Autor: Julia

Rola CISO w obliczu GDPR (RODO)

Poszanowanie prywatności jest zagadnieniem, które było ważne w przeszłości i z pewnością nie straci na znaczeniu w przyszłości. Świat przechodzi cyfrową przemianę, wywołaną przez czwartą rewolucję przemysłową, nie oglądając się na potencjalny wpływ na naszą prywatność.

(więcej…)

Ponad 3/4 danych w Wielkiej Brytanii – bezużytecznych po RODO?

Nadchodzące przepisy ogólnego, europejskiego rozporządzenia o ochronie danych osobowych (RODO) mogą wywołać prawdziwe tąpnięcie na rynku danych marketingowych w Wielkiej Brytanii. Według szacunków, większość ze zgromadzonych w nich informacji nie będzie można używać w zgodzie z nowym prawem.

Od maja 2018 roku, wymogi dotyczące zgody na wykorzystanie danych osobowych zmienią się na model, który można nazwać jako „opt-in”. Odtąd, taka zgoda będzie musiała być świadoma i dobrowolna, nie dorozumiana z innych oświadczeń. Domyślnie wyrażona zgoda będzie już niewystarczająca. Zwiększy się również poziom szczegółowości takiej zgody, odrębnej dla różnych materiałów marketingowych.

Raport sporządzony przez grupę W8 Data ujawnił, że tylko 25 proc. danych klientów znajdujących się bazach danych firm spełnia wymogi określone w ramach GDPR. Pozostałe z nich muszą zostać dodatkowo zrewidowane, a specjaliści ds. marketingu muszą upewnić się, że posiadają w pełni udokumentowany proces pobierania danych oraz odbierania zgody od osób, których ów dane dotyczą.

To samo badanie wykazało, że tylko jedna trzecia z brytyjskich kampanii dba o pozyskanie odpowiednich zgód i traktuje je z wyższym priorytetem, niż samą ilość pozyskanych klientów, statystyki ich utrzymania przy firmie, czy też wzrost wartości promowanej marki. Zaledwie 35 proc. organizacji posiada regularne mechanizmy i procedury oczyszczania pozyskanych informacji z danych, których nie można wykorzystywać zgodnie z prawem.

Nie powinno zatem dziwić, że wzrasta popularność akcji pozyskiwania brakujących lub poprawionych zgód od osób, które zostały pozyskane w toku starszych kampanii bez należytej staranności lub uwzględnienia nowych przepisów. Najważniejsze, że brytyjskie korporacje zaczynają na poważnie rewidować bazy zgromadzonych danych osobowych pod kątem ich legalności, unikając w ten sposób dotkliwych kar albo konieczności porzucenia zgromadzonych z trudem informacji.

/ In RODO / By Julia / Możliwość komentowania Ponad 3/4 danych w Wielkiej Brytanii – bezużytecznych po RODO? została wyłączona

Łowca Androidów – uważajcie na swoje dane!

Nie tylko doświadczeni użytkownicy smartfonów wiedzą o tym, że należy uważać na podejrzane aplikacje oraz pliki. Obecnie prawie każdy dba o bezpieczeństwo swoich urządzeń mobilnych. Twórcy wirusów i robaków dostosowali się do tego trendu. W przestępczym środowisku popularne stały się aplikacje, które mogą wyrządzać wiele szkód na telefonie czy tablecie, nie dając powodów do niepokoju jego właścicielowi. (więcej…)

Wytropić handlarza

Specyficzne kombinacje słów w pozornie zwyczajnym ogłoszeniu sprzedaży mogą wskazywać, że jego przedmiotem jest w rzeczywistości młoda kobieta lub nielegalny pracownik. Odnajdywanie stron i wpisów, spełniających określony wzorzec, może uratować życie ofiar, także pozwolić na odnalezienie i ukaranie ich oprawców. (więcej…)

GDPR za oceanem – biznes w USA przygotowuje się na europejskie przepisy

Ze względu na stały rozwój i dynamiczne zmiany na rynku cyfrowym, UE podjęła znaczący krok w celu ochrony danych osobowych i praw prywatności Europejczyków we współczesnym świecie. Prace nad projektem Ogólnego rozporządzenia o ochronie danych (RODO, ang. GDPR) trwało ponad cztery lata, stając się prawem regulującym gromadzenie i przepływ danych obywateli Unii – nie tylko przez podmioty na terenie Europy, ale i na całym świecie. Dziś zajmiemy się tym, w jaki sposób amerykański przedsiębiorca może przygotować się na regulacje związane z GDPR. (więcej…)

/ In USA / By Julia / Możliwość komentowania GDPR za oceanem – biznes w USA przygotowuje się na europejskie przepisy została wyłączona

GosSOPKA i nowe prawo. Cyberbezpieczeństwo po rosyjsku cz. 2

Infrastruktura informatyczna Federacji Rosyjskiej jest w ubiegłych miesiącach poddawana bezprecedensowej fali ataków. Według danych tamtejszych służb wywiadowczych, w samym 2016 roku odnotowano ponad 70 milionów prób włamań do państwowych i finansowych systemów elektronicznych. W jaki sposób Rosjanie chcą bronić się przed plagą cyberprzestępczości? Czy GosSOPKA i surowsze prawo okażą się skuteczne?

Wirtualna broń idzie na prawdziwą wojnę

Już od dawna specjaliści ds. cyberbezpieczeństwa ostrzegali, że hakerzy mogą znaleźć sposób na wyrządzanie realnych, fizycznych szkód w krytycznej infrastrukturze dowolnego państwa. Stało się tak w 2009 roku, kiedy irański program atomowy został zaatakowany przez Stuxnet – pierwszą, nowoczesną broń cybernetyczną. Według dziennikarza Davida Sangera z New York Times, Stuxnet został stworzony, aby stanowić pokojową alternatywę dla wojennego scenariusza: Stany Zjednoczone obawiały się, że Izrael przystąpi do ataków powietrznych na Iran i jego obiekty jądrowe. Źródła Sangera mówiły, że robak komputerowy został zaprojektowany przez kilka współpracujących ze sobą agencji wywiadowczych: CIA, NSA, amerykańskie dowództwo Cyber ​​Command, centralę łączności rządu brytyjskiego, a nawet specjalny oddział rozpoznawczy izraelskiego Mosadu.

Stuxnet został umieszczony na pendrive’ach pracowników którzy, najwyraźniej nieświadomie, zainfekowali chronioną sieć zakładu, niemającą połączenia z Internetem. Korzystając z zamkniętego systemu, zarządzającego instalacją wzbogacania uranu Iranu w Natanz, wirus przyczynił się do zniszczenia ponad jednej czwartej wirówek, kluczowych dla powodzenia przedsięwzięcia.

Wirówki napędzane były silnikiem elektrycznym obracającym się z prędkością 1050 obrotów na sekundę. W jednym z wariantów ataku, Stuxnet podwyższał prędkość obracania się silników do 1410 obrotów na sekundę, a następnie obniżał ją do niemal zera, co przyczyniało się do ich uszkodzenia. W konsekwencji tych wydarzeń, niektórzy pracownicy zostali zwolnieni z powodu podejrzeń naruszenia procedur bezpieczeństwa obiektu.

Stuxnet i jego następcy

Stuxnet, po swoim pierwszym sukcesie, był używany do atakowania obiektów przemysłowych w różnych krajach. W 2010 roku zainfekował około 100 tys. urządzeń na całym świecie – wśród ofiar znalazła się nawet infrastruktura jednej z rosyjskich elektrowni jądrowych. Podobnie jak w Iranie, obiekt nie był połączony z Internetem. Wystarczyło zakażenie pojedynczego urządzenia, by złamać zabezpieczenia wewnętrznej sieci elektrowni.

Od czasu powstania Stuxnetu pojawiły się nowsze „bronie cybernetyczne”, działające na podobnej zasadzie. W 2016 roku eksperci z firmy ESET ogłosili powstanie narzędzia o nazwie Industroyer, przeznaczonym m.in. do utrudniania i uniemożliwiania działalności przedsiębiorstw z branży energetycznej. Podejrzewa się go o spowodowanie spektakularnej awarii zasilania w Kijowie w grudniu 2016 roku. Mrok spowił wówczas aż cztery stołeczne dzielnice. Nie byłby to odosobniony przypadek – przez ostatnie trzy lata hakerzy wielokrotnie atakowali Ukrainę, odcinając od prądu całe regiony.

Na problemy – GosSOPKA

Sukces Stuxnetu nie pozostał w Rosji niezauważony. W styczniu 2013 r. Władimir Putin zobligował Federalną Służbę Bezpieczeństwa do stworzenia państwowego systemu wykrywania, zgłaszania i eliminowania skutków ataków komputerowych. System ten, znany szerzej jako „GosSOPKA”, miał objąć wszystkie federalne zasoby informatyczne, a także państwowe korporacje Rostec i Rosatom.

GosSOPKA opiera się na monitoringu, obejmującym całą chronioną infrastrukturę. Pozwoli to na dynamiczne informowanie Kremla o potencjalnych cyberatakach i szybkie diagnozowanie ich źródeł. Umożliwi także skuteczne zabezpieczenie tych zasobów, które nie zostały objęte atakiem.

W 2015 r. Agencja opublikowała zarys projektu GosSOPKI. Plan zakładał podzielenie systemu na centra reagowania, utworzone przy państwowych i regionalnych instytucjach. W ramach FSB miałoby powstać Krajowe Centrum Koordynacji ds. Incydentów Komputerowych, zarządzające ochroną krytycznej infrastruktury Rosji.

W listopadzie 2016 r. Alex Novikov, oficer FSB odpowiedzialny za rosyjski Gov-CERT, poinformował, że system GosSOPKA objął już 10 agencji państwowych, a ponadto centra reagowania zostały utworzone w Rosteku i Centralnym Banku Rosji.

Rosyjski wywiad utworzył sieć łączącą instytucje państwowe, aby dzielić się informacjami o incydentach związanych z włamaniami. System, zdaniem Novikowa, będzie umożliwiał ofiarom ataków przesyłanie wiadomości do Gov-CERT z prośbą o pomoc. Wiadomości te otrzymają wysoki priorytet, a centrum koordynacyjne FSB rozpocznie rozwiązywanie zgłoszonego problemu natychmiast po jego otrzymaniu, np. odetnie złośliwy ruch sieciowy, nakazując usługodawcom jego filtrowanie lub próbując unieszkodliwić botnet. Novikov chwalił wywiad za skuteczną neutralizację kilku centrów kontroli botnetów podczas Zimowych Igrzysk Olimpijskich 2014 w Soczi.

Więzienie dla cyberprzestępców

W najbliższej przyszłości Rosja wprowadzi surowsze prawo dotyczące cyberprzestępczości skierowanej przeciwko krytycznej infrastrukturze kraju. W grudniu ubiegłego roku premier Dmitrij Miedwiediew przedłożył parlamentowi projekt ustawy. Proponowane przepisy ustanawiają specjalny rejestr komputerów wchodzących w skład kluczowych systemów. Przeprowadzanie ataków na te systemy zostanie uznane za ciężkie przestępstwo, zagrożone karą do 10 lat więzienia. Pobyt za kratkami czekałby zarówno hakerów, jak i urzędników, którzy znajdowaliby się z nimi w zmowie, udzielali pomocy w atakach lub ujawniali im wrażliwe informacje.

Zmiany w prawie wydają się konieczne, bo rosyjska cyberprzestrzeń jest wystawiana na coraz cięższe próby. Na konferencji w styczniu 2017 roku Dimitry Shalkov, zastępca dyrektora FSB, poinformował, że w ubiegłym roku rosyjskie zasoby informacyjne zostały zaatakowane 70 milionów razy. To aż trzykrotny wzrost w stosunku do roku 2015. „W listopadzie 2016 nastąpił zmasowany atak na sektor finansowy, skierowany na Sberbank, Alfa-Bank, Bank Moskwy i inne instytucje. Specjaliści FSB zneutralizowali zagrożenie, ale liczba ataków na rosyjskie zasoby narodowe stale wzrasta”, powiedział Shalkov, prezentując projekt nowej cyber-ustawy Dumie Państwowej. Mimo iż parlament przegłosował akt w pierwszym czytaniu już 27 stycznia 2017, dalsze prace znacznie się przeciągały.

Aby uratować sytuację, 23 czerwca dyrektor FSB, Alexander Bortnikov, zaapelował do Dumy o przyspieszenie prac. Już dwa tygodnie później, 7 lipca, nastąpiło drugie czytanie ustawy w Dumie, zakończone przegłosowaniem projektu. W pakiecie znalazły się również poprawki do rosyjskiej ustawy o tajemnicach państwowych. Trzecie i końcowe czytanie miało miejsce 12 lipca. Jeśli Rada Federacji, izba wyższa parlamentu, zaaprobuje projekt do końca wakacji, nowe prawo może wejść w życie jeszcze przed 1 stycznia 2018 r. Parlament zignorował głosy sprzeciwiające się tak szybkiemu włączaniu nowych ustaw do rosyjskiego systemu prawnego.

To drugi artykuł z cyklu poświęconego cyberbezpieczeństwu w Rosji. Zapraszamy do śledzenia dalszych publikacji. Jeżeli chcesz wiedzieć, jak zabezpieczyć dane osobowe, przetwarzane przez Twoją firmę, przed zakusami przestępców, zapraszamy na szkolenia.

/ In Rosja / By Julia / Możliwość komentowania GosSOPKA i nowe prawo. Cyberbezpieczeństwo po rosyjsku cz. 2 została wyłączona

Cyberbezpieczeństwo po rosyjsku

Już od dwóch lat podnoszone są zarzuty, że rosyjscy hakerzy wykradają e-maile od najważniejszych członków Partii Demokratycznej w Stanach Zjednoczonych, starając się wywierać wpływ na wyniki wyborów prezydenckich. Czy jednak sami Rosjanie są bezpieczni przed zagrożeniami i dbają o własne cyberbezpieczeństwo?

Szewc bez butów chodzi

Śledząc najnowszą legislację Federacji Rosyjskiej oraz wypowiedzi kluczowych urzędników Kremla, można dojść do wniosku, że Rosja podejmuje działania mające na celu poprawić cyberbezpieczeństwo kraju. W cyfrowym arsenale pojawiają się nie tylko rozwiązania ofensywne. Sporo uwagi poświęca się także defensywie.

A jest nad czym pracować. Wiele źródeł wskazuje, że w działach IT strategicznych rosyjskich firm i instytucji nadal zatrudniani są niekompetentni pracownicy, którzy nie dostrzegają istniejących zagrożeń. Nie jest trudno usłyszeć wśród nich na niefrasobliwe opinie, np. że wirus próbujący ukraść prywatne pieniądze nie powinien stać się zagrożeniem dla całego państwa. Brakuje jednak refleksji – co by się stało, gdyby ów wirus został stworzony również do innych celów?

Kiedy łowca staje się ofiarą

Taki stan rzeczy powoduje plagę zagrożeń, regularnie trapiących rosyjską cyberprzestrzeń. Tylko wąska grupa ekspertów dowiaduje się o tych atakach, ale społeczność internautów stara się upubliczniać informacje na ich temat. Zdarza się również, że organy ścigania i firmy z branży bezpieczeństwa IT nagłaśniają od czasu do czasu informacje o cyberatakach skierowanych przeciwko rządowi rosyjskiemu.

Na przykład, w 2013 r. Rosja została zaatakowana przez broń cybernetyczną o nazwie „Sputnik”, który został zaprojektowany do prowadzenia działań przestępczych, polegających m. in. na przetwarzaniu danych o działaniach agencji wojskowych, instytutów i organizacji dyplomatycznych, wykorzystując tzw. luki „0-day” w programach Microsoft Office, takich jak Word, Excel czy Outlook. Co gorsza, nie dało się sprawdzić, dokąd skradzione informacje zostały wysłane, ponieważ adresat był ukryty za łańcuchem serwerów proxy.

W lipcu 2016 r. Rosyjska Federalna Służba Bezpieczeństwa (FSB) ogłosiła odkrycie kilku koni trojańskich w infrastrukturze informatycznej państwowych instytucji naukowych i obronnych Rosji (w sumie około dwudziestu podmiotów). Agencja wskazywała, że atak został zaplanowany i przeprowadzony przez doświadczonych specjalistów. Dla każdego przedsiębiorstwa zaprojektowano inne exploity, a ofiary zostały zarażone poprzez techniki phishingu.

Nowe rosyjskie cyberbezpieczeństwo

Obecnie, w celu zachowania ochrony danych, rosyjscy wojskowi oraz urzędnicy ministerstwa obrony używają zamkniętej sieci komputerowej o nazwie RSNet, zupełnie odciętej od globalnego Internetu. Każdy pracownik posiada w nim osobiste konto e-mail z zabezpieczonym dostępem, który można otrzymać tylko ze specjalnego adresu IP, przy użyciu wyznaczonego komputera. Stacje robocze podłączone do RSNet, a także serwery odpowiadające za działanie sieci, znajdują się w pomieszczeniach o ściśle ograniczonym dostępie, wyłącznie dla upoważnionych pracowników.

Rosjanie zaczynają myśleć poważnie o ochronie nie tylko sieci komputerowych, ale i telefonicznych. W 2017r. jeden z instytutów badawczych, pracujących dla rosyjskiej społeczności wywiadowczej, zaprojektował nawet specjalny telefon, który pozwala użytkownikowi na bezpiecznie, szyfrowane rozmowy.

To pierwszy artykuł z cyklu poświęconego cyberbezpieczeństwu z naszymi wschodnimi granicami. Jeżeli jesteście Państwo zainteresowani innymi tematami związanymi z ochroną informacji i bezpieczeństwem danych osobowych w Rosji i innych krajach WNP, zapraszamy do śledzenia naszego bloga.

/ In Rosja / By Julia / Możliwość komentowania Cyberbezpieczeństwo po rosyjsku została wyłączona

Privacy Shield, czyli sposób na skuteczną ochronę danych Europejczyków w USA

W dniu 12 lipca 2016, Komisja Europejska przyjęła decyzje w sprawie EU-U.S. Privacy Shield.

Jest to ramowe porozumienie, gwarantujące ochronę podstawowych praw każdego obywatela Unii Europejskiej, którego dane są przekazywane do Stanów Zjednoczonych. Wprowadza również przejrzyste prawo dla przedsiębiorstw, korzystających z transatlantyckiej wymiany danych.

Nowy układ obejmuje:

  • Podwyższone wymagania w stosunku do firm, które otrzymują dane osobowe z EU,
    w zakresie ich ochrony,
  • Gwarancje uzyskania wglądu do danych dla rządu Stanów Zjednoczonych,
  • Skutecznej ochrony i wyegzekwowania zadośćuczynienia dla osób fizycznych,
  • Doroczne, wspólne sprawdzenie, w jaki sposób przebiega realizacja postanowień porozumienia.