Michał
Faber
ABI/Audytor ODO &
ISO 27001
Temat: Cyberprzestępczość - wywiad z Anną Zbroją z Komendy...
Co mogą nam zrobić cyberzłodzieje?Cybeprszestępczość to nowe zjawisko socjologiczne, które według badań Instytutu Ponemon, przeprowadzonych wśród specjalistów branży IT, stanowi obecnie największe zagrożenie dla miłośników Internetu. O zagrożeniach, na jakie narażeni są Internauci w związku z przejęciem danych osobowych, rozmawiamy z Anną Zbroją z Komendy Wojewódzkiej Policji w Krakowie oraz Tomaszem Zamarlik z G Data Software.
W przeciągu ostatniego miesiąca wiele kontrowersji wzbudziła głośna kradzież danych użytkowników portalu Wykop. Jak obecnie wygląda struktura systemów służących do zabezpieczania danych wśród użytkowników Internetu?
Tomasz Zamarlik z G Data Software: Sprawa Wykopu zainicjowała dyskusję zarówno na temat właściwego zabezpieczenia danych użytkowników portali internetowych oraz braku odpowiednich regulacji prawnych, które precyzowałyby zasady ochrony danych osobowych i praw autorskich wśród Internautów. Kradzież danych dostępnych online równi się bowiem zasadniczo od przywłaszczenia sobie cudzej tożsamości w świecie realnym. Cybepszestępcy, posiadając prywatne loginy i hasła, w przeciwieństwie to zwykłych złodziei, mogą na koszt ofiary zrobić zakupy w wirtualnej rzeczywistości, lub co gorsze doszczętnie opróżnić konto bankowe. Kwestie takie jak wysyłanie SPAM – u czy obraźliwych maili, a także przeprowadzanie ataków DDoS to chyba „najmniej” szkodliwe z działań, na jakie jesteśmy narażeni.
Administratorzy są jednak zobowiązani do dodatkowego zabezpieczania danych osobowych.
Tomasz Zamarlik z G Data Software: Tak, ale w praktyce nie ma systemu, który w 100 procentach chroniłby dane Internautów. Nawet jeżeli hasła są dodatkowo hashowane – szyfrowane za pomocą algorytmów - to jednak nadal dość łatwo mogą zostać wydobyte. Istnieje wiele programów, które z powodzeniem umożliwią odczytanie zakodowanej informacji. Co więcej hakerzy bazują również na ludzkim zaufaniu i naiwności. Wielu Internautów używa tych samych loginów oraz haseł do rejestrowania się na różnych portalach i serwisach. Dlatego kradzież danych z Wykopu odbiła się głośnym echem wśród użytkowników Allegro.
Jak Policja radzi sobie z problemem cybeprzestępstw? W społeczeństwie pokutuje opinia, że tego wykroczenia są trudne do udowodnienia o ofiara często pozostaje bezradna.
Anna Zbroja z KWP w Krakowie: Obecnie w każdej Komendzie Wojewódzkiej Policji, w ramach wydziału do walki z przestępczością gospodarczą znajdują się sekcje , które zajmują się przestępstwami popełnionymi w wirtualnym świecie. Zgłaszając o przestępstwie należy zachować wszelką korespondencję na ten temat ( nie kasować plików). Nie ma osobnej statystyki dotyczącej cyberprzestępczości. Co do wykrywalności to rzeczywiście śledztwa w tych sprawach są trudne , długotrwałe i żmudne , ich wykrywalność zależy od wielu okoliczności jakie w tego typu sprawach pojawiają się. Niemniej jednak nasz wydział do walki z przestępstwami gospodarczymi kilkakrotnie poradził sobie z tego typu przestępstwami, co skutkowała zatrzymywaniem podejrzanych.
Jak ocenia Pan kondycje systemów zabezpieczeń stosowanych w większości popularnych serwisów www?
Tomasz Zamarlik z G Data Software: Nienajlepiej. O słabości standardowo stosowanych w przypadku serwisów www systemów zabezpieczeń może świadczyć kilka faktów. Jak wskazują raporty twórców profesjonalnych systemów zabezpieczeń, między innymi prowadzącej stały monitoring Sieci - firmy G Data Software, w ostatnim czasie stale rosła liczba ataków dokonywanych przez hakerów, między innymi przy wykorzystaniu takiej techniki jak phishing. Na forum światowym głośno było również o szajce przestępców, którzy wyspecjalizowali się w przejmowaniu kont użytkowników na portalu Facebook. Taka działalność kosztowała poszukiwaczy nowej tożsamości tylko 100 dolarów. Co bardziej zatrważające – coraz młodsi Internauci potrafią obejść bariery chroniące dostęp do rejestrów i baz danych. W przypadku Wykopu, kradzieży dokonała 3 nastolatków, z których najstarszy miał 18 najmłodszy zaś 15 lat.
Jakie obowiązki w świetle prawa ciążą na osobach odpowiedzialnych za przetwarzanie danych osobowych? Za co ponoszą odpowiedzialność administratorzy serwisów, z których wyciekły dane?
Tomasz Zamarlik z G Data Software: Przetwarzanie danych osobowych obejmuje nie tylko zbieranie czy rozpowszechnianie informacji personalnych o danej osobie, ale także ich utrwalanie, przechowywanie oraz usuwanie. Regulacje te mają szczególne zastosowanie w przypadku systemów informatycznych, nakładając w art. 34 na administratorów baz danych obowiązek ochrony takich informacji. W związku z tym, za kradzież danych pochodzących z rejestrów online odpowiada nie tylko cyberprzestępca, ale także administrator serwisu, z którego takie dane wyciekły. Szczegółowe postanowienia w tej sprawie zawiera art. 52 Ustawy o ochronie danych osobowych. Przetwarzanie danych osobowych bez wyrażania na to zgody przez ich właściciela jest zagrożone karą maksymalnie do 2 lat pozbawienia wolności. Nieco wyższy pułap zastosowano w przypadku wspomnianych już wcześniej danych wrażliwych. Tu jednak przepisy wspominają tylko o możliwości ograniczenia wolności albo pozbawienia wolności do lat 3.
Jak ocenia Pan taki system regulacji prawnych?
Tomasz Zamarlik z G Data Software: Z punktu widzenia Internautów bulwersujące są przepisy karne, regulujące kwestie związane z kradzieżą danych. W ustawie nadal brak rozporządzeń związanych między innymi ze stosowaniem e-podpisu. Wątek ten aktywnie śledzę na forach internetowych, gdzie prowadzonych jest wiele dyskusji właśnie na ten temat. Łatwo więc dość do wniosku, że taka kara jest śmiesznie niska w porównaniu z konsekwencjami, jakie taka kradzież może pociągnąć dla poszkodowanego.
Na jakie kary mogą liczyć hakerzy, którzy przejmują kontrole nad domowymi komputerami?
Tomasz Zamarlik z G Data Software: Nie większe sankcje niż w poprzednim przypadku, nałożono na hakerów, którzy obecnie wyspecjalizowali się o obsłucha programów typu spyware czy pobieraniu plików z dysków w komputerze ofiary. Takie działania podlegają regulacji ustawy o prawach autorskich. W świetle jej przepisów, kradzież autorskich plików (prezentacji, prac naukowych itd.) podlega karze do 3 lat pozbawienia wolności. Myślę, że warto również dodać, że tak naprawdę działania większości użytkowników potwierdza przysłowie „Mądry Polak po szkodzie”. Dopiero, kiedy komputer przestanie działać stabilnie, kursor bez naszej ingerencji sam będzie poruszał się po pulpicie lub zorientujemy się, że z konta zniknęły pieniążki, a nasze fotografie ujrzały światło dzienne podejmujemy decyzję o zainstalowaniu skutecznego programu antywirusowego. Myśl wielu użytkowników „Jestem ekspertem” lub „Mnie na pewno nie zaatakują” jest błędna. Wirusy po zadomowieniu się na komputerze bez naszej wiedzy automatycznie komunikują się z hackerem. Jedynie program antywirusowy może rozpoznać działanie szkodliwych programów grasujących w naszym systemie.
W jaki sposób można się bronić przed cyberprzestępcami? Jakie formy prewencji zaleca Policja?
Anna Zbroja z KWP w Krakowie: By nie paść ofiarą cyberzłodziei należy poznać mechanizm ich działania. Popularnym sposobem działania cyberprzestępców, jest wykorzystywanie złośliwego oprogramowania, zwanego w zależności od swojej formy: robakami, koniami trojańskimi (trojanami) lub wirusami. Przestępcy posługują się najczęściej "najprostszymi metodami", które polegają na wysłaniu maila z prośbą, czasem wręcz żądaniem wpisania danych służących do logowania na konto i podania danych do jego autoryzacji. Bezpieczeństwo naszych danych w głównej mierze zależy od nas samych. Policjanci zajmujący się zwalczaniem przestępczości bankowej radzą aby:
- logując się na internetowe konto banku korzystać ze sprawdzonych komputerów, do których tylko my mamy dostęp,
- posiadać zainstalowaną najnowszą dostępną wersję przeglądarki internetowej oraz oprogramowanie zabezpieczające: program antywirusowy, oprogramowanie antyszpiegowskie i osobisty firewall (należy pamiętać o bieżącej aktualizacji tych programów),
- przeglądarka internetowa powinna zostać w odpowiedni sposób skonfigurowana (między innymi: wyłączona obsługa wyskakujących okienek pop-up, jeśli to możliwe - wyłączenie wirtualnej maszyny Javy, wyłączenie obsługi skryptów ActiveX, wyłączenie opcji auto-play dla plików multimedialnych, włączenie kontroli cookies, zabezpieczenie przed automatycznym uruchamianiem pobranych plików wykonywalnych). Dla zaufanych stron możemy ustawić wyjątki, aby umożliwić im uruchamianie wybranych funkcji niezbędnych do ich działania,
- oprogramowanie antywirusowe spełnia należycie swoje funkcje, jeśli działa w trybie permanentnej aktywności i kontroluje wszystkie pliki kopiowane i otwierane, nie tylko z nośników takich jak dyskietki, dyski twarde, płyty cd/dvd, pamięci flash itp., ale także poprzez interfejs sieciowy komputera,
- ważne jest, aby system operacyjny posiadał wszystkie zalecane przez producenta poprawki do wykrytych podatności na ataki, w praktyce wymóg ten jest realizowany przez bieżącą instalację aktualizacji, w miarę jak te udostępniane są przez producenta systemu operacyjnego,
Każdy internauta powinien mieć świadomość zagrożeń jakie wiążą się z pobieraniem z sieci oprogramowania z niepewnych serwerów, czy odpowiadania na podejrzaną pocztę elektroniczną. Trzeba także zapamiętać, że każde podejrzenia co do sfingowanych witryn należy jak najszybciej przekazać policjantom lub pracownikom danego banku odpowiedzialnych za jego funkcjonowanie w sieci.
Więcej informacji:
http://gdata.pl
Tomasz Zamarlik
Marketing Manager
Tel. +48 94 3729 671 • Faks +48 94 3729 659
Kom. +48 668 016 694 • mailto:tomasz.zamarlik@gdata.pl
G Data Software Sp. z o.o. • 28 Lutego 2
78-400 Szczecinek, Polska • http://www.gdata.pl