Interaktywne terminale i kamery w europejskich miastach mogą stanowić łatwy cel dla hakerów. Wiele urządzeń takich, jak biletomaty, wypożyczalnie rowerów czy systemy monitoringu zawierają luki w zabezpieczeniach, które zagrażają prywatnym danym użytkowników. Złodzieje mogą wykorzystać je do przestępstwa, szpiegowania lub rozprzestrzeniania szkodliwego kodu. Ministerstwo Cyfryzacji jest świadome zagrożeń i przygotowuje regulacje prawne w zakresie projektowania systemów miasta, bo dzisiaj są one szczątkowe. Poza tym zapowiada stworzenie regionalnych klastrów bezpieczeństwa, które mają poprawić zabezpieczenia na poziomie samorządów. Jednak miasta wycieków się nie boją. Polegają na swoich rozwiązaniach i wierzą, że system bez dostępu do internetu to idealny model informatyczny. Nie jest to do końca prawda. Niemal każdy cyfrowy terminal publiczny zawiera przynajmniej jeden słaby punkt w zabezpieczeniach, który pozwala uzyskać dostęp do ukrytych funkcji systemu operacyjnego.
Specjaliści ostrzegają: są luki w systemach
Każdy terminal miejski jest urządzeniem opartym na systemie Windows lub Android. Główna różnica w porównaniu ze zwykłymi urządzeniami tkwi w oprogramowaniu, które pełni rolę interfejsu. Zapewnia ono użytkownikowi łatwy dostęp do określonych możliwości, ograniczając jednocześnie widoczność innych funkcji systemu, takich jak uruchamianie przeglądarki internetowej czy klawiatury wirtualnej. Jednak takie funkcje dają też przestępcom wiele możliwości modyfikacji systemu. Najłatwiej o atak, gdy system jest podłączony do internetu. W jednym z przypadków, opisywanych przez Kaspersky Lab w raporcie br., interfejs terminalu zawierał odnośnik do strony WWW. Atakujący musiał go jedynie dotknąć, aby uruchomić przeglądarkę, a następnie – przy użyciu okna dialogowego Pomoc – aktywować klawiaturę wirtualną. W innym przypadku użytkownik usług e–administracji musiał dotknąć przycisku Drukuj. W efekcie okno dialogowe związane z drukowaniem pozostawało otwarte przez kilka sekund i jeśli atakujący był wystarczająco szybki, mógł dotknąć przycisku „zmień parametry drukowania”, aby przeskoczyć do sekcji Pomoc. Stamtąd możliwe było sterowanie z klawiatury ekranowej. W ten sposób przestępca mógłby uzyskać wszystko, co potrzebne do wprowadzenia informacji i wykorzystania komputera np. do uruchomienia szkodliwego oprogramowania, uzyskania informacji dot. plików, uzyskania hasła administratora urządzenia itd. Podobnie jest z kamerami czy nawet fotoradarami. Sporo z tych urządzeń jest dostępnych z poziomu wyszukiwarki. Wydaje się zatem, że rozwiązaniem zabezpieczającym może być odłączenie od internetu. Ale nie do końca, bo wiele terminali połączonych jest też ze sobą oraz innymi sieciami, mimo że są offline. Piotr Kupczyk, dyrektor biura komunikacji z mediami Kaspersky Lab Polska sp. z o.o., zauważa, że wiele terminali stosuje system pozwalający na dokonanie płatności kartą – np. zakup biletu do kina, biletu komunikacji miejskiej itp. W takim przypadku zainfekowany terminal może przekazywać informacje o kartach płatniczych do cyberprzestępców. Infekcja może także pozwolić na włamanie się do wewnętrznej sieci właściciela terminalu. Sytuacja jest także poważna w przypadku kamer monitoringu miejskiego. Biorąc pod uwagę, że w wielu przypadkach mają one służyć bezpieczeństwu, zainfekowanie ich (lub kontrolującej je sieci) może umożliwić przestępcom wyłączenie z monitoringu określonych stref w celu przeprowadzenia np. kradzieży lub włamania.
Karol Manys, rzecznik prasowy Ministerstwa Cyfryzacji, twierdzi, że resort jest świadomy zagrożenia. – W Polsce jednak ryzyko dla obywateli jest stosunkowo niewielkie – uspokaja i dodaje: – problem dotyczący publicznie dostępnych terminali interaktywnych jest w kręgu zainteresowania MC, które będzie się starało uregulować sprawę tego typu systemów, tworząc odpowiednie regulacje prawne. Określą one sposób projektowania systemów, ich testowania i aktualizowania. Przewidujemy też stworzenie regionalnych klastrów bezpieczeństwa, które poprawią je na poziomie samorządów. Jednocześnie należy pamiętać, że każdy system informatyczny powinien być odpowiednio skonfigurowany i przetestowany w zakresie bezpieczeństwa przed jego udostępnieniem – zwraca uwagę Manys.
Jak zabezpieczają się miasta: osobna sieć i szkolenia
Większe gminy, jak Wrocław, Bydgoszcz, Gdańsk czy Bytom, twierdzą, że nie mają problemów z atakami, a co więcej, są na nie przygotowane. – Podczas realizacji projektów dokładamy wszelkich starań, aby przestrzegano standardów bezpieczeństwa. Terminale nie mają dostępu do danych przetwarzanych przez jednostki gminy Wrocław, a monitoring świadczony na jej potrzeby jest użytkowany przez wydzieloną jednostkę na dedykowanej i odpowiednio zabezpieczonej infrastrukturze, co jest kluczowe w kwestii bezpieczeństwa – mówi Dariusz Jędryczek, dyrektor Centrum Usług Informatycznych we Wrocławiu.
Podobnie uważa Grzegorz Gawlik, główny specjalista w biurze rzecznika prasowego i nowych mediów Urzędu Miasta Łodzi. – System Monitoringu Miejskiego (SMM) pracuje w oparciu o wydzieloną sieć światłowodową, bez styku z internetem. Kamery i inne urządzenia sieciowe posiadają unikatowe hasła dostępu. Siecią administruje wydział informatyki UMŁ, który monitoruje konta użytkowników SMM – wyjaśnia.
Swój sposób na hackerów ma też Gdańsk. Olimpia Schneider z wydziału promocji, informacji i komunikacji społecznej urzędu miasta twierdzi, że działający w Gdańsku system monitoringu wizyjnego jest systemem zamkniętym, nieposiadającym punktów styku z obcymi sieciami. Dostęp do niego mają wyłącznie oddelegowane osoby ze straży miejskiej i policji, zaś informacje pobrane z systemu podlegają ewidencji. – Urząd udostępnia też na terenie miasta tzw. furtki internetowe, jednak nie ma tam żadnych danych, których wyciek stanowiłby zagrożenie – zapewnia inspektor.
Najlepszą metodą obrony jest oczywiście zapobieganie, a przygotowanie do niego jest możliwe tylko dzięki wyspecjalizowanym szkoleniom zarówno dla kadry informatycznej, jak i użytkowników. Anna Strzelczyk-Frydrych z referatu Komunikacji Społecznej Urząd Miasta Bydgoszczy twierdzi, że zawinić może nie tylko system, ale też człowiek. – To niefrasobliwe zachowania użytkowników są najczęstszą przyczyną włamań i wycieku danych. W chwili obecnej miasto samo dba o bezpieczeństwo posiadanych zasobów i systemów. Koszt zakupu urządzenia klasy firewall dla miasta wielkości Bydgoszczy wraz z aktualizacją sygnatur bezpieczeństwa w okresie 3 lat waha się między 500 tys. zł a 1 mln zł. Za aktualizację systemów bezpieczeństwa odpowiadają ich producenci, a aktualność sygnatur i bezpośredni nadzór nad działaniem urządzenia sprawuje administrator zatrudniony w mieście. Sądzę, że miasta powinny korzystać z doradztwa firm prowadzących audyty bezpieczeństwa – mówi Frydrych. Tak robi np. Włocławek. Aleksandra Bartoszewska, główny specjalista ds. informacyjno-publicystycznych w biurze rzecznika prasowego, UM chwali się, że w ocenie audytorów – Akademii Monitoringu Wizyjnego – polityka bezpieczeństwa danych i nagrań we włocławskim systemie monitoringu wizyjnego jest wzorowa, a rozwiązania techniczne w wystarczającym stopniu ograniczają prawdopodobieństwo uzyskania informacji pochodzących z systemu przez osoby trzecie.
Bardzo ciekawe rozwiązania mają Szczecin oraz Bytom. Ten pierwszy ma monitoring oparty na własnych, wydzielonych sieciach światłowodowych. Dostęp do nich wymaga zaawansowanych technik analizy strumienia z obrazem i wyspecjalizowanych urządzeń. Bezpośrednie podpięcie się do kamer zabezpieczają także hasła dostępowe i konfiguracyjne. Przed włamaniem do systemu chroni ponadto brak połączenia z internetem. Rejestrowany obraz jest szyfrowany i nie ma możliwości jego podglądu. W Bytomiu z kolei terminale do pobierania opłat/doładowania Śląskiej Karty Usług Publicznych zostały wyposażone w specjalne zabezpieczenia kryptograficzne chroniące transakcje. Urządzenie komunikuje się z systemem centralnym tylko przy użyciu prywatnej sieci APN operatora komórkowego (specjalnie wyprodukowane karty SIM). Nie ma możliwości komunikowania się z urządzeniem, nie będąc wewnątrz tej sieci. Same urządzenia nie posiadają żadnych danych poza wykonanymi w danym dniu transakcjami (nie zawierają danych osobowych, a jedynie nr karty, tytuł transakcji oraz wartość). W przypadku ewentualnej kradzieży jednego z urządzeń jest ono blokowane w całym systemie i traci możliwość dalszej pracy.
Konsekwencje prawne: kto odpowiada za wyciek
Zdaniem specjalistów ataki się zdarzają. Przykładem jest potwierdzony niedawno atak na serwery Yahoo, który miał miejsce jeszcze w 2014 r., a w którego wyniku w ręce hakerów wpadły dane z kont 500 mln użytkowników. W samorządach też zdarzały się potwierdzone ataki na serwery. W 2013 r. ucierpiał UM Łodzi i Świętokrzyski Urząd Wojewódzki w Kielcach. W tym drugim przypadku urzednicy dowiedzili się o ataku tylko dlatego, że sprawca sam się przyznał.
Jak przypomina Aleksandra Szatkowska, rzecznik prasowy Bytomia, system monitoringu wg aktualnych interpretacji GIODO nie stanowi zbioru danych wrażliwych – jednak każdy wyciek z systemu jest potencjalnie niebezpieczny w skutkach. A kto poniesie konsekwencje, jeśli zabezpiecznia okażą się zawodne? Według Edyty Jagiełło, radcy prawnego z kancelarii Raczkowski Paruch, organ samorządu terytorialnego jako administrator danych jest odpowiedzialny za prawidłowe przechowywanie i przetwarzanie danych osobowych, które nabywa w drodze korzystania przez obywateli np. z terminali płatniczych lub nagrań z monitoringu miejskiego.
Administrator powinien dołożyć szczególnej staranności. – Konsekwencje mogą być różne: począwszy od wykorzystania danych w działalności marketingowej – w formie spamu na prywatne skrzynki mailowe, po zaciąganie zobowiązań na rzecz właścicieli danych. Za wyciek danych odpowiedzialny będzie oczywiście ten, który administrując danymi naruszył choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem. Za takie naruszanie odpowiedzialność może wynosić do roku pozbawienia wolności – mówi Edyta Jagiełło. Na tym jednak nie koniec. Bardziej dotkliwa może okazać się odpowiedzialność finansowa na podstawie przepisów cywilnych m.in. za naruszenie dóbr osobistych czy też na zasadzie odpowiedzialności deliktowej.
Nie można też pominąć kwestii wizerunkowej. – Samorządy jako organy władzy publicznej dbają o pogłębianie zaufania obywateli. Takie wycieki na pewno nie byłyby w tym pomocne – dodaje Edyta Jagiełło. Wtórują jej radcy prawni Piotr Grzelczak i Bartosz Fogel z Kancelarii Prawnej GFP Legal z Wrocławia. Według nich w grę wchodzić mogą zarówno roszczenia osób poszkodowanych, jak i interwencje organów nadzorczych, w tym GIODO. Obecnie GIODO nie może nakładać na administratorów sankcji finansowych, lecz jedynie nakazywać – w drodze decyzji administracyjnych – przywrócenie stanu zgodnego z prawem, w szczególności poprzez usunięcie stwierdzonych uchybień lub zastosowanie dodatkowych zabezpieczeń danych. Niemniej, wraz z wejściem w życie reformy unijnego prawa ochrony danych osobowych, co nastąpi za niecałe 2 lata, uprawnienia GIODO zostaną rozszerzone o nakładanie administracyjnych kar pieniężnych. Grzelczak i Fogel są zgodni, że ich wysokość może dojść nawet do 20 milionów euro, a w przypadku przedsiębiorstw (np. spółek komunalnych) do 4 proc. ich całkowitego rocznego obrotu za poprzedni rok. Radca prawny Damian Karwala i prawnik Paweł Tobiczyk z kancelarii DLA Piper uzupełniają, że w świetle nowych przepisów odpowiedzialność ponosić będą również podmioty przetwarzające dane na zlecenie administratora, tj. np. firmy obsługujące oraz serwisujące terminale publiczne.
WAŻNE
Przepisy o ochronie danych osobowych nie wskazują, jakiego konkretnie rodzaju środki ochrony powinny zostać zastosowane przez administratora danych. Muszą być one odpowiednie do zagrożeń, czyli takie, które będą skutecznie chroniły określone dane osobowe przed wyciekiem.