Publikacje

Cyberbezpieczeństwo a bezpieczeństwo informacyjne: cz. 1 Wordpress

Od lat coraz większa uwaga poświęcana jest kwestiom cyberbezpieczeństwa, cyberzagrożeń, ale i dezinformacji. Jednym z głównych wyzwań pozostaje jednak wciąż fakt, że tak jak dezinformacja często sprowadzana jest wyłącznie do wąskiego aspektu fake newsów, tak i sfera informacyjna traktowana jest rozdzielnie od sfery cybernetycznej. Takie ograniczone podejście uniemożliwia skuteczne analizowanie czy przeciwdziałanie zagrożeniom. Szczególną podatność zauważyć można przede wszystkim w sferze funkcjonowania organizacji pozarządowych i mediów, które nierzadko są głównymi celami ataków informacyjnych lub psychologicznych. 

Poza działalnością jednostek czy zorganizowanych grup przestępczych, na przestrzeni ostatnich miesięcy obserwowaliśmy wzrost niebezpiecznych tendencji w cyberprzestrzeni, zwłaszcza wykorzystanie przez niektóre państwa swoich służb specjalnych i hakerów będących formalnie osobami prywatnymi do realizacji swoich celów w polityce zagranicznej. Chodzić tu będzie nie tylko o Federację Rosyjską, ale i o Iran czy Koreę Północną. Coraz szerzej analizowana jest aktywność Chińskiej Republiki Ludowej, Państwa Islamskiego czy ugrupowań terrorystycznych w skali globalnej. Warto w tym momencie wspomnieć, że na przykład rosyjska doktryna bezpieczeństwa nie rozróżnia sfery cybernetycznej od sfery informacyjnej, a wszelkie działania związane z wojną informacyjną i psychologiczną prowadzone są jednocześnie w cyberprzestrzeni. W tym samym czasie państwa zachodnie w swoich koncepcjach bezpieczeństwa główny nacisk kładą na cyberbezpieczeństwo, z pominięciem całego obszaru bezpieczeństwa informacyjnego. Podobna sytuacja ma również miejsce w Polsce. Jest tak mimo faktu udokumentowanych przypadków koordynacji cyberataków z atakami informacyjnymi, jak przed wyborami w Niemczech, Francji czy Stanach Zjednoczonych czy też atakami na same media czy też organizacje pozarządowe lub ich działaczy. 

Przykładanie uwagi do cyberbezpieczeństwa przy jednoczesnym pomijaniu komponentu informacyjnego i psychologicznego jest jednym z głównych wyzwań Zachodu, ale nie jedynym. Najsłabszym elementem każdego systemu pozostaje człowiek i niezależnie od państwowych regulacji w pierwszej kolejności to sami użytkownicy powinni myśleć o swoim bezpieczeństwie. W sposób szczególny dotyczy to nie tylko osób prywatnych, ale NGOsów, mediów, dziennikarzy, blogerów, analityków czy pracowników instytucji państwowych i ich kierownictwa – słowem każdego, kto pracuje z informacją lub może wywierać wpływ na przestrzeń informacyjną danego państwa. 

Z wyjątkową uwagą należy odnosić się zwłaszcza do własnych stron internetowych oraz ich zabezpieczania, niezależnie czy mówimy o funkcjonowaniu dużych mediów ogólnokrajowych, czy też o blogach lub lokalnych projektach. Agresor informacyjny jest w stanie w określonych sytuacjach wykorzystać różne źródła informacji i podjąć wobec nich atak, aby oddziaływać na określone grupy wyznaczonego przez siebie docelowego audytorium – nie zawsze chodzi bowiem o całe społeczeństwo. Dotyczyć to może np. regionów przygranicznych, ale i miejsc, gdzie planowana będzie strategiczna dla państwa inwestycja (jak chociażby elektrownia atomowa lub baza wojskowa). 

Należy przy tym pamiętać, że utrata dostępu do swojej strony to niekoniecznie najgorsze, co może się wydarzyć. Innym scenariuszem może być modyfikacja wcześniej publikowanych treści bez wiedzy autorów czy administratorów i użycie tego do ich dyskredytowania, wykorzystanie kont pocztowych do ataków DDoS lub rozsyłania spamu, co może także podważać reputację lub zaufanie do danego medium lub strony, ale i sabotowanie pracy dziennikarzy czy zdobywanie informacji na temat: planowanych publikacji, które jeszcze nie zostały zamieszczone na stronie, godzin pracy, nawyków, przyzwyczajeń czy adresów IP tak dziennikarzy, jak i administratorów, itd. Warto więc pamiętać o pewnych standardach i nawykach przy pracy z portalami internetowymi. 

Przekrój zabezpieczeń do Wordpressa

System WordPress, jako jeden z najpopularniejszych systemów zarządzania treścią na stronach internetowych, często jest obiektem ataków hakerów z całego świata. Liczne zalety aplikacji, takie jak przystępność, elastyczność czy łatwość do opanowania, są jednocześnie wadą, jeśli oceniamy system pod kątem bezpieczeństwa. Twórcy WordPressa starają się zapewnić jak najwięcej zabezpieczeń. Działania te nie gwarantują jednak pełnej ochrony, dlatego też warto samodzielnie wdrażać rozwiązania, które zapewnią maksymalne bezpieczeństwo administrowanych stron. 

Aktualizacje WordPressa

WordPress to system, który dynamicznie się zmienia. Dlatego wciąż powstają nowe wersje, zawierające zarówno nowe funkcje, jak poprawki, zwiększające bezpieczeństwo. Dlatego warto na bieżąco aktualizować WordPressa oraz zainstalowane wtyczki, rozszerzenia i motywy. W ten sposób otrzymujemy zabezpieczenie przed błędami, które pojawiają się w różnych miejscach. Warto pamiętać, że odkładanie w czasie aktualizacji niesie ze sobą ryzyko. Rozsądnym podejściem jest też usuwanie niepotrzebnych, nieużywanych dodatków i wtyczek, ponieważ takie elementy są najbardziej podatne na cyberataki.

Regularne kopie bezpieczeństwa

Wykonywanie kopii zapasowych wszystkich danych to sposób na to, by nie utracić bazy danych, w razie ataku na stronę. Zazwyczaj za backup danych odpowiadają dostawcy usług hostingowych, jednak jeśli strona często się zmienia, można wykonywać dodatkowe kopie danych. Jest to możliwe dzięki instalacji dodatkowej aplikacji do tworzenia kopii zapasowych w systemie WordPress.

Logowanie

Wielu użytkowników WordPressa zapomina, że wybranie nietypowego loginu, zmiana ID administratora, jak również ustawienie skomplikowanych haseł to najprostsze sposoby, by uniknąć wielu ataków brute-force. Są to ataki, które polegają na sprawdzaniu wszystkich możliwych kombinacji loginów i haseł. Używanie standardowych loginów takich jak „admin”, „administrator”, z automatu ułatwiają hakerom zadanie. Najlepiej nie używać w charakterze loginu swojego adresu mailowego czy nazwy użytkownika. Warto również ustawić mocne hasło, czyli takie, które zawiera małe i wielkie litery oraz cyfry i znaki specjalne. W tym pomagają najprostsze programy, np. LastPass czy KeePass.  

Ograniczenie dostępu do panelu logowania

Ponieważ panel logowania do WordPress jest miejscem podatnym na ataki, dobrze jest go dodatkowo zabezpieczyć. Jedną z metod jest zabezpieczenie katalogu wp-admin dodatkowym hasłem. W ten sposób konieczność podania dodatkowych danych uwierzytelniających stworzy dodatkową barierę.

Wtyczki zabezpieczające

Dobrym sposobem na zwiększenie bezpieczeństwa strony na WordPress jest instalacja dodatkowej wtyczki zabezpieczającej. Wtyczki pozwalają w automatyczny sposób wprowadzić liczne ustawienia, które znacznie zwiększają ochronę strony. Bardzo dobrą wtyczką jest np. All In ONE WP Security & Firewall, która między innymi zmienia prefix tabel w bazie danych, pozwala na wyświetlanie zalogowanych użytkowników dostępnych online, umożliwia wykonanie kopii zapasowych, ukrywa panel administracyjny, skanuje zmiany w plikach, ukrywa informacje dotyczące zastosowanej wersji WordPress i ma kilkadziesiąt innych funkcji. Równie dobrze działa iThemes Security Pro – wtyczka, która generuje złożone hasła, wykrywa zmiany w plikach, umożliwia ustawienie autoryzacji dwukierunkowej czy też zablokowanie panelu sterowania w dowolnym momencie.

Ochronę przed złośliwym oprogramowaniem i włamaniami na stronę zapewni też Wordfence Security, Sucuri Security czy SecuPress. Kopie zapasowe pozwoli wykonać wtyczka VaultPress, z kolei do skanowania strony w poszukiwaniu zagrożeń doskonałe są takie wtyczki jak WP Security Ninja.

Dobrym rozwiązaniem zwiększającym bezpieczeństwo jest też zastosowanie Lookam, który nie tylko oferuje funkcjonalności wtyczek, ale też zapewnia obsługę ze strony doświadczonych programistów.

Certyfikat SSL

WordPress umożliwia korzystanie z szyfrowanego połączenia https przez przeglądarkę. Zastosowanie narzędzia, jakim są certyfikaty SSL pozwala na zachowanie poufności przesyłanych danych. Szyfrowanie komunikacji jest podstawą dla firm, które drogą elektroniczną pobierają i przetwarzają dane osobowe, przekazują poufne informacje lub też prowadzą sprzedaż w sieci. 

Podsumowanie

Praca z WordPress to przyjemność dla administratorów, twórców treści, a także samych użytkowników strony. W dobie agresywnych działań informacyjnych i psychologicznych, należy jednak pamiętać o odpowiednim zabezpieczeniu dostępu do systemu i bieżącym dbaniu o aktualność dodatkowego oprogramowania. Jest to tym istotniejsze, że dana strona może stać się nie tylko obiektem jednorazowego ataku, ale tak ona sama, jak i jej infrastruktura mogą stać się narzędziami operacji informacyjnych przeciwko innym podmiotom, państwom czy politykom, a w ten sposób stworzyć zagrożenie dla współobywateli. Jak pokazują przykłady z Katalonii czy wyborów prezydenckich w USA, może także chodzić o ich bezpieczeństwo fizyczne, zdrowie i życie. 

Aby przez długie lata móc cieszyć się stabilnym działaniem i bezpiecznym korzystaniem ze stron należy także pamiętać, że poza dbaniem o własne bezpieczeństwo, na organizacjach pozarządowych, aktywistach, mediach i dziennikarzach ciąży także szczególna odpowiedzialność społeczna. Są oni na pierwszych liniach frontu ataków informacyjnych i dezinformacji. Poza utratą ważnych danych, swoich czy partnerów, na szali jest jeszcze reputacja i zaufanie. Te ostatnie, wraz z wiarą w systemy demokratyczne, zaufanie do ładu i porządku publicznego oraz instytucji państwowych są głównymi celami operacji informacyjnych i psychologicznych, projektowanych indywidualnie pod państwa zachodnie, w tym Polskę. 

Projekt „Cyberbezpieczeństwo a bezpieczeństwo informacyjne” jest wspólnym przedsięwzięciem Fundacji Centrum Analiz Propagandy i Dezinformacji oraz Firmy MillStudio.pl.

Drukarka – Twój prywatny koń trojański

ANALIZA: Drukarka – Twój prywatny koń trojański. O zagrożeniach w dobie Internetu Rzeczy

Informacja to obecnie najdroższy produkt na rynku towarów i usług. Jest ona nieodzownym elementem życia codziennego, a w dobie pokolenia always on zasadniczym komponentem wszystkich smart aplikacji, z których korzysta już cały świat. Warto jednak pamiętać o tym, że informacja poza dystrybucją cyfrową, nadal przelewana jest na papier i funkcjonuje w wersji analogowej. Równolegle z elektronicznym obiegiem informacji i dokumentów, ciągle korzysta się z klasycznych form ich dostarczania. Oczywiście  w XXI w. większość osób nie sporządza ręcznych notatek, tylko są one rozpowszechniane za pośrednictwem różnego rodzaju urządzeń drukujących i wielofunkcyjnych. W związku z tym coraz więcej producentów sprzętu poligraficznego zaczyna zwracać uwagę na potencjalne zagrożenia z tym związane oraz zwiększać świadomość swoich klientów na temat bezpieczeństwa drukowanych i archiwizowanych w formie cyfrowej dokumentów.


Jesteś tak bezpieczny jak Twój sprzęt – drukarka jako brama do naszych tajemnic

Bieżący rok pokazał wiele zagrożeń płynących z sieci Internet. Ransomware`y takie jak WannaCry czy Petya pokazały światu, że masowa infekcja komputerów jest możliwa. W trakcie trwania oraz już po zakończeniu ataków, wszelkie analizy zagrożeń wskazywały głównie na nieaktualne oprogramowanie Microsoftu. Kilka miesięcy po okazuje się, że do tak masowej infekcji komputerów mogły się również przyczynić m. in. drukarki i urządzenia wielofunkcyjne, które połączone są z grupami komputerów za pomocą sieci LAN i mogą być zarządzane z poziomu Internetu. Fakt ten dotyczy urządzeń, które nie zostały należycie zabezpieczone przez administratorów, tak aby osoby postronne nie miały dostępu do naszego urządzenia.

Obecnie dostępne urządzenia drukujące i wielofunkcyjne to pełnoprawne komputery. Im większe i wydajniejsze urządzenie, tym parametry komputera zarządzającego urządzeniem są mocniejsze. Jak każdy komputer, drukarka również potrzebuje systemu operacyjnego, za pomocą którego będą sterowane procesy drukowania, a w przypadku urządzeń wielofunkcyjnych, również kopiowania i skanowania. Jeżeli takie urządzenie jest wpięte do sieci LAN, a ta pozwala mu na łączenie się z Internetem, to w przypadku luk bezpieczeństwa urządzenie to może posłużyć jako brama pozwalająca na włamanie się do cyfrowych zasobów przedsiębiorstwa lub domu. Na pokładzie takiego urządzenia można zainstalować dodatkowe oprogramowanie umożliwiające swobodną inwigilację i zarządzanie infrastrukturą teleinformatyczną.

Problemu z penetracją lokalnej sieci nie będzie, jeżeli ta zostanie dobrze zabezpieczona przed intruzami. W przypadku gdy osoby postronne posiadają dostęp do takiego urządzenia, mogą wykorzystać go do przechwytywania dokumentów.  Przykładowo, kiedy przemysłowe urządzenie wielofunkcyjne  pozwalające na drukowanie, kopiowanie i skanowanie (które w takich urządzeniach zazwyczaj wysyłają skanowane dokumenty bezpośrednio na adres mailowy) nie będzie odpowiednio zabezpieczone, a kontrolę przejmie intruz, może okazać się, że wszystkie dokumenty, które będą drukowane lub powielane (skanowane, kopiowane), trafią również w niepowołane ręce. Teoretycznie pisemna korespondencja niejawna może trafić do osób postronnych już na etapie konwersji ze źródła cyfrowego na analogowe. Oznacza to, że w momencie wysłania do drukarki polecenia drukowania danego dokumentu, osoba postronna może przejąć z urządzenia drukowany dokument. Do podobnego zdarzenia może dojść również w odwrotnej sytuacji, kiedy to urządzenie ma przeprowadzić konwersję z wersji analogowej (papieru) do wersji cyfrowej. Urządzenie może być tak skonfigurowane aby wszystkie kopiowane i skanowane elementy były dodatkowo zapisywane we wskazanej przestrzeni dyskowej lub przesyłane na konkretny adres mailowy. To pokazuje również jak ważnym elementem infrastruktury jest system druku i powielania.

Internet rzeczy – pięta Achillesowa społeczeństwa informacyjnego

Oczywiście ten problem ma dużo szersze spektrum i dotyczy wszystkich urządzeń z grupy IoT. Urządzenia obecnie sygnowane mianem Internet of Things (IoT), czyli Internetu rzeczy to bardzo duża grupa urządzeń, pozwalająca komunikować i zarządzać nimi za pomocą Internetu. Najbardziej klasyczna elektronika z tej grupy to kamery IP, a wraz z nimi elektroniczne nianie, autonomiczne odkurzacze, a coraz częściej również pralki, lodówki i ekspresy do kawy. Do tej grupy obecnie dołączyły także systemy drzwi i bram. Zagrożenia z przejęcia kontroli nad kamerą są oczywiste, ale warto się przez chwilę zastanowić jaką informację zwrócą nam urządzenia AGD z zastosowaną technologią IoT.

Pierwszą podstawową informacją jest kiedy z nich korzystamy lub jak planujemy wykorzystanie takiego urządzenia. Najlepszym przykładem jest pozyskanie informacji z ekspresu do kawy czy piekarnika. Zestawiając informację o której godzinie w danym domu pije się kawę, a o której domownik zlecił piekarnikowi uruchomić się, można ustalić kiedy domownicy przebywają lub, co może okazać się bardziej istotne, nie przebywają w domu. W przypadku posiadania systemu inteligentnego domu, odpowiedzialnego za zabezpieczenie mienia, brak lub nieodpowiednio skonfigurowany system zarządzania nim może spowodować, że ktoś bez problemu dostanie się do takiego budynku. Przykładów jest bardzo wiele i w zasadzie każdy sprzęt komunikujący się z otwartą siecią jaką jest Internet, jest narażony na potencjalny atak.  Jednak czy to oznacza, że należy się bać korzystania z  takiego sprzętu?

Ochrona urządzeń IoT

Podstawową linią obrony każdego urządzenia jest oprogramowanie. To dzięki potencjalnym lukom zabezpieczeń osoby postronne mogą przejąć kontrolę nad sprzętem. Producenci sprzętu, szczególnie przemysłowego, starają się na bieżąco łatać dziury w oprogramowaniu. Wraz ze wzrostem zagrożeń i potwierdzonymi informacjami dotyczących masowej inwigilacji społeczeństwa przez NSA oraz służby Federacji Rosyjskiej i Korei Północnej, twórcy sprzętu starają się jak najlepiej zabezpieczyć swoje urządzenia przed wykorzystaniem ich przez osoby niepowołane lub przeciekiem informacji za ich pośrednictwem. Przykładowo, producenci sprzętu drukującego starają się wprowadzać mechanizmy obronne już na etapie uruchamiania urządzeń. Specjalny system kontrolny sprawdza poprawność i integralność oprogramowania urządzenia z listą kontrolną. W przypadku kiedy sumy kontrolne nie pokrywają się z listą, urządzenie instaluje na nowo oprogramowanie w celu odparcia potencjalnego zagrożenia. To samo dzieje się na etapie funkcjonowania urządzenia. Jeżeli któraś z funkcji nie wykonuje poleceń zgodnie z zapisanym schematem, urządzenie sprawdza co się stało i ponawia proces. Jeżeli proces nie zostanie przeprowadzony zgodnie z instrukcją, urządzenie zrestartuje się w celu przeprowadzenia inspekcji oprogramowania i sprzętu. Jeżeli na poziomie testu oprogramowania wyniki nie będą zgadzać się z listą kontrolną, urządzenie spróbuje zainstalować je na nowo z tzw. bezpiecznej kopi bezpieczeństwa, często nazywanej mianem złotej kopii. Jeżeli ten proces nie uda się, do urządzenia będzie musiał przyjechać technik, który zweryfikuje problem.

Takie zabezpieczenia są obecnie stosowane głównie w sprzęcie klasy enterprise - urządzenia przeznaczone do użytku przemysłowego o wysokiej wydajności - ale ze względu na ciągle rosnące zagrożenia, wieloetapowe zabezpieczenie oprogramowania zaczyna być stosowane również w sprzętach domowego użytku. Oczywiście ze względu na poziom zaawansowania, cena również jest adekwatna do technologii. W tym miejscu należy się zastanowić nad tym, czy smart urządzenia są nam w ogóle potrzebne i jak bardzo cenimy sobie własne bezpieczeństwo.

Czynnik ludzki – główny problem zabezpieczeń

Najczęstszym problemem związanym z łatwym dostępem do urządzeń IoT jest brak konfiguracji panelu zarządzania urządzenia. W większości przypadków spowodowane jest to niewiedzą użytkowników, którzy kupują sprzęt w celach czysto eksploatacyjnych, a ich doświadczenie i wiedza na temat bezpieczeństwa cyfrowego zaczyna się w momencie kiedy użytkownik staje się ofiarą. Informacje zamieszczane w instrukcjach obsługi oraz na opakowaniach są w większości przypadków pomijane lub bagatelizowane. Czytanie instrukcji to skrajna konieczność, pojawiająca się zazwyczaj w przypadku bardzo dużego problemu z konfiguracją.
Poza zwykłymi użytkownikami nie można zapomnieć o administratorach urządzeń i sieci teleinformatycznych. Brak odpowiedniej konfiguracji urządzeń przez ich zarządców zazwyczaj wynika z rutyny lub braku odpowiednich kompetencji. Nieodpowiednie skonfigurowanie panelu zarządzania lub brak konfiguracji spowodowane przeświadczeniem typu „skoro nasza sieć jest tak dobrze zabezpieczona to nie trzeba ustawiać zabezpieczeń w tym urządzeniu”, często doprowadza do konsekwencji, które można było zaobserwować wraz z rozprzestrzenieniem się ransomware’ów WannaCry i Petya.

Bezpieczeństwo przedsiębiorstwa

W przypadku kiedy firma używa lub zamierza używać urządzeń IoT, należy się zastanowić nad tym jak zadbać o bezpieczeństwo całej infrastruktury. Odpowiednia komórka ds. IT/ICT i bezpieczeństwa powinna przeanalizować jak mocne są zabezpieczenia infrastruktury organizacji. W tym miejscu należy również określić sposób zarządzania urządzeniami IoT oraz rodzaj komunikacji (czy stosować połączenia szyfrowane czy nie). W  przypadku druku podążającego, czyli przesyłanego do drukarek systemu wydruku za pomocą sieci LAN, należy uzgodnić schemat dystrybucji i szyfrowania dokumentów. Opisany schemat jest drugim ważnym aspektem dotyczącym bezpieczeństwa informacji, równoważnym z posiadaniem aktualnej wersji oprogramowania.

Bezpieczeństwo użytkowników prywatnych

Niemniej jednak to grupa użytkowników niekomercyjnych jest największym odbiorcą urządzeń elektronicznych. Świadomość o zagrożeniach wynikająca z użytkowania urządzeń IoT jest bardzo mała, a to doprowadza do wycieku masy prywatnych informacji. Wspomniany wcześniej problem związany z nieczytaniem instrukcji to tylko jedna z przyczyn braku zabezpieczeń. Największym problemem jest brak odpowiedniej informacji i edukacji o zagrożeniach wynikających z użytkowania urządzeń IoT. Producenci sprzętu ze względu na swoje plany sprzedażowe oraz podejście marketingowe nie chcą informować swoich użytkowników oraz potencjalnych klientów o skutkach nieprawidłowego użytkowania w warstwie reklamowej. Punkty oraz sieci sprzedaży, choć oferują równego rodzaju pakiety rozruchowe sprzętu, w większości przypadków pomijają element informacyjno-edukacyjny, tak aby nie odstraszyć klientów lub robią to celowo dla utrzymania takiej osoby jako klienta serwisowego.
W przypadku sprzedaży oprogramowania antywirusowego bardzo często zdarza się sytuacja, w której klienci nie są informowani o różnicach wynikających z ceny za dany pakiet zabezpieczeń. Często sprzedawcy idą na rękę klientowi i sprzedają tańszy, jednoelementowy program antywirusowy, nieposiadający odpowiednich komponentów kontrolujących ruch sieciowy i podatność nieznanych programów. Równie często w ramach oszczędności użytkownicy korzystają z darmowych rozwiązań zabezpieczających, które nie są przeznaczone dla użytkowników, którzy nie mają podstawowej wiedzy na temat bezpieczeństwa.

Problem zaczyna się w szkole

Największym problemem ze świadomością zagrożeń wynikających z użytkowania urządzeń elektronicznych i poruszania się po sieci Internet jest brak odpowiedniej edukacji. Użytkownicy 25+ tak naprawdę dorastali z dynamicznie zmieniającym się rynkiem IT, a wraz z nim znaczeniem internetu i informacji. Obecne programy edukacyjne o bezpieczeństwie informacji, omawiane na lekcjach informatyki lub technologii informacyjnych często są nieaktualne. Problem ten jest rzadko poruszany na godzinach wychowawczych czy innych zajęciach, obecnie powiązanych z przeszukiwaniem zasobów sieci. Proces uświadamiania młodych ludzi o zagrożeniach płynących z niewłaściwego korzystania z urządzeń i oprogramowania jest często niewłaściwy lub bardzo ogólnikowy. Przez dynamiczny rozwój informatyki i teleinformatyki, często sami  nauczyciele  mają problem z korzystaniem z nowinek technologicznych, a co za tym idzie braku wiedzy na temat tego, czym może skończyć się nieodpowiednie użytkowanie lub brak odpowiedniej konfiguracji urządzeń lub oprogramowania.

Podobny problem braku edukacji dotyczy także pracowników wielu firm. W wielu organizacjach kadra pracująca na urządzeniach elektronicznych zaczyna się od wieku 19-22 lata. Osoby w tym przedziale wiekowym nie posiadają świadomości i wiedzy na temat tego jak może wyglądać zainfekowana korespondencja lub co może spowodować wyciek informacji ze struktur organizacji. Tymczasem starsi pracownicy- 35+ -  w wielu przypadkach zostali rzuceni na tzw. „głęboką wodę”. Otrzymali wyposażone stanowisko pracy i dalej „radź sobie sam, a jeśli czegoś nie wiesz zajrzyj do procedur i instrukcji”. Tu po raz kolejny pojawia się problem czytania instrukcji oraz procedur, które często nie są napisane w przyjazny dla pracownika sposób. To powoduje porzucenie ustalonych zasad i wykorzystania jednej z dwóch metod działania. Pierwsza z nich, to metoda prób i błędów, która działa na zasadzie metody zero-jedynkowej, zadziała albo nie. Druga, to metoda działania intuicyjnego, która mówi, że „jak się uda to się uda, a jak nie to pójdę do kolegi i on mi pokaże jak to zrobić”. Brak precyzji oraz brak utrzymania ściśle określonych procesów może doprowadzić do zagrożenia bezpieczeństwa danej jednostki organizacyjnej. Dlatego bardzo ważne są okresowe, obowiązkowe szkolenia dla wszystkich pracowników wykonujących czynności z zakresu przetwarzania informacji.

Podsumowanie

Opisane przypadki i zagadnienia, podstawą zachowania wysokiego poziomu bezpieczeństwa w przedsiębiorstwie lub w domu jest elementarna wiedza, która będzie przejawiała się w odpowiedniej konfiguracji sprzętu, oprogramowania lub architekturze systemu teleinformatycznego. Minimalizacja problemu związanego z wykorzystaniem urządzeń IoT przez osoby postronne jest obecnie jednym z najważniejszych aspektów codziennego życia w społeczeństwie informacyjnym. Brak odpowiednich zabezpieczeń oraz  wiedzy, może w szczególności doprowadzić do eskalacji dezinformacji, która może być dystrybuowana przez zaufane kanały komunikacyjne.

Maciej Ostasz

ANALIZA: RODO w obliczu Polski, Europy i świata

25 maja br. w życie weszło Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Wraz z wejściem rozporządzenia nastąpił informacyjny chaos, a podmioty przetwarzające dane nadal nie wiedzą lub nie są świadome konsekwencji związanych z nieprawidłowym zarządzaniem i przetwarzaniem danych opisanych w rozporządzeniu. Inne podmioty z obawy o koszty związane z wdrożeniem wytycznych pochodzących z rozporządzenia wycofały swoje produkty i rozwiązania z terenu UE lub całkowicie zlikwidowały swoją działalność na terenie Wspólnoty z powodu różnych regulacji i interpretacji rozporządzenia w poszczególnych krajach. Są też instytucje, które źle interpretują przepisy lub też nadinterpretują postanowienia Rozporządzenia. 

Czym jest RODO? 

Na temat tego czym jest RODO, można w sieci znaleźć wiele artykułów, które zazwyczaj w sposób niekoniecznie zrozumiały dla zwykłego czytelnika omawiają ogólne zasady funkcjonowania rozporządzenia. Skrót RODO jest rozwijany jako Rozporządzenie o Ochronie Danych Osobowych i jest odpowiednikiem angielskiej nomenklatury, która brzmi General Data Protection Regulation (GDPR). Ze względu na bezpośrednie tłumaczenie zapisu z języka angielskiego, które brzmi Ogólne rozporządzenie o ochronie danych, wiele podmiotów uważa, że są to dwa różne rozporządzenia. Ponieważ nie jest to dokładnym rozwinięciem tytułowego skrótu, rodzi się w wielu przedsiębiorcach i małych instytucjach niepewność, czy aby na pewno należy wdrożyć to, co opisane jest w ogólnym rozporządzeniu czy w RODO. 

Samo rozporządzenie jest spisem ogólnych zasad ochrony danych osobowych, a co za tym idzie prywatności każdego człowieka i możliwości decydowania o tym, czy informacje na jego temat mogą być przetwarzane (używane) przez podmioty i instytucje oraz w jakim stopniu. Rozporządzenie to z technicznego punktu widzenia ma ustandaryzować proces przetwarzania danych w krajach UE. Jest też dokumentem, który wyznacza nowe światowe standardy dotyczące prywatności i ochrony danych. Niestety na poziomie praktycznym standaryzacja ta niekoniecznie działa prawidłowo w odniesieniu do Unii jako całości. Każdy z krajów członkowskich może dodatkowo wprowadzać regulacje, które w mniejszym lub większym stopniu mogą wpłynąć na spójność ogólnych przepisów w odniesieniu do całej Wspólnoty. 

RODO – Unia Europejska w obliczu dostępu do usług pozawspólnotowych 

W ciągu ostatnich kilku miesięcy na rynku usług cyfrowych można było zauważyć duże poruszenie związane z wprowadzeniem nowego rozporządzenia w UE. Samo rozporządzenie nie jest niczym nowym, ponieważ zostało ogłoszone ponad dwa lata temu. Wyzwaniem stały się przepisy o ochronie danych w poszczególnych krajach Wspólnoty, które okazały zbyt dużym wyzwaniem dla wielu dostawców usług spoza Unii. Problemem nie jest samo dostosowanie się do nowych przepisów, ile koszty i czas, które należy poświęcić na dostosowanie usług do rozporządzenia ogólnego i przepisów krajowych. Firmy, które są zdeterminowane do działania w państwach UE, czasowo zawiesiły swoją działalność, by dostosować swoje produkty i usługi do obecnej sytuacji prawnej. Wiele podmiotów z Azji czy Stanów Zjednoczonych zakończyło swoją bezpośrednią działalność lub wycofało część swoich usług z Unii, argumentując to ogromnymi kosztami związanymi ze stale zmieniającymi się przepisami w poszczególnych krajach – w tym ciągłym dostosowywaniu swoich usług do prawa finansowego – oraz braku jednolitych przepisów dotyczących całej Unii. Ostatecznie skutkuje to przeniesieniem części usług do pośredników, którzy będą świadczyć te rozwiązania zgodnie z obowiązującym prawem, ale już po dużo wyższej cenie niż bezpośrednio od producenta czy usługodawcy. W grupie tej są również firmy, które rozważają całkowitą rezygnację ze świadczenia usług na terenie UE.

Rozporządzenie w praktyce – Polska 

Sytuacja polskich firm, w których przetwarzane są dane osobowe, nie jest dobra, a w wielu przypadkach wręcz krytyczna. Nieoficjalnie mówi się, że tylko niecałe 30% polskich przedsiębiorstw wdrożyło odpowiednie rozwiązania związane z wejściem w życie rozporządzenia. Ten stan rzeczy potwierdzają specjaliści IT z różnych województw. Ilość zamówień na usługi związane z wdrożeniem RODO w przedostatnim tygodniu maja wzrosła lawinowo. Wiele firm, choć miało dwa lata na przygotowanie się do wytycznych rozporządzenia, zbagatelizowało sprawę. Wiele firm z sektora MŚP do tej pory nie jest świadoma, że w ich zasobach znajdują się dane wrażliwe, którymi należy odpowiednio administrować i wobec których konieczne jest stosowanie się do wytycznych. W tej grupie znajduje się również bardzo duża podgrupa mikroprzedsiębiorstw, która świadczy usługi finansowe i / lub ubezpieczeniowe, a w których wszystkie bazy danych łączenie posiadają ok. 70% danych osobowych obywateli Polski. Choć z prawnego punktu widzenia w większości przypadków są oni tylko procesorami, pośrednicy finansowi i ubezpieczeniowi posiadają bazy danych, w których gromadzone są dane wrażliwe, co czyni ich faktycznie ich administratorami. Są to m.in. dane teleadresowe, informacje o ubezpieczeniach i usługach finansowych, informacje o stanie zdrowia oraz posiadanym majątku. Zazwyczaj dane zapisywane są w programach komputerowych bądź spisy prowadzi się w arkuszach kalkulacyjnych. Przedsiębiorcy nie zdają sobie sprawy, że świadczenie usług pośredniczych i posiadanie własnej bazy klientów to dwa oddzielne segmenty, które należy rozgraniczyć i precyzyjnie zadeklarować, do którego momentu jest się procesorem, a od lub do którego momentu jest się administratorem. Sprawa jest o tyle poważna, że nadal wiele firm z sektora pośrednictwa nawet nie zamierza wdrażać dodatkowych procedur związanych z RODO ze względu na brak świadomości o konieczności dostosowania swoich usług do rozporządzenia. 

Kolejny problem to brak odpowiedniej kampanii informacyjnej na temat praktycznych rozwiązań związanych z dostosowaniem działalności do nowych przepisów. Faktem jest że w sieci można znaleźć wiele przykładów dotyczących zarządzaniem i administrowaniem takimi danymi, ale zazwyczaj rozwiązania te nie mają zastosowania w sektorze MŚP ze względu na zbyt szczegółowe rozwiązania, które niekoniecznie sprawdzą się w małych i średnich firmach. Problemem jest tu także fakt, że do tej pory temat ochrony danych osobowych był traktowany bardzo pobieżnie, a wręcz był spychany na dalszy plan. Wycieki informacji z dużych instytucji czy firm faktycznie budziły oburzenie w skali kraju, ale w przypadku wycieków danych z małych organizacji nikt nie był świadomy takiej sytuacji, ponieważ firmy do tej pory nie miały obowiązku informować o takich przypadkach. Brak świadomości tego, że wyciek danych wrażliwych z kilkunastu małych firm może doprowadzić do sytuacji, gdzie suma takich danych może być równoważna wielkości bazy dużej instytucji, daje jednak do myślenia. Przywołane wcześniej firmy świadczące usługi pośrednictwa (zazwyczaj są to multiagencje skupiające wokół siebie wiele firm finansowych lub ubezpieczeniowych) są najlepszym przykładem tego, co stałoby się, kiedy za pomocą jednego z administratorów zostałoby rozesłane złośliwe oprogramowanie, którego zadaniem byłoby wyciągnięcie danych wrażliwych od pośredników, czyli w teorii procesorów. Polska nie jest wyjątkiem we Wspólnocie. Przedsiębiorcy z innych krajów członkowskich również borykają się w mniejszym lub większym stopniu z procesem wdrożenia nowego rozporządzenia. Podobnie jak w Polsce, w większości krajów UE nie została przeprowadzona odpowiednia kampania informacyjna. Doprowadziło to do sytuacji, w której wymogów rozporządzenia nie spełnia co najmniej połowa wspólnotowych przedsiębiorstw i organizacji. 

Ocena ryzyka 

Nowym pojęciem dla wielu instytucji i firm, które pojawiło się w raz z wejściem RODO, jest ocena ryzyka. Jest to dokument określający wszystkie możliwe formy nieprawidłowego przetwarzania danych, przekazania i utraty danych w sposób przypadkowy, z powodów związanych z atakiem na infrastrukturę teleinformatyczną organizacji, infekcją sprzętu komputerowego, czynnikami naturalnymi, spowodowane błędami ludzkimi, awaryjnością sprzętu etc. Ocena ryzyka musi być dokumentem profilowanym (spersonalizowanym). Oznacza to, że jest spisem wystąpienia ryzyka, utraty lub niepoprawnego przetwarzania, w którym znajdują się wszystkie możliwe zagrożenia związane z przetwarzaniem danych wrażliwych w przedsiębiorstwie lub organizacji o określonej specyfice i działalności. Wiadome jest, że profil ogólny może być bardzo podobny w wielu firmach, lecz w tym dokumencie należy szczegółowo opisać wszystkie typy ryzyka, które mogą narazić dany podmiot na utratę danych lub czynności związane z nieprawidłowym ich przetwarzaniem. Obligatoryjnie należy umieścić w tym dokumencie wszystkie możliwe scenariusze związane z utratą danych. Przykładowo mogą to być takie czynniki, jak uszkodzenie sprzętu, pożar lub złośliwe oprogramowanie.

Samo pojęcie oceny ryzyka nie jest nowością. Metodyka oceny ryzyka jest elementem normy ISO 9001 opisującej system zarządzania jakością i jest integralnym elementem opartym o rodzinę standardów ISO 31000, dotyczących zarządzania ryzykiem. ISO 31000 opublikowano pod koniec 2009 i od tamtego momentu standardy są aktualizowane zgodnie z postępem technologicznym. Materiały dotyczące ISO 9001, jak i rodziny standardów ISO 31000, są dostępne w Internecie na stronie organizacji oraz w wielu bezpłatnych i ogólnodostępnych dokumentach, w tym studium przypadków związanych z wdrożeniem norm ISO. Bazując na informacjach zawartych w dokumentacji ISO oraz ogólnych opisach standardów można przygotować dokument oceny ryzyka organizacji, który będzie zgodny z wytycznymi Rozporządzenia. 

Praktyczne rozwiązania związane z cyfrowym procesem przetwarzaniem danych w MŚP 

W przypadku gdy przedsiębiorstwo lub organizacja, gromadzi dane w sposób cyfrowy, tzn. za pomocą oprogramowana komputerowego oraz dokumenty papierowe są przechowywane w postaci cyfrowej (w formie skanów) w celu archiwizacji dokumentacji, podmiot ten odpowiada za bezpieczeństwo na przestrzeni całej infrastruktury technicznej i fizycznej. Oznacza to, że sieć komputerowa i wszystkie urządzenia w niej pracujące muszą być należycie zabezpieczone przed włamaniem, przejęciem lub utratą danych. Przedstawione rozwiązania to stosowane w przedsiębiorstwach składowe elementy norm ISO, jak i wytyczne organizacji i firm dostarczających systemy teleinformatyczne oraz systemy i rozwiązania dotyczące bezpieczeństwa. Są to przykładowe solucje związane z dobrymi praktykami dotyczącymi bezpieczeństwa informacji. 

Sieć komputerowa

W większości biur lub domów (jeżeli działalność prowadzona jest w miejscu zamieszkania), komputery i inne urządzenia zazwyczaj łączą się z siecią za pomocą routera Wi-Fi. Aby połączenie było bezpieczne należy zabezpieczyć wszystkie punkty dostępu i administracji takiego urządzenia. Elementy wymagające odpowiedniego zabezpieczenie to:

- dostęp do panelu zarządzania urządzeniem – tu najlepiej zmienić login administratora (jeśli istnieje taka możliwość) oraz ustawić hasło o długości co najmniej12 znaków alfanumerycznych wraz ze znakami specjalnymi (np.: !@#$%^&*). Zalecana długość hasła to co najmniej 24 znaki;
- hasło do sieci Wi-Fi o długości 24 znaków alfanumerycznych wraz ze znakami specjalnymi – im dłuższe hasło dostępu, tym trudniej je złamać. Hasło do firmowej sieci bezprzewodowej, które posiada 24 znaki spełnia wymagania oraz rekomendacje dotyczące bezpieczeństwa;
- aby podwyższyć poziom bezpieczeństwa w ustawieniach routera można ustawić tak zwaną „białą listę”. Jest to spis urządzeń, które mają pozwolenie na korzystanie z tej sieci. Tym samym inne urządzenia nie będą mogły korzystać z jej zasobów. 

W przypadku, gdy udostępniamy Internet gościom lub klientom, należy stworzyć do tego oddzielną sieć (jeżeli router ma taką możliwość – tzw. sieć dla gości) lub przygotować odseparowaną sieć za pomocą dodatkowego urządzenia, które pozwoli na łączenie się z Internetem, ale bez możliwości zarządzania głównym routerem sieci. W przypadku udostępniania sieci klientom to na organizacji ciąży obowiązek poinformowania klienta o przetwarzaniu jego danych w sieci, np. tak jak to wygląda w restauracjach czy w hotelach. 

Sprzęt komputerowy

Sprzęt komputerowy dzieli się na dwie grupy: urządzenia mobilne (laptopy, tablety, smartfony, Stick PC) i sprzęt stacjonarny (komputery stacjonarne, All-in-One, mini komputer typu NUC). Dla obu grup należy wykonać następujące czynności:

- zabezpieczyć oprogramowanie układowe urządzenia (BIOS, UEFI) hasłem przed nieupoważnionym dostępem;
- zablokować możliwość botowania z innych źródeł niż dysk twardy komputera;
- dotyczy systemów MS Windows (dla komputerów pracujących jedynie w grupie roboczej) należy utworzyć konto administratora, z którego poziomu będzie można zarządzać komputerem (dla każdego komputera w firmie inna nazwa konta administratora i hasła – co najmniej 12 znaków, do tego hasło administratora w MŚP powinno być zmieniane raz na pół roku, maksymalnie raz na rok). W przypadku zarządzania domenowego, można ustalić zasady zarządzania kontami użytkowników z poziomu serwera;
- ograniczyć konto, na którym pracujemy do poziomu użytkownika oraz zabezpieczyć go hasłem o długości co najmniej 10 znaków. Hasło należy zmieniać co 30 dni (w systemie można ustawić wymuszenie zmiany hasła);
- sprzęt powinien posiadać odpowiednie oprogramowanie antywirusowe, zabezpieczające dostęp do komputera i danych na dysku. Tu należy nadmienić, że wykorzystywanie bezpłatnego oprogramowania stanowi lukę w zabezpieczeniach. Są to zazwyczaj mocno okrojone pakiety antywirusowe, które mają ograniczoną funkcjonalność. 

Dodatkowe wytyczne dla komputerów stacjonarnych

Jeżeli w firmie archiwizacja danych będzie przechowywana na komputerze stacjonarnym, należy zadbać o to, by posiadał on dodatkowe dwa dyski twarde połączone w systemie RAID 1 (w tym samym czasie będą zapisywać na sobie te same dane, ale w przypadku, gdy jeden z dysków ulegnie uszkodzeniu, dane zachowają się na drugim). Kopie i archiwa umieszczone na dysku powinny być przechowywane w sposób z ograniczonym dostępem lub w zaszyfrowanej postaci, tak by osoby postronne nie mały do nich dostępu. 

Dodatkowe wytyczne dla sprzętów mobilnych

Każde urządzenie mobilne, niezależnie od tego, pełni rolę sprzętu stacjonarnego (nie jest wynoszony po za biuro), czy jest typowym sprzętem mobilnym, na którym znajdują się aplikacje do przetwarzania danych oraz ich bazy, musi być zaszyfrowane z wymuszeniem wpisania hasła dostępu przed uruchomieniem systemu operacyjnego (np. za pomocą funkcji BitLocker lub narzędzia TrueCrypt – dla komputerów z systemem Windows, Linux; w przypadku MACa należy zaszyfrować dysk za pomocą wbudowanego narzędzia). Tablety i urządzenia smart mają wbudowaną funkcję szyfrowania w system, którą należy ją uruchomić. 

Trzeba również pamiętać o tym, że urządzenia mobilne muszą przechodzić okresowe kontrole bezpieczeństwa (raz na pół roku lub rok – dotyczy laptopów, Stick PC i tabletów oraz smartfonów). Po każdej kontroli powinien być sporządzony raport potwierdzający odpowiednie zabezpieczenie sprzętu. Raport ten należy archiwizować w formie papierowej z podpisem osoby dokonującej przegląd przez okres 5 lat. Rekomendowany odstęp między przeglądami to 6 miesięcy. 

Zgodnie z wytycznymi każda firma posiadająca aplikację, w której zapisane są dane osobowe, musi zabezpieczyć takie dane w sposób umożliwiający dostęp lub odtworzenie danych na wezwanie osoby, której dane dotyczą oraz Urzędu Ochrony Danych Osobowych (UODO). Związane to jest z procesem archiwizacji. W przypadku, gdy w zbiorach przedsiębiorstwo lub organizacja posiada takie dane, obowiązkiem jest przeprowadzenie archiwizacji całej dokumentacji w sposób pozwalający na szybkie odnalezienie danych na potrzeby m.in. kontroli. Archiwizacja danych powinna odbywać się przykładowo na zewnętrznym nośniku danych o odpowiednim poziomie zabezpieczeń, zapobiegającym utracie danych oraz o utrudnionym dostępie. W przypadku utraty takiego nośnika (np. zaszyfrowany dysk przenośny) nie będzie możliwości odtworzenia danych zapisanych bez podania hasła dostępu. Jeżeli przestrzeń archiwizacyjna wydzielona jest w infrastrukturze informatycznej przedsiębiorstwa lub organizacji (np. wspomniany wcześniej komputer stacjonarny, odpowiednio przygotowany do przechowywania danych archiwalnych), dostęp do takich danych powinny mieć tylko wyznaczone osoby, wskazane przez Inspektora Ochrony Danych (DPO). 

Urządzenia drukujące, wielofunkcyjne i sprzęt IoT

Drukarki sieciowe pozwalające na tzw. wydruk podążający (połączone do sieci LAN i Internetu), zazwyczaj mają wbudowany mniejszy lub większy system zarządzania. Podobnie jak w routerze należy go odpowiednio zabezpieczyć przez możliwością dostępu osobom trzecim. Dodatkowo, jeżeli urządzenie posiada łączność Ad-Hoc i jest ona włączona, to należy ją wyłączyć. 

W przypadku urządzeń IoT, należy je skonfigurować w taki sposób, aby dostęp do nich odbywał się jedynie na określonych zasadach i z określonymi uprawnieniami (np. kamerki on-line). W przypadku zainstalowanych kamer on-line ogólnego dostępu nie mogą one być skierowane na miejsca, gdzie dokonuje się podpisów dokumentów oraz miejsca przetwarzania informacji, wydawania kart dostępów czy kluczy (np. na podstawie zdjęcia klucza, można zrobić kopię klucza). 

Ustawienie sprzętu w miejscach obsługi interesantów/klientów

Ekran komputera, monitora lub innego urządzenia wyposażonego w wyświetlacz, na którym odbywa się przetwarzanie danych, nie może być zwrócony do drzwi oraz do ogólnodostępnych okien (np.: mówimy tu o sytuacji możliwości patrzenia na ekran na parterze lub w biurowcu, punkcie handlowym, przez szybę witryny). Ekranu nie mogą widzieć osoby postronne, a w przypadku kiedy trzeba pokazać dane klientowi (np. do wglądu lub akceptacji) należy odwrócić ekran do klienta. Niedopuszczalne jest przechowywania haseł w ogólnodostępnych miejscach, np. naklejki na monitorach czy laptopach. Niezależenie od sytuacji każdy z pracowników opuszczający miejsce pracy ma obowiązek zablokować dostęp do komputera, np. poprzez zablokowanie ekranu. Z punktu widzenia RODO pozostawienie niezabezpieczonego miejsca przetwarzania informacji wrażliwych jest niedopuszczalne. Dotyczy to dokumentacji papierowej (np. zasada czystego biurka), jak i dostępu cyfrowego. 

Rozporządzenie a dezinformacja w przestrzeni cyfrowej 

Wejście w życie RODO jest również kolejnym, syntetycznym etapem walki z rosnącą falą dezinformacji. Mechanizmy zawarte w rozporządzeniu dają możliwość każdemu użytkownikowi sieci wyłączenia profilowania jego osoby. Oznacza to, że treści reklamowe wyświetlane na różnych stronach nie będą dedykowane pod danego użytkownika. Przykładem jest np. wizyta na stronie internetowej X oraz przeglądanie dostępnych tam usług lub produktów. Kiedy przeglądane są inne witryny internetowe, portal społecznościowy lub informacyjny, wyświetli się reklama strony X, promującej usługi lub produkty, które były oglądane.

W podobny sposób jest profilowana każda osoba posiadająca konta w kanałach społecznościowych. Na podstawie polubień, udostępnień oraz przeglądanych i komentowanych artykułów, do tej pory możliwe było wysyłanie sponsorowanych reklam do określonej grupy odbiorców na podstawie określonego profilu każdego użytkownika. Profilowanie było użyte m.in. w mechanizmach Cambridge Analytica (C.A.), użytych podczas ostatniej kampanii prezydenckiej w USA. Ograniczenia w przetwarzaniu danych profilujących użytkowników w teorii mają za zadanie zredukować możliwość przesyłania spersonalizowanych spotów do wybranych grup odbiorców, co znacząco ograniczy mechanizmy inżynierii społecznej, wykorzystywanej przy różnego rodzaju okazjach. Ograniczenie zbierania informacji o użytkownikach Internetu spowoduje oczywiście powstanie nowych sposobów pozyskiwania informacji w sposób legalny lub rozwiązania, które nie podlegają pod Rozporządzenie oraz nie były do tej pory wykorzystywane w procesie pozyskiwania informacji. 

Mechanizmy ograniczające pozyskiwanie i przetwarzanie informacji o użytkownikach zaczną poprawnie działać na przełomie od 3 do 6 lat. Jest to związane z już pozyskanymi informacjami o użytkownikach Internetu oraz możliwości profilowania i dostosowywania informacji profilowanych do momentu wejścia w życie kolejnych globalnych trendów, rozwoju i transformacji sektora mediów społecznościowych oraz kanałów komunikacyjnych. Dostosowanie obecnych mediów społecznościowych do Rozporządzenia, na wielu płaszczyznach może okazać się bardzo trudne, co może doprowadzić do ograniczenia działalności na terenie UE niektórych portali. W takim przypadku znajduje się Facebook Inc. wraz ze swoimi usługami dodatkowymi, m.in. Instagram i Messenger. Po wspomnianej wcześniej aferze związanej z firmą C.A. musi on również całkowicie przebudować mechanizmy profilowania użytkowników oraz dostosować je do wytycznych RODO. 

Rozporządzenie to pozwala również ograniczyć pewne działania w skali regionalnej, jak wycieki danych czy utraty kontroli nad administrowanymi bazami danych. Da ono możliwość na czas uczulić klientów o tym, co wydarzyło się oraz jakie mogą być konsekwencje danego incydentu. Chaos informacyjny wprowadzany przykładowo przez media lokalne zostanie ograniczony przez konieczność przesłania informacji do klientów o danym wydarzeniu czy zajściu, jakie są prowadzone działania oraz co należy zrobić i czego unikać, aby nie stać się ofiarą lub agresorem (w przypadku, gdy właściciel danych zostanie nakierowany na pewne działania poprzez wykorzystanie socjotechnik). 

Ograniczenie w profilowaniu dostarczanych informacji będzie miało pozytywny wpływ na jakość przekazu dostarczanego do odbiorcy. Ważnym aspektem w tej kwestii jest jeszcze wprowadzenie instytucji monitorowania mediów cyfrowych, która będzie niezależną organizacją wpływającą na blokowanie treści propagandowych i dezinformacyjnych. Działanie mechanizmów RODO wraz z funkcjonowaniem takiej organizacji w znacznym stopniu może ograniczyć wpływ dezinformacji na społeczeństwo.

Maciej Ostasz

 

 

ANALIZA: Rosyjska kampania informacyjna z polską ustawą dekomunizacyjną w tle

Czerwcowa nowelizacja tzw. ustawy dekomunizacyjnej przyjęta przez Sejm RP dała początek nowej rosyjskiej kampanii informacyjnej przeciwko Polsce, której celem jest wpłynięcie na decyzję polskich władz w sprawie usunięcia symboli komunistycznych w kraju. Rosja wykorzystując szereg zabiegów manipulacyjnych, propagandowych i dezinformacyjnych, za pośrednictwem swojego MSZ, MON oraz mediów i sieci społecznościowych, manipuluje rosyjską oraz międzynarodową opinią publiczną. Stara się w ten sposób narzucić własną interpretację faktów historycznych, a przy okazji buduje negatywny wizerunek Polski w środowisku międzynarodowym.