• ANALIZA: RODO w obliczu Polski, Europy i świata

    25 maja br. w życie weszło Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Wraz z wejściem rozporządzenia nastąpił informacyjny chaos, a podmioty przetwarzające dane nadal nie wiedzą lub nie są świadome konsekwencji związanych z nieprawidłowym zarządzaniem i przetwarzaniem danych opisanych w rozporządzeniu. Inne podmioty z obawy o koszty związane z wdrożeniem wytycznych pochodzących z rozporządzenia wycofały swoje produkty i rozwiązania z terenu UE lub całkowicie zlikwidowały swoją działalność na terenie Wspólnoty z powodu różnych regulacji i interpretacji rozporządzenia w poszczególnych krajach. Są też instytucje, które źle interpretują przepisy lub też nadinterpretują postanowienia Rozporządzenia. 

    Czym jest RODO? 

    Na temat tego czym jest RODO, można w sieci znaleźć wiele artykułów, które zazwyczaj w sposób niekoniecznie zrozumiały dla zwykłego czytelnika omawiają ogólne zasady funkcjonowania rozporządzenia. Skrót RODO jest rozwijany jako Rozporządzenie o Ochronie Danych Osobowych i jest odpowiednikiem angielskiej nomenklatury, która brzmi General Data Protection Regulation (GDPR). Ze względu na bezpośrednie tłumaczenie zapisu z języka angielskiego, które brzmi Ogólne rozporządzenie o ochronie danych, wiele podmiotów uważa, że są to dwa różne rozporządzenia. Ponieważ nie jest to dokładnym rozwinięciem tytułowego skrótu, rodzi się w wielu przedsiębiorcach i małych instytucjach niepewność, czy aby na pewno należy wdrożyć to, co opisane jest w ogólnym rozporządzeniu czy w RODO. 

    Samo rozporządzenie jest spisem ogólnych zasad ochrony danych osobowych, a co za tym idzie prywatności każdego człowieka i możliwości decydowania o tym, czy informacje na jego temat mogą być przetwarzane (używane) przez podmioty i instytucje oraz w jakim stopniu. Rozporządzenie to z technicznego punktu widzenia ma ustandaryzować proces przetwarzania danych w krajach UE. Jest też dokumentem, który wyznacza nowe światowe standardy dotyczące prywatności i ochrony danych. Niestety na poziomie praktycznym standaryzacja ta niekoniecznie działa prawidłowo w odniesieniu do Unii jako całości. Każdy z krajów członkowskich może dodatkowo wprowadzać regulacje, które w mniejszym lub większym stopniu mogą wpłynąć na spójność ogólnych przepisów w odniesieniu do całej Wspólnoty. 

    RODO – Unia Europejska w obliczu dostępu do usług pozawspólnotowych 

    W ciągu ostatnich kilku miesięcy na rynku usług cyfrowych można było zauważyć duże poruszenie związane z wprowadzeniem nowego rozporządzenia w UE. Samo rozporządzenie nie jest niczym nowym, ponieważ zostało ogłoszone ponad dwa lata temu. Wyzwaniem stały się przepisy o ochronie danych w poszczególnych krajach Wspólnoty, które okazały zbyt dużym wyzwaniem dla wielu dostawców usług spoza Unii. Problemem nie jest samo dostosowanie się do nowych przepisów, ile koszty i czas, które należy poświęcić na dostosowanie usług do rozporządzenia ogólnego i przepisów krajowych. Firmy, które są zdeterminowane do działania w państwach UE, czasowo zawiesiły swoją działalność, by dostosować swoje produkty i usługi do obecnej sytuacji prawnej. Wiele podmiotów z Azji czy Stanów Zjednoczonych zakończyło swoją bezpośrednią działalność lub wycofało część swoich usług z Unii, argumentując to ogromnymi kosztami związanymi ze stale zmieniającymi się przepisami w poszczególnych krajach – w tym ciągłym dostosowywaniu swoich usług do prawa finansowego – oraz braku jednolitych przepisów dotyczących całej Unii. Ostatecznie skutkuje to przeniesieniem części usług do pośredników, którzy będą świadczyć te rozwiązania zgodnie z obowiązującym prawem, ale już po dużo wyższej cenie niż bezpośrednio od producenta czy usługodawcy. W grupie tej są również firmy, które rozważają całkowitą rezygnację ze świadczenia usług na terenie UE.

    Rozporządzenie w praktyce – Polska 

    Sytuacja polskich firm, w których przetwarzane są dane osobowe, nie jest dobra, a w wielu przypadkach wręcz krytyczna. Nieoficjalnie mówi się, że tylko niecałe 30% polskich przedsiębiorstw wdrożyło odpowiednie rozwiązania związane z wejściem w życie rozporządzenia. Ten stan rzeczy potwierdzają specjaliści IT z różnych województw. Ilość zamówień na usługi związane z wdrożeniem RODO w przedostatnim tygodniu maja wzrosła lawinowo. Wiele firm, choć miało dwa lata na przygotowanie się do wytycznych rozporządzenia, zbagatelizowało sprawę. Wiele firm z sektora MŚP do tej pory nie jest świadoma, że w ich zasobach znajdują się dane wrażliwe, którymi należy odpowiednio administrować i wobec których konieczne jest stosowanie się do wytycznych. W tej grupie znajduje się również bardzo duża podgrupa mikroprzedsiębiorstw, która świadczy usługi finansowe i / lub ubezpieczeniowe, a w których wszystkie bazy danych łączenie posiadają ok. 70% danych osobowych obywateli Polski. Choć z prawnego punktu widzenia w większości przypadków są oni tylko procesorami, pośrednicy finansowi i ubezpieczeniowi posiadają bazy danych, w których gromadzone są dane wrażliwe, co czyni ich faktycznie ich administratorami. Są to m.in. dane teleadresowe, informacje o ubezpieczeniach i usługach finansowych, informacje o stanie zdrowia oraz posiadanym majątku. Zazwyczaj dane zapisywane są w programach komputerowych bądź spisy prowadzi się w arkuszach kalkulacyjnych. Przedsiębiorcy nie zdają sobie sprawy, że świadczenie usług pośredniczych i posiadanie własnej bazy klientów to dwa oddzielne segmenty, które należy rozgraniczyć i precyzyjnie zadeklarować, do którego momentu jest się procesorem, a od lub do którego momentu jest się administratorem. Sprawa jest o tyle poważna, że nadal wiele firm z sektora pośrednictwa nawet nie zamierza wdrażać dodatkowych procedur związanych z RODO ze względu na brak świadomości o konieczności dostosowania swoich usług do rozporządzenia. 

    Kolejny problem to brak odpowiedniej kampanii informacyjnej na temat praktycznych rozwiązań związanych z dostosowaniem działalności do nowych przepisów. Faktem jest że w sieci można znaleźć wiele przykładów dotyczących zarządzaniem i administrowaniem takimi danymi, ale zazwyczaj rozwiązania te nie mają zastosowania w sektorze MŚP ze względu na zbyt szczegółowe rozwiązania, które niekoniecznie sprawdzą się w małych i średnich firmach. Problemem jest tu także fakt, że do tej pory temat ochrony danych osobowych był traktowany bardzo pobieżnie, a wręcz był spychany na dalszy plan. Wycieki informacji z dużych instytucji czy firm faktycznie budziły oburzenie w skali kraju, ale w przypadku wycieków danych z małych organizacji nikt nie był świadomy takiej sytuacji, ponieważ firmy do tej pory nie miały obowiązku informować o takich przypadkach. Brak świadomości tego, że wyciek danych wrażliwych z kilkunastu małych firm może doprowadzić do sytuacji, gdzie suma takich danych może być równoważna wielkości bazy dużej instytucji, daje jednak do myślenia. Przywołane wcześniej firmy świadczące usługi pośrednictwa (zazwyczaj są to multiagencje skupiające wokół siebie wiele firm finansowych lub ubezpieczeniowych) są najlepszym przykładem tego, co stałoby się, kiedy za pomocą jednego z administratorów zostałoby rozesłane złośliwe oprogramowanie, którego zadaniem byłoby wyciągnięcie danych wrażliwych od pośredników, czyli w teorii procesorów. Polska nie jest wyjątkiem we Wspólnocie. Przedsiębiorcy z innych krajów członkowskich również borykają się w mniejszym lub większym stopniu z procesem wdrożenia nowego rozporządzenia. Podobnie jak w Polsce, w większości krajów UE nie została przeprowadzona odpowiednia kampania informacyjna. Doprowadziło to do sytuacji, w której wymogów rozporządzenia nie spełnia co najmniej połowa wspólnotowych przedsiębiorstw i organizacji. 

    Ocena ryzyka 

    Nowym pojęciem dla wielu instytucji i firm, które pojawiło się w raz z wejściem RODO, jest ocena ryzyka. Jest to dokument określający wszystkie możliwe formy nieprawidłowego przetwarzania danych, przekazania i utraty danych w sposób przypadkowy, z powodów związanych z atakiem na infrastrukturę teleinformatyczną organizacji, infekcją sprzętu komputerowego, czynnikami naturalnymi, spowodowane błędami ludzkimi, awaryjnością sprzętu etc. Ocena ryzyka musi być dokumentem profilowanym (spersonalizowanym). Oznacza to, że jest spisem wystąpienia ryzyka, utraty lub niepoprawnego przetwarzania, w którym znajdują się wszystkie możliwe zagrożenia związane z przetwarzaniem danych wrażliwych w przedsiębiorstwie lub organizacji o określonej specyfice i działalności. Wiadome jest, że profil ogólny może być bardzo podobny w wielu firmach, lecz w tym dokumencie należy szczegółowo opisać wszystkie typy ryzyka, które mogą narazić dany podmiot na utratę danych lub czynności związane z nieprawidłowym ich przetwarzaniem. Obligatoryjnie należy umieścić w tym dokumencie wszystkie możliwe scenariusze związane z utratą danych. Przykładowo mogą to być takie czynniki, jak uszkodzenie sprzętu, pożar lub złośliwe oprogramowanie.

    Samo pojęcie oceny ryzyka nie jest nowością. Metodyka oceny ryzyka jest elementem normy ISO 9001 opisującej system zarządzania jakością i jest integralnym elementem opartym o rodzinę standardów ISO 31000, dotyczących zarządzania ryzykiem. ISO 31000 opublikowano pod koniec 2009 i od tamtego momentu standardy są aktualizowane zgodnie z postępem technologicznym. Materiały dotyczące ISO 9001, jak i rodziny standardów ISO 31000, są dostępne w Internecie na stronie organizacji oraz w wielu bezpłatnych i ogólnodostępnych dokumentach, w tym studium przypadków związanych z wdrożeniem norm ISO. Bazując na informacjach zawartych w dokumentacji ISO oraz ogólnych opisach standardów można przygotować dokument oceny ryzyka organizacji, który będzie zgodny z wytycznymi Rozporządzenia. 

    Praktyczne rozwiązania związane z cyfrowym procesem przetwarzaniem danych w MŚP 

    W przypadku gdy przedsiębiorstwo lub organizacja, gromadzi dane w sposób cyfrowy, tzn. za pomocą oprogramowana komputerowego oraz dokumenty papierowe są przechowywane w postaci cyfrowej (w formie skanów) w celu archiwizacji dokumentacji, podmiot ten odpowiada za bezpieczeństwo na przestrzeni całej infrastruktury technicznej i fizycznej. Oznacza to, że sieć komputerowa i wszystkie urządzenia w niej pracujące muszą być należycie zabezpieczone przed włamaniem, przejęciem lub utratą danych. Przedstawione rozwiązania to stosowane w przedsiębiorstwach składowe elementy norm ISO, jak i wytyczne organizacji i firm dostarczających systemy teleinformatyczne oraz systemy i rozwiązania dotyczące bezpieczeństwa. Są to przykładowe solucje związane z dobrymi praktykami dotyczącymi bezpieczeństwa informacji. 

    Sieć komputerowa

    W większości biur lub domów (jeżeli działalność prowadzona jest w miejscu zamieszkania), komputery i inne urządzenia zazwyczaj łączą się z siecią za pomocą routera Wi-Fi. Aby połączenie było bezpieczne należy zabezpieczyć wszystkie punkty dostępu i administracji takiego urządzenia. Elementy wymagające odpowiedniego zabezpieczenie to:

    - dostęp do panelu zarządzania urządzeniem – tu najlepiej zmienić login administratora (jeśli istnieje taka możliwość) oraz ustawić hasło o długości co najmniej12 znaków alfanumerycznych wraz ze znakami specjalnymi (np.: !@#$%^&*). Zalecana długość hasła to co najmniej 24 znaki;
    - hasło do sieci Wi-Fi o długości 24 znaków alfanumerycznych wraz ze znakami specjalnymi – im dłuższe hasło dostępu, tym trudniej je złamać. Hasło do firmowej sieci bezprzewodowej, które posiada 24 znaki spełnia wymagania oraz rekomendacje dotyczące bezpieczeństwa;
    - aby podwyższyć poziom bezpieczeństwa w ustawieniach routera można ustawić tak zwaną „białą listę”. Jest to spis urządzeń, które mają pozwolenie na korzystanie z tej sieci. Tym samym inne urządzenia nie będą mogły korzystać z jej zasobów. 

    W przypadku, gdy udostępniamy Internet gościom lub klientom, należy stworzyć do tego oddzielną sieć (jeżeli router ma taką możliwość – tzw. sieć dla gości) lub przygotować odseparowaną sieć za pomocą dodatkowego urządzenia, które pozwoli na łączenie się z Internetem, ale bez możliwości zarządzania głównym routerem sieci. W przypadku udostępniania sieci klientom to na organizacji ciąży obowiązek poinformowania klienta o przetwarzaniu jego danych w sieci, np. tak jak to wygląda w restauracjach czy w hotelach. 

    Sprzęt komputerowy

    Sprzęt komputerowy dzieli się na dwie grupy: urządzenia mobilne (laptopy, tablety, smartfony, Stick PC) i sprzęt stacjonarny (komputery stacjonarne, All-in-One, mini komputer typu NUC). Dla obu grup należy wykonać następujące czynności:

    - zabezpieczyć oprogramowanie układowe urządzenia (BIOS, UEFI) hasłem przed nieupoważnionym dostępem;
    - zablokować możliwość botowania z innych źródeł niż dysk twardy komputera;
    - dotyczy systemów MS Windows (dla komputerów pracujących jedynie w grupie roboczej) należy utworzyć konto administratora, z którego poziomu będzie można zarządzać komputerem (dla każdego komputera w firmie inna nazwa konta administratora i hasła – co najmniej 12 znaków, do tego hasło administratora w MŚP powinno być zmieniane raz na pół roku, maksymalnie raz na rok). W przypadku zarządzania domenowego, można ustalić zasady zarządzania kontami użytkowników z poziomu serwera;
    - ograniczyć konto, na którym pracujemy do poziomu użytkownika oraz zabezpieczyć go hasłem o długości co najmniej 10 znaków. Hasło należy zmieniać co 30 dni (w systemie można ustawić wymuszenie zmiany hasła);
    - sprzęt powinien posiadać odpowiednie oprogramowanie antywirusowe, zabezpieczające dostęp do komputera i danych na dysku. Tu należy nadmienić, że wykorzystywanie bezpłatnego oprogramowania stanowi lukę w zabezpieczeniach. Są to zazwyczaj mocno okrojone pakiety antywirusowe, które mają ograniczoną funkcjonalność. 

    Dodatkowe wytyczne dla komputerów stacjonarnych

    Jeżeli w firmie archiwizacja danych będzie przechowywana na komputerze stacjonarnym, należy zadbać o to, by posiadał on dodatkowe dwa dyski twarde połączone w systemie RAID 1 (w tym samym czasie będą zapisywać na sobie te same dane, ale w przypadku, gdy jeden z dysków ulegnie uszkodzeniu, dane zachowają się na drugim). Kopie i archiwa umieszczone na dysku powinny być przechowywane w sposób z ograniczonym dostępem lub w zaszyfrowanej postaci, tak by osoby postronne nie mały do nich dostępu. 

    Dodatkowe wytyczne dla sprzętów mobilnych

    Każde urządzenie mobilne, niezależnie od tego, pełni rolę sprzętu stacjonarnego (nie jest wynoszony po za biuro), czy jest typowym sprzętem mobilnym, na którym znajdują się aplikacje do przetwarzania danych oraz ich bazy, musi być zaszyfrowane z wymuszeniem wpisania hasła dostępu przed uruchomieniem systemu operacyjnego (np. za pomocą funkcji BitLocker lub narzędzia TrueCrypt – dla komputerów z systemem Windows, Linux; w przypadku MACa należy zaszyfrować dysk za pomocą wbudowanego narzędzia). Tablety i urządzenia smart mają wbudowaną funkcję szyfrowania w system, którą należy ją uruchomić. 

    Trzeba również pamiętać o tym, że urządzenia mobilne muszą przechodzić okresowe kontrole bezpieczeństwa (raz na pół roku lub rok – dotyczy laptopów, Stick PC i tabletów oraz smartfonów). Po każdej kontroli powinien być sporządzony raport potwierdzający odpowiednie zabezpieczenie sprzętu. Raport ten należy archiwizować w formie papierowej z podpisem osoby dokonującej przegląd przez okres 5 lat. Rekomendowany odstęp między przeglądami to 6 miesięcy. 

    Zgodnie z wytycznymi każda firma posiadająca aplikację, w której zapisane są dane osobowe, musi zabezpieczyć takie dane w sposób umożliwiający dostęp lub odtworzenie danych na wezwanie osoby, której dane dotyczą oraz Urzędu Ochrony Danych Osobowych (UODO). Związane to jest z procesem archiwizacji. W przypadku, gdy w zbiorach przedsiębiorstwo lub organizacja posiada takie dane, obowiązkiem jest przeprowadzenie archiwizacji całej dokumentacji w sposób pozwalający na szybkie odnalezienie danych na potrzeby m.in. kontroli. Archiwizacja danych powinna odbywać się przykładowo na zewnętrznym nośniku danych o odpowiednim poziomie zabezpieczeń, zapobiegającym utracie danych oraz o utrudnionym dostępie. W przypadku utraty takiego nośnika (np. zaszyfrowany dysk przenośny) nie będzie możliwości odtworzenia danych zapisanych bez podania hasła dostępu. Jeżeli przestrzeń archiwizacyjna wydzielona jest w infrastrukturze informatycznej przedsiębiorstwa lub organizacji (np. wspomniany wcześniej komputer stacjonarny, odpowiednio przygotowany do przechowywania danych archiwalnych), dostęp do takich danych powinny mieć tylko wyznaczone osoby, wskazane przez Inspektora Ochrony Danych (DPO). 

    Urządzenia drukujące, wielofunkcyjne i sprzęt IoT

    Drukarki sieciowe pozwalające na tzw. wydruk podążający (połączone do sieci LAN i Internetu), zazwyczaj mają wbudowany mniejszy lub większy system zarządzania. Podobnie jak w routerze należy go odpowiednio zabezpieczyć przez możliwością dostępu osobom trzecim. Dodatkowo, jeżeli urządzenie posiada łączność Ad-Hoc i jest ona włączona, to należy ją wyłączyć. 

    W przypadku urządzeń IoT, należy je skonfigurować w taki sposób, aby dostęp do nich odbywał się jedynie na określonych zasadach i z określonymi uprawnieniami (np. kamerki on-line). W przypadku zainstalowanych kamer on-line ogólnego dostępu nie mogą one być skierowane na miejsca, gdzie dokonuje się podpisów dokumentów oraz miejsca przetwarzania informacji, wydawania kart dostępów czy kluczy (np. na podstawie zdjęcia klucza, można zrobić kopię klucza). 

    Ustawienie sprzętu w miejscach obsługi interesantów/klientów

    Ekran komputera, monitora lub innego urządzenia wyposażonego w wyświetlacz, na którym odbywa się przetwarzanie danych, nie może być zwrócony do drzwi oraz do ogólnodostępnych okien (np.: mówimy tu o sytuacji możliwości patrzenia na ekran na parterze lub w biurowcu, punkcie handlowym, przez szybę witryny). Ekranu nie mogą widzieć osoby postronne, a w przypadku kiedy trzeba pokazać dane klientowi (np. do wglądu lub akceptacji) należy odwrócić ekran do klienta. Niedopuszczalne jest przechowywania haseł w ogólnodostępnych miejscach, np. naklejki na monitorach czy laptopach. Niezależenie od sytuacji każdy z pracowników opuszczający miejsce pracy ma obowiązek zablokować dostęp do komputera, np. poprzez zablokowanie ekranu. Z punktu widzenia RODO pozostawienie niezabezpieczonego miejsca przetwarzania informacji wrażliwych jest niedopuszczalne. Dotyczy to dokumentacji papierowej (np. zasada czystego biurka), jak i dostępu cyfrowego. 

    Rozporządzenie a dezinformacja w przestrzeni cyfrowej 

    Wejście w życie RODO jest również kolejnym, syntetycznym etapem walki z rosnącą falą dezinformacji. Mechanizmy zawarte w rozporządzeniu dają możliwość każdemu użytkownikowi sieci wyłączenia profilowania jego osoby. Oznacza to, że treści reklamowe wyświetlane na różnych stronach nie będą dedykowane pod danego użytkownika. Przykładem jest np. wizyta na stronie internetowej X oraz przeglądanie dostępnych tam usług lub produktów. Kiedy przeglądane są inne witryny internetowe, portal społecznościowy lub informacyjny, wyświetli się reklama strony X, promującej usługi lub produkty, które były oglądane.

    W podobny sposób jest profilowana każda osoba posiadająca konta w kanałach społecznościowych. Na podstawie polubień, udostępnień oraz przeglądanych i komentowanych artykułów, do tej pory możliwe było wysyłanie sponsorowanych reklam do określonej grupy odbiorców na podstawie określonego profilu każdego użytkownika. Profilowanie było użyte m.in. w mechanizmach Cambridge Analytica (C.A.), użytych podczas ostatniej kampanii prezydenckiej w USA. Ograniczenia w przetwarzaniu danych profilujących użytkowników w teorii mają za zadanie zredukować możliwość przesyłania spersonalizowanych spotów do wybranych grup odbiorców, co znacząco ograniczy mechanizmy inżynierii społecznej, wykorzystywanej przy różnego rodzaju okazjach. Ograniczenie zbierania informacji o użytkownikach Internetu spowoduje oczywiście powstanie nowych sposobów pozyskiwania informacji w sposób legalny lub rozwiązania, które nie podlegają pod Rozporządzenie oraz nie były do tej pory wykorzystywane w procesie pozyskiwania informacji. 

    Mechanizmy ograniczające pozyskiwanie i przetwarzanie informacji o użytkownikach zaczną poprawnie działać na przełomie od 3 do 6 lat. Jest to związane z już pozyskanymi informacjami o użytkownikach Internetu oraz możliwości profilowania i dostosowywania informacji profilowanych do momentu wejścia w życie kolejnych globalnych trendów, rozwoju i transformacji sektora mediów społecznościowych oraz kanałów komunikacyjnych. Dostosowanie obecnych mediów społecznościowych do Rozporządzenia, na wielu płaszczyznach może okazać się bardzo trudne, co może doprowadzić do ograniczenia działalności na terenie UE niektórych portali. W takim przypadku znajduje się Facebook Inc. wraz ze swoimi usługami dodatkowymi, m.in. Instagram i Messenger. Po wspomnianej wcześniej aferze związanej z firmą C.A. musi on również całkowicie przebudować mechanizmy profilowania użytkowników oraz dostosować je do wytycznych RODO. 

    Rozporządzenie to pozwala również ograniczyć pewne działania w skali regionalnej, jak wycieki danych czy utraty kontroli nad administrowanymi bazami danych. Da ono możliwość na czas uczulić klientów o tym, co wydarzyło się oraz jakie mogą być konsekwencje danego incydentu. Chaos informacyjny wprowadzany przykładowo przez media lokalne zostanie ograniczony przez konieczność przesłania informacji do klientów o danym wydarzeniu czy zajściu, jakie są prowadzone działania oraz co należy zrobić i czego unikać, aby nie stać się ofiarą lub agresorem (w przypadku, gdy właściciel danych zostanie nakierowany na pewne działania poprzez wykorzystanie socjotechnik). 

    Ograniczenie w profilowaniu dostarczanych informacji będzie miało pozytywny wpływ na jakość przekazu dostarczanego do odbiorcy. Ważnym aspektem w tej kwestii jest jeszcze wprowadzenie instytucji monitorowania mediów cyfrowych, która będzie niezależną organizacją wpływającą na blokowanie treści propagandowych i dezinformacyjnych. Działanie mechanizmów RODO wraz z funkcjonowaniem takiej organizacji w znacznym stopniu może ograniczyć wpływ dezinformacji na społeczeństwo.

    Maciej Ostasz

     

     

  • ANALIZA: Rosyjska kampania informacyjna z polską ustawą dekomunizacyjną w tle

    Czerwcowa nowelizacja tzw. ustawy dekomunizacyjnej przyjęta przez Sejm RP dała początek nowej rosyjskiej kampanii informacyjnej przeciwko Polsce, której celem jest wpłynięcie na decyzję polskich władz w sprawie usunięcia symboli komunistycznych w kraju. Rosja wykorzystując szereg zabiegów manipulacyjnych, propagandowych i dezinformacyjnych, za pośrednictwem swojego MSZ, MON oraz mediów i sieci społecznościowych, manipuluje rosyjską oraz międzynarodową opinią publiczną. Stara się w ten sposób narzucić własną interpretację faktów historycznych, a przy okazji buduje negatywny wizerunek Polski w środowisku międzynarodowym.

  • Cyberbezpieczeństwo a bezpieczeństwo informacyjne: cz. 1 Wordpress

    Od lat coraz większa uwaga poświęcana jest kwestiom cyberbezpieczeństwa, cyberzagrożeń, ale i dezinformacji. Jednym z głównych wyzwań pozostaje jednak wciąż fakt, że tak jak dezinformacja często sprowadzana jest wyłącznie do wąskiego aspektu fake newsów, tak i sfera informacyjna traktowana jest rozdzielnie od sfery cybernetycznej. Takie ograniczone podejście uniemożliwia skuteczne analizowanie czy przeciwdziałanie zagrożeniom. Szczególną podatność zauważyć można przede wszystkim w sferze funkcjonowania organizacji pozarządowych i mediów, które nierzadko są głównymi celami ataków informacyjnych lub psychologicznych. 

    Poza działalnością jednostek czy zorganizowanych grup przestępczych, na przestrzeni ostatnich miesięcy obserwowaliśmy wzrost niebezpiecznych tendencji w cyberprzestrzeni, zwłaszcza wykorzystanie przez niektóre państwa swoich służb specjalnych i hakerów będących formalnie osobami prywatnymi do realizacji swoich celów w polityce zagranicznej. Chodzić tu będzie nie tylko o Federację Rosyjską, ale i o Iran czy Koreę Północną. Coraz szerzej analizowana jest aktywność Chińskiej Republiki Ludowej, Państwa Islamskiego czy ugrupowań terrorystycznych w skali globalnej. Warto w tym momencie wspomnieć, że na przykład rosyjska doktryna bezpieczeństwa nie rozróżnia sfery cybernetycznej od sfery informacyjnej, a wszelkie działania związane z wojną informacyjną i psychologiczną prowadzone są jednocześnie w cyberprzestrzeni. W tym samym czasie państwa zachodnie w swoich koncepcjach bezpieczeństwa główny nacisk kładą na cyberbezpieczeństwo, z pominięciem całego obszaru bezpieczeństwa informacyjnego. Podobna sytuacja ma również miejsce w Polsce. Jest tak mimo faktu udokumentowanych przypadków koordynacji cyberataków z atakami informacyjnymi, jak przed wyborami w Niemczech, Francji czy Stanach Zjednoczonych czy też atakami na same media czy też organizacje pozarządowe lub ich działaczy. 

    Przykładanie uwagi do cyberbezpieczeństwa przy jednoczesnym pomijaniu komponentu informacyjnego i psychologicznego jest jednym z głównych wyzwań Zachodu, ale nie jedynym. Najsłabszym elementem każdego systemu pozostaje człowiek i niezależnie od państwowych regulacji w pierwszej kolejności to sami użytkownicy powinni myśleć o swoim bezpieczeństwie. W sposób szczególny dotyczy to nie tylko osób prywatnych, ale NGOsów, mediów, dziennikarzy, blogerów, analityków czy pracowników instytucji państwowych i ich kierownictwa – słowem każdego, kto pracuje z informacją lub może wywierać wpływ na przestrzeń informacyjną danego państwa. 

    Z wyjątkową uwagą należy odnosić się zwłaszcza do własnych stron internetowych oraz ich zabezpieczania, niezależnie czy mówimy o funkcjonowaniu dużych mediów ogólnokrajowych, czy też o blogach lub lokalnych projektach. Agresor informacyjny jest w stanie w określonych sytuacjach wykorzystać różne źródła informacji i podjąć wobec nich atak, aby oddziaływać na określone grupy wyznaczonego przez siebie docelowego audytorium – nie zawsze chodzi bowiem o całe społeczeństwo. Dotyczyć to może np. regionów przygranicznych, ale i miejsc, gdzie planowana będzie strategiczna dla państwa inwestycja (jak chociażby elektrownia atomowa lub baza wojskowa). 

    Należy przy tym pamiętać, że utrata dostępu do swojej strony to niekoniecznie najgorsze, co może się wydarzyć. Innym scenariuszem może być modyfikacja wcześniej publikowanych treści bez wiedzy autorów czy administratorów i użycie tego do ich dyskredytowania, wykorzystanie kont pocztowych do ataków DDoS lub rozsyłania spamu, co może także podważać reputację lub zaufanie do danego medium lub strony, ale i sabotowanie pracy dziennikarzy czy zdobywanie informacji na temat: planowanych publikacji, które jeszcze nie zostały zamieszczone na stronie, godzin pracy, nawyków, przyzwyczajeń czy adresów IP tak dziennikarzy, jak i administratorów, itd. Warto więc pamiętać o pewnych standardach i nawykach przy pracy z portalami internetowymi. 

    Przekrój zabezpieczeń do Wordpressa

    System WordPress, jako jeden z najpopularniejszych systemów zarządzania treścią na stronach internetowych, często jest obiektem ataków hakerów z całego świata. Liczne zalety aplikacji, takie jak przystępność, elastyczność czy łatwość do opanowania, są jednocześnie wadą, jeśli oceniamy system pod kątem bezpieczeństwa. Twórcy WordPressa starają się zapewnić jak najwięcej zabezpieczeń. Działania te nie gwarantują jednak pełnej ochrony, dlatego też warto samodzielnie wdrażać rozwiązania, które zapewnią maksymalne bezpieczeństwo administrowanych stron. 

    Aktualizacje WordPressa

    WordPress to system, który dynamicznie się zmienia. Dlatego wciąż powstają nowe wersje, zawierające zarówno nowe funkcje, jak poprawki, zwiększające bezpieczeństwo. Dlatego warto na bieżąco aktualizować WordPressa oraz zainstalowane wtyczki, rozszerzenia i motywy. W ten sposób otrzymujemy zabezpieczenie przed błędami, które pojawiają się w różnych miejscach. Warto pamiętać, że odkładanie w czasie aktualizacji niesie ze sobą ryzyko. Rozsądnym podejściem jest też usuwanie niepotrzebnych, nieużywanych dodatków i wtyczek, ponieważ takie elementy są najbardziej podatne na cyberataki.

    Regularne kopie bezpieczeństwa

    Wykonywanie kopii zapasowych wszystkich danych to sposób na to, by nie utracić bazy danych, w razie ataku na stronę. Zazwyczaj za backup danych odpowiadają dostawcy usług hostingowych, jednak jeśli strona często się zmienia, można wykonywać dodatkowe kopie danych. Jest to możliwe dzięki instalacji dodatkowej aplikacji do tworzenia kopii zapasowych w systemie WordPress.

    Logowanie

    Wielu użytkowników WordPressa zapomina, że wybranie nietypowego loginu, zmiana ID administratora, jak również ustawienie skomplikowanych haseł to najprostsze sposoby, by uniknąć wielu ataków brute-force. Są to ataki, które polegają na sprawdzaniu wszystkich możliwych kombinacji loginów i haseł. Używanie standardowych loginów takich jak „admin”, „administrator”, z automatu ułatwiają hakerom zadanie. Najlepiej nie używać w charakterze loginu swojego adresu mailowego czy nazwy użytkownika. Warto również ustawić mocne hasło, czyli takie, które zawiera małe i wielkie litery oraz cyfry i znaki specjalne. W tym pomagają najprostsze programy, np. LastPass czy KeePass.  

    Ograniczenie dostępu do panelu logowania

    Ponieważ panel logowania do WordPress jest miejscem podatnym na ataki, dobrze jest go dodatkowo zabezpieczyć. Jedną z metod jest zabezpieczenie katalogu wp-admin dodatkowym hasłem. W ten sposób konieczność podania dodatkowych danych uwierzytelniających stworzy dodatkową barierę.

    Wtyczki zabezpieczające

    Dobrym sposobem na zwiększenie bezpieczeństwa strony na WordPress jest instalacja dodatkowej wtyczki zabezpieczającej. Wtyczki pozwalają w automatyczny sposób wprowadzić liczne ustawienia, które znacznie zwiększają ochronę strony. Bardzo dobrą wtyczką jest np. All In ONE WP Security & Firewall, która między innymi zmienia prefix tabel w bazie danych, pozwala na wyświetlanie zalogowanych użytkowników dostępnych online, umożliwia wykonanie kopii zapasowych, ukrywa panel administracyjny, skanuje zmiany w plikach, ukrywa informacje dotyczące zastosowanej wersji WordPress i ma kilkadziesiąt innych funkcji. Równie dobrze działa iThemes Security Pro – wtyczka, która generuje złożone hasła, wykrywa zmiany w plikach, umożliwia ustawienie autoryzacji dwukierunkowej czy też zablokowanie panelu sterowania w dowolnym momencie.

    Ochronę przed złośliwym oprogramowaniem i włamaniami na stronę zapewni też Wordfence Security, Sucuri Security czy SecuPress. Kopie zapasowe pozwoli wykonać wtyczka VaultPress, z kolei do skanowania strony w poszukiwaniu zagrożeń doskonałe są takie wtyczki jak WP Security Ninja.

    Dobrym rozwiązaniem zwiększającym bezpieczeństwo jest też zastosowanie Lookam, który nie tylko oferuje funkcjonalności wtyczek, ale też zapewnia obsługę ze strony doświadczonych programistów.

    Certyfikat SSL

    WordPress umożliwia korzystanie z szyfrowanego połączenia https przez przeglądarkę. Zastosowanie narzędzia, jakim są certyfikaty SSL pozwala na zachowanie poufności przesyłanych danych. Szyfrowanie komunikacji jest podstawą dla firm, które drogą elektroniczną pobierają i przetwarzają dane osobowe, przekazują poufne informacje lub też prowadzą sprzedaż w sieci. 

    Podsumowanie

    Praca z WordPress to przyjemność dla administratorów, twórców treści, a także samych użytkowników strony. W dobie agresywnych działań informacyjnych i psychologicznych, należy jednak pamiętać o odpowiednim zabezpieczeniu dostępu do systemu i bieżącym dbaniu o aktualność dodatkowego oprogramowania. Jest to tym istotniejsze, że dana strona może stać się nie tylko obiektem jednorazowego ataku, ale tak ona sama, jak i jej infrastruktura mogą stać się narzędziami operacji informacyjnych przeciwko innym podmiotom, państwom czy politykom, a w ten sposób stworzyć zagrożenie dla współobywateli. Jak pokazują przykłady z Katalonii czy wyborów prezydenckich w USA, może także chodzić o ich bezpieczeństwo fizyczne, zdrowie i życie. 

    Aby przez długie lata móc cieszyć się stabilnym działaniem i bezpiecznym korzystaniem ze stron należy także pamiętać, że poza dbaniem o własne bezpieczeństwo, na organizacjach pozarządowych, aktywistach, mediach i dziennikarzach ciąży także szczególna odpowiedzialność społeczna. Są oni na pierwszych liniach frontu ataków informacyjnych i dezinformacji. Poza utratą ważnych danych, swoich czy partnerów, na szali jest jeszcze reputacja i zaufanie. Te ostatnie, wraz z wiarą w systemy demokratyczne, zaufanie do ładu i porządku publicznego oraz instytucji państwowych są głównymi celami operacji informacyjnych i psychologicznych, projektowanych indywidualnie pod państwa zachodnie, w tym Polskę. 

    Projekt „Cyberbezpieczeństwo a bezpieczeństwo informacyjne” jest wspólnym przedsięwzięciem Fundacji Centrum Analiz Propagandy i Dezinformacji oraz Firmy MillStudio.pl.

  • KOMENTARZ: Astroturfing. Nowa generacja operacji specjalnych przeciwko Polsce

    Weekendowa kampania astroturfingowa na Twitterze wydaje się być jednym z elementów rosyjskiej operacji specjalnej przeciwko Polsce, której celem jest destabilizacja życia społeczno-politycznego oraz marginalizacja kraju na arenie międzynarodowej. W ciągu niespełna dwóch dni polska przestrzeń informacyjna została pokryta wielowątkową narracją wymierzoną w społeczeństwo obywatelskie, środowiska pozarządowe oraz ukraińskie, a także opozycyjne i rządowe jednocześnie. Podjęcie i powielanie narzuconej narracji przez różne środowiska może świadczyć na korzyść skuteczności tej operacji oraz o niewielkiej świadomości polskiego państwa i społeczeństwa o zewnętrznych, wrogich działaniach propagandowo-dezinformacyjnych, a co za tym idzie ich znacznej podatności na te działania. Stanowią również próbę wpływania na procesy społeczno-polityczne w Polsce i stanowią zagrożenie dla bezpieczeństwa kraju.

  • KOMENTARZ: Nowa fala aktywności rosyjskich służb. Na celowniku polscy dziennikarze

    Polskim redakcjom, indywidualnym dziennikarzom, blogerom, znanym postaciom życia publicznego czy organizacjom pozarządowym regularnie wysyłane są różne „sensacyjne” informacje. Polska nie jest tu wyjątkiem, bo podobne działania prowadzone są w innych państwach. Większość z nich nie pojawia się w mainstreamie. Ostatnie wycieki danych na temat działania rosyjskich służb specjalnych mogą jednak sprawić, że media będą bardziej podatne na pewne zagrożenia informacyjne.

  • KOMENTARZ: Nowe zagrożenia informacyjne dla Polski nie muszą pochodzić z zewnątrz

    Środowisko bezpieczeństwa każdego kraju podlega stałej transformacji, a wiele z kluczowych zmian to rzeczy bardziej subtelne, niż spektakularne. Jedną z nich mogą być skutki długotrwałego oddziaływania na przestrzeń informacyjną, ale i na podmioty ją kształtujące, z wykorzystaniem ich własnych podatności. Patrząc na pewne zjawiska zachodzące nad Wisłą zasadnym wydaje się pytanie o stopień rozchwiania polskiego ekosystemu informacyjnego. Trzeba też pamiętać, że kremlowscy propagandyści nie „wymyślają na nowo koła” – korzystają z tego, co jest. Jedna niefortunna wypowiedź polityka może zostać nie tylko wyrwana z kontekstu, ale i wykorzystana przeciwko nam samym.

  • KOMENTARZ: Rosyjska wojna informacyjna a relacje polsko-ukraińskie

    Okupacja Krymu i rozpoczęta w 2014 r. wojna przeciwko Ukrainie była przedłużeniem strategii Kremla, mającej na celu odnowienie oraz zachowanie swoich wpływów w regionie. Poza operacjami militarnymi ważnym, a wręcz kluczowym komponentem tej strategii jest wojna informacyjna, którą Rosja aktywnie prowadzi już kilka lat na różnych kierunkach. Można stwierdzić, iż od 2014 r. właśnie część informacyjna rosyjskiej wojny stanowi nie mniejsze zagrożenie dla porządku demokratycznego, niż otwarte działania wojenne.

  • KONFERENCJA: Rosyjska wojna dezinformacyjna przeciw Polsce i Europie

    W dniu 23 czerwca br. odbędzie się konferencja pod tytułem "Rosyjska wojna dezinformacyjna przeciw Polsce i Europie" z udziałem przedstawicieli Fundacji Centrum Analiz Propagandy i Dezinformacji. Wydarzenie będzie miało miejsce w sali konferencyjnej Fundacji Centrum Prasowego dla Krajów Europy Środkowo-Wschodniej (ul. Nowy Świat 58 w Warszawie) i organizowane jest przez Instytut Europejskich Demokratów. Serdecznie zapraszamy!

  • Polsko-litewska dyskusja o elektrowni w Ostrowcu

    Zaledwie w 50 km od Wilna Białoruś buduję elektrownię atomową. Dlaczego ten projekt stanowi zagrożenie dla mieszkańców Litwy? Czy możemy jeszcze ten projekt zatrzymać? Czy Polska mogłaby się stać naszym strategicznym partnerem w walce z Ostrowcem? Jak się układa litewsko-polska współpraca energetyczna? Czy możemy mówić o polsko-litewskiej unii energetycznej? Jakie wyzwania w dziedzinie energetyki mają przed sobą Polska i Litwa?

  • PROGNOZA: Główne cele rosyjskiej propagandy w Polsce na 2017 rok

    Aktywność ośrodków kremlowskiej propagandy oraz powiązanych z nią innych struktur państwowych jasno wskazuje, iż kolejne miesiące przyniosą eskalację wrogich Polsce działań w przestrzeni informacyjnej RP, ale i jej sąsiadów oraz sojuszników z Sojuszu Północnoatlantyckiego. Kontekst bieżących uwarunkowań geopolitycznych sugeruje, iż poza działaniami stricte dezinformacyjnymi, wzmacniane będą skoordynowane z nimi: a) komponenty je urealniające (organizacja rzeczywistych wydarzeń / akcji) oraz b) działalność operacyjna rosyjskich służb (wspieranie polityczne, organizacyjne oraz finansowe określonych struktur, podmiotów i jednostek oraz wzmocniona rekrutacja współpracowników i rozbudowa prorosyjskich sieci w Polsce, które docelowo mają wzmacniać wpływ na polską klasę polityczną i polskie społeczeństwo).

  • Rosyjska wojna dezinformacyjna przeciwko Polsce

    Niniejszy tekst stanowi część raportu pt. „Rosyjska wojna dezinformacyjna przeciwko Polsce”, opracowanego przez Fundację im. Kazimierza Pułaskiego we współpracy merytorycznej z Centrum Analiz Propagandy i Dezinformacji oraz Studium Europy Wschodniej Uniwersytetu Warszawskiego. Raport został zaprezentowany 8 listopada br. podczas międzynarodowej konferencji Warszaw Security Forum.

  • Siedem grzechów głównych Zachodu na froncie rosyjskiej wojny informacyjnej

    Od lat coraz więcej miejsca w debacie publicznej zajmują kwestie związane z zagrożeniami wynikającymi z prowadzonej przez Rosję przeciwko całemu światu zachodniemu wojny informacyjnej, a mimo to świadomość i wiedza społeczeństw na ten temat pozostaje na niewystarczającym poziomie. Jest tak m.in. dlatego, że większość kwestii z nią związanych pozostaje w zaciszach gabinetów i kuluarów ministerstw spraw wewnętrznych i obrony, a nawet na poziomie NATO kwestie bezpieczeństwa informacyjnego traktowane są rozdzielnie od kwestii cyberbezpieczeństwa, chociaż większość wrogich operacji prowadzona jest w cyberprzestrzeni. Czy to na pewno właściwy kierunek?