Cyberatak na polski system finansowy

Według jednej z publikacji (nieoficjalnej) odnalezione składniki złośliwego oprogramowania nie są znane przez żaden program antywirusowy. Cyberataki są coraz bardziej niebezpieczne i groźne, tylko dzięki zastosowaniu przez banki na wysoko stojącym poziomie systemy bezpieczeństwa, zdołano zidentyfikować zaistniałe zagrożenie. Banki i ich systemy posiadają systemy zabezpieczające na najwyższym poziomie. Ten poziom zabezpieczenia jest ciągle modyfikowany proporcjonalnie do zagrożeń. Czy jest to przypadek odosobniony? Czy tylko wydarzył się w naszym kraju?

Wiosną 2007 po raz pierwszy w historii doszło do zmasowanego cyberataku przeciw Estonii. W dniu 27 kwietnia o godzinie 22:30 serwis rządu estońskiego zaczęły „bombardować” tzw. ataki denial of servces (DoS). Od tego momentu fala cyberataków dokonywanych przez wiele grup hakerskich unieruchomiła strony internetowe parlamentu, ministerstwa obrony i sprawiedliwości., partii politycznych, policji czyli najważniejszych instytucji państwa (ale też niektórych szkół wyższych). 9 maja atak dotknął również sektor prywatny. Dwa największe banki zawiesiły swoją działalność (on-line). Cyberatak trwał 3 tygodnie i pokazał jak bezbronne wobec takiego ataku jest rząd i społeczeństwo. Prezydent kraju Toomas Hendrik Ilves (prezydent w latach 2006-2016) powiedział: „W obecnych czasach nie potrzeba pocisków, żeby zniszczyć infrastrukturę”. Można to zrobić on-line. Jeszcze bardziej pesymistycznie,  jak to ujęto w jednym z artykułów ponuro brzmią słowa Gadi Evrona, izraelskiego eksperta do spraw bezpieczeństwa (w tym czasie przebywał Estonii): „Za pomocą cyberbomby Estonia została niemal zepchnięta do epoki kamiennej”. Społeczeństwo nie zostało tym atakiem dotknięte bezpośrednio, to raczej instytucje państwowe zostały przez jakiś czas odcięte od świata. Bardzo poważnie ten atak został odebrany przez NATO. To właśnie od 2008 r.  Talin stał się siedzibą nowej NATO-wskiej instytucji – Cooperative Cyber Defense Centre of Exceellence.

Mniejszej wagi czy raczej innego charakteru są liczne niemal codzienne cyberataki w wielu krajach. Szef holenderskich służb wywiadowczych Rob Bertholee oświadczył dla telewizji NOS, iż w ciągu 2016 roku miały miejsce liczne ataki na strony wielu ministerstw, a także premiera.  MSZ Norwegi, kontrwywiad i inne ważne instytucje tego kraju zostały w styczniu zaatakowane przez hakerów. PST (Policyjna Służba Bezpieczeństwa podlegająca Ministerstwu Sprawiedliwości) oświadczyła iż cyberatak skierowany był na konta poczty elektronicznej należących do osób współpracujących z resortem obrony, ale też innych instytucji za pomocą systemu „Speer phishing”.

Również w Szwecji, według dziennika ‘ Dagans Nyheter” szwedzkie siły zbrojne stały się ostatnio celem cyberataku, który spowodował konieczność wyłączenia systemu informatycznego wykorzystywanego do ćwiczeń wojskowych.

Cyberataki na systemy energetyczne to tylko kwestia niedalekiej przyszłości.  W tych dniach „Washington post” poinformował iż na komputerze firmie Darlington Electric zarządzającej przesyłem energii w stanie Vermont wykryto niebezpiecznego wirusa.

Najtragiczniejsze wydarzenia dotykają Ukrainy.  Prezydent Peter Poroszenko poinformował iż w ciągu ostatnich dwóch miesięcy 2016 roku doszło do ponad 6 tysięcy cyberataków zarówno na systemy wojskowe jak i energetyczne. Skutkiem tych ataków było przejęcie czasowe, skutkujące 6-ścio godzinnym odłączeniem energii w Iwano-Frankowsku czy pozbawieniem energii prawie pół Kijowa.

Cyberataki i z nim związana cyberprzestępczość dotyka nie tylko instytucji państwowych czy systemów obronnych czy funkcjonowania państw.

Do jednej z największych przestępczych akcji było wykryte włamanie (śledztwo ruszyło w 2013 roku)  do 100 banków w 30 krajach. Według ekspertów z firmy Kasperski Lab. (to oni trafili na ślad) hakerzy zainstalowali na komputerach pracowników banków programy śledzące ich każdy ruch. Jedną z form tej kradzieży było podszywanie się pod śledzonych pracowników. W ten sposób zaatakowane zostały banki w Rosji, Chinach, USA , Wielkiej Brytanii i na Ukrainie. Wspomniana wyżej firma podała iż według wstępnych informacji kradzież sięgała 300 mln. dol. chociaż niektórzy twierdzą że był to hakerski pierwszy miliard. 

Czy tylko wyrafinowanymi technicznie metodami są wykonywane kradzieże? Nie tylko, gdyż równie skuteczne są metody socjotechniczne czy raczej infotechniczne. Kilka lat temu NY Post opublikował artykuł opisujący włamanie na prywatna skrzynkę dyrektora CIA, Johna Brennana. Według tego artykułu na jego prywatnej poczcie przechowywane były nie tylko osobiste i prywatne informacje, ale i arkusze z danymi osobowymi innych najwyższych funkcjonariuszy CIA, jak i budzący niepokój raport dotyczący ostrych technik przesłuchań. Czy dokonały tego wrogie służby ? Nie, dokonał tego, jak się sam przedstawił na Twitterze uczeń szkoły średniej. Metodami socjotechnicznymi wyłudził informacje od różnych instytucji i osób które umożliwiły mu przęjecie kontroli nad skrzynką e-mail tego funkcjonariusza. Możliwości zdobywania informacji , które umożliwiają przeprowadzenie cyberwłamań jest wiele. Na pytanie co dla bezpieczeństwa informatycznego jest groźniejsze cybermafia czy nieuczciwy pracownik? Odpowiedz jest jednoznaczna – nieuczciwy pracownik, czy nawet można go nazwać niefrasobliwym, może być słabym punktem systemu bezpieczeństwa. Taka nieświadomość dotyczy również każdej osoby, która korzystając z Internetu poprzez różne narzędzia nie myśli, albo lekceważy bezpieczeństwo w sieci.

Zapewnienie odpowiedniego do ryzyka poziomu bezpieczeństwa to podstawowy obowiązek Administratora Danych Osobowych (ADO).

Według przepisów nowego Rozporządzenia PE i R (już uchwalonego, wejdzie w życie z dniem 25 maja 2018 r.), Administrator Danych to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Administrator Danych Osobowych w celu zapewnienia bezpieczeństwa przetwarzania danych musi uwzględniać charakter, zakres i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia.  W przypadku wystąpienia naruszenia (np. wypływ, kradzież) administrator bez zbędnej zwłoki, w miarę możliwości zgłasza je organowi nadzorczemu (dzisiaj GIODO). Gdy zgłoszenie nastąpi po upływie 72 godzin administrator jest zobowiązany dołączyć wyjaśnienie przyczyn opóźnienia. Ale nie tylko organ nadzorczy musi być o tym fakcie zawiadomiony, gdyż w przypadku, gdy naruszenie danych osobowych może powodować wysokie ryzyko naruszenia praw i wolności winien powiadomić również osobę, której dane osobowe dotyczą. Jakie w przypadku naruszenia tego obowiązku będą grozić sankcje? Organ nadzorczy (GIODO) będzie mógł wymierzyć za to naruszenie administracyjną karę pieniężną (art. 83 Rozporządzenia) do wysokości 10 000 000 EUR lub do 2% jego całkowitego światowego obrotu.  Również osoba , która poniosła szkodę majątkowa lub niemajątkową w wyniku naruszenia przepisów Rozporządzenia, ma prawo uzyskać od administratora danych osobowych odszkodowanie za poniesioną szkodę. Osoba, może umocować podmiot (stowarzyszenie, fundacja), którego działalność nie ma charakteru zarobkowego, do jej reprezentowania w celu realizacji jej uprawnień (odszkodowania, wniesienie skargi). Tak wysokie sankcje za naruszenia przepisów Rozporządzenia, a w szczególności, gdy nastąpi naruszenie praw i wolności osoby, musi wzbudzić refleksje i odpowiedzialność w szczególności za  zapewnienie maksymalnego bezpieczeństwa przetwarzanych danych osobowych. Ze względy na ograniczone możliwości tekstowe ciąg dalszy tego tematu nastąpi….