Wirtualni złodzieje kradną w realu

Dorota Witt 1 kwietnia 2014

Służbowego laptopa czy smartfona można wygodnie używać choćby w restauracji, gdzie działa sieć internetowa. Ale to sieć publiczna, podłączenie się do niej to jak zaproszenie do stolika internetowego półświatka.

Korzystanie ze służbowo laptopa czy smartfona, połączonego z publiczną siecią internetową na dworcu czy lotnisku, wiąże się ze sporym ryzykiem.

Fot.: Thinkstock

Informacje zapisane na smartfonie z dostępem do sieci to łatwy łup dla cyberprzestępców, zwłaszcza że - jak pokazuje raport przygotowany przez firmę Symantec - 28 proc. Polaków nie instaluje programów antywirusowych na takich telefonach. Narażają w ten sposób nie tylko swoje dane, ale i wiadomości dotyczące firmy, w której pracują, bo popularne jest korzystanie w pracy z prywatnego sprzętu. Pracownicy, którzy takie urządzenia dostali od szefa, też nie zdają sobie sprawy z wirtualnych zagrożeń - badania pokazują, że 21 proc. rodziców pozwala dzieciom korzystać ze służbowego sprzętu: grać, pobierać aplikacje czy robić zakupy. A wtedy firmowe dane mogą łatwo dostać się w niepowołane ręce.


- Pracownik najczęściej naraża firmę na wyciek informacji w przedsiębiorstwie, bo nie ma świadomości, że któreś z jego zachowań może być potencjalnym źródłem zagrożenia - mówi Konrad Mazur, prezes Studenckiego Koła Naukowego Prawa Nowych Technologii na Uniwersytecie Mikołaja Kopernika w Toruniu, autor bloga cyberprzestepczosc.pl.

Największą siłę prewencyjną ma więc edukacja zatrudnionych. Słabym punktem jest, m.in., poczta elektroniczna. Zwłaszcza w biznesie przejęła rolę poczty tradycyjnej już jakiś czas temu - jest szybsza, tańsza i o wiele bardziej komfortowa.

- Niestety ma też słabe strony - zaznacza Konrad Mazur. - Z biegiem czasu pracownicy gromadzą na swoich skrzynkach wiele wartościowych danych, dotyczących np. kontrahentów czy innych wrażliwych informacji, a więc takich, które powinny pozostać w kręgu osób z firmy. Tymczasem dzisiejsze zabezpieczenia poczty to najczęściej login, czyli konieczność wpisania kodu - nazwy użytkownika oraz hasła. I tyle.

To powoduje, że zalogowanie np. podczas pobytu na wakacjach w kafejce internetowej, ale często i korzystanie nawet z prywatnego laptopa w ogólnodostępnej sieci Wi-Fi niesie zagrożenie przechwycenia tych danych. A to może być bardzo kosztowne dla przedsiębiorcy.

- Posłużę się przykładem - dodaje Konrad Mazur. - Polska firma produkcyjna miała podwykonawcę w Chinach, któremu czasem zlecała różne zadania. I pewnego dnia zaistniała właśnie potrzeba zlecenia wykonania kolejnej partii produktów. Przedsiębiorstwa porozumiały się z sobą jak zawsze - za pośrednictwem e-maili. Chińczycy, tak jak zawsze, poprosili o wpłacenie zaliczki, tak jak zawsze w kwocie miliona euro. Na kilka dni przed potwierdzeniem transakcji poinformowali jednak - co zostało dodatkowo potwierdzone za pomocą korespondencji, prowadzonej ze skrzynki mailowej pracownika szczebla kierowniczego - że zmienili numer konta bankowego.
Zmiany kont bankowych zdarzają się wszystkim, więc w polskim przedsiębiorstwie nie wzbudziło to podejrzeń i pieniądze przelano. Półtora tygodnia później Chińczycy zapytali, kiedy wpłynie gotówka, bo tylko to wstrzymuje rozpoczęcie produkcji.

- Okazało się, że ten milion wyparował. Serwery chińskiego kontrahenta były inwigilowane od dłuższego czasu, a polska firma została uznana za w miarę łatwą do rozpracowania. Tak więc wobec naszych rodaków nie użyto żadnych wyrafinowanych sposobów informatycznych - podkreśla Konrad Mazur. - Zostali rozpracowani głównie na podstawie analizy korespondencji, dotyczącej wcześniejszych transakcji. Czy pieniądze da się odzyskać? Niestety, nie.
Pracownikom wygodnie jest pracować na prywatnym sprzęcie. To zresztą ostatnio bardzo modne rozwiązanie, ale i niebezpieczne zarazem. Kancelarie prawne, gabinety medyczne czy firmy telekomunikacyjne lub jakakolwiek inne, które gromadzą elektroniczne dane klientów, mogą mieć z tego powodu wiele problemów.

- Pracownicy, łącząc swój smartfon z pocztą firmową, z jednej strony zyskują na mobilności, z drugiej, np. w przypadku zagubienia takiego telefonu, stwarzają sytuację, w której często poufne informacje mogą trafić w niepowołane ręce - uważa prezes Studenckiego Koła Naukowego Prawa Nowych Technologii na UMK. - Pracodawcy muszą się zdecydować, czy praca na prywatnym sprzęcie powinna być dozwolona, czy zabroniona, a jeśli już dopuszczają wykorzystywanie urządzeń mobilnych, to powinni określić zasady i przewidzieć niebezpieczne sytuacje, takie jak kradzież czy zgubienie sprzętu.