Newsy

Codziennie setki loginów i haseł trafia na czarny rynek. Dane wyciekają z polskich firm, ale bezpieczne nie są nawet urzędy

2019-05-23  |  06:00
Mówi:Piotr Konieczny
Funkcja:szef zespołu bezpieczeństwa
Firma:Niebezpiecznik.pl
  • MP4
  • Co chwilę dochodzi do wycieku wrażliwych danych. Miliony adresów mailowych, haseł, a nawet numerów telefonów codziennie trafiają na czarny rynek, gdzie zostają sprzedane za kilkadziesiąt dolarów. Chociaż twórcy przeglądarek internetowych robią wszystko, by odpowiednio zabezpieczyć nasze dane logowania, nie zastąpią zdrowego rozsądku. Eksperci podkreślają, by nie korzystać z tych samych, prostych haseł do wielu różnych witryn, bo od wycieku danych do zaciągnięcia kredytu na kilkaset tysięcy złotych droga jest krótka. A dane mogą wyciec nie tylko z prywatnej firmy, lecz także z urzędu.

    – Dane z polskich firm wyciekają. Operatorzy mają taki problem, że bardzo łatwo się u nich zatrudnić, bo w ogóle jest teraz rynek pracownika i pracownicy są potrzebni. Osoba, która pracuje w biurze obsługi klienta, w małej galerii handlowej, w niewielkim miasteczku, nie zarabia kroci, a ma dostęp do systemów informatycznych, z których może wyciągnąć dane, które niestety w tzw. darknecie, czyli tych podziemnych forach internetowych, są zdecydowanie bardziej cenne – mówi agencji informacyjnej Newseria Innowacje Piotr Konieczny, szef Zespołu Bezpieczeństwa Niebezpiecznik.pl.

    W ostatnich miesiącach cyberprzestępcy wystawili na sprzedaż bazę zawierającą 773 mln adresów e-mail oraz 21 mln haseł z przeszło 2 000 serwisów, w tym z polskich serwisów internetowych. Za dostęp do bazy Collection #1 żądano zaledwie 45 dol., co oznacza, że bezcenne z punktu widzenia użytkowników informacje mogły wpaść w ręce tysięcy cyberprzestępców.

    – Codziennie pojawiają się ogłoszenia: pracuję u tego operatora, mam dostęp do bazy, kto mi zapłaci i ile, to mogę coś sprawdzić albo mogę wręcz wyeksportować pewne dane i je przekazać. To jest coś, z czym będziemy musieli sobie jako społeczeństwo coraz bardziej zinternetyzowane poradzić, dbając o to, żeby tych danych podawać jak najmniej. Żeby mieć z tyłu głowy, że zawsze to, co komuś przekazujemy, może z systemów informatycznych wylecieć – mówi Piotr Konieczny.

    Aby uchronić się przed takimi wyciekami, producenci przeglądarek wdrażają systemy bezpieczeństwa, które sprawdzają, czy nasze loginy i hasła nie zostały złamane. Firefox Monitor to nowa usługa uruchomiona przez Fundację Mozilla. Jej celem będzie monitorowanie sieci w poszukiwaniu wycieków e-maili, haseł i innych newralgicznych informacji, którymi raczej nikt nie chce dobrowolnie dzielić się ze światem.

    Monitor porównuje hasła z bazą serwisu Have I Been Pwned, którego twórca gromadzi od 2013 r. dane logowania, które wyciekły od usługodawców i trafiły w ręce cyberprzestępców. Wpisując naszego e-maila do Firefox Monitor, możemy się dowiedzieć, czy nie trafił on w niepowołane ręce. HIBP pozwala także sprawdzić, czy w bazie nie znajduje się nasze hasło, a logując się do usługi Firefox Monitor będziemy informowani o wszystkich wyciekach danych, których staniemy się ofiarami.

    Podobne rozwiązanie wdrożyli programiści Google do przeglądarki Chrome, jednak ich wtyczka Password Checkup korzysta z szyfrowanej i anonimowej bazy Google.

    – Jeśli wszędzie używamy hasła ABC123, to nie powinniśmy się dziwić, że jeśli dane wyciekną z jednego z naszych systemów, to przestępcy od razu zweryfikują, czy na nasz adres e-mail są zarejestrowane konta w bardzo popularnych serwisach, takich jak np. Allegro, Uber, czy Netflix i czy przypadkiem tam też nie mamy hasła ABC123. A jeśli mamy, no to oczywiście nasze konto trafi na sprzedaż, ktoś nam zwiększy abonament, ktoś podepnie jeszcze członków rodziny. I tak naprawdę na tym się zarabia. Na wyłudzeniach albo wystawianiu lewych przedmiotów na sprzedaż i przekierowaniu pieniędzy w zupełnie inne miejsce – tłumaczy Piotr Konieczny.

    Nasza dane mogą być narażone na niebezpieczeństwo nie tylko przez prywatne firmy. Badania przeprowadzone przez funkcjonariuszy Najwyższej Izby Kontroli dowodzą, że polskie urzędy masowo przetwarzające nasze dane osobowe, nie są w stanie zagwarantować, że nie dostaną się one w ręce osób niepowołanych. Niemal 70 proc. skontrolowanych urzędów ma problem z wdrożeniem systemów bezpiecznego przetwarzania danych, a 75 proc. nie ma aktualnych informacji o przetwarzanych zasobach informatycznych.

    W przeszło połowie jednostek nie przestrzega się także zasad prawidłowego zabezpieczania dostępu do informacji, co najczęściej przekłada się na stosowanie haseł niespełniających podstawowych norm bezpieczeństwa. Powszechne jest także gromadzenie informacji na niezabezpieczonych nośnikach – proceder taki stosuje aż 70 proc. skontrolowanych urzędów.

    – Musimy mieć świadomość, że ktoś te dane będzie miał w jakimś systemie, ktoś może ich nie skasować, ktoś może mieć gorszy dzień w pracy, ktoś może odejść od komputera. Wreszcie, to może być jakiś stażysta, który zatrudnił się wyłącznie po to, żeby takie dane sobie zebrać i na nich zarobić zdecydowanie więcej niż na stażu – mówi Piotr Konieczny.

    Ustawodawcy próbują wyjść naprzeciw wyzwaniom, jakie stawia przed nimi dynamiczny rozwój internetu, i planują wdrożyć zapisy prawne, które zaostrzą kary dla finansowych cyberprzestępców. Do Rządowego Centrum Legislacji trafiła nowelizacja Kodeksu karnego, która zakłada, że złamanie zabezpieczeń internetowych, w tym m.in. nieuprawniony dostęp do serwisów bankowych, będzie utożsamiane z kradzieżą z włamaniem. Pozwoli to nakładać na cyberprzestępców wyższy wymiar kary i skazywać ich nawet na dziesięć lat pozbawienia wolności.

    – Jeśli nasze dane zostaną wykradzione, to prawdopodobnie przestępca będzie chciał na nich szybko zarobić. Jeśli są to dane związane z dokumentami tożsamości, to prawdopodobnie na te osoby zostaną pobrane pożyczki, kredyty. Dzisiaj można to zrobić przez internet albo w oddziale, mimo że jesteśmy nie do końca podobni do zdjęcia, które jest na dokumencie. Czasem nawet nie potrzebujemy oficjalnego dokumentu, którego skan mamy, bo możemy wyrobić tzw. dowody kolekcjonerskie. Fałszerzowi podajemy dane z prawdziwego dowodu, który wykradliśmy i zdjęcie naszego słupa, który pójdzie do firmy pożyczkowej – tłumaczy ekspert.

    Według analityków z firmy Data Bridge Market Research wartość globalnego rynku cyberbezpieczeństwa w 2017 roku wyniosła 135 mld dol. Przewiduje się, że do 2025 roku wzrośnie ona do 246 mld dol. przy średniorocznym tempie wzrostu na poziomie przeszło 16 proc.

    Czytaj także

    Kalendarium

    Więcej ważnych informacji

    Jedynka Newserii

    Jedynka Newserii

    Zdrowie

    Ochrona zdrowia w Polsce ma być bardziej oparta na jakości. Obowiązująca od roku ustawa zostanie zmieniona

    Od października placówki ochrony zdrowia mogą się ubiegać o akredytację na nowych zasadach. Nowe standardy zostały określone we wrześniowym obwieszczeniu resortu zdrowia i dotyczą m.in. kontroli zakażeń, sposobu postępowania z pacjentem w stanach nagłych czy opinii pacjentów z okresu hospitalizacji. Standardy akredytacyjne to uzupełnienie obowiązującej od stycznia br. ustawy o jakości w opiece zdrowotnej i bezpieczeństwie pacjenta, która jest istotna dla całego systemu, jednak zdaniem resortu zdrowia wymaga poprawek.

    Konsument

    Media społecznościowe pełne treści reklamowych od influencerów. Konieczne lepsze ich dopasowanie do odbiorców

    Ponad 60 proc. konsumentów kupiło produkt na podstawie rekomendacji lub promocji przez twórców internetowych. 74 proc. uważa, że treściom przekazywanym przez influencerów można zaufać – wynika z badania EY Future Consumer Index. W Polsce na influencer marketing może trafiać ok. 240–250 mln zł rocznie, a marki widzą ogromny potencjał w takiej współpracy. Coraz większym zainteresowaniem cieszą się mikroinfluencerzy, czyli osoby posiadające od kilku do kilkudziesięciu tysięcy followersów, ale o silnym zaangażowaniu.

    Ochrona środowiska

    Polacy wprowadzają na razie tylko drobne nawyki proekologiczne. Do większych zmian potrzebują wsparcia

    Zdecydowana większość Polaków dostrzega niekorzystne zmiany klimatu – wynika z badań przeprowadzonych na zlecenie ING Banku Śląskiego. Są wprawdzie gotowi, by zmieniać swoje nawyki na bardziej ekologiczne, ale często odstraszają ich koszty i brak wiedzy. Jednocześnie liczą na większe wsparcie i zaangażowanie ze strony rządu i biznesu, a prawie 40 proc. Polaków oczekuje, że to start-upy będą pracowały nad innowacjami proklimatycznymi. One same chętnie się w ten obszar angażują, ale widzą wiele barier, m.in. w pozyskiwaniu kapitału.

    Szkolenia

    Akademia Newserii

    Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a  także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.