Internet jest bardziej niebezpieczny niż najciemniejszy zaułek niebezpiecznej dzielnicy. Według raportu CERT w 2020 r. co godzinę, nieustannie przez 365 dni, dochodziło w Polsce do cybernetycznych incydentów. Cyberataki to nowa „normalność”. Każdy z nich to nie tylko ryzyko utraty pieniędzy, tożsamości, ale też ryzyko olbrzymiego pozwu. Czy można się bronić? I jak?
Życie przeniosło się do sieci. Niestety, razem z dobrymi rzeczami (możliwością rozmów, szybkich zakupów, e-recept, telekonsultacji), do sieci przenieśli się też oszuści. Skala ich działań jest rekordowa. Od ponad 20 lat bada ją CERT, czyli zespół szybkiego reagowania na ataki cybernetyczne, który działa przy NASK – Państwowym Instytucie Badawczym. Według raportu rocznego z działalności CERT Polska w 2020 r. zarejestrowano w sumie 10 420 incydentów cyberbezpieczeństwa, co stanowi wzrost o 61% w porównaniu z 2019 r.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
W praktyce oznacza to, że częściej niż raz na godzinę dochodzi w polskim internecie do jakiegoś cybernetycznego incydentu. Ale widzimy to też w naszej redakcji po liczbie skarg i próśb o pomoc od czytelników, którzy dali się oszukać w sieci.
W realu wiemy mniej więcej na co uważać, jakich miejsc unikać i jakie środki ostrożności podjąć, żeby się nie dać oszukać. Życia w sieci ciągle się uczymy. Co zrobić, by nie musieć się uczyć na błędach? Na co zwrócić uwagę? I czy od ataku można się ubezpieczyć? Sprawdzam!
Cyberataki. Pandemia stała się wylęgarnią e-oszustów
Pandemia przyspieszyła cyfryzację. Sieć to już nie tylko zakupy, ale też możliwość korzystania z usług administracji publicznej (załatwianie meldunku, rejestracja w urzędach, elektroniczne poświadczenie tożsamości, bez konieczności noszenia plastikowego dowodu osobistego w portfelu).
Większy „ruch” w sieci to większa aktywność cyberoszustów. Nieprzypadkowo, jak informowała ostatnio policja, jedna z mieszkanek Łodzi założyła oszukańczy sklep internetowy w maju 2020 r., gdy byliśmy w pandemicznym szoku, a zakupy coraz częściej robiliśmy w sieci. Oszustka bez trudu wyłudziła dane potrzebne do założenia lewych kont od ponad 100 osób i uruchomiła sklep internetowy.
Bilans? Kilka tysięcy oszukanych osób i prawie 1 mln zł strat klientów, którzy myśleli, że kupują konsole, a dostawali karton ze ścinkami papieru. Mówimy tylko o jednej osobie. W skali makro policja mówi o nowej pladze.
„Działania przestępców stale ewoluują i adaptują się do rzeczywistości. Stały postęp technologiczny, coraz częstsze korzystanie przez społeczeństwo z różnego rodzaju usług za pomocą sieci Internet, w naturalny sposób znalazło swoje zainteresowanie w działaniach cyberprzestępców”
– mówi nam Mariusz Ciarka, rzecznik prasowy Komendanta Głównego Policji. Statystki aż kłują w oczy. Według danych ze strony statystyka.policja.pl liczba stwierdzonych oszustw komputerowych wyniosła w 2018 r. 5843. W 2020 roku (nowszych danych jeszcze nie ma) było to już 10 011. A przecież nie każdy idzie na policję, gdy zostanie oszukany w sieci.
Skąd taki wzrost? Po pierwsze to efekt skali, czyli naszej większej aktywności w internecie. Po drugie: oszustwo przypomina mecz piłkarski, gra się tak jak przeciwnik pozwala. Często sami wystawiamy się na atak, nie przestrzegając kilku prostych zasad.
Chodzi o phising. Często najsłabszym ogniwem na cybernetycznym froncie jest „czynnik” ludzki, czyli nasza chwila nieuwagi połączona z zuchwalstwem i inteligencją oszustów. To sytuacja, gdy ktoś o złych intencjach próbuje wyłudzić nasze dane. Jak? Podszywając się w e-mailach albo SMS-ach pod bank, firmę kurierską, a nawet urząd.
Tak nas okradają: phishing, włam i ransomware
Według policji, kilka najczęstszych technik phisingowych to próba wyłudzenia pieniędzy na popularnych serwisach sprzedażowych (oszuści nie chcą z nich korzystać, tylko wysyłają własne linki do płatności), SMS-y z informacją, że mamy nieuregulowaną płatność (np. za kablówkę) albo informację od kolegi z Facebooku, tyle że to żaden kolega, ale ktoś kto przejął jego konto. Wspomniana oszustka z Łodzi zdobyła komplet danych osobowych 100 osób, reklamując w internecie szybkie pożyczki.
Druga okoliczność, to sytuacja, w której przeciwnik gra nie fair i kopie po kostkach. Czyli włamuje się na nasz komputer, instaluje złośliwe oprogramowanie (takie, które potrafi przejąć nasze hasła). Ta druga metoda dotyczy w większym stopniu małych i średnich firmy niż osób prywatnych (duże firmy mają potężne zapory sieciowe, tokeny do logowania).
Jak podaje w raporcie rocznym za 2020 r. CERT, jednym z najbardziej zauważalnych rodzajów zagrożeń o rosnącym znaczeniu w 2020 r. był ransomware. Tak się nazywa zestaw działań, które polegają na tym, że wirus blokuje dostęp do systemu komputerowego – najczęściej firmy. Wkrótce po ataku do ofiary zgłasza się sprawca, który żąda okupu za przywrócenie „ustawień fabrycznych”. Firmy, które stawiały (i ciągle stawiają) swoje pierwsze kroki w sieci, są łatwym celem.
„Wiele firm, zmuszonych do prowadzenia działalności w oparciu o pracę zdalną i sprzedaż online, stawało się bardzo podatnymi celami dla przestępców wymuszających haracze. Dodatkowym czynnikiem zwiększającym tę podatność było powszechne włączanie usług dostępu zdalnego w podmiotach, które nie miały uprzedniego doświadczenia w bezpiecznym korzystaniu z takiego mechanizmu. Niestety, fale ransomware nie omijały nawet takich sektorów jak edukacja czy służba zdrowia”
– pisze w raporcie podsumowującym 2020 r. CERT Polska. Jak się możemy chronić? W przypadku typowego phisingu najlepszą ochroną jest nasza uwaga. Nieklikanie w nieznane linki, niekontaktowanie się z potencjalnymi kupcami poza „infrastrukturą” sklepu, korzystanie z kilkuetapowych metod autoryzacji i logowania do serwisów (czyli hasło + hasło na telefon).
Ochrona przed włamaniem na serwery firmy oraz przed atakiem ransomware wymaga już współpracy z dostawą systemów informatycznych dla firmy i zbudowania porządnego systemu zabezpieczeń przed nieuprawnionym dostępem (i sprawnego monitoringu). Wciąż zdarza się, że pracownicy bez żadnych ograniczeń mogą instalować na komputerach służbowych dowolne oprogramowanie, korzystać z prywatnych kont pocztowych oraz wkładać do laptopów prywatne pendrive’y. Tymi wszystkimi wrotami przestępcy wchodzą do systemów informatycznych firm, instalując w nich wirusy.
Innym zagrożeniom stawić czoła muszą firmy (ryzyko utraty dochodów przez niedziałającą stronę, utrata reputacji, ryzyko pozwów za wyciek danych klientów – RODO), a innym osoby prywatne, które, jak pokazał przykład, podają swoje dane na tacy i mogą zostać wykorzystane jako słup do wyłudzenia kredytu. Od takich e-ryzyk można się już ubezpieczyć.
————————–
ZAPROSZENIE
Partnerem cyklu edukacyjnego „Bez znieczulenia o ubezpieczeniach” jest PZU, największa w Polsce firma ubezpieczeniowa. Oferuje ubezpieczenie PZU Cyber od ryzyk cybernetycznych i związanych z RODO dla firm oraz w ramach ubezpieczenia mieszkania lub domu PZU Dom – ochronę danych osobowych wraz z alertami BIK. Zapraszamy do zapoznania się z ofertą.
PZU z myślą bezpieczeństwie klientów z sektora MŚP przygotował także nowatorską usługę Cyber Raport bezpieczeństwa stron internetowych. Wystarczy, że przedsiębiorca wypełni krótki formularz pod adresem www.pzu.pl/cyberraport i bezpłatnie otrzyma szczegółową informację na temat zagrożeń bezpieczeństwa dla jego strony internetowej, prawdopodobieństwa zainteresowania się nią hakerów, a także ocenę ryzyka reputacyjnego.
PZU Cyber Raport to kolejny z projektów, który powstał w wyniku współpracy największego polskiego ubezpieczyciela ze startupami w ramach programu #PZUReadyForStartups, którego celem jest poszukiwanie i współpraca z firmami oferującymi innowacyjne rozwiązania dla branży ubezpieczeniowej.
————————–
Alarm! Wyciek danych jak wyciek z reaktora
W przypadku osób fizycznych, przed kosztami związanymi z utratą danych osobowych, można się zabezpieczyć, korzystając z ubezpieczenia dostępnego np. w pakiecie razem z ubezpieczeniem nieruchomości. Zwykle jest tak, że polisa mieszkaniowa jest bazą, którą można obudować wieloma dodatkowymi produktami, np. polisą OC w życiu prywatnym, domowym assistance czy właśnie ubezpieczeniem danych osobowych.
Ochrona danych osobowych jest dostępna m.in. w pakiecie ochrony prawnej PZU Dom – poza gwarancją wypłaty odszkodowania, gdyby nasze dane wypłynęły, uzyskujemy w ramach tej polisy dostęp do Alertów BIK i wsparcie prawników, jeśli dojdzie do wyłudzenia kredytu lub pożyczki na nasze dane. Sam alert BIK można wykupić także samodzielnie wchodząc na stronę www.bik.pl.
Co to nam daje? Biuro Informacji Kredytowej to baza danych o naszych kredytach, z której korzystają banki i firmy pożyczkowe, oceniając naszą zdolność kredytową. Za każdym razem, gdy chcemy wziąć kredyt, instytucja finansowa sprawdza nasz status w BIK (czy i ile mamy innych zobowiązań i jak je regulujemy).
Alert BIK w ramach polisy to wysyłana SMS-em informacja, że nasz status w BIK się zmienił. Może to być informacja o próbie wzięcia pożyczki lub o podpisaniu umowy, wpisanie nowego zobowiązania, wpisanie do rejestru dłużników BIG InfoMonitor czy opóźnienie w spłacie kredytu.
Jeśli dostaniemy taki alert, a nie staramy się o kredyt, to znak, że ktoś ukradł nam naszą tożsamość – ma na tyle „bogaty” zestaw naszych danych, które pozwalają mu zaciągać kredyty w naszym imieniu. Jeśli do tego doszło, niemal na pewno na jednej próbie się nie skończy. To, co możemy i musimy zrobić, to zastrzec dowód osobisty i powiadomić policję, że ktoś wykorzystuje bezprawnie nasze dane.
Dokument tożsamości możemy unieważnić bez wychodzenia z domu za pośrednictwem platformy ePUAP. Dzięki zgłoszeniu sprawy na policję (i otrzymaniu pokwitowania) będziemy mogli w przyszłości wybronić się od spłaty zaciągniętych na nasze nazwisko zobowiązań.
W gorszej sytuacji są firmy, które przechowują nie tylko własne dane, ale też dane klientów lub kontrahentów. Z jednej strony trzeba ich pilnować jak oka w głowie ze względu na zagrożenie reputacji w przypadku wycieku, z drugiej strony – ze względu na możliwe roszczenia klientów, których dane wyciekły (lub kontrahentów w przypadku ujawnienia tajemnicy handlowej), a z trzeciej strony – ze względu na regulacje RODO, które nakładają wysokie kary za dopuszczenie do utraty danych klientów lub kontrahentów.
Sytuacja firm w erze cyberprzestępczości jest nie do pozazdroszczenia, bo zgodnie z obowiązującym od ponad 3 lat rozporządzeniem RODO przechowywane przez nich dane klientów i rygor ich ochrony jest drakoński. Wysokość kar wynosi 10-20 mln euro lub 2-4% rocznych obrotów. Jednak takie kary to rzadkość.
W tym czasie UODO nałożył prawie 30 kar za różne przewinienia firm. W praktyce, to co może spotkać firmę, która padła ofiarą oszustów, pokazuje przykład… żłobka, który w wyniku włamania (stacjonarnego) stracił dane 120 osób: rodziców i pracowników. Kara wyniosła 5000 zł, mimo że właściciele nie zawinili.
—————————–
ZAPROSZENIE: CYBERPOLISĄ W CYBERRYZYKO
Na takie bolączki odpowiedzią może być polisa PZU Cyber. Co oferuje? Ochrona składa się z dwóch komponentów. Pierwszy polega na ubezpieczeniu konsekwencji wycieku danych. Drugi – konsekwencji unieruchomienia firmy w wyniku ataku cybernetycznego.
Polisa PZU Cyber (w tym dla jednoosobowych działalności gospodarczych) pokrywa koszty roszczeń (np. odszkodowań, zadośćuczynień, kar i grzywien) w razie naruszenia przepisów o ochronie danych osobowych. Oczywiście do sumy ubezpieczenia. Polisa pokrywa też koszty informatyków śledczych, obsługi prawnej i obsługi PR związanej ze szkodą, utraty reputacji firmy, gdyby ktoś przejął serwery, wprowadził klientów i opinie publiczną w błąd.
Ale to nie koniec. Jeśli cyberatak sparaliżował działanie firmy (np. strona sklepu internetowego „padła” i nie została podniesiona przez kilka dni), to do sumy ubezpieczenia możemy wnioskować o odszkodowanie za czas przestoju. Polisa literalnie wymienia szkodę z tytułu zakłócenia działalności jako utracony zysk netto. Wystarczy „wycenić” jeden dzień braku działalności firmy na rynku, żeby policzyć utracone korzyści.
Czego nie chroni? Strat spowodowanych awariami prądu, internetu lub jeśli zgubimy albo ktoś wykradnie nam fizyczny, niezaszyfrowany nośnik danych taki jak pamięć USB, laptop, smartfon czy tablet. Ile to kosztuje? Najniższa składka około 400 zł rocznie uzależniona jest od wysokości sumy ubezpieczenia i skali działalności przedsiębiorcy.
—————————–
POSŁUCHAJ PODCASTU „FINANSOWE SENSACJE TYGODNIA”
W tym odcinku „Finansowych sensacji tygodnia” wracamy do tematów ubezpieczeń, w tym komunikacyjnych, które wzbudzają dziś najwięcej kontrowersji. A konkretnie – rozmawiamy o tym, ile powinna kosztować naprawa samochodu, zastanawiamy się, czy ubezpieczenia samochodów zdrożeją, czy pandemiczne konsekwencje gospodarcze zachęcą Polaków do kupowania polis autocasco, czy nadchodzi czas ubezpieczeń wycenianych przez sztuczną inteligencję? Naszym gościem jest Grzegorz Goluch, prezes PZU Pomoc, czyli firmy organizującej kierowcom wsparcie m.in. wtedy, gdy nastąpi „dzwon”. Podcast jest pod tym linkiem, jak również na Spotify (tu jest w dziesiątce najpopularniejszych podcastów newsowych), Google Podcast, Apple Podcast i na kilku innych platformach podcastowych.
Czytaj też: Pandemia i klimat: częściej się ubezpieczamy. Ubezpieczenie życia i… (subiektywnieofinansach.pl)
————-
Artykuł powstał w ramach rubryki edukacyjnej „Bez znieczulenia o ubezpieczeniach”, która ukazuje się pod patronatem PZU, największej w Polsce firmy ubezpieczeniowej.
źródło zdjęcia: PixaBay