Przewodnik: jak radzić sobie w obliczu naruszeń bezpieczeństwa danych

Charlotte Empey 20 wrz 2018

Oto co powinien zrobić każdy, kto padł ofiarą naruszeń bezpieczeństwa danych.

Czy w ciągu zeszłego roku zdarzyło Ci się zrobić zakupy w sklepie internetowym 
NEO24.pl i Adidas, czy bookowałeś wakacje na Travelplanet.pl lub Wakacje.pl? A może masz za sobą zakupy w sklepie stacjonarnym Lord & Taylor, Forever 21 lub Saks Fifth Avenue? Zdarzyło Ci się wyskoczyć do Panera Bread lub Whole Foods? Sprawić sobie sprzęt elektroniczny w Gamestop lub Best Buy? Kupić bilety lotnicze linii Delta? A może zrealizować 
transakcję związaną z kryptowalutami, korzystając z platformy Atlas Quantum przeznaczonej do obsługi kryptowalut?

Każda z wymienionych firm padła w zeszłym roku ofiarą naruszeń bezpieczeństwa danych. Pełna lista firm, których dotknął ten problem, jest znacznie dłuższa. Ponadto osoby, które padły ofiarą tych naruszeń, określanych głośnym mianem Equifax, miały narazić na niebezpieczeństwo dane 143 milionów osób. Podobny atak znany jako Exactis dotyczył aż 340 milionów osób. Co takiego? Nie wiesz, czym jest Exactis? Nie tylko Ty.

Sprawa dotycząca firmy Exactis dokładnie pokazuje, na czym polega najpoważniejszy problem z szerzącymi się naruszeniami bezpieczeństwa danych. Musimy się martwić nie tylko firmami, z których usług korzystamy na co dzień, ale też uważać na wszelkie podmioty gromadzące dane, takie jak Exactis. Wyłącznym celem istnienia tych podmiotów gromadzących dane jest zbieranie (w sposób zgodny z prawem) jak największej ilości informacji dotyczących możliwie dużej liczby osób, by następnie sprzedać je działającym legalnie firmom. Gromadzenie, kupowanie i sprzedawanie danych to poważny biznes. Firmy prowadzące działalność w obszarze handlu elektronicznego chcą znać nawyki, upodobania i potrzeby swoich klientów, a także wiedzieć jak najwięcej o ich finansach, znać ich dane kontaktowe i dane ich znajomych. Firmy takie jak Exactis zajmują się gromadzeniem tego rodzaju danych. Infiltracja tego rodzaju bazy danych daje hakerom dostęp do niewyobrażalnego źródła danych.

Co to jest naruszenie bezpieczeństwa danych?

Do takiego zdarzenia dochodzi w przypadku infiltracji chronionych informacji. To takie proste. Naruszenie to luka, której nie powinno być — można porównać ją na przykład do dziury na dnie łodzi, dziury w murze ochronnym lub złamania zabezpieczeń ochrony online. Naruszenie bezpieczeństwa danych ma miejsce, gdy niedozwolona luka pozwala uzyskać dostęp do wrażliwych danych w Internecie.

Jakie informacje są narażone na ryzyko w przypadku naruszenia bezpieczeństwa danych?

Tak naprawdę zależy to od infrastruktury firmy, która padła jego ofiarą oraz od charakteru naruszenia, można jednak zakładać, że narażone mogą być dowolne informacje udostępnione danej firmie, a więc na przykład:

  • nazwa użytkownika
  • adres e-mail
  • hasło
  • adres
  • numery telefonów
  • data urodzenia
  • dane prawa jazdy
  • numer karty kredytowej
  • historia zakupów
  • dane rachunku bankowego
  • numer ubezpieczenia społecznego

Jak sprawdzić, czy doszło do naruszenia bezpieczeństwa moich danych?

Dobre pytanie. Wszyscy mamy nadzieję, że jeśli już zdarzy się naruszenie bezpieczeństwa danych, firma, która padła jego ofiarą, natychmiast poinformuje o tym fakcie swoich klientów, wskazując przy tym, które dane zostały narażone. Wiemy jednak z przeszłości, że nie zawsze tak się dzieje. Zanim firma Equifax zdecydowała się podzielić się ze swymi klientami wiadomością o naruszeniu, minęło kilka miesięcy. Bez względu na to, czy wynikało to z zażenowania, podejmowania prób rozwiązania problemu po cichu czy też z kiepskiego zarządzania, inne firmy, które także padły ofiarą naruszeń, także czekały z poinformowaniem o tym. Takie postępowanie jest niedopuszczalne — klienci mają prawo wiedzieć, że osoba niepowołana mogła uzyskać ich dane. Kliknij te łącza, aby sprawdzić, czy żadne Twoje wiadomości e-mail nie były związane z naruszeniem bezpieczeństwa danych i czy nie ujawniono Twoich haseł podczas naruszenia bezpieczeństwa danych.

Nie wiemy o wszystkim, dlatego warto zachować ostrożność w świecie cyfrowym. Będziemy w dalszym ciągu zgłaszać w naszym blogu poważniejsze naruszenia zabezpieczeń, zalecamy jednak dokładną obserwację swoich finansów i rachunków, która pozwoli wykryć wszelkie anomalie. Warto przyjrzeć się każdemu podejrzanemu działaniu. Jeśli wszystko wydaje się być w porządku, nie musi to oznaczać, że nie naruszono bezpieczeństwa danych — bez względu na to, czy naruszenie nastąpiło, czy też nie, dane po prostu nie zostały jeszcze wykorzystane.

RODO a naruszenia bezpieczeństwa danych

RODO to nowy kodeks prawa UE regulujący kwestie prywatności i bezpieczeństwa w środowisku cyfrowym. RODO zaczęło obowiązywać wiosną 2018 r. i dotyczy każdej firmy — niezależnie od lokalizacji jej siedziby — przechowującej w postaci cyfrowej dane obywateli UE. W celu zapewnienia klientom odpowiedniej ochrony RODO wymaga od firm utrzymywania wysokich standardów bezpieczeństwa oraz ujawniania wszelkich naruszeń w ciągu 72 godzin od momentu uzyskania informacji na ich temat. Jeśli jakakolwiek firma złamie te zasady, musi się liczyć z tym, że zostanie na nią nałożona grzywna w wysokości 4% jej rocznego przychodu lub 20 milionów funtów, zależnie od tego, która z kwot jest wyższa.

Wiele firm narzekało na wprowadzenie nowych zasad, ponieważ wymagały one od nich aktualizacji i/lub modernizacji sieci. Pieniądze zainwestowane w bezpieczeństwo przyniosą jednak korzyści wszystkim — zarówno samym firmom, jak i ich klientom. Nowe środki bezpieczeństwa powinny pomóc ograniczyć rosnącą liczbę naruszeń bezpieczeństwa danych na całym świecie, a jasne zasady dotyczące ujawniania opinii publicznej naruszeń w ciągu 72 godzin od ich wykrycia powinny pomóc zminimalizować szkody, pozwalając ofiarom szybko podjąć odpowiednie kroki.

Co cyberprzestępcy robią z wykradzionymi danymi?

Cyberprzestępcy często sprzedają takie informacje między sobą, a także wykorzystują je w ramach tzw. exploitów w następujących celach:

  • wyprowadzanie pieniędzy z rachunków bankowych;
  • wysyłanie wiadomości e-mail w imieniu użytkownika;
  • rejestracja w celu korzystania z mediów i zapłata rachunków za nie;
  • uzyskiwanie nowych kart kredytowych i zaciąganie długów poprzez zakup drogich produktów;
  • wywieranie negatywnego wpływu na zdolność kredytową ofiary;
  • manipulowanie w dokumentacji podatkowej ofiary;
  • blokowanie ofierze dostępu do należących do niej kont i rachunków, np. rachunku bankowego lub konta w serwisie społecznościowym;
  • …i w wielu innych celach.

Co powinna zrobić osoba, która padła ofiarą naruszenia bezpieczeństwa danych?

Wszystkie firmy wymienione na początku artykułu padły ofiarą naruszeń bezpieczeństwa danych w latach 2017–2018. Klienci tych firm muszą liczyć się z tym, że osoby o niecnych intencjach mogą mieć dostęp do ich nazwy użytkownika, hasła, numeru ubezpieczenia społecznego, numerów kart kredytowych, imienia i nazwiska, daty urodzenia i innych danych udostępnionych przez nich pośrednio lub bezpośrednio tym firmom. Jeśli Twoje dane osobowe wpadły w niepowołane ręce, użyj naszej listy kontrolnej działań podejmowanych w przypadku naruszenia bezpieczeństwa:

Określ, do jakich danych uzyskano dostęp

Najłatwiej będzie dowiedzieć się, co dokładnie się stało, od firmy, której zabezpieczenia zostały naruszone. Jeśli firma nie podaje szczegółów, przypomnij sobie wszelkie dane udostępnione danej firmie. Na wszelki wypadek załóż, że wszystkie dane są zagrożone.

Zmień wszystkie hasła

Utwórz nowe, silne hasła. Unikaj ponownego korzystania ze starych haseł. Dla każdego loginu do konta użyj niepowtarzalnego wyrażenia. Aby zapewnić sobie maksymalne bezpieczeństwo, użyj menedżera haseł (Avast Passwords to przykład doskonałego produktu tego rodzaju. Menedżer haseł nie tylko będzie generował złożone hasła, ale nawet będzie je za Ciebie pamiętać). Zdecydowanie zalecamy korzystanie z uwierzytelniania dwuetapowego, gdy tylko istnieje taka możliwość, oraz korzystanie z silnych haseł podczas konfigurowania nowych kont.

Uważaj na łącza w wiadomościach e-mail i SMS, aby nie paść ofiarą ataku typu phishing.

Jeśli otrzymasz wiadomość e-mail lub SMS dotyczącą naruszenia i zawierającą łącze do kliknięcia lub plik do pobrania, zachowaj szczególną ostrożność i nic nie klikaj. Takie wiadomości często są wykorzystywane do ataków typu phishing przez cyberprzestępców chcących wykorzystać dezorientację ofiary. Zamiast wykonywać instrukcje z wiadomości, zadzwoń bezpośrednio do firmy, od której wiadomość ma pochodzić, i upewnij się, czy rzeczywiście masz do czynienia z nadawcą.

W sprawie kradzieży karty kredytowej lub debetowej skontaktuj się z bankiem

Jeśli skradziono Ci numery kart kredytowych lub debetowych, skontaktuj się z bankiem, aby zastrzec stare karty i uzyskać nowe. Zmień także swój kod PIN. Zwróć uwagę, czy na miesięcznym wyciągu nie ma żadnych podejrzanych opłat, zakupów ani wypłat sprzed daty unieważnienia karty.

W przypadku kradzieży numeru ubezpieczenia społecznego skontaktuj się z agencją sporządzająca raporty kredytowe

Cyberprzestępcy mogą posłużyć się Twoim numerem ubezpieczenia społecznego, aby otwierać w Twoim imieniu nowe rachunki. Aby temu zapobiec, zgłoś ostrzeżenie dotyczące oszustwa dotyczące swojego imienia i nazwiska w jednej z poniższych większych agencji sporządzających raporty kredytowe. Zdarza się, że firmy, które padły ofiarą naruszenia zabezpieczeń danych, oferują możliwość bezpłatnego przekazywania tego rodzaju ostrzeżeń.

Ostrzeżenie dotyczące oszustwa

EquifaxOstrzeżenie dotyczące oszustwa

ExperianOstrzeżenie dotyczące oszustwa — TransUnion

W kolejnych latach okresowo sprawdzaj raporty kredytowe, aby mieć pewność, że nie zdarzyło się nic podejrzanego. Rozważ także wprowadzenie blokady raportu kredytowego. Dzięki temu nikt nie będzie w stanie sprawdzić raportu kredytowego bez Twojej zgody. W ten sposób możesz opóźnić niektóre zakupy (np. kupno samochodu lub nieruchomości na kredyt), ale łatwiej unikniesz kradzieży tożsamości.

W sprawie kradzieży prawa jazdy lub dowodu tożsamości zwróć się do organu państwowego wydającego dokumenty

Na terenie Polski takimi organami są odpowiednie urzędy wydające prawo jazdy i dowody. Zgłaszając kradzież, zapytaj o zalecenia i najlepsze praktyki, które zapewnią Ci ochronę. Organ państwowy może zdecydować się przypisać Ci nowy numer identyfikacyjny lub zalecić Ci zastosowanie określonych środków mających na celu zabezpieczenie przed oszustwami.

Zainstaluj oprogramowanie antywirusowe

Aby chronić się przed złośliwym spamem, zainfekowanymi łączami i wszelkiego rodzaju złośliwym oprogramowaniem, zainstaluj antywirusa. Jeśli ktoś spróbuje złamać Twoje zabezpieczenia, antywirus powstrzyma go, zanim zdąży wyrządzić jakąkolwiek szkodę. Pobierz Avast Free Antivirus i korzystaj z zaawansowanych możliwości w zakresie ochrony, które pozwolą zatrzymać cyberprzestępców.

--> -->