnie dane zostały wykradzione, aniżeli wyrażać w tej kwestii swoje „przekonania”.

O innych konsekwencjach, oprócz zapewne „delikatnym” odpływie klientów (oczywiście firma po całym zdarzeniu zadbała o stosowne reklamy m.in. w radiu informujące, że korzystanie z przedmiotowej aplikacji jest wygodne i…bezpieczne), jakie mogą spotkać Ubera na razie cisza. Mnie osobiście ciekawią te, które mogą być skutkiem zatajenia faktu kradzieży przez rok. Bowiem już od 25 maja 2018 r. wszyscy, o tego rodzaju incydentach, będą musieli informować GIODO/UODO oraz ewentualnie osoby, których sprawa będzie dotyczyć w przeciągu…72 godzin od powzięcia informacji, że do takiego zdarzenia doszło.

Skutki wycieku danych są już za to znane w przypadku żołnierzy, którzy korzystali z aplikacji „Strava” służącej do monitorowania aktywności fizycznej przy pomocy telefonów bądź też opasek „Fitbit”. Jak donosił brytyjski dziennik „Te Guardian” doszło do ujawnienia lokalizacji tajnych baz wojskowych i innych placówek szpiegowskich należących do USA. Wszystko przez to, iż żołnierze korzystający z rzeczonej aplikacji przekazywali do niej informacje dotyczące tras po których biegali/ćwiczyli. Dane te zostały ujęte w opublikowanej globalnej mapie pokazującej aktywność jej użytkowników. Analitycy wojskowi w Stanach Zjednoczonych szybko zorientowali się, że w owej mapie nie pominięto lokalizacji, których na zwykłych mapach nie dojrzymy. Przykład ten tylko pokazuje, że wyciek danych może się odbyć na wielu płaszczyznach i mieć bardzo poważne konsekwencje. W końcu w tym wypadku mówimy o bezpieczeństwie narodowym jednego z najpotężniejszych krajów na świecie.

Reasumując, wycieki danych to poważny i narastający problem, dotykający zarówno małe i średnie firmy jak też i wielkie korporacje, podmioty publiczne czy administrację rządową. W dzisiejszymi zdigitalizowanym świecie zdobycie informacji to największa wartość, otwierająca drogę do wielu możliwości, niestety również tych sprzecznych z prawem. Dlatego tak istotna jest stosowna ochrona danych, minimalizująca ryzyko ich wycieku. Im szybciej dotrze to do naszej świadomości tym lepiej bo należy pamiętać, że nasze bezpieczeństwo zależy również od nas samych. Każdy człowiek w mniejszym lub większym stopniu jest ogniwem systemu bezpieczeństwa informacji.

Autor: Paweł Waniek