Miło mi poinformować Czytelników, iż prowadzony przeze mnie blog objął patronatem konferencję Ataki Sieciowe 2016, która odbędzie się 5 i 6 kwietnia 2016 r. na Wydziale Prawa i Administracji Uniwersytetu Mikołaja Kopernika w Toruniu. O czym będzie konferencja? Do kogo będzie adresowana?
Pamiętacie falę ataków ukierunkowanych na kancelarie prawne? Na ich skutek doszło do wycieku danych pewnej warszawskiej kancelarii adwokackiej. Cała sprawa została bardzo szybko i sprawnie wyciszona w mediach, co zgrabnie opisał na swoim blogu Kamil. Natomiast wczoraj Generalny Inspektor Ochrony Danych Osobowych ogłosiła sektory, które podda szczególnej kontroli w tym roku. Wśród 5 pozycji znalazły się… kancelarie prawne. Oczywiste jest zatem, że to reakcja samej GIODO na wyżej opisane wydarzenia. Dziś chciałbym podjąć temat przetwarzania danych osobowych w kancelariach prawnych – adwokackich, radcowskich, notarialnych i patentowych. Czy prawnicy są przygotowani na kontrole? Dlaczego przeciętny człowiek powinien cieszyć się z tej decyzji GIODO? Zapraszam do lektury.
Jak podała wczoraj Zaufana Trzecia Strona na największym obecnie polskim forum darknetowym została opublikowane paczka z danymi pochodzącymi z serwera jednej z największych polskich kancelarii adwokackich (oryginalny wpis został niestety usunięty przez Z3S.pl „ze względu na charakter sprawy”). Paczka ta jest pokłosiem ostatniej kampanii ataków wymierzonej w polskie kancelarie prawne, o której pisałem w zeszłym tygodniu. Sytuacja niewątpliwie jest ewenementem a i jej przebieg będzie stanowił precedens dla polskich kancelarii. W pierwszych komentarzach internautów na temat wycieku pojawia się jedno zasadnicze pytanie – czy kancelaria i prawnicy odpowiadają za takie wycieki, czy też nie? Chciałbym dziś udzielić odpowiedzi na to pytanie, podzielić się z Tobą moimi kilkoma przemyśleniami w tym zakresie i powiedzieć co myślę o całej zaistniałej sytuacji.
Kto mnie troszkę zna, ten pewnie słyszał często powtarzane przeze mnie powiedzonko – żaden haker w Polsce jeszcze nie zabrał się za kancelarie prawne. Mówię to często, gdy rozmawiam o cyberbezpieczeństwie i cyberprzestępczości ze znajomymi, o tym jakie mamy ataki i na czym mogą one polegać. Mojej uwadze nie uszło do tej pory, że tak naprawdę nie mieliśmy nigdy wcześniej żadnego poważniejszego ataku na jakiekolwiek kancelarie prawne – adwokatów, radców, notariuszy czy komorników. Nie będę przy tym ukrywał, że lwia część kancelarii posiada żenujący poziom zabezpieczeń informatycznych. Zasadniczo, to powiedzieć posiada już tutaj stanowi nadużycie. Dane tam po prostu leżą i czekają. Czekały do teraz. Bo niestety wreszcie hakerzy zabrali się za kancelarie w Polsce.
Tydzień temu miałem przyjemność brać udział – po raz pierwszy nie jako organizator – w V edycji konferencji Ataki Sieciowe w Toruniu. Tradycyjnie organizatorem było Studenckie Koło Naukowe Prawa Nowych Technologii działające na WPiA UMK, drugi rok z rzędu współorganizatorem było również Centrum Badań nad Cyberprzestępczością – całkowicie unikatowa organizacja w skali naszego kraju. Impreza udała się, a nawet – z perspektywy poprzednich edycji – mogę śmiało powiedzieć, że weszła na jeszcze wyższy poziom. Dziś podzielę się z Tobą kilkoma refleksjami na temat pierwszego dnia konferencji.
Odpowiedzialność cywilna za świadczone usługi wywiadu cybernetycznego – tak brzmi tytuł wystąpienia, które wygłoszę razem z mec. Wojciechem Wyjatkiem podczas konferencji Ataki Sieciowe 2015 w Toruniu. To wydarzenie pewnie już znasz i kojarzysz – pisałem rok temu o poprzedniej edycji. W tym roku, chociaż już nie jestem organizatorem, nie zabraknie mnie podczas konferencji. Główną tematyką konferencji będą wycieki danych mające miejsce na skutek kompromitacji różnych rozwiązań – zarówno sprzętowych jak i programowych, ich skutki dla nas – w szczególności ludzi żyjących w Polsce i prowadzących tutaj przedsiębiorstwa, oraz wszelkie konsekwencje prawne z tymi wydarzeniami związane.
W ostatni czwartek miałem okazję wziąć udział w pierwszym miniPLNOG w Poznaniu zorganizowanym przez Allegro.Tech pod zwierzchnictwem p. Błażeja Migi. Spotkanie otworzył Marek Syroka, który przedstawił ogólne założenia spotkania. Podsumowując – chodzi o to, by w Poznaniu zbudować społeczność profesjonalistów zajmujących się szeroko rozumianym bezpieczeństwem w cyberprzestrzeni. Społeczność, która będzie ze sobą współpracować i wymieniać się informacjami.
4 dni temu miał miejsce chyba najbardziej spektakularny atak hakerów w historii. Być może już o tym czytałeś, ale dla porządku przytoczę – zhakowana w sposób doszczętny została firma Sony. To Sony, które produkuje znaną na całym świecie elektronikę różnej maści. Tak, to samo Sony, które padało już ofiarą bardzo dotkliwych ataków w przeszłości (nim powstał mój blog) – między innymi ucierpieli użytkownicy PlayStation Network. Sama firma potwierdza ten „incydent”, chociaż dla mnie osobiście jest trudno uwierzyć w to co się stało. Co się stało? Ano WSZYSTKIE komputery we WSZYSTKICH oddziałach Sony na CAŁYM ŚWIECIE wyświetliły jednakowe okienko o tym, że zostały zhakowane. W tym samym momencie. Ale to tylko wierzchołek góry lodowej – atakujący uzyskał (uzyskali?) dostęp prawdopodobnie do wszystkich plików, które były zgromadzone na komputerach korporacji. Dziś opowiem o tym, jak się ma prawo międzynarodowe do tego typu sytuacji.
Dwa dni temu najpierw Niebezpiecznik, a chwilę później Zaufana Trzecia Strona poinformowały o wrzuceniu na forum ToRepublic danych osobowych z przedsiębiorstwa oferującego usługi dietetyczne Fit and eat. Wyciek obejmuje dane bardzo znanych osób, w tym ich adresy, kody do furtek na klatki, informacje o przebytych chorobach czy urazach. Wczoraj na TVN24 mogliśmy przeczytać wypowiedzi właścicieli, którzy przepraszają i deklarują iż zmienią dostawcę usług IT, który miał dbać o bezpieczeństwo danych klientów. Całe to tłumaczenie, parafrazując klasyka, to bulszit kompletny. Winni rozmydlają sprawę, używając pijarowskiego zabiegu próbują wyjść z twarzą i uciec od odpowiedzialności (w poczuciu społecznym). Dziś przedstawię spojrzenie prawne na to, kto tak naprawdę ponosi odpowiedzialność za zaistniałą sytuację, pobieżną analizę tego kto i jak może odpowiadać za popełnione błędy a także czy Fit and eat zrobiło cokolwiek by dane osobowe klientów chronić, bo mam ku temu bardzo poważne wątpliwości.
W sobotniej Rzeczpospolitej można było znaleźć całkiem ciekawy artykuł zatytułowany Z bazą klientów do swojego biznesu. Jak wskazuje autorka:
Szacuje się, że co trzecia firma jest narażona na kradzież danych, które trafiają później do konkurencji. (…) Jak twierdzą eksperci, nie ma dziś branży, która nie byłaby narażona na wyciek informacji.
Mówiąc szczerze fakt ten mnie mało dziwi. Jeszcze mniej, gdy zestawimy to ze statystyką – w Polsce 15 na 1000 komputerów może być elementem botnetu (chociaż jeszcze rok temu wskazywano, że to aż 4 na 10 komputerów!).