O ochronie prywatności powiedziano już bardzo wiele. Każdy pewnie zdaje sobie sprawę, że aby nie stracić zgromadzonych na koncie bankowym środków, musi chronić PIN niezbędny do autoryzacji transakcji kartą płatniczą. Identycznie w bezpieczny sposób przechowuje i wykorzystuje login i hasło do bankowości elektronicznej, bo ich utrata może oznaczać wyczyszczenie konta. Podobnie sytuacja wygląda w odniesieniu do danych personalnych – PESEL, dowód osobisty, wizerunek… Wiemy, że musimy ich strzec i staramy się to robić. Co chwilę słyszymy o kradzieżach tożsamości, zaciąganiu kredytów, wyłudzeniach pożyczek. Kiedy ktoś prosi nas o możliwość zrobienia skanu / ksera naszego dowodu, powinniśmy stanowczo zaprotestować. Wiemy jakie konsekwencje mogą się z tym wiązać, więc reagujemy!
Takie samo podejście powinno być stosowane, jeśli chodzi o dane udostępniane w internecie, m.in. w sieciach społecznościowych. Pamiętajmy podstawową zasadę – wszystko, co znajdzie się w internecie, zostanie w internecie. Nie mówimy tutaj o przykładach skrajnych, jak wcześniej przywołane udostępnianie zdjęć dokumentów na własnych profilach. Tego poziomu braku świadomości nie jesteśmy w stanie zupełnie pojąć. To nawet nie jest proszenie się o kłopoty. To jest zwyczajne pogwałcenie podstawowych zasad bezpieczeństwa i zachowanie ze wszech miar naganne. Co gorsza, psychologia tłumu niejednokrotnie powoduje, że takie postępowanie szybko znajduje naśladowców. Zajmijmy się czymś mniej głupim, co jeszcze da się wyleczyć.
Jedno zdjęcie to nie problem…
Weźmy jako przykład niewinne zdjęcie z imprezy firmowej, opublikowane na prywatnym profilu społecznościowym. Niby nic strasznego, ale czy na pewno? Spójrzmy na to zagadnienie z szerszej perspektywy. Jedno zdjęcie, to być może faktycznie niewiele i samo w sobie nie stanowi zagrożenia. Jeśli natomiast przestępca, śledząc nasze powiązania w ramach konta na platformie (lub pomiędzy platformami), będzie w stanie zidentyfikować inne osoby z naszej pracy, sytuacja staje się poważna. 3… 2… 1… i wie o nas więcej niż zakładaliśmy. Zna naszego przełożonego, był w stanie zidentyfikować sieć najbliższych współpracowników, poznał firmy powiązane z tą, w której pracujemy. Odkrył nasze nawyki, wie jakim autem jeździmy, gdzie mieszkamy, z kim spędzamy święta. Dużo danych, które odpowiednio przetworzone pozwalają na:
- podszycie się pod szefa,
- uwiarygodnienie komunikacji pomiędzy współpracującymi podmiotami,
- nawiązanie relacji w imieniu przedstawiciela firmy z nowym kontrahentem,
- uzyskanie dostępu do tajemnicy przedsiębiorstwa.
Konsekwencje tych działań mogą być poważne – od nakłonienia pracownika do podjęcia określonych działań, przez ujawnienie danych poufnych, po wysłanie spreparowanej faktury do kontrahenta, celem przelania środków na podstawiony rachunek bankowy. A to tylko konsekwencje w ramach obowiązków służbowych. O kwestiach prywatnych nie będziemy tutaj szerzej rozmawiać.
Przykład z ostatnich godzin dobitnie pokazuje, że zanim cokolwiek opublikujemy w internecie, dwa razy się zastanówmy i skonsultujmy z kimś, aby nie popełnić błędu. Takiego, jaki popełnił administrator profilu Białego Domu, udostępniając zdjęcie z wizyty prezydenta USA w Izraelu, przypadkowo dekonspirując żołnierzy elitarnej jednostki Delta Force. Jedna fotografia sprawiła, że życie członków tej formacji może być zagrożone. Podobne przykłady znamy z wojny w Ukrainie. Tam z kolei sygnatury lokalizacyjne zdjęć publikowanych przez żołnierzy wroga, pomogły w skutecznym zaatakowaniu ich pozycji.
Informacje służbowe niekoniecznie niezbędne
Bardzo często nie tylko portale społecznościowe, ale także strona firmowa daje ogrom informacji na temat pracowników i relacji między nimi. Publikujesz certyfikaty potwierdzające odbycie szkoleń czy zdanie egzaminów? Modna jest prezentacja zespołu w zakładce „O nas” – imiona, nazwiska, adresy email, numery telefonów, stanowiska? Za każdym razem musisz traktować udostępniane w ten sposób dane, jako potencjalne niebezpieczeństwo. Rozważ, czy nie byłoby warto usunąć dane personalne z certyfikatów. Prezentację zespołu ogranicz do działów, z którymi potencjalny kontrahent mógłby chcieć się skontaktować. Nie publikuj imion, nazwisk, stanowisk – to ładnie wygląda, ale kolejny raz bazuje na instynkcie stadnym – ktoś tak ma na swojej stronie, zrobię tak i ja. A czy pomyślałeś, czy ten, kto wcześniej opublikował imienną listę pracowników, przeanalizował potencjalne zagrożenia z tym związane?
Problem systemowy
Na aspekty opisane wyżej wpływ mają sami pracownicy, działy marketingu czy właściciele firm. Są jednak problemy natury ogólnej, na które nie mamy żadnego wpływu. Problemy te od lat są takie same i dotyczą danych publikowanych w:
- rejestrach spółek,
- księgach wieczystych,
- publicznych postępowaniach o udzielenie zamówień,
- oświadczeniach majątkowych i innych.
Rejestry te, w imię realizacji prawa i powszechnego dostępu do informacji, udostępniają szereg danych wrażliwych. Informacje w nich zawarte mogą zostać wykorzystane w niewłaściwy sposób. Tu niestety nie jesteśmy w stanie indywidualnie nic zrobić. Problem należy rozwiązać systemowo, weryfikując potrzebę upubliczniania tak szerokiego zestawu danych. A mówimy tu o bardzo ważnych danych, w tym numerach PESEL, powiązaniach między udziałowcami, hipotekach, lokatach, nieruchomościach. Choćby w przypadku postępowań publicznych, niejednokrotnie ujawniano ważne z punktu widzenia bezpieczeństwa kraju dane. Przypomnieć możemy publikację planów jednostek wojskowych czy infrastruktury strategicznej w ramach przetargów. Gdyby udało się wyeliminować prosty dostęp do części wrażliwych informacji w tych rejestrach, poziom bezpieczeństwa danych osób w nich występujących byłby na pewno o wiele wyższy.
Budowanie świadomości wyrabia dobre nawyki
Nasze szkolenie z cyberbezpieczeństwa realizowane przy wykorzystaniu wirtualnej rzeczywistości – Company (Un)Hacked porusza m.in. najważniejsze kwestie związane z mediami społecznościowymi. Pokazujemy w jaki sposób cyberprzestępcy pozyskują dane i jak z czasem nieistotnych informacji budują cały scenariusz ataku. Uczymy, że wszystko, co zostało raz wrzucone do internetu, pozostanie tam na zawsze. Pozwalamy kursantom samodzielnie przeprowadzić biały wywiad, przez co mogą łatwiej przenieść omawianą tematykę na grunt codzienności. Ogrom ludzi korzysta bowiem z różnych social mediów, nie zdając sobie do końca sprawy jakie zagrożenia mogą na nich czyhać. Nie mówimy, że social media są złe, podkreślamy jednak, że trzeba świadomie z nich korzystać. Podobnie w odniesieniu do publikacji danych o pracownikach na stronie. Nie ma w tym nic złego, ale czy faktycznie jest to aż tak ważne i bez tego strona nie będzie atrakcyjna? Stare, dobre podejście do cyberbezpieczeństwa zakłada blokowanie wszystkiego i odblokowywanie wybranych elementów, które są faktycznie niezbędne. W ramach świadomego korzystania z internetu również warto korzystać z tej zasady i udostępniać tylko to, co niezbędne, zawsze pamiętając o ochronie prywatności.