Bazę danych (drogo) sprzedam, czyli co dzieje się z naszymi danymi jeżeli zostały skradzione?

Bazę danych (drogo) sprzedam, czyli co dzieje się z naszymi danymi jeżeli zostały skradzione?

Jeszcze nigdy w historii ochrona danych nie była tak istotna jak obecnie. Wraz z rozwojem technologii i postępującej digitalizacji społeczeństwa wartość danych nie przestaje rosnąć. Doskonale rozumieją to cyberprzestępcy, którzy z nielegalnego handlu danymi uczynili dochodowy interes. 

Czym właściwe są „dane”?

Najpopularniejsza definicja danych mówi, że danymi (ang. data) jest wszystko to, co jest lub może być przetwarzane umysłowo lub komputerowo. Innymi słowy, dane to po prostu zbiór wiadomości w surowym formacie, które można wykorzystać do tworzenia użytecznych informacji. Mogą mieć postać faktów, liczb, symboli lub tekstu, które następnie mogą być łatwo przetworzone przez systemy informatyczne. Dane mogą być rejestrowane, przetwarzane i przesyłane, a owa „przetwarzalność”, czyli możliwość dalszego wykorzystywania danych jest cechą, bez której dane nie mogłyby w ogóle istnieć.

Ze względu na rodzaj treści, wielkość zbiorów, ich oznaczenie oraz sposób ich udostępniania można przeprowadzić kilka podstawowych podziałów danych, z których wyłonią się te najczęściej dziś spotykane: otwarte dane, dane publiczne, czy też tzw. Big Data.

Wyjaśniając pojęcie „danych” nie sposób nie wspomnieć o funkcjonowaniu baz danych.  Baza danych jest narzędziem służącym do zbierania i organizowania informacji. Często początkową formą bazy danych jest lista w edytorze tekstu lub arkusz kalkulacyjny. Baza danych może być ogólnie postrzegana jako zbiór rekordów, z których każdy zawiera jedno lub więcej pól (fragmentów danych) o danej jednostce (obiekcie), takich jak osoba, organizacja, miasto lub produkt. Na przykład pola dla bazy danych dotyczące osób pracujących dla konkretnej firmy mogą zawierać nazwisko, numer identyfikacyjny, adres, numer telefonu, datę rozpoczęcia zatrudnienia, pozycję i wynagrodzenie dla każdego pracownika. Opracowano kilka podstawowych typów modeli baz danych, w tym płaskie, hierarchiczne, sieciowe i relacyjne. Takie modele opisują nie tylko strukturę baz danych, ale także operacje, które można na nich wykonywać.

„Big Data”

Mianem Big Data określa się tendencję do szukania, pobierania, gromadzenia i przetwarzania dostępnych danych. Jest to metoda legalnego gromadzenia informacji z przeróżnych źródeł, takich jak transakcji kupna/sprzedaży, postów w sieciach społecznościowych czy sygnałów GPS z telefonów komórkowych, a następnie ich analizowania i wykorzystywania do własnych celów. W ten właśnie sposób różne organizacje mogą stworzyć profil potencjalnego klienta i na podstawie zebranych informacji stworzyć ofertę odpowiednio dopasowaną do jego profilu. Najważniejsze w Big Data jest zatem przetwarzanie informacji i wykorzystywanie w praktyce wniosków z nich płynących, a nie samo gromadzenie danych.

Należy zauważyć, że część zasobów informacyjnych organizacji, które składają się na Big Data, to dane osobowe. Dane te najczęściej są pozyskiwane metodami analitycznymi, a także poprzez zastosowanie odpowiednich algorytmów, znaczników pikselowych czy plików cookies. Jak możemy zauważyć są to dane, które całościowo mogą stanowić swoistą kopalnię wiedzy o osobach i zjawiskach, których dotyczą – chociaż nie w każdym przypadku. Usługi Big Data oparte wyłącznie na danych anonimowych – po pseudonimizacji lub anonimizacji – zanonimizowanych w sposób wykluczający możliwość przypisania rzeczywistych tożsamości konkretnym osobom fizycznym powinny zostać uznane za usługi niepodlegające, co do zasady, regulacji RODO. Jeśli jednak dany przedsiębiorca świadczy usługi Big Data oparte o dane osobowe, to wtedy musi w odniesieniu do takich usług stosować RODO.

Dane osobowe i cyberprzestępczość

Obecnie wiele organizacji zbiera możliwie jak najwięcej informacji o potencjalnych konsumentach  takie jak płeć, wiek lub dane o stanie zdrowia. Dane mogą przedstawiać szczegółowy obraz czyjegoś życia, czy to na podstawie zakupów dokonanych przez Internet, poszukiwania pracy czy też informacji wyszukiwanych w popularnych przeglądarkach.

Dane to wiedza, wiedza to władza, a władza niezmiennie zamienia się w pieniądze. Co raz więcej firm rozumie, że większa ilość danych przedkłada się na większy zysk. Przetwarzanie danych osobowych przez przedsiębiorców i różne organizacje wiąże się jednak z powstaniem ryzyka w postaci wykorzystania danych osobowych poza głównym celem, dla którego je zebrano oraz niewłaściwym zarządzaniem danymi. Utrata lub wyciek danych może kosztować firmę kolosalne kwoty, ale także, a może przede wszystkim, godzić w jej renomę.

Istotnym pojęciem, które pojawia się przy okazji różnych incydentów związanych z naruszeniem ochrony danych osobowych jest cyberprzestępczość. Cyberprzestępczość jest nową i jedną z najszybciej rozwijających się form przestępczości transgranicznych. Internet stał się niezbędnym elementem naszego życia, dlatego przestępcy wykorzystują związane z tym możliwości.

Obecnie z cyberprzestrzeni korzysta kilka miliardów użytkowników. Jest to idealny obszar dla przestępców, którzy pozostając anonimowi uzyskują dostęp do naszych danych osobowych, świadomie lub nieświadomie umieszczanych w sieci. Zagrożenia związane z bezpieczeństwem w Internecie, takie jak kradzież danych, dramatycznie wzrosły w ostatnich latach.

Kradzież danych to nielegalne przekazywanie lub przechowywanie jakichkolwiek informacji o charakterze poufnym, osobistym lub finansowym w tym haseł, kodów oprogramowania lub algorytmów, zastrzeżonych informacji procesowych lub technologii. Prawie każda czynność, która jest przeprowadzana w sieci – czy to za pomocą karty kredytowej lub zwykłe zamieszczanie postów na Facebooku – zostaje odnotowana w cyberprzestrzeni i przechowywana w bazach danych obsługiwanych przez różnego rodzaju firmy i organizacje.  Te dane to istny skarb dla złodziei tożsamości. Nic więc dziwnego, że hakerzy nieustępliwie próbują włamać się do systemów, w których są one przechowywane.

Moje dane zostały skradzione…

Co się dzieje z danymi jak już zostaną skradzione? Pomysłowość złodziei nie zna granic – wystarczy, że oszust uzyska dane z dowodu osobistego przypadkowej osoby, a będzie mógł np. zaciągnąć w jej imieniu nawet sporą pożyczkę przez Internet lub w firmie udzielającej chwilówek. Przykładów jest oczywiście więcej, złodzieje mając dostęp do danych kart kredytowych mogą dokonać bardzo kosztownych zakupów, spędzić kilka nocy w luksusowym hotelu czy też szantażować osobę, której dane posiadają.

Przykładów jest oczywiście więcej, natomiast warto zwrócić uwagę na jeszcze jeden, coraz popularniejszy wśród oszustów, sposób zarabiania na skradzionych danych. Wielkie koncerny i małe firmy, specjaliści od marketingu i banki nie tracą żadnej okazji do tego, by zebrać na nasz temat jak najwięcej informacji, ponieważ mogą one w przyszłości bezpośrednio przełożyć się na większy zysk organizacji. Dlatego też, w celu dotarcia do możliwie najszerszej grupy odbiorców, wiele firm decyduje się na zakup baz zawierających dane od kilkuset do kilkudziesięciu tysięcy, a nawet kilku milionów osób fizycznych.

Przedsiębiorcom nie zawsze opłaca się samodzielnie tworzyć bazy danych osobowych, dlatego też często korzystają z dostępnych na rynku ofert. Oczywiście w tym miejscu należy zadać pytanie, czy sprzedaż baz danych osobowych w ogóle jest legalna i dopuszczalna w Polsce.

W pierwszej kolejności należy zwrócić uwagę na fakt, że nie można zacząć wykorzystywać pozyskanych danych bez spełnienia określonych warunków. Osoba, której dane dotyczą, musi się dowiedzieć: kto jest nowym administratorem jej danych, w jakim celu są one przetwarzane, komu będą udostępniane i jakie prawa jej przysługują. Podsumowując, handel danymi w tym osobowymi jest legalny pod warunkiem, że mamy podstawę prawną do zbierania danych i przekazywania ich dalej, jak również spełnimy obowiązek informacyjny wobec osób, których dane dotyczą.

Samo nazwisko z numerem telefonu czy adresem e-mail jest warte średnio kilkadziesiąt groszy. Cena odpowiednio wzrasta w połączeniu z numerem PESEL, informacją o zarobkach, zakupach i innych zachowaniach konsumenckich. Takie spersonalizowane dane potrafią kosztować ponad 100 złotych za sztukę i są gratką dla marketingowców, którzy opracowują strategie reklamowe i sprzedażowe w firmach.

Co jakiś czas pojawiają się doniesienia o kolejnej kradzieży bazy danych osobowych. Jedna z bardziej spektakularnych kradzieży w Polsce miała miejsce ponad cztery lata temu w Łodzi. Pracownik  sieci komórkowej chciał sprzedać dane 135 tysięcy osób z całej Polski. Kwota jakiej sobie zażyczył to 54 tysiące  złotych – 40 groszy za komplet danych jednej osoby. Eksperci twierdzą, że musiały to być podstawowe dane, jak np. nazwisko, numer telefonu, niemniej powyższy incydent pokazał niebezpieczną tendencję.

Gdzie oszuści mogą sprzedawać nielegalnie nabyte dane? Obecnie Internet, pomimo swojego ogromu, jest co raz uważniej monitorowany, stad wzrasta ryzyko wykrycia zdarzenia i jego sprawcy. Jest jednak przestrzeń, gdzie oszuści mogą działać prawie bezkarnie – istnieje ciemna strona sieci, gdzie częstokroć handluje się materiałami wybuchowymi, bronią, narkotykami oraz… danymi osobowymi.

Ciemna strona Internetu, czyli „Darknet”

Darknet jest zbiorczą nazwą określającą anonimowe strony internetowe, sklepy, fora dyskusyjne i inne. Jednak w przeciwieństwie do zwykłych witryn, z którymi mamy do czynienia na co dzień,  w darknecie nie są one dostępne przez adres www i nie można ich znaleźć w wyszukiwarkach takich jak Goo­gle. Istnieją więc w „podziemiu”, a osoby „wtajemniczone” przekazują sobie ich adresy. Wejście do Darknet nie jest tak trudne, jak mogłoby się wydawać. By przeglądać zawarte w nim treści użytkownik nie musi posiadać zaawansowanej wiedzy z zakresu IT ani profesjonalnego sprzętu. Musi pobrać jedynie odpowiednią przeglądarkę (np. Tor) i zainstalować ją na swoim komputerze. Tor jest tak naprawdę spreparowaną wersją innej popularnej przeglądarki internetowej, zapewnia jednak ukrycie adresu IP przeglądającego poprzez zapobieganie analizowania ruchu sieciowego.

Użytkownicy darknetu prowadzą handel właściwie wszystkim, co jesteśmy sobie w stanie sobie wyobrazić – od podstawowego sprzętu takiego jak telefony komórkowe lub telewizory przez podróbki towarów luksusowych i serwisy dostępne w Internecie nielegalne licencje oprogramowania po narkotyki, broń i brutalną pornografię. Wiele ofert w darknecie jest też po prostu oszustwami, a ich ofiary raczej nie zgłaszają takiego zdarzenia organom ścigania.

W darknecie można kupić nie tylko broń czy narkotyki, w ciemnej stronie Internetu kwitnie również handel…danymi. Kompletny zestaw wszystkich danych karty kredytowej – nazwa, numer karty płatniczej, data ważności, numer PESEL, data urodzenia oraz CVV2 – trzycyfrowy kod bezpieczeństwa na odwrocie karty kredytowej – kosztują około 40 dolarów w USA i Europie. W Stanach skradzione karty kredytowe – bez powyższych informacji, ale z CVV2 – dostępne są już za 5 dolarów. W przypadku składowisk kart kredytowych gdzie informacje zapisane są na pasku magnetycznym karty – i które mogą być skopiowane na puste karty – kosztują nawet 200-300 dolarów.

Jak dochodowy może okazać się handel danymi mogliśmy się przekonać nie tak dawno. Otóż 28 września 2018 r. w Nanterre aresztowano funkcjonariusza francuskiego kontrwywiadu, który sprzedawał poufne dane w darknecie. Funkcjonariusz pracował w DGSI (Direction Générale de la Sécurité Intérieure), czyli służbach  odpowiedzialnych za wykrywanie przestępstw i walkę z terroryzmem. Miał więc dostęp do bardzo szczegółowych informacji. Postanowił z nich skorzystać sprzedając je na internetowym czarnym rynku. Funkcjonariusz miał nie tylko sprzedawać informacje, ale oferował także dwie dodatkowe usługi. Pierwszą było lokalizowanie określonego telefonu na zlecenie, co reklamował jako usługę umożliwiającą inwigilowanie małżonków. Drugą było sprawdzenie, czy osoba o określonym imieniu i nazwisku znajduje się w obszarze zainteresowań europejskich służb.  Agent mógł zarobić na swoim procederze nawet kilka tysięcy euro miesięcznie. Ceny niektórych usług zaczynały się od kilkudziesięciu euro, natomiast usługa inwigilacji poprzez sprawdzanie lokalizacji telefonu to już około 300 euro.

Funkcjonariusz został oskarżony 26 września i aresztowany dwa dni później w Nanterre, Hauts-de-Seine. Nadal nie jest jasne, ile jaka kara może mu grozić. Przypadek ten pokazuje, że zbyt swobodny dostęp funkcjonariuszy do danych to nie tylko zagrożenie dla praw obywateli, ale też większe ryzyko dla działania samych organów ścigania.

Nie ryzykuj, chroń swoje dane!

Wraz z rozwojem technologii i postępującej digitalizacji społeczeństwa wartość naszych danych praktycznie nie przestaje rosnąć. Często gdy wyrażamy zgodę na przetwarzanie danych osobowych, mogą one być przekazywane podmiotom trzecim, które mogą wykorzystać je wbrew naszej woli, bez naszej wiedzy. Nawet zatem szczątkowe informacje na nasz temat takie jak nazwisko, wiek, płeć, miejsce zamieszkania czy status rodzinny mogą być wyodrębnione i sprytnie połączone, dlatego warto zwrócić uwagę na to, co zamieszczamy w sieci, ponieważ zdarza się, że nieopatrznie publikujemy o sobie i swoim otoczeniu więcej, niż pierwotnie zamierzaliśmy.

Jak się zabezpieczyć przed utratą danych? Przede wszystkim należy kierować się zdrowym rozsądkiem. Nigdy nie otwieraj podejrzanych e-maili lub wiadomości i załączników nieznanego pochodzenia. Często spotykaną praktyką, jaką stosują oszuści, jest wysyłanie wiadomości, które zawierają niebezpieczne linki. Prowadzą one do fałszywych stron znanych instytucji, platform aukcyjnych itp. Znajdziesz na nich ponaglającą informację wzywającą do uzupełnienia w dość krótkim czasie swoich danych osobowych, pod pretekstem zawieszenia funkcjonowania konta. Jako przykład można podać niedawną próbę wyłudzenia danych od klientów ZUS – oszuści rozsyłali do klientów maile podszywając się pod Zakład Ubezpieczeń Społecznych, a otworzenie takiej wiadomości powodowało zainstalowanie na komputerze odbiorcy złośliwego oprogramowania, które umożliwiało dostęp do danych znajdujących się w komputerze. Na szczęście czujni klienci zwrócili uwagę na nieprawidłowy adres mailowy ZUS zmieszczony w stopce maila – oparty o domenę rządową „gov.pl”, tymczasem oficjalna witryna ZUS oraz adresy mailowe  pracowników ZUS nie funkcjonują w oparciu o tę domenę.

Po drugie, nie wyrzucaj do kosza dokumentów i nośników z danymi. Większość z nich zawiera prywatne informacje, których trafienie w niepowołane ręce mogłoby wiązać się z negatywnymi konsekwencjami.

Po trzecie, nie zostawiaj dokumentów w rękach osób niepowołanych. Żadna instytucja nie może żądać od Ciebie pozostawienia dowodu osobistego w zamian za np.  wypożyczenie sprzętu takiego jak samochód czy rower.

Po czwarte, używaj zróżnicowanych i „silnych” haseł. Hasło do konta bankowego, poczty czy też profili w serwisach społecznościowych powinno należycie chronić nas przed atakami cyberprzestępców. Dlatego warto zadbać, aby było odpowiednio złożone. Dobrze, aby zawierało duże i małe litery oraz cyfry i znaki specjalne. Nie należy ustawiać tego samego hasła na wszystkich stronach, z których korzystamy, ponieważ w przypadku ich kradzieży przestępcy będą mieli łatwy dostęp nie tylko do naszej poczty, ale też bankowości.

Po piąte,  program antywirusowy to podstawa. Należy też pamiętać o bieżącym aktualizowaniu systemu operacyjnego i wszystkich zainstalowanych programów.

Mając na uwadze powyższe, najlepszym sposobem na zabezpieczenie się przed kradzieżą będzie zachowanie ostrożności przy przetwarzaniu, a szczególności czujność przy udostępnianiu danych.

Marcin Szewerniak

 

https://www.ontrack.com/pl-pl/blog/2017/02/27/czarny-rynek-danych/

https://niebezpiecznik.pl/post/funkcjonariusz-kontrwywiadu-oferowal-w-darknecie-usluge-sledzenia-telefonow-i-nie-tylko/

https://www.rp.pl/Dane-osobowe/312069968-Jak-uniknac-kradziezy-danych-osobowych.html

https://mfiles.pl/pl/index.php/Dane

https://poradnikprzedsiebiorcy.pl/-czym-jest-big-data

 

 

 

 

 

About Redakcja 310 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.