WWW.ROZSZYFROWANI.COM...



Miłosz Dorsz

Ekspert ds. bezpieczeństwa

WWW.ROZSZYFROWANI.COM – świadomość transferu informacji w cyberprzestrzeni

„W demokracji cel nie uświęca środków(…) Godność człowieka jest ważniejsza od potrzeb bezpieczeństwa państwa” . Haim Cohn – były izraelski prokurator generalny , minister sprawiedliwości , sędzia Sądu Najwyższego .

Procesy integracji europejskiej odkryły nowe szanse i możliwości rozwoju gospodarczego, lecz jednocześnie spowodowały  znaczny wzrost ryzyka w globalnym biznesie. Integracja pozwala na intensyfikacje produkcji, która jest silnikiem napędowym każdej gospodarki, ale fluktuacja i sposób skomplikowania zarządzania elektronicznego zasobami , szczególnie z uwzględnieniem warunków politycznych w Europie Środkowo-Wschodniej (wojna cybernetyczna Rosja-Ukraina począwszy od 2013 roku), powoduje wg mnie konieczność wzmożonej implementacji systemowej w organizowaniu systemu bezpieczeństwa przepływu informacji. Cyberataki w sieciach teleinformatycznych są niezgodne z prawem. Mogą być wymierzone bezpośrednio w zasoby materialne i niematerialne sieci, a pośrednio w nas samych, grupy społeczne, instytucje państwa lub organizacje międzynarodowe. Na przełomie sierpnia i września 2018 roku z bazy dany British Airway`s z powodu błędu w systemie informatycznym zostało wykradzionych 380 tysięcy danych  dotyczących kart płatniczych. Styczniowy atak hakerski w bieżącym roku dotyczący ważnych i wybitnych postaci niemieckiej polityki również uświadamia skalę globalnego problemu jakim jest inwigilacja w cyberprzestrzeni .  

Przez bezpieczeństwo informacji i zagrożenie cyberprzestępstwem należy rozumieć powodowanie różnorakich zniszczeń, głównie infrastruktury krytycznej państw i organizacji. W niniejszej publikacji pragnę zwrócić uwagę na różną kwalifikację tego typu przestępstw, a także różną ich interpretację.

Konwencja Rady Europy o cyberprzestępczości , sporządzona w Budapeszcie  23.11.2001roku , została podana do powszechnej wiadomości przez Prezydenta RP w dniu 27 maja 2015r. (Dz.U.RP, Warszaw 27.05.2015 poz.728). W wyniku prac ustalono następujący wykaz grup przestępstw komputerowych :

  • przeciwko poufności, integralności i dostępności danych informatycznych i systemów,
  • z uwagi na  charakter zawartych informacji,
  • związane z naruszeniem praw autorskich i praw pokrewnych,
  • w aspekcie serwerów plików i sieci

Wzrost konkurencji rynkowej wymusza podejmowanie działań i decyzji niejednokrotnie sprzecznych z intencjami ustawodawcy, zwłaszcza w traktowanym tak beztrosko segmencie bezpieczeństwa. Oczywiście ktoś może stwierdzić , że „sytuacja nie wygląda źle” lub  „czynimy starania mające ograniczyć skutki cyberprzestępstw.” Ale czy rozwiązujemy problemy systemowo w ramach własnych kompetencji, na własnych szczeblach , czy tylko o tym zwyczajowo mówimy ? Analiza postanowień Kodeksu karnego wskazuje następujące przestępstwa komputerowe;

  • przeciwko ochronie informacji, nielegalny podsłuch, inwigilacja przy użyciu urządzeń technicznych , naruszenie integralności zapisu informacji , naruszenie lub utrudnianie dostępu do danych informatycznych, sabotaż komputerowy, wytwarzanie lub udostępnianie urządzeń lub programów przystosowanych do popełniania przestępstwa
  • przeciwko wiarygodności dokumentów, obrotowi gospodarczemu i pieniężnemu
  • nierzetelne prowadzenie dokumentacji elektronicznej działalności gospodarczej,
  • fałszerstwo kart płatniczych, nieuprawnione uzyskiwanie programu komputerowego,
  • oszustwo telekomunikacyjne,
  • szpiegostwo komputerowe, pornografia dziecięca, rozpowszechnianie i propagowanie idei nazizmu  i      faszyzmu, groźby karalne zniesławienie i znieważenie,
  • podżeganie do popełnienia przestępstwa.

Cóż z tego , że ustawa z dnia 6 czerwca 1997 r., Kodeks karny  a także praca „Prawo Karne Komputerowe” A.Adamskiego jasno i precyzyjnie określają zakres odpowiedzialności  kiedy  praktyka jest odmienna. Mnożenie kolejnych przepisów prawa zamiast dbałości o skuteczne rozwiązania systemowe nie wpłynie na zwiększenie poczucia bezpieczeństwa obywateli czy też instytucji. Występowanie zagrożeń musi motywować do wykazania szczególnej staranności w konstruowaniu odpowiedniej infrastruktury teleinformatycznej i teletechnicznej. Elementami które w szczególności zostały zakwalifikowane do krytycznej infrastruktury teleinformatycznej i teletechnicznej są;

  • w warstwie aplikacji ; systemy i sieci telekomunikacyjne i teleinformatyczne   niezbędne do wykonywania statutowych zadań organów administracji rządowej,
  • w warstwie transmisyjnej ; sieci telekomunikacyjne wykorzystywane przez administrację publiczną (rządową i samorządową), siły zbrojne i inne organizacje pozarządowe. Przewidywane miejsca występowania zagrożeń  bezpośrednich krytyczne j infrastruktury telekomunikacyjnej i teleinformatycznej  to ;
  • centra zarządzania i utrzymania infrastruktury telekomunikacyjnej i teleinformatycznej ,
  • centra telekomunikacyjne przedsiębiorców dedykowanych usług,
  • stacje bazowe,
  • stacje satelitarne,
  • stacje czołowe i węzły dostępowe.

Organizując bezpieczeństwo informacji w organizacji , jej system i politykę , należy uwzględnić źródła, rodzaje i przewidywane skutki zagrożeń informacji. Bez tych czynności trudno jest doprowadzić do właściwej analizy bezpieczeństwa informacji oraz analizy ryzyka. W myśl Konstytucji RP , każdy z nas ma prawo do ochrony danych osobowych. Dane osobowe są przetwarzane ze względu na dobro  publiczne , osoby której one dotyczą oraz osób trzecich . Zasady oraz normy prawne związane z ochroną danych osobowych i ich przetwarzaniem reguluje ustawa z dnia 29 stycznia 1997 roku (tekst jednolity Dz.U. z 2014r. poz.1182) . Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych których dane są lub mogą być przetwarzane w zbiorach danych. Dane osobowe zgodnie z ustawą – to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania  osoby fizycznej. Osoba możliwa do zidentyfikowania jest osobą , której tożsamość można określić bezpośrednio lub pośrednio określając jej cechy fizyczne, fizjologiczne , umysłowe , ekonomiczne , kulturowe lub społeczne. Ustawa określa organizację i szereg istotnych problemów związanych z ochroną danych osobowych , w tym kiedy dane osobowe można przetwarzać a kiedy jest to niedozwolone oraz w jakich warunkach dopuszcza się przetwarzanie i ujawnianie   danych. Dlatego tak istotna  jest nasza świadomość zagrożenia , wynikająca z niefrasobliwych zachowań  w cyberprzestrzeni. Udzielanie zgód , składanie podpisów na różnych upoważnieniach, udzielanie postronnym przypadkowym osobom numerów PIN do kart bankomatowych ,udział we  wszelkich  badaniach  marketingowych  i programach lojalnościowych o który tak zabiegają przedstawiciele wielu branż usługowych i ich podwykonawcy to nic innego jak mniej lub bardziej nieświadome wyrażanie zgody na przetwarzanie naszych danych osobowych, niejednokrotnie wrażliwych. Dane wrażliwe to nie tylko dane osobowe to także działania finansowe, bankowe które powinny być uregulowane przepisami  prawa  bankowego ,  kodeksu spółek handlowych,    prawa pracy, kodeksu cywilnego  czy prawa prasowego. Korzystanie  przez nas z tych wszystkich „dobrodziejstw” wyżej przeze mnie wskazanych nakazuje  jednak konieczność zachowania zasad elementarnej prywatności i odpowiedzialności  . Dlatego poruszając się we współczesnym świecie e-usług czy się nam to podoba czy nie, musimy zwracać uwagę i swoim najbliższym na sposób i zakres udostępniania informacji elektronicznej , która natychmiast w sieci zostanie przetworzona , zarejestrowana być może zmodyfikowana  i udostępniona w innych celach niż byśmy tego oczekiwali.

Elementarną zasadę którą musimy przyswoić sobie i nauczyć innych to świadome działanie i zabezpieczanie urządzeń elektronicznych za pomocą których komunikujemy się w cyberprzestrzeni. Niefrasobliwym użytkownikom , ponad wszystko ceniącym sobie wolność przepływu informacji pragnę  przypomnieć , że transmisja cyfrowa lub pakietowa transmisja danych cyfrowych i mowy , to przesyłanie na odległość  sygnałów cyfrowych lub ucyfrowionych sygnałów analogowych przy użyciu różnego rodzaju, typu mediów transmisyjnych takich jak; kable, światłowody czy  kanały radiowe . Podstawowymi parametrami  charakteryzującymi telekomunikacyjny system cyfrowy są przepływność binarna , szybkość modulacji i stopa błędów. A zatem co napiszemy w sieci zawsze w niej pozostanie. Pytanie tylko jakich szkód i na jaką skalę wyrządzimy ? Pojęciem o którym chciałbym wspomnieć , które nierozerwalne związane jest z mobilnym dostępem w  smartfonach lub tabletach  za pośrednictwem internetu jest kompresja przesyłu danych, czyli takie jej zakodowanie, które nie zmniejszając ilości przesyłanej informacji zmniejszy liczbę bitów krążących po kablach. Kodowanie zapewniające bezpieczeństwo danych jest niczym innym jak transmisja sygnału elektrycznego (ciągi zer i jedynek). Kodowanie danych lub inaczej szyfrowanie wiadomości w obecnym świecie globalnej inwigilacji ma kapitalne znaczenie. Umożliwia zarządzanie zintegrowanym sterowaniem np. inteligentnych budynków. W ramach aplikacji  inteligentnych budynków stosowane są systemy teleinformatyczne na potrzeby różnych organizacji i podmiotów gospodarczych . Umożliwiają one realizację szeregu funkcji   takich jak np.; organizację oświetlenia , ogrzewania, wentylacji i  klimatyzacji a także monitorowania  , sygnalizowania i alarmowania o niebezpieczeństwach .  Nie zapominajmy jednak że łamanie szyfrów jest dziedzina matematyki  a uzdolnionych  hakerów nie brakuje.  Do najpopularniejszych metod łamania  kodów należy zaliczyć wykorzystanie „czynnika ludzkiego” , naszych słabości , wyłudzanie od naiwnych pracowników kodów lub informacji dotyczących zabezpieczeń . Coraz bardziej popularny system operacyjny dla telefonów i tabletów stworzony przez Google – ANDROID , pozwala na bezpłatne stosowanie nowych oprogramowań   i rozpowszechnianie aplikacji . Aktualizowanie starzejących się wersji telefonów do których zachęca sam producent, pozwalają na wykonywanie przenoszenia aplikacji na kartę SD , kopiowanie i przywracanie danych aplikacji , instalację innego ROMU, zmianę czcionek , odzyskiwanie haseł wi –fi czy wreszcie ułatwianie dostępu do ukrytych ustawień. Demonstracyjne zastosowanie cyfrowych rozwiązań nie ma końca . Nie ma zatem mowy o nowych , zaskakujących rozwiązaniach które jeszcze  bardziej mogą „demolować”   nasz poziom bezpiecznego surfowania w cyberprzestrzeni . Czy nasze problemy będziemy mogli rozwiązywać sami?  Raczej nie!. Nie załatwią  tego problemu coraz modniejsze komunikatory, które dzięki szyfrowaniu transmisji sygnału mają ochronić naszą prywatność. Dla niewtajemniczonych – proszę zwróćcie uwagę że obecny świat naszych usług jest absolutnie cyfrowy , kierowany algorytmicznie za pomocą wyrafinowanych rozwiązań matematycznych . Przy kontroli operacyjnej , którą zgodnie z prawem lub nie stosują służby specjalne, wystarczy umieścić „sztuczną bramkę” GSM  tak zwany IMSI – catcher , aby telefon zamiast z siecią połączył się ze skanerem służb. Podobnie można „załatwić” WhatsAppa i Messengera. Zgodzę się jedynie , że tego typu rozwiązania jakim jest komunikator utrudnia dostęp do transmisji informacji w czasie rzeczywistym, istotnie spowalniając możliwości rozszyfrowania danego sygnału . Ale na jak długo ? Większość bezpiecznych komunikatorów opiera swoją innowacyjność na kluczach PGP (Pretty Good Privacy), które w określonym czasie są dostępne wyłącznie dla nadawcy i odbiorcy. Pamiętajmy zatem, że wiele osób  mając coś do ukrycia ma również i coś do sprzedania . Prędzej czy później informacja która jest unikalna i prestiżowa znajdzie  za pośrednictwem „sprzedającego”  swojego „nabywcę”.