Do naszych osobistych i firmowych danych dostęp mają dziesiątki firm i instytucji. Właściwie wszystko, co zostaje zamieszone w Internecie lub przesłane za pośrednictwem mobilnej komunikacji, bardzo łatwo może stać się jawne. Media nieustannie informują o kolejnych aferach podsłuchowych, toczących się wokół rozmów, nagrań lub niejawnych dokumentów. Mimo to wielu przedsiębiorców nadal czuje się bezpiecznie w sieci. Bez obaw na co dzień korzystają z popularnych platform mailowych, komunikatorów i chmur. Dane synchronizują się na komputerze i urządzeniach mobilnych. W efekcie do tego, aby dostały się w niepowołane ręce, wystarczy zaledwie zgubienie lub kradzież smartfona.
Kto ma dostęp do Twoich danych?
W Polsce na operatorach sieci telekomunikacyjnych spoczywa obowiązek przechowywania danych przez 12 miesięcy od ich zgromadzenia. W bazach tych firm znajdują się nie tylko informacje dotyczące billingów, ale także czasu połączeń, treści SMS-ów, danych właściciela telefonu, a nawet jego geolokalizacji. Po wprowadzeniu w życie tzw. ustawy inwigilacyjnej operatorzy mają obowiązek umożliwienia służbom stałego dostępu do danych poprzez tworzenie baz w wersji online. Wgląd do nich mają: Policja, sądy i prokuratury, kontrola skarbowa, służby celne, Straż Graniczna, Żandarmeria Wojskowa, Agencja Wywiadu, Służba Kontrwywiadu Wojskowego, Agencja Bezpieczeństwa Wewnętrznego, Centralne Biuro Antykorupcyjne oraz Służba Wywiadu Wojskowego.
Do Twoich danych, na podstawie zawartej umowy, dostęp mają także operatorzy usług teleinformatycznych, z których korzystasz. Zastanów się, czy przed skorzystaniem po raz pierwszy z popularnego komunikatora czy chmury pomyślałeś o tym, aby wnikliwie zapoznać się z ich regulaminem?
Co ciekawe…
Miesięcznie z konta Gmail korzysta ponad miliard aktywnych użytkowników. Co najmniej 10 milionów z nich to przedsiębiorcy. Za bezpieczeństwo przechowywanych danych odpowiada dystrybutor usługi na warunkach określonych w regulaminie.
Dlaczego coraz częściej słyszymy o aferach podsłuchowych?
Wraz z rozwojem nowych środków komunikacji drastycznie zwiększyła się liczba afer podsłuchowych, w których ofiarą padają ludzie polityki biznesu, a nawet zupełnie prywatne osoby. Nic dziwnego, że wśród przedsiębiorców wzrasta strach o bezpieczeństwo danych. Przypominamy najważniejsze z wydarzeń, które w ostatnich latach wstrząsały mediami.
PRISM
Czy wiesz, czym jest PRISM? To ścisłe tajny amerykański program szpiegowski, który umożliwia dostęp do danych zgromadzonych przez największe na świecie firmy internetowe. Dzięki niemu USA w pełni legalnie może mieć nieograniczony dostęp do danych dowolnej osoby na świecie. Dotyczy to w równym stopniu filmów zgromadzonych w prywatnej bibliotece na YouTube, jak i plików przechowywanych w chmurze udostępnianej przez Microsoft. Afera z PRISM w roli głównej wybuchła w 2013 r., gdy były pracownik CIA, Edward Snowden, udostępnił poufne dane mediom, w tym najpopularniejszym europejskim dziennikom.
Co ciekawe…
PRISM umożliwiało amerykańskiej Agencji Bezpieczeństwa Wewnętrznego podsłuchy rozmów telefonicznych prowadzonych za pośrednictwem aplikacji internetowych i komunikacji VoIP. Zdaniem Snowdena służby miały dostęp także do rozmów na czatach, kont e-mail oraz danych z mediów społecznościowych. Z władzami mieli współpracować tacy giganci w branży internetowej, jak Facebook, Google, Yahoo!, Apple, YouTube, AOL czy Skype.
Panama Papers
Panama Papers to wyciek informacji, po którym do dymisji podało się wielu światowej klasy polityków oraz właścicieli ważnych firm. Wszystko zaczęło się w kwietniu i maju 2016 r., gdy Międzynarodowe Konsorcjum Dziennikarzy Śledczych udostępniło poufne dane dotyczące dokumentów z rajów podatkowych. Były one gromadzone przez kancelarię podatkową i prawną Mossack Fonseca z Panamy, której biura zlokalizowane są na całym świecie. Dokumentacja to ponad 2,5 terabajta danych. Figuruje w niej ponad 200 000 spółek oraz powiązanych z nimi osób, które mogły prowadzić nielegalne interesy w rajach podatkowych. Docelowo wyciek ma obejmować ponad 11,5 miliona dokumentów.
Po ujawnieniu danych wielu bankierów i polityków podaje się do dymisji. Afera ma także polski wątek. Okazało się, że w dokumentach, które wyciekły z biura Mossack Fonseca, znalazły się informacje dotyczące m.in. Paweł Piskorski (przewodniczący Stronnictwa Demokratycznego oraz były prezydent Warszawy) Mariusz Walter (właściciel TVN-u) i Marek Profus (przedsiębiorca prowadzący Profus Managment).
FBI kontra Apple
Czujesz się bezpiecznie, korzystając ze swojego iPhone’a? Okazuje się, że zabezpieczenia wykorzystywane przez Apple są na tyle trudne do złamania, że utrudniają pracę FBI. Skandal związany z zatargiem służb z jedną z najpopularniejszych firm na świecie zapoczątkował zamach w USA z końca 2015 r., kiedy użytkownik telefonu Apple, Syed Rizwan Farook, zabił 14 osób. Przestępca zginął na miejscu. Funkcjonariusze FBI znaleźli przy nim iPhone’a, z którego dane mogły posłużyć do zatrzymania osób powiązanych z atakiem. Niestety okazało się, że urządzenie było zabezpieczone kodem szyfrującym dane 256-bitowym kluczem, którego nie może złamać nikt z wyjątkiem właściciela iPhone’a. Danych nie może odczytać nawet Apple, a więc są one właściwe niemożliwe do odzyskania.
Apple cały czas stara się wprowadzić zabezpieczenia pozwalające zmienić iPhone’y i iPady w sejfy danych. Takiemu działaniu przeciwstawia się FBI, które po incydencie z Syedem Rizwanem Farookiem pozwało potentata z Doliny Krzemowej. Proces jednak nie został rozstrzygnięty na korzyść FBI – jeszcze przed jego rozpoczęciem funkcjonariuszom udało się znaleźć firmę, która złamała zabezpieczenie.
Co ciekawe…
Czy wiesz, że korzystając z urządzeń mobilnych, np. z Androidem, narażasz się na stałą kontrolę swoich danych? Po pierwsze odpowiadają za to reklamy, które dostosowywane są do preferencji użytkownika na podstawie jego wcześniejszych działań w sieci. Po drugie zakup nielegalnych dodatków lub aplikacji może skończyć się na drodze sądowej – zgodnie z przepisami unijnymi operator ma dostęp do danych kupującego i, kiedy dochodzi do łamania prawa, musi udostępnić je służbom.
Jak władze podchodzą do tematu poufności danych?
W dobie wszechogarniającego zagrożenia terroryzmem władze państwowe robią wszystko, aby zminimalizować ryzyko. Niestety często dzieje się to kosztem obywateli, którzy muszą płacić własną prywatnością za tolerancję i otwarcie granic. Wystarczy choćby wspomnieć bardzo głośne w ostatnim czasie ustawy, popularnie zwane inwigilacyjną i antyterrorystyczną. Mimo protestów ze strony wielu środowisk i obywateli zostały one wprowadzone w życie, znacznie ograniczając nasze swobody. Jak do tematu inwigilacji pochodzą inne państwa? Czy w Europie są kraje, w których dane są w pełni bezpieczne?
Ustawa inwigilacyjna – to dzieje się w Polsce
Ustawa inwigilacyjna, a właściwie nowelizacja regulująca ustawy o działaniu kilkunastu służb, weszła w życie na początku 2016 r. W jej myśl zwiększono uprawnienia dotyczące działań obywateli wykonywanych w obrębie przestrzeni telekomunikacyjnej wielu służb: Policji, Straży Granicznej, Żandarmerii Wojskowej, Wywiadu Wojskowego, Centralnego Biura Antykorupcyjnego, Służby Celnej, Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Służby Kontrwywiadu oraz kontroli skarbowej.
Co ciekawe…
Po podstawowe dane telekomunikacyjne, takie jak IP, billingi czy geolokalizacja, służby sięgają praktycznie w przypadku każdego przestępstwa, bez względu na jego wagę. Funkcjonariusze mają także dostęp do danych wyszukiwarek internetowych, takich jak historia przeglądanych stron, adresów e-mail czy nawet wyszukiwanych fraz.
Nowelizacja spotkała się z protestem opozycji oraz organizacji pozarządowych. Oburzenie wynikające z ograniczenia swobód obywatelskich wyraziły także takie instytucje, jak Naczelna Rada Adwokacka i Krajowa Rada Radców Prawnych. Jakie znaczenie ustawa inwigilacyjna będzie miała dla biznesmenów? Przede wszystkim bardzo trudno będzie zatroszczyć się o pełną poufność danych. Stanie się to problemem dla wszystkich firm, a szczególnie tych przedsiębiorstw, których działalność wymaga zachowania tajemnicy informacji – np. radców prawnych czy doradców podatkowych.
Co ciekawe…
Zgodnie z art. 180a prawa telekomunikacyjnego:
1. Z zastrzeżeniem art. 180c ust. 2 pkt 2, operator publicznej sieci telekomunikacyjnej oraz dostawca publicznie dostępnych usług telekomunikacyjnych są obowiązani na własny koszt:
1) zatrzymywać i przechowywać dane, o których mowa w art. 180c, generowane w sieci telekomunikacyjnej lub przez nich przetwarzane, na terytorium Rzeczypospolitej Polskiej, przez okres 12 miesięcy, licząc od dnia połączenia lub nieudanej próby połączenia, a z dniem upływu tego okresu dane te niszczyć, z wyjątkiem tych, które zostały zabezpieczone, zgodnie z przepisami odrębnymi;
2) udostępniać dane, o których mowa w pkt 1, uprawnionym podmiotom, a także Służbie Celnej, sądowi i prokuratorowi, na zasadach i w trybie określonych w przepisach odrębnych; […].
ACTA
Podpisanie międzynarodowej handlowej ustawy ACTA, do którego doszło w 2012 r., spotkało się z ogromnymi protestami w Polsce i Europie. Na ulice wyszły dziesiątki tysięcy osób. W zamyśle ustawa ma chronić własność intelektualną. W praktyce dokument znacznie ogranicza wolność w Internecie, upoważniając dostawców usług telekomunikacyjnych do stałego monitorowania działań ich klientów. Co to oznacza dla zwykłych obywateli? Zamieszczenie zdjęcia z nielegalnego źródła na jednym z popularnych portali może skończyć się sprawą sądową. Wszystko dlatego, że jego operator ma pełny dostęp do informacji o użytkowniku.
Co ciekawe…
Najwięcej kontrowersji budził art. 27 pkt 4 ACTA, który brzmi: Strona może, zgodnie ze swoimi przepisami ustawodawczymi i wykonawczymi, przewidzieć możliwość wydania przez swoje właściwe organy dostawcy usług internetowych nakazu niezwłocznego ujawnienia posiadaczowi praw informacji wystarczających do zidentyfikowania abonenta, co do którego istnieje podejrzenie, że jego konto zostało użyte do naruszenia [praw]. […].
Patriot Act – dokument, który ma ochronić przed terroryzmem
Patriot Act zostało przyjęte w USA po zamachach z 11 września 2001 r. Zgodnie z jego treścią rząd Stanów Zjednoczonych może przez nieograniczony czas przetrzymywać obcokrajowców, którzy mogą stanowić zagrożenie terrorystyczne. Co więcej, ustawa budziła wiele kontrowersji, ponieważ pozwalała Agencji Bezpieczeństwa Narodowego (NSA) na podsłuchiwanie Amerykanów i gromadzenie metadanych dotyczących połączeń. Było to kłopotliwe do tego stopnia, że obywatele zaczęli porównywać władze do „Wielkiego Brata”, który może podejrzeć każdy ich ruch. Ustawa wygasła w połowie 2015 r. Władze próbowały przegłosować przedłużenie jej obowiązywania, jednak spotkały się z gromkimi protestami obywateli.
Po ostatnich wydarzeniach we Francji także Europa nie pozostaje obojętna wobec ataków terrorystycznych. Na rozszerzenie uprawnień służb specjalnych zdecydowały się m.in. Francja, Niemcy i Wielka Brytania. Nad ustawą antyterrorystyczną pracuje także polski rząd. Jednym z jej punktów ma być możliwość nieograniczonego podsłuchu obcokrajowców przez służby specjalne.
Nowe przepisy dotyczące ochrony danych w UE
Nie wszystkie działania jednak zmierzają do ograniczania swobód obywatelskich. W maju 2016 r. Parlament Europejski przyjął nowelizację przepisów, mających chronić użytkowników Internetu. Zgodnie z nią poziom i metody ochrony informacji w całej Unii zostały ujednolicone. Dzięki nowym regulacjom każdorazowo użytkownik będzie musiał wyrazić jasną i świadomą zgodę na przetwarzanie swoich danych osobowych. Co więcej, najmłodsi (do ukończenia 13. lub 16. roku życia – w zależności od kraju UE) nie będą mogli zakładać kont na portalach społecznościowych bez wyraźnej zgody opiekunów. Konsumenci będą mogli wnosić do firm o wymazanie ich danych z rejestru i baz, a podmioty nieprzestrzegające przepisów o ochronie danych osobnych muszą liczyć się z mandatami. W Polsce przypadki naruszeń ochrony danych osobowych można zgłaszać do Generalnego Inspektora Ochrony Danych Osobowych.
Co ciekawe…
Zgodę na przetwarzanie danych osobowych dla celów marketingowych możesz w każdej chwili cofnąć. Aby to zrobić, należy złożyć pisemne oświadczenie u operatora oraz przedsiębiorców, którzy zgodnie z umową mieli prawo do ich wykorzystania. Od tego momentu operator nie będzie
mógł już wykorzystywać danych klienta, chyba że będzie to miało bezpośredni związek z realizacją zawartej umowy.
Dane bezpieczne jak w szwajcarskim banku
Szwajcaria to państwo znane z bezpieczeństwa. Nie dotyczy to jednak w pełnym stopniu danych osobowych. Choć kraj ten nie jest członkiem Unii Europejskiej, stał się sygnatariuszem umowy o wymianie danych osobowych pomiędzy państwami UE. Zgodnie z umową podpisaną w 2015 r. od 2018 r. Szwajcaria i państwa Wspólnoty będą miały obowiązek automatycznej wymiany informacji na temat rachunków finansowych swoich obywateli. Taka decyzja ma wpłynąć na ograniczenie liczby oszust podatkowych. Komisja Europejska planuje podpisanie podobnych umów z Andorą, Liechtensteinem, Monako i San Marino.
Czy jesteśmy skazani na inwigilację?
Sytuacja w kraju i na świecie może naprawdę zaniepokoić. Kierunek, w którym podążają zmiany, może doprowadzić do drastycznego ograniczania wolności. Z drugiej strony na nasze poufne dane codziennie czyhają osoby nieuprawnione i złodzieje, którzy chcą je wykorzystać do własnych celów. Na ich pozyskaniu często zależy także konkurencji. W obliczu dynamicznie zmieniającej się rzeczywistości przedsiębiorcy stają przed ogromnym wyzwaniem, którym jest zabezpieczenie firmowych danych przed atakami osób trzecich. Czy w XXI wieku można zadbać o zachowanie biznesowych tajemnic?
Czy można zabezpieczyć informacje biznesowe?
Każdy przedsiębiorca wie, że prowadzenie biznesu wymaga ogromnej wiedzy, doświadczenia i sporej dawki ostrożności. Dotyczy to także bezpieczeństwa danych. Ważne, aby informacje firmowe przechowywać w naprawdę sprawdzonych miejscach, w co najmniej dwóch kopiach, a do kontaktów biznesowych wykorzystywać jedynie narzędzia stworzone przy zachowaniu najwyższych standardów bezpieczeństwa. Dotyczy to w równym stopniu aplikacji komputerowych, co mobilnych. Warto także pomyśleć o odpowiednim szyfrowaniu danych. Dzięki profesjonalnemu szyfrowaniu nawet w przypadku kradzieży informacje staną się niemożliwe do odzyskania przez osoby nieuprawnione.
Dlaczego specjaliści od bezpieczeństwa IT robią zawrotną karierę?
Coraz więcej firm decyduje się na zatrudnienie specjalisty z zakresu bezpieczeństwa danych, czyli informatyka, który przeszedł stosowne szkolenia i jest w stanie odpowiedzialnie opracować strategię ochrony firmowych danych. Niestety na zatrudnienie takiego pracownika mogą pozwolić sobie tylko duże firmy. Co powinny w takim razie zrobić małe przedsiębiorstwa? Przede wszystkim muszą poszukać rozwiązań przygotowanych w oparciu o ich potrzeby. Może to być zakup odpowiedniego sprzętu lub wydzierżawienie przestrzeni w rzetelnych firmach, które wiedzą, jak zatroszczyć się o bezpieczeństwo informacji.
Jak świadomie troszczyć się o dane? Oto 5 kluczowych zasad:
1. Dane muszą być fizycznie przechowywane na co najmniej dwóch twardych dyskach.
2. Operator usługi nie powinien mieć dostępu do Twoich danych.
3. Pliki powinny być szyfrowane, tak aby nie miały do nich dostępu osoby trzecie.
4. Musisz mieć pełną kontrolę nad tym, kto ma dostęp do Twoich danych.
5. Powinieneś mieć dostęp do historii operacji wykonywanych na poszczególnych plikach
Źródło raportu: SecuredBOX