Dostęp do ważnych danych w firmie powinien być ograniczony

Przedsiębiorcy bywają ofiarami kierunkowych ataków, które polegają na uzyskaniu informacji od wcześniej obserwowanej i podsłuchiwanej firmy

Publikacja: 27.09.2013 03:00

Arkadiusz Jaraszek

Włamanie do określonego komputera takiej firmy czy jej pracownika dokonywane jest w celu uzyskania konkretnych danych, które zgodnie z uzyskaną przez przestępców wiedzą powinny znajdować się na tym komputerze.

Tak uzyskane informacje często stanowią dane personalne, bazę kontaktów, dane umożliwiające dokonywanie elektronicznych transakcji finansowych, zawieranie umów kupna-sprzedaży, uczestnictwo w aukcjach organizowanych przez internetowe serwisy aukcyjne. Ataki kierunkowe najczęściej są przeprowadzane, gdy sprawca zna ofiarę osobiście, jest z nią w jakiś sposób powiązany, np. stanowi ona jej bezpośredniego konkurenta lub ma o niej już jakieś informacje.

Jakie kary

Przedsiębiorcy również powinni wiedzieć o tym, że tego typu zachowania także stanowią przestępstwo. Zgodnie bowiem z art. 267 § 1 k.k. kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, popełnia przestępstwo.

Grozi za nie grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2. Taka sama kara grozi za uzyskanie dostępu do całości lub części systemu informatycznego bez upoważnienia (art. 267 § 2 k.k.). Także nawet na dwa lata do więzienia może trafić osoba, która w celu uzyskania informacji, do której nie jest uprawniona, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem (art. 267 § 3 k.k.).

Tak jak w przypadku przestępstwa phishingu przestępstwa te może popełnić każdy – choć oczywiście z racji dostępu do danych pracodawcy i np. jego wewnętrznej poczty najczęściej na tego typu ataki firmy narażone są ze strony swoich pracowników.

Niszczenie, usuwanie i uszkadzanie

Zamach na informację przedsiębiorstwa może polegać nie tylko na poznaniu jej wbrew woli osoby uprawnionej, ale także na utrudnieniu dostępu do niej lub na jej zniszczeniu. Zgodnie z art. 268 k.k. nawet dwa lata pozbawienia wolności grożą osobie, która bez uprawnienia niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią.

Jeżeli jednak czyn ten dotyczy zapisu na informatycznym nośniku danych, to sprawcy grozi surowsza odpowiedzialność – do trzech lat pozbawienia wolności. Informatycznym nośnikiem danych jest materiał lub urządzenie służące do zapisywania, przechowywania i odczytywania danych w postaci cyfrowej lub analogowej.

Jeszcze surowsza odpowiedzialność, aż do bowiem 5 lat pozbawienia wolności, grozi osobie, która swoimi działaniami wyrządzi znaczną szkodę majątkową. Szkodą taką – zgodnie z art. 115 § 5 i 7 k.k., jest szkoda, której wartość w chwili popełnienia czynu zabronionego przekracza 200 tys. zł.

Przestępstwa te ścigane są na wniosek pokrzywdzonego. Jeżeli zatem firma padnie ofiarą jednego z tych działań, podjętych np. przez jej pracownika, i będzie chciała, żeby został on pociągnięty do odpowiedzialności karnej, to nie wystarczy, że na policji lub w prokuraturze złoży zawiadomienie o podejrzeniu popełnienia przestępstwa. Przedstawiciel firmy uprawniony do jej reprezentowania będzie musiał złożyć jeszcze wniosek o ściganie sprawcy.

Podobnie jak zwykłe dane ochronie podlegają także dane informatyczne. Zgodnie z art. 268a k.k. do trzech lat pozbawienia wolności grozi osobie, która bez uprawnienia niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych. Pięć lat więzienia grozi osobie, która swoimi działaniami wyrządza znaczną szkodę majątkową.

Podobnie jak w przypadku zwykłych danych także i w przypadku danych informatycznych ściganie zabronionych działań następuje na wniosek pokrzywdzonego, a więc np. pokrzywdzonej firmy.

Co robić?

Zastosuj się do naszych rad:

- Ograniczaj fizyczny dostęp osób trzecich do komputerów;

- Zwracaj uwagę na to, co określone osoby, jak np. pracownicy, podłączają do komputerów, oraz nie zapominaj, że nośniki danych z pamięcią typu flash mogą mieć przeróżne kształty i rozmiary;

- Ograniczaj dostęp do oprogramowania (nośników) osób trzecich;

- Zabezpieczaj dane, wykonując kopie bezpieczeństwa (regularnie);

- Aktualizuj na bieżąco programy antywirusowe oraz używaj oprogramowania z wiadomych i sprawdzonych źródeł i unikaj pirackiego oprogramowania;

- Zablokuj pracownikom dostęp do witryn internetowych, które nie są związane z wykonywaniem przez nich obowiązków służbowych, a na których może się znajdować szpiegujące oprogramowanie;

- Weryfikuj, czy połączenia ważne odbywają się z wykorzystaniem protokołów bezpieczeństwa SSL (w większości przeglądarek sygnalizuje to pojawienie się „kłódki" i początek adresu winien rozpoczynać się od https://), a ponadto sprawdzaj treść certyfikatów bezpieczeństwa witryn;

- Nie korzystaj z odnośników w wiadomościach e-mail;

- Wymagaj od pracowników używania jakościowych haseł (składających się z małych i wielkich liter, cyfr i znaków specjalnych, o długości powyżej 8–10 znaków) oraz zabraniaj używania haseł domyślnych i jednego hasła do wielu programów i portali;

- Wymagaj od pracowników zmiany haseł co pewien czas;

- Wymagaj od pracowników raportowania każdego podejrzanego zachowania sprzętu lub oprogramowania;

- Usuwaj dane newralgiczne zawsze, gdy nie są w użyciu – w sposób permanentny;

- Nie wysyłaj pocztą e-mail newralgicznych danych;

- Zabezpieczaj fizycznie nośniki danych, a jeśli to możliwe, również programowo;

- Czyść dyski w sposób profesjonalny przez nadpisywanie danych przed ich wyrzuceniem, przekazaniem do naprawy;

- Nie wymieniaj informacji na temat systemów bezpieczeństwa informatycznego, nawyków informatyków w firmie, terminów konserwacji systemu, aktualizacji oprogramowania;

- Czasami szyfruj pocztę elektroniczną;

- Rozważ posiadanie komputera niepodłączanego do sieci do tworzenia i przechowywania danych newralgicznych;

- Rozważ używanie oprogramowania kryptograficznego.

Używane metody

Dane newralgiczne są najczęściej pozyskiwane przy wykorzystaniu:

- rozsyłanych sfałszowanych wiadomości e-mail, udających komunikaty z działu bezpieczeństwa bankowości elektronicznej, administratorów serwerów poczty elektronicznej lub serwisów aukcyjnych, z prośbą o przesłanie PIN-ów, haseł lub kodów jednorazowych w celu weryfikacji poprawności działania serwisu, po np. pracach konserwacyjnych na serwerze,

- rozsyłanych fałszywych wiadomości e-mail z odnośnikami – linkami do spreparowanej strony WWW e-banku, serwisu płatności elektronicznej, serwera poczty elektronicznej, serwisu społecznościowego lub serwisu aukcyjnego,

- złośliwego oprogramowania komputerowego – konie trojańskie, keyloggery,

- zmiany adresu IP przedmiotowej strony na serwerze DNS i przekierowaniu ruchu sieciowego na inny serwer, na którym postawiono wcześniej spreparowaną fałszywą stronę, np. banku,

- zmiany pliku HOSTS znajdującego się na komputerze ofiary, który jest odpowiedzialny za interpretację adresów IP i przypisanych im nazw domenowych.

Podstawa prawna:

ustawa z 6 czerwca 1997 r. – kodeks karny (DzU nr 88, poz. 553 ze zm.)

Autor jest asesorem Prokuratury Rejonowej Warszawa–Ochota