iSecure logo
  • pl
  • en
    • Blog

    Niebezpieczeństwa usług internetowych

    Damian Bielecki
    Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowych
    Kategorie

    Internet zrewolucjonizował nasze życie, pozwolił nam na wyrażanie naszego zdania oraz szybkie pozyskiwanie informacji na interesujące nas tematy. Jednym z dobrodziejstw Internetu jest rozszerzenie zakresu i ilości usług świadczonych drogą elektroniczną oraz łatwiejszy dostęp do internetowych aplikacji.  W Internecie na użytkownika czyha wiele ryzyk, które mogą naruszyć jego prywatność lub spowodować straty materialne, dlatego bardzo istotne jest posiadanie wiedzy o istniejących zagrożeniach i bycie czujnym – w szczególności w zakresie akceptowania wszelkich usług.

    Uprawnienia dostępu

    Jednym z najczęstszych źródeł zagrożenia dla prywatności, wynikającym z korzystania z urządzeń mobilnych jest przyznawanie zbyt szerokich uprawnień aplikacjom. Co do zasady, telefony posiadają wbudowane mechanizmy bezpieczeństwa, które uniemożliwiają programom zbieranie i wykorzystywanie danych w nich zawartych. W celu uzyskania dostępu, aplikacja prosi o wyrażenie zgody. Dla wielu użytkowników reakcją bezwarunkową jest akceptacja dostępu, jednakże sprowadza to na użytkownika potencjalne niebezpieczeństwo kradzieży jego danych. Najczęściej przytaczanym przykładem są aplikacje typu „latarka”, które były dostępne w oficjalnym sklepie dostawcy oprogramowania. Według raportu sporządzonego przez Avast Software s.r.o., Top 10 aplikacji w serwisie Google Play, które zbierało jak najwięcej uprawnień w telefonie, były „Latarki”, a liczba zbieranych uprawnień sięgała 77 typów działań. Aplikacja oprócz umożliwienia włączenia światła w telefonie, zbierała i przesyłała do zewnętrznego odbiorcy SMSy, rejestry połączeń, informacje o pobraniach, dokumenty etc. Zakres uprawnień pozwalał na wprowadzenie dalszych bardziej niebezpiecznych programów typu malwarena telefon. Korzystanie tylko z zaufanych źródeł nie jest wystarczającym zabezpieczeniem. Programy w trakcie swojego istnienia mogą przechodzić wiele zmian – nie zawsze korzystnych dla użytkownika.

    Brak znajomości regulaminu/zasad działania

    W dobie coraz większej konkurencji na rynku usług elektronicznych, jak i wprowadzania nowych sposób monetyzacji usług, coraz częstszą praktyką jest oferowanie „darmowych” usług. Wielu użytkowników nie zastanawia się, na czym dokładnie polegają „darmowe” usługi, czym narażają się na naruszenie nie tylko własnej prywatności, ale także prywatności osób bliskich lub klientów. Koncepcja „usługi w zamian za dane” jest coraz częściej spotykaną formą świadczenia usług.  Dokładne zasady takich usług powinny być zawsze opisane w regulaminie strony internetowej lub aplikacji. Popularną usługą internetową jest usługa „rozpoznawania numeru” – wpisujemy numer telefonu w wyszukiwarce, zaś strona wskazuje do kogo należy podany numer. Tego typu strony najczęściej działają w dwóch możliwych modelach

    • Serwis zbiera dane na podstawie uwag przekazanych przez użytkownika – użytkownik w przypadku nieznalezienia w serwisie numeru może samodzielnie wstawić notatkę i ocenić „poziom uciążliwości”.
    • Serwis zbiera samodzielnie dane i dokonuje analiz na podstawie danych zebranych z telefonu użytkownika – Serwisy opierające swoje działanie na takim modelu umożliwiają ujawnienie użytkownikowi danych tylko w przypadku, gdy zgodzi się na postanowienia regulaminu, „uprawniające” do pobrania pełnej listy kontaktów z telefonu komórkowego. Jest to bardzo niebezpieczna dla prywatności użytkowników forma. Ponadto w przypadku telefonów służbowych, może to skutkować naruszeniem zasad poufności a także stanowi nieuprawniony transfer danych – bardzo często poza granice EOG. Ze względu na sposób działania serwisów bardzo często znajdują się w nich nieprecyzyjne dane. Numer może być zapisany jako „mama” lub „prezes”, gdyż serwisy nie weryfikują samodzielnie prawdziwości danych. Serwisy bardzo częstą znajdują się poza granicami EOG, co uniemożliwia realizację podstawowych praw osoby fizycznej na podstawie przepisów RODO.

    Dane które przekazujemy w ramach „darmowych” usług nie zawsze stanowią nasze dane. Bardzo często poprzez korzystanie ze stron lub programów, „wyrażamy zgodę” na wykorzystywanie przez te strony (a raczej przez firmy obsługujące/dostarczające te strony), przekazanych danych dla ich własnych celów, np. poprawy logarytmów lub tworzenia własnych statystyk.

    Czy jesteśmy pewni, że darmowy translator internetowy, z którego korzystamy, nie analizuje tekstów i nie wykorzystuje ich we własnych celach?

    Czy jesteśmy pewni, że internetowy program do obróbki zdjęć nie dokonuje biometrycznej analizy osób znajdujących się na zdjęciach by tworzyć bazę?

    Czy dostawca poczty e-mail czyta nasze e-maile w celu dobrania dopasowanej reklamy?

     

    Darmowy, nie zawsze bezpieczny

    W przypadku braku doświadczenia lub w celu zaoszczędzenia czasu użytkownicy bardzo często wykorzystują darmowe programy internetowe służące do tworzenia dokumentów według ustalonego wzoru, np. generator CV lub konwertujące dokument na inny format, np. .pdf na .doc. Jednym z głównych ryzyk związanych z takimi aplikacjami jest brak zabezpieczenia stron – darmowe usługi nie zawsze są zabezpieczone w sposób adekwatny do zakresu danych zbieranych za ich pośrednictwem.  Dokumenty tworzone za pośrednictwem aplikacji najczęściej nie są usuwane z serwerów, na których zostały stworzone, co prowadzi do wniosku, że brak jest zasad retencji dokumentów (dokumenty mogą nigdy nie być usuwane z serwerów). Jest to bardzo niebezpieczna dla użytkownika sytuacja. W przypadku incydentu bezpieczeństwa może dojść do wycieku danych osobowych. Jako przykład incydentu w „generatorze CV” warto wskazać, że może dojść do wycieku danych kontaktowych, wizerunku, adresu zamieszkania etc. Niniejsze informacje mogą skutkować dla użytkownika kradzieżą tożsamości. Aplikacje konwertujące pliki bardzo często zawierają w swych bazach skany dowodów osobistych, decyzje urzędowe etc. Ze względu na występowanie danych, takich jak PESEL, numer i seria dokumentu tożsamości, czy NIP w takich dokumentach, ich kradzież może wywołać poważne skutki dla użytkownika w szczególności kradzież tożsamości umożliwiającą wzięcie pożyczki.

    „Darmowe” aplikacje nie zawsze wykorzystują nasze dane. Formą monetyzacji usług jest także umieszczanie w aplikacji reklam/ banerów reklamowych. Co do zasady takie reklamy nie powinny wywoływać efektów negatywnych dla użytkownika, jednakże zdarzają się przypadki, gdy reklamy zawierają elementy malware lub przekierowują do stron internetowych zawierających szkodliwe oprogramowanie.

    Malware

    Bardzo częstym ryzykiem, w szczególności w sektorze bankowym, jest podszywanie się pod oficjalne aplikacje firmy, np. podszywanie się pod aplikacje bankowe do płatności mobilnych. Takie aplikacje mają głównie na celu kradzież loginu i hasła do konta lub „podmianę” numeru konta lub kwoty przy przelewach. Istotne jest pobieranie aplikacji tylko z oficjalnych stron dostawcy usług, np. bankowych i omijanie korzystania ze stron pośredników. Banki często też kierują bezpośrednie komunikaty do swoich klientów, np. na stronie głównej www, w aplikacji lub poprzez SMS-y, w których ostrzegają przed możliwymi nadużyciami i zastrzegają, że np. nie prowadzą określonej aktywności wobec użytkowników (np. „Nigdy nie prosimy Państwa o potwierdzenie PESEL w formie SMS”). Jest to szczególne istotne w przypadku dysponowania środkami pieniężnymi swego pracodawcy lub klienta.

    Jak przeciwdziałać?

    Ze względu na dynamicznie rozwijający się sektor usług elektronicznych, nie jest możliwe wskazanie sposobów, które uchronią nas przed każdym zagrożeniem. Powyższe zagrożenia (poza malware) nie są zagrożeniami, które mogą zostać wykryte przez firewall lub antywirus. Uniwersalną zasadą zapewniającą nam bezpieczeństwo, jest ciągłe budowanie swojej świadomości i wiedzy o zagrożeniach, zwiększając zakres zainteresowań o zagadnienia socjotechniki. Korzystając z Internetu należy być czujnym i dokładnie czytać treści regulaminów lub oświadczeń, które akceptujemy. Internet zawiera szeroki wachlarz stron informujących o bieżących zagrożeniach internetowych, z których możemy czerpać wiedzę o pojawiających się niebezpieczeństwach.

    Jedną z form zabezpieczenia, jest ograniczenie stosowania „darmowych” usług na poczet płatnych – w takich przypadkach usługodawca ma ograniczony zakres możliwości i ingerencji w nasze dane (zgodnie z tym, co deklaruje w regulaminie lub umowie). Przedsiębiorcy mogą z takim dostawcą zawrzeć umowę powierzenia, która nałoży umowny zakaz dokonywania operacji na danych osobowych innych, niż ustalone przez strony. W ten sposób także, można określić wymogi bezpieczeństwa, które mają być przez usługodawcę wykorzystywane.

    W celu ograniczenia ingerencji aplikacji w nasze dane i ich przechowywanie na zewnętrznych serwerach, zalecanym działaniem jest ograniczenie korzystania z aplikacji online, na poczet ich instalowania na dysku twardym. Jednakże niniejsza metoda nie zawsze ma zastosowanie, gdyż aplikacja – pomimo zainstalowania, w celu ochrony technologii, wykonuje część działań za pośrednictwem sieci Internet, poprzez połączenie się z serwerem właściciela aplikacji.

    W przypadku wykorzystywania sprzętu służbowego, elementem koniecznym do stosowania zewnętrznych aplikacji, nie dostarczonych przez pracodawcę, jest wyrażenie zgody przez Zarząd spółki (lub inną osobę o kompetencji decyzyjnej, np. Kierownika Działu IT) na podstawie opinii inspektora ochrony danych i pracownika działu IT.

    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    RODO krok po kroku – część 2: obowiązek prowadzenia rejestru przetwarzania
    Agnieszka Rapcewicz

    Zakup bazy marketingowej w świetle RODO

    Proces samodzielnego tworzenia bazy marketingowej potencjalnych klientów wymaga zazwyczaj czasu, który dla przedsiębiorców jest często zbyt długi. Prostszym rozwiązaniem wydaje się pozyskanie bazy marketingowej od innego podmiotu. W przypadku np. przejęcia jednej spółki przez inną lub połączenia kilku podmiotów (spółek), sprawa jest w miarę prosta, ponieważ nowy podmiot wstępuje w prawa i obowiązki spółki, która […]

    Czytaj więcej
    Agnieszka Rapcewicz

    Franczyza i RODO

    Umowa franczyzy zdecydowanie nie kojarzy się w pierwszej kolejności z tematem ochrony danych osobowych. Franczyza jest rozumiana jako system sprzedaży towarów lub technologii czy świadczenia usług, wiążący się z bliską współpracą niezależnych prawnie podmiotów (franczyzodawcy i franczyzobiorcy). Jest to jeden ze sposobów na rozpoczęcie własnego biznesu, gdy nie za bardzo mamy na niego pomysł. Możemy […]

    Czytaj więcej
    Mateusz Jakubik

    Omówienie wytycznych AEPD dotyczących walidacji systemów kryptograficznych do ochrony przetwarzania danych osobowych

    W dobie cyfrowej, gdzie dane osobowe stają się coraz bardziej cenne, ochrona tych danych jest kluczowa. W tym kontekście, Agencja Ochrony Danych w Hiszpanii (AEPD) opracowała szereg wytycznych dotyczących walidacji systemów kryptograficznych, które mają na celu ochronę przetwarzania danych osobowych. Te wytyczne są nie tylko odpowiedzią na rosnące zagrożenia dla prywatności, ale także próbą zdefiniowania standardów, które pomogą organizacjom w zabezpieczaniu danych, którymi zarządzają.

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki