Każde dane można dziś spieniężyć. Również te o ruchu, dlatego na rynku pojawia się coraz więcej systemów i aplikacji do tego służących, szczególnie, że już za kilka miesięcy wszystkie firmy będą zmagały się z RODO. Część takich monitorów obsługuje przemysł i sektor rządowy (np. badając gęstość ruchu na przejściach dla pieszych i skrzyżowaniach), część biznes (optymalizując trasy kurierów i rozmieszczenie sklepowych półek), a część użytkowników indywidualnych (krokomierze i treningowe aplikacje asystenckie).

Od momentu wsadzenia do kieszeni telefonu z modułem GPS tak naprawdę produkujemy unikalne dane samym poruszaniem się. Ich wartość może być dla nas raczej umowna (np. sportowe statystyki Endomondo), jednak dla osoby usiłującej kształtować nasze preferencje zakupowe czy - dla odmiany - planującej nasze morderstwo, takie informacje mogą okazać się bezcenne. Za ten ostatni niebezpieczny pomysł z ukrytym monitorem ruchu właśnie aresztowano Rasheedę Johnson Turner - 37-letnią kalifornijkę, czerpiącą nieregularne zyski z występów w filmach pornograficznych.

Pod koniec zeszłego roku kobieta zaczęła podejrzewać, że...

...jej 55-letni konkubent spotyka się z inną kobietą. Jako matka dziecka zależna finansowo od partnera wystraszyła się, że w efekcie romansu mężczyzna odetnie ją od swojego konta bankowego i wykreśli z uposażenia w polisie ubezpieczeniowej. Polisy na 150 000 dolarów, które przynajmniej przez pewien czas zapewniłyby jej i dziecku finansową stabilizację. Zdeterminowana rozpoczęła poszukiwania osoby, która przyjmie zlecenie na jej partnera. Traf chciał, że jej wytypowany kandydat okazał się informatorem FBI. Ten powiadomił o alarmującym zgłoszeniu odpowiednie służby i w dalszym ciągu odgrywając zabójcę podjął dialog dotyczący zlecenia.

Podczas rozmów i spotkań z informatorem kobieta wyjawiła, że z początku chciała własnoręcznie uśmiercić partnera kwasem nabytym od hydraulika. Uznała to jednak za zbyt ryzykowne - "dziecko mogłoby wejść w trakcie akcji" i zostać niepotrzebnym świadkiem zbrodni. Wyznała też, że chcąc stale śledzić konkubenta zainstalowała w jego telefonie aplikację zdalnego monitoringu urządzenia. Dzięki niej ustaliła, że mężczyzna często sypia w swoim samochodzie i mogła na bieżąco sprawdzać, gdzie jest i czy się przemieszcza, co miało stanowić cenne wskazówki dla zamachowca. Agent otrzymał mapę aktywności namierzanego 55-latka i propozycję sygnału z ustalonego numeru, gdy cel znajdzie się w wyznaczonym miejscu. Miał usunąć mężczyznę i ślad po jego telefonie, który w razie śledztwa groziłby wykryciem sprawców. Nagroda: 50 000 dolarów z polisy ofiary. Jako dowód pokazała zdjęcie ubezpieczenia i wpłaciła 500 dolarów zaliczki.

5 grudnia zadzwoniła do zakonspirowanego agenta FBI i powitała go słowami: "dzieciaki trzeba odebrać wcześniej", które zinterpretował jako polecenie przyspieszenia sprawy. 7 grudnia ponownie telefon: "mucha wymaga już packi". Dzień później kobieta spotkała się z agentem - tym razem wyposażonym w ukryty sprzęt do nagrywania - aby sfinalizować transakcję. Przekazała mu zdjęcie celu, plan podania jego dokładnej lokalizacji i ustaliła sms-owe hasło "Operacja Dumbo", jako potwierdzenie zamknięcia tematu. Zapewniła, że po fakcie zatrze obciążające ślady usuwając ze swojego telefonu aplikację tropiącą. Agent usłyszał, że kobieta absolutnie nie obawia się wpadki, bo "oglądając seriale i programy poświęcone morderstwom nauczyła się perfekcyjnie oszukiwać wymiar sprawiedliwości". 13 grudnia informator wykręcił jej numer z pytaniem o lokalizację ofiary. Gdy agenci FBI potwierdzili prawdziwość podanych wytycznych, natychmiast powiadomili zaskoczonego mężczyznę o próbie zamachu na jego życie i aresztowali zleceniodawczynię. Jeśli sąd uzna jej winę grozi jej do 10 lat więzienia. Kobieta nie przyznaje się do winy.  

Ta sytuacja pokazuje, że wystarczy minimum wiedzy technicznej, by łatwo i szybko zebrać informacje mogące posłużyć jako wsparcie złośliwego ataku. Ciągłe doskonalenie UX i UI (doświadczenie i interfejs użytkownika) w milionach dostępnych aplikacji sprawiło, że korzystanie z ich zaawansowanych możliwości jest zwyczajnie proste. Tak proste, że praktycznie każdy użytkownik smartfona czy social mediów może wyrządzić szkodę nielubianej osobie czy instytucji np. złośliwie szyfrując jej pliki wirusem dostępnym w modelu RaaS (Ransomware-as-a-Service), czy po prostu wynosząc wrażliwe dane z opuszczanego miejsca pracy. A jeżeli może to zrobić uparty amator, łatwo wyobrazić sobie o ile groźniejszy jest wykwalifikowany cyberprzestępca, który potrafi doskonale kojarzyć i wykorzystywać nawet skąpe informacje o zabezpieczeniach firmy. Jak nie dostarczać im paliwa?

Niekontrolowana utrata danych i RODO

Rozwiązaniem jest traktowanie swoich danych jak realnej wartości, którą należy cenić i odpowiednio chronić. Naszymi środkami bezpieczeństwa są po pierwsze zdrowy rozsądek, po drugie dedykowane rozwiązania wydatnie podnoszące nasze bezpieczeństwo w sieci. Użytkowników indywidualnych od dawna przestrzega się, by uważali jakimi informacjami na swój temat dzielą się w sieci. Czy fotografie nowego auta, dla którego nie mamy garażu opatrzone informacją o wytargowanym rabacie ("ale przyjanuszowałem!") powinny lądować we wszystkich naszych mediach społecznościowych? Raczej nie.

Natomiast firmy i organizacje - również w kontekście nadchodzącego RODO - powinny zrobić cyfrowy rachunek sumienia: czy odpowiednio chronimy przetwarzane dane, zarówno w naszej sieci jak i poza nią? Firma Anzena przypomina, że o ich bezpieczny przepływ wcale nie jest trudno zadbać. Wewnątrz sieci krążące informacje zabezpieczymy aplikacjami DLP (data leak protection) uniemożliwiającymi niekontrolowane wycieki danych. Z kolei dane na urządzeniach opuszczających siedzibę firmy ochronimy za pomocą odpowiedniego szyfrowaniem. Warto o tym pomyśleć, zanim wyjątkowo złośliwy cyberatak lub dotkliwa kara za niewłaściwe przetwarzanie danych okażą się dla naszego biznesu przysłowiowym wyrokiem śmierci.

AUTOR:

Piotr Surmacz

Tagi
Podziel się