Dr Piotr Łuczuk
medioznawca, publicysta, ekspert ds. cyberbezpieczeństwa. Adiunkt w Katedrze Internetu i Komunikacji Cyfrowej Instytutu Edukacji Medialnej i Dziennikarstwa UKSW. W pracy naukowo badawczej zajmuje się również kwestią wizerunku i marketingu politycznego oraz zjawiskami dotyczącymi wpływu nowoczesnych technologii na komunikację społeczną. W wydawnictwie Biały Kruk ukazał się debiut książkowy „Cyberwojna. Wojna bez amunicji?”. Obszar zainteresowań: cyberbezpieczeństwo, rozwój rynku medialnego, wojna informacyjna i dezinformacja, wizerunek i marketing polityczny, nowe technologie.
Jak długi cyfrowy ślad po sobie zostawiamy i czym to grozi? Od kradzieży tożsamości po programowanie wyborcy
Atak hakera, zgubiona korespondencja, niezabezpieczone dane na serwerze, a nawet pozostawione na chwilę bez opieki dokumenty czy telefon – są to sytuacje, w których osoby do tego nieuprawnione najczęściej wchodzą w posiadanie danych osobowych. Choć wiele osób nadal stara się tego nie zauważać, Internet jest areną działań szpiegów i cyberprzestępców z całego świata, ale nie tylko ich. Można śmiało postawić tezę, że wraz z rozwojem mediów społecznościowych dane - zarówno te jawne, jak i poufne, które powinny być szczególnie chronione - często są dostępne dosłownie na wyciągnięcie ręki. U podstaw problemu leży brak świadomości realności zagrożenia i jego skali. To z kolei powoduje, że jesteśmy skłonni do udostępniania informacji, które jeszcze kilkadziesiąt, a nawet kilkanaście lat temu uzyskać było niezwykle trudno. Czym to grozi? Z tych informacji i wiedzy na nasz temat może korzystać bardzo wiele osób dla własnych potrzeb. Mogą to być nasi biznesowi partnerzy, ale też rywale. Znajomi, a także wrogowie. A także (choć to zagrożenie jest zdecydowanie najniebezpieczniejsze) także przestępcy. Jak w takim razie chronić swoje dane, aby nie stać się ofiarą kradzieży tożsamości? Spróbujmy znaleźć właściwą odpowiedź na to pytanie… Na przestrzeni ostatnich lat, a zwłaszcza wraz z dynamicznym rozwojem gospodarki cyfrowej kwestia bezpieczeństwa zyskała zupełnie inny wymiar. Przeniknęła bowiem do świata wirtualnego, wymuszając gruntowną zmianę podejścia w wielu sektorach strategicznych z punktu widzenia funkcjonowania państwa. Choć jeszcze niedawno zagrożenia występujące dziś z przedrostkiem „cyber” funkcjonowały raczej na kartach powieści science-fiction i w filmowych scenariuszach, obecnie raczej nikt nie ma już wątpliwości, że nie ograniczają się one jedynie do wirtualnej przestrzeni, lecz także - a może przede wszystkim - do świata realnego, stanowiąc przy tym jak najbardziej realne zagrożenie. Zdolny programista, mając do dyspozycji jedynie podłączony do Internetu komputer, jest w stanie doprowadzić do zdalnego wyłączenia prądu w całym regionie, unieszkodliwienia systemów obrony przeciwlotniczej, czy choćby do całkowitego paraliżu sektora bankowego.
„Jak byś się poczuł, gdyby okazało się, że twój sąsiad, a zarazem przyjaciel, od lat po kryjomu podgląda cię w twoim domu, dotąd uznawanym przez ciebie za bezpieczny azyl? Na dodatek za pomocą urządzeń, których nigdy nie podejrzewałbyś o możliwości szpiegowania? Zdarza się to coraz częściej, choć stanowi pogwałcenie naszej wolności i poczucia bezpieczeństwa. To brak należnego nam szacunku. Jedyna metoda, by się im przeciwstawić, to wzmocnienie cyberbezpieczeństwa, którego podstawą jest edukacja na temat ochrony prywatności w codziennym życiu”. – stwierdza Steve Wozniak, współzałożyciel Apple Inc. i trudno się z nim nie zgodzić.
Wirtualne zagrożenie i jego konsekwencje
Niedostrzeganie faktycznego problemu i skali potencjalnego ryzyka, zwłaszcza w sektorach rządowym i bankowym, stwarza bardzo poważne zagrożenie dla strategicznych części europejskiej infrastruktury internetowej. Dlatego wielokrotnie sugerowano podjęcie zdecydowanych działań, w celu poprawienia tej sytuacji. Choć przez wiele lat kwestia cyberbezpieczeństwa na wielu płaszczyznach często była bagatelizowana, to właśnie administracja i bankowość dość szybko dostrzegły powagę sytuacji. Zaczęto też tworzyć odpowiednie protokoły zabezpieczeń. Początkowo mocno zdecentralizowane, jednak z czasem znacznie bardziej uniwersalne. Jednak nawet, gdy wszystkie cyberzabezpieczenia działały poprawnie, często okazywało się, że problem nadal istnieje. Zgodnie ze stwierdzeniem jednego z najsłynniejszych hakerów na świecie Kevina Mitnicka, który przeszedł na drugą stronę i obecnie zajmuje się cyberbezpieczeństwem – najsłabszym ogniwem w kwestii bezpieczeństwa cyfrowego najczęściej jest… człowiek. Człowiek, który bardzo często jest kompletnie nieświadomy ryzyka, z jakim wiąże się korzystanie z urządzeń mobilnych oraz samego internetu.
Weźmy na przykład „cyfrowy ślad”. Na co dzień raczej nie zaprzątamy sobie głowy tym, że gdzieś w internecie krążą setki tysięcy danych na nasz temat. Jednak, jeśli zadamy sobie pytanie, czy kiedykolwiek zdarzyło się nam wypełnić internetową ankietę lub udostępnić swoje dane jakiejkolwiek organizacji, która opublikowała je w sieci – okazuje się, że dobrowolnie przekazaliśmy swoje dane osobom trzecim, które mogą wykorzystać je wedle uznania. Teraz czas na złą wiadomość: istnieje duże prawdopodobieństwo, że część tych danych (możliwe, że nawet wszystkie) zostaną, bądź już zostały przejęte przez firmy gromadzące dane w celach komercyjnych. Drugą kategorię stanowią natomiast dane, których nie ujawniamy w sieci dobrowolnie, a mimo to są gromadzone – chociażby przez różnego rodzaju korporacje i agencje rządowe. Warto mieć świadomość, że w dzisiejszych czasach w zasadzie z każdym dniem pakiet danych na nasz temat się rozrasta.
„Wielu użytkowników internetu pytanych o kwestię danych i ryzyko kradzieży tożsamości twierdzi: „nie mam nic do ukrycia”. Tymczasem powinniśmy mieć świadomość, że każda informacja, którą pozostawiamy w sieci, każdy wpis w mediach społecznościowych, zdjęcie wstawione na Facebooka, Instagram lub Twitter, a nawet nasz to, gdzie się w danej chwili znajdujemy, śledzone jest przez całą dobę przez miliony algorytmów. To właśnie one odpowiadają za opracowanie naszego cyfrowego portretu i wnikliwą analizę behawioralną. Nie byłoby to możliwe, gdyby nie cyfrowy ślad, który za sobą w internecie zostawiamy. Jest to o tyle groźne zjawisko, że na tej podstawie algorytmy zaczynają w pewnym momencie decydować o tym, jakie wyniki wyszukiwania wyświetlą nam się w przeglądarce, co będziemy mogli przeczytać, obejrzeć i tak dalej. Zanim podejmiemy jakąś decyzję, jesteśmy odpowiednio prześwietlani, a następnie ukierunkowywani przez tysiące algorytmów. Z doświadczenia wiem, że kwestia zbierania, a coraz częściej także wyłudzania danych osobowych i ich wykorzystywania dotyczy dzisiaj każdego, kto korzysta z telefonu czy komputera i ma konta w mediach społecznościowych. Przykładów nie trzeba wcale daleko szukać. Przecież my sami bardzo często świadomie, a często nawet nieświadomie zgadzamy się na ich wykorzystywanie, nie mając do końca pewności do czego mogą zostać wykorzystane oraz kto ostatecznie uzyska do nich dostęp” - wyjaśnia Maciej Karczyński, były rzecznik prasowy Komendanta Stołecznego Policji, a w latach 2012-2016 rzecznik Agencji Bezpieczeństwa Wewnętrznego.
Z reguły w tym momencie do głowy przychodzi najczęściej argument z kategorii: „nic mi nie grozi, bo nie mam nic do ukrycia”. Okazuje się jednak, że tego typu myślenie należy jak najszybciej odłożyć między bajki.
Skalę zagrożenia już w 1993 roku nakreślił amerykański socjolog i futurolog Alvin Toffler. W dużym uproszczeniu wygląda to mniej więcej tak:
„Gdzieś na świecie programista wstukuje na klawiaturze kolejne linijki kodu, po czym umieszcza swoje dzieło w sieci. Po pewnym czasie w innym zakątku globu zapanowuje chaos. Przestaje funkcjonować sieć przekazów bankowych, zamiera rynek akcji i obligacji oraz systemy obrotu handlowego, zablokowana zostaje sieć kart kredytowych, linie telefoniczne, a nawet sieć transmisji danych. Przestaje działać giełda i łączność handlowa. Wszystkie zdobycze technologiczne ostatnich dekad stają się całkowicie bezużyteczne. Cały kraj ogarnia fala finansowego krachu, która rozprzestrzenia się na cały świat. A zaczęło się od zaledwie kilku kliknięć w klawiaturę…”
Niestety w skali krajowej, nadal istnieje zbyt niski poziom świadomości istniejących zagrożeń, zwłaszcza w sektorze prywatnym i biznesie, wśród małych i średnich przedsiębiorstw (ponad 65 proc. rynku ekonomicznego UE). Niechęć do ponoszenia nakładów finansowych na zabezpieczenia sieci oraz na środki ochrony zasobów powoduje, że struktury teleinformatyczne należące do tych przedsiębiorstw stają się „najsłabszym ogniwem” infrastruktury Internetu, które w następstwie może zostać zaatakowane lub wykorzystane do pośredniczenia w innym, bardziej spektakularnym ataku. W tym zakresie Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) widzi konieczność prowadzenia odpowiednich szkoleń oraz programów uświadamiających.
Ekspert ds. bezpieczeństwa cyberprzestrzeni i walki z terroryzmem Richard Clarke rzuca nieco więcej światła na kwestię wykorzystania nowoczesnych technologii w różnego rodzaju konfliktach (także gospodarczych). Cytowany przez „The Economist” ekspert wylicza, że obecnie poziom zaawansowania technologii informacyjnych i ich odpowiednie wykorzystanie przeciwko potencjalnym wrogom może doprowadzić, w ciągu zaledwie 15 minut, do katastrofalnej w skutkach awarii strategicznych systemów odpowiedzialnych za bezpieczeństwo państwa oraz całą jego infrastrukturę, transport i logistykę. Wirusy i tzw. robaki komputerowe są w stanie na przykład umożliwić manipulację danymi na światowych giełdach oraz posłużyć do odcięcia danej części kraju od dostaw energii elektrycznej, wizja eskalacji cyberzagrożeń staje się więc dość apokaliptyczna.
Richard Clarke stwierdza, że w takiej sytuacji społeczeństwo szybko się załamie, bo wypłacenie pieniędzy z bankomatu okaże się niemożliwe, a żywność stanie się towarem deficytowym. Drastycznym, a zarazem dobitnym przykładem obrazującym, do czego może doprowadzić choćby odcięcie obywateli od swobodnego korzystania z bankomatów i uniemożliwienie im wypłacenia większych sum pieniędzy można było zaobserwować na przykładzie kryzysu w Grecji, albo w pierwszym miesiącu pandemii koronawirusa, gdy (także w Polsce) rozpowszechniano informacje o rzekomych limitach wypłat z bankomatów i banków. Jedna informacja rozprzestrzeniająca się w Internecie lotem błyskawicy wystarczyła, by przed większością bankomatów w dużych aglomeracjach ustawiły się spore kolejki.
Cyberpandemia
Warto zwrócić uwagę, że zagrożenia związane z cyberprzestrzenią i komunikacją cyfrową nie dotyczą jedynie strategicznych systemów informatycznych danego państwa. W celu pozyskania informacji i niejawnych danych, hakerzy, cyberprzestępcy i służby specjalne różnych państw są w stanie posłużyć się komputerami osób postronnych, aby za ich pośrednictwem zacierać ślady, mylić tropy, a co najważniejsze niepostrzeżenie uzyskać dostęp do pożądanych informacji. Napastnicy mają do wybory wiele narzędzi ataku m.in.: tysiące wirusów, robaków oraz mechanizm Distributed Denial of Service (DDoS). Jest to zmasowany atak na system komputerowy lub usługę sieciową w mający na celu uniemożliwienia działania poprzez zajęcie wszystkich wolnych zasobów. Przeprowadza się go równocześnie z wielu komputerów doprowadzając do przeciążenia serwerów (np. banków, stron administracji publicznej lub serwisów informacyjnych). Atak DDoS stanowi odmianę ataku DoS polegającą na zaatakowaniu ofiary z wielu miejsc jednocześnie.
Malware - szkodliwe oprogramowanie. Najczęściej jest to cały pakiet programów siejący spustoszenie w systemie komputerowym lub sieci.
Ransomware - szczególnie groźny typ szkodliwego oprogramowania, cieszący się ostatnio dużą popularnością wśród hakerów. Blokuje dostęp do systemu komputerowego lub uniemożliwia odczyt zapisanych w nim danych, a następnie żąda od ofiary okupu za przywrócenie stanu pierwotnego. To czy dane w ogóle odzyskamy (nawet po zapłaceniu okupu) zależy wyłącznie od kaprysu hakerów.
Trojany – rodzaj oprogramowania, które udając przydatne lub ciekawe dla użytkownika aplikacje (często rzeczywiście nimi jest), dodatkowo instaluje i inicjuje w urządzeniu, różny ukryte przed użytkownikiem funkcje. Nazwa pochodzi od mitologicznego konia trojańskiego.
Wirusy - programy lub elementy złowrogiego kodu, który dołącza się, nadpisuje lub zamienia inny program w celu powielania samego siebie bez zgody, a często nawet bez wiedzy użytkownika.
Robaki (worms) - szkodliwe oprogramowanie podobne do wirusów, rozprzestrzeniające się tylko poprzez sieć. W przeciwieństwie do wirusów nie potrzebują programu „żywiciela”. Często powielają się przez pocztę elektroniczną.
Spyware – oprogramowanie szpiegujące zbierające dane o osobie fizycznej lub prawnej bez uzyskania zgody. Tego rodzaju oprogramowanie może śledzić informacje o odwiedzanych stronach, dane dostępowe itp. Występuje często jako dodatkowy i ukryty komponent większego programu, odporny na usuwanie i ingerencję użytkownika. Co szczególnie istotne spyware może wykonywać działania bez wiedzy użytkownika – zmieniać wpisy w rejestrze systemu operacyjnego, a nawet ustawienia użytkownika. Warto wiedzieć, że program szpiegujący może pobierać oraz uruchamiać pliki pobrane z sieci.
Exploit - kod umożliwiający bezpośrednie włamanie do komputera ofiary. Do wprowadzenia zmian lub przejęcia kontroli wykorzystuje się lukę w oprogramowaniu zainstalowanym na atakowanym komputerze. Mogą być użyte do ataku na strony internetowe (zmiana treści lub przejęcie kontroli administracyjnej), systemy operacyjnych (serwery i końcówki klienckie) lub aplikacje (pakiety biurowe, przeglądarki internetowe lub inne oprogramowanie).
Keylogger – rejestrator klawiszy, który odczytuje i zapisuje wszystkie naciśnięcia klawiszy użytkownika. Dzięki temu adresy, kody i inne poufne dane mogą dostać się w niepowołane ręce. Warto jednak pamiętać, że keylogger może być zarówno szkodliwym oprogramowaniem służącym do rozsyłania poufnych danych, jak i oprogramowaniem celowo zainstalowanym przez pracodawcę np. w celu kontrolowania aktywności pracowników.
Jeśli natomiast chodzi o same zagrożenia, szczególnie należy uważać na następujące próby oszustw i wyłudzenia danych:
Phishing – metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji, zainfekowania komputera szkodliwym oprogramowaniem czy też nakłonienia ofiary do określonych działań. Jest to rodzaj ataku opartego na inżynierii społecznej.
Zdecydowana większość wiadomości phishingowych jest dostarczana za pośrednictwem poczty elektronicznej lub portali społecznościowych.
hishing, którego celem jest zdobycie informacji na temat karty płatniczej danej osoby, nadal należy do najpopularniejszych oszustw. Fałszywe wiadomości mogą być wysyłane w imieniu banków lub systemów płatności. Najczęściej temat tych wiadomości jest związany z blokowaniem konta lub „podejrzaną aktywnością” wykrytą na koncie osobistym odbiorcy.
Pod pretekstem przywrócenia dostępu, potwierdzenia tożsamości czy anulowania transakcji użytkownik jest proszony o wprowadzenie szczegółowych informacji dotyczących karty płatniczej (często kodu CVV/CVC) na fałszywej stronie banku. Po odebraniu tych danych przestępcy natychmiast wypłacają pieniądze z konta ofiary. Podobnie wygląda sytuacja z systemami płatności, jednak wówczas ofiary są nakłaniane jedynie do zalogowania się do swojego konta.
-Nie należy przesyłać mailem żadnych danych osobistych typu hasła, numery kart kredytowych itp. Prośby o podanie hasła i loginu w mailu należy zgłosić osobom odpowiedzialnym za bezpieczeństwo.
-Banki i instytucje finansowe stosują protokół HTTPS tam, gdzie konieczne jest zalogowanie do systemu. Jeśli strona z logowaniem nie zawiera w adresie nazwy protokołu HTTPS, powinno się zgłosić to pracownikom banku i nie podawać na niej żadnych danych. -Nie zaleca się używania starszych przeglądarek internetowych (np. Internet Explorer 6), które bywają często podatne na różne błędy. Alternatywnie można korzystać z innych programów, jak Mozilla Firefox czy Opera lub Internet Explorer 9 i 10 (których najnowsze wersje wyposażone są w filtry antyphishingowe) albo z oprogramowania firm trzecich chroniącego przed phishingiem.
Whaling
Część ataków phishingowych została skierowana w szczególności do kierownictwa wyższego szczebla i innych ważnych celów z branży biznesowej. Z tego powodu ataki te nazwano whaling (z języka angielskiego „wielorybnictwo”). W przypadku ataków tego typu, sfałszowana witryna lub wiadomość jest tworzona z uwzględnieniem np. stanowiska ofiary w firmie. Treść e-maili często przypomina pisma pochodzące z kancelarii prawnych lub urzędów państwowych. Taka wiadomość może zawierać załącznik w postaci złośliwego oprogramowania i nakłaniać ofiarę do jego instalacji np. w celu uzyskania dostępu do ważnego dokumentu
Pharming
Bardziej niebezpieczna dla użytkownika oraz trudniejsza do wykrycia forma phishingu. Charakterystyczne dla pharmingu jest to, że nawet po wpisaniu prawidłowego adresu strony www, ofiara zostanie przekierowana na fałszywą (choć mogącą wyglądać tak samo) stronę WWW. Ma to na celu przejęcie wpisywanych przez użytkownika do zaufanych witryn haseł, numerów kart kredytowych i innych poufnych danych.
Oszustwa w portalach społecznościowych
Najczęściej polegają na tym, iż przestępcy internetowy włamują się na konto użytkownika np. Facebooka czy Naszej Klasy i rozsyłają w imieniu właściciela profilu maile do jego znajomych. Proszą o przesłanie jakiejś kwoty na podane konto (uzasadniają to chociażby tym, iż zostali oszukani za granicą i nie mają pieniędzy na powrót do kraju). Wiele osób przesyła środki finansowe, gdyż myśli, że prawdziwy przyjaciel jest w potrzebie. Aby uniknąć tego typu oszustw należy przede wszystkim stosować silne hasła, programy antywirusowe i antyszpiegowskie oraz posiadać świadomość możliwych do pojawienia się zagrożeń, związanych z portalami społecznościowymi.
Oszustwo na „nigeryjskiego księcia”
Wreszcie dotarliśmy do ostatniego, jednego z najstarszych rodzajów spamu — obietnicy zdobycia fortuny od krewnego lub prawnika działających w imieniu zmarłego milionera w zamian za dokonanie płatności z góry. Niestety, to oszustwo nadal krąży w Sieci. W jednej z jego odmian oszust występuje pod postacią celebryty, który chwilowo jest w trudnej sytuacji. Ofierze obiecuje się ogromną nagrodę, jeśli zgodzi się pomóc pechowemu milionerowi wypłacić pieniądze ulokowane w kontach różnych banków. W tym celu należy oczywiście najpierw wysłać szczegółowe informacje na swój temat (informacje odnośnie paszportu, danych konta itp.) oraz niewielką kwotę na załatwienie formalności.
Kradzież tożsamości
Złodzieje tożsamości wykorzystują dane osobowe (np. numery PESEL, informacje o koncie bankowym i numery karty kredytowych), aby podawać się za inną osobę. Może chodzić m.in. o otwarcie rachunku bankowego, wyczyszczenie istniejącego rachunku, złożenie wniosku o zwrot podatku lub pokrycie rachunku za usługi medyczne.
Skimming – przestępstwo polegające na nielegalnym skopiowaniu zawartości paska magnetycznego karty płatniczej bez wiedzy jej posiadacza w celu wytworzenia kopii i wykonywania nieuprawnionych płatności za towary i usługi lub wypłat z bankomatów.
Obecnie skimming wymierzony jest także w karty chipowe z układami niechronionej klasy SDA, jak i układami klasy DDA uchodzącymi za bezpieczniejsze. Ponieważ skopiowana karta w elektronicznych systemach bankowych zachowuje się jak karta oryginalna, wszystkie operacje wykonane przy jej pomocy odbywają się kosztem posiadacza oryginalnej karty i obciążają jego rachunek.
Istnieją dwa rodzaje skimmingu: skimming w placówce handlowej oraz skimming bankomatowy.
Kevin Mitnick: „Łamałem ludzi, nie hasła”
Zatrzymajmy się nieco dłużej nad kwestią podstawowych zabezpieczeń wykorzystywanych przez większość użytkowników komputerów i sprzętu mobilnego. O tym, jakie hasła do kont bankowych czy komputerów firmowych są w powszechnym użyciu, bardzo dosadnie uświadomił atak hakerski na pewien portal randkowy przeprowadzony w lipcu 2015 roku. Spośród 11 milionów upublicznionych wtedy haseł do kont użytkowników najczęściej powtarzały się takie oto kombinacje: „123456”, „12345”, „password”, „DEAFULT”, „123456789”, „qwerty”, „12345678”, „abc123” oraz „1234567”. Kevin Mitnick ostrzega, że jeśli wśród tych kombinacji dostrzegamy swoje hasło, lub hasło bardzo do niego podobne, istnieje duże ryzyko, że również możemy stać się ofiarą kradzieży danych. Okazuje się bowiem, że podobne ciągi znaków przewiduje większość dostępnych w sieci narzędzi do łamania haseł.
Czy jest zatem jakiś sposób na stworzenie haseł odpowiednio trudnych do złamania? Przede wszystkim warto zacząć od tworzenia dość złożonych i skomplikowanych kombinacji cyfr i liter. Nie bez znaczenia pozostaje też długość hasła. Im dłuższe, tym większa szansa, że jego złamanie zajmie więcej czasu. Wielu użytkowników rezygnuje obecnie z samodzielnego wymyślania hasła i decyduje się na skorzystanie z automatycznego generatora. Na rynku możemy znaleźć wiele zaufanych i cieszących się renomą aplikacji tego typu. Pozwalają one nie tylko tworzyć silne kombinacje znaków i cyfr, lecz zebrać wszystkie hasła i dane logowań w bezpiecznym miejscu, do którego dostęp daje jedno kliknięcie. Nawet to rozwiązanie obarczone jest jednak pewnym ryzykiem. Aplikacja wymaga jednego hasła głównego, dającego dostęp do pozostałych haseł. Jest zatem oczywiste, że jeśli komputer lub urządzenie mobilne zostaną zainfekowane złośliwym oprogramowaniem kradnącym hasła (na przykład przy użyciu keyloggera), wówczas nasz wirtualny „sejf” stoi przed cyberprzestępcami otworem. Za jednym razem włamywacz otrzymuje dostęp do wszystkich haseł zapisanych w aplikacji. Drugi problem związany z menadżerem haseł jest znacznie bardziej prozaiczny. Jeśli zdarzy się nam zapomnieć hasło główne, wówczas tracimy dostęp do wszystkich pozostałych haseł (a istnieje duże prawdopodobieństwo, że ich też nie pamiętamy, ponieważ były zapisane w bezpiecznym miejscu). Oczywiście pozostaje wówczas tylko opcja resetu haseł na wszystkich stronach po kolei, ale jest to proces długotrwały i dość żmudny.
Jak zatem stworzyć dobre hasło, które trudno będzie nam zapomnieć? Były haker, a obecnie znany na całym świecie ekspert ds. cyberbezpieczeństwa Kevin Mitnick radzi, aby używać długich ciągów znaków, co najmniej 20-25 i co szczególnie istotne, niezawierających słów. Najlepiej, gdy są to przypadkowe zlepki, na przykład „eh2raogh#sof&skx!mt@l”. Problem polega jednak na tym, że ludzki mózg nie radzi sobie zbyt dobrze z zapamiętywaniem tego typu nic nie znaczących kombinacji. To z kolei znów prowadzi nas do menedżera haseł i możliwości automatycznego ich generowania. Jest to bezpieczniejsza metoda niż każdorazowe samodzielne ich wymyślanie.
Należy jednak pamiętać, aby nigdy nie używać tych samych haseł do różnych kont. Niestety często trudno jest tego uniknąć - zwłaszcza, że obecnie jesteśmy zmuszeni co chwila podawać gdzieś hasło w celu weryfikacji. Jest to kolejny argument przemawiający na korzyść użycia aplikacji, która wygeneruje za nas trudne do złamania hasła.
Jeśli jednak mimo wszystko chcemy zapisywać hasła w sposób tradycyjny (na przykład w notesie) warto notować je w inteligentny sposób. Na pewno nie piszemy: „Nazwa Banku: pEłnEH@$łodoB4nkU!”. Nazwę banku można zastąpić jakimś dalekim skojarzeniem - na przykład „skarpeta” (żartobliwie mówi się przecież o trzymaniu tam pieniędzy) z dopiskiem „pEłnE”. Jak widać hasło nie zostało użyte w całości, ale nie ma takiej potrzeby. Ma to być jedynie skojarzenie, pozwalające nam łatwiej zapamiętać drugą część hasła, a w przypadku utraty pierwszej jego części, ryzyko odgadnięcia reszty jest znacznie mniejsze.
Nie ulega wątpliwości, że zwłaszcza w kontekście bankowości elektronicznej stworzenie silnych haseł jest szczególnie istotne. W przypadku, gdy ktoś fizycznie przejmie urządzenie, z którego logujemy się na stronę banku, brak odpowiednich zabezpieczeń może narazić nas na spore straty. Dlatego właśnie warto pamiętać o zabezpieczeniu wszelkiego rodzaju urządzeń mobilnych, z których najczęściej korzystamy. Mają one to do siebie, że dość łatwo je zgubić i najczęściej w ostatnich latach badają łupem złodziei. Co ciekawe spora grupa osób w dalszym ciągu nie stosuje w tego typu urządzeniach żadnych zabezpieczeń. Nawet tak prostych jak blokada ekranu czterocyfrowym kodem PIN.
W ostatnim czasie jednak coraz częściej odchodzi się od polityki bezpieczeństwa opartej wyłącznie na hasłach. Prosty przykład: pracownik banku wymyśla bardzo długie hasło, np. “Li2oOjczyzn0M0ja7yJeste!JakZdrowie!”. Do niedawna każdy szkoleniowiec zajmujący się cyberbezpieczeństwem by je pochwalił – długie, zawiera różne znaki, jest łatwe do zapamiętania. I nie byłoby w tym nic złego, gdyby nie fakt, że niezależnie od tego, jakie to hasło będzie, to i tak złodziej może je przejąć. Równie dobrze mogłoby to być „123456”.
Oczywiste jest, że odejście od haseł w firmach i instytucjach finansowych wcale nie jest takie łatwe, głównie poprzez powiązanie ich z tożsamością użytkowników, bazami danych itp. Właśnie dlatego tak istotne jest, żeby w pierwszym etapie drogi do passwordless wszystkie organizacje zadbały o zabezpieczenie haseł silnym uwierzytelnianiem MFA. Najlepiej oczywiście, żeby od razu była to metoda skuteczna, czyli wieloskładnikowe uwierzytelnianie odporne na phishing.
Wraz z rozwojem nowych technologii pojawiły się także nowe formy zabezpieczeń. Ciekawym aspektem jest na przykład możliwość blokowania urządzeń przenośnych tzw. wzorem blokującym. Na ekranie wyświetla się 9 kropek, które połączone w odpowiedniej kolejności tworzą symbol funkcjonujący na zasadzie unikalnego kodu dającego dostęp do urządzenia. Tuż po wprowadzeniu tej metody, eksperci zwracali uwagę, że jest to rozwiązanie bezpieczne ze względu na liczbę możliwych kombinacji. Coś co miało być blokadą nie do przejścia pokonał jednak… czynnik ludzki, a w zasadzie lenistwo i brak kreatywności. Już na konferencji PasswordsCon z 2015 roku wykazano, że użytkownicy są dość przewidywalni i wybierają jedynie kilka (!) z aż 140 704 możliwych kombinacji. Jak się okazuje, najczęściej wzorem dającym dostęp do smartfona była… próba nakreślenia pierwszej litery własnego imienia. Użytkownicy najczęściej wybierają także kropki środkowe, a nie narożne, ponieważ łatwiej jest sięgnąć do nich obsługując telefon jedną ręką.
Poprawę jakości zabezpieczeń miał dać także inny dość futurystyczny wynalazek, wcześniej znany jedynie z filmów szpiegowskich. Tymczasem po wejściu na rynek czytnika linii papilarnych Touch ID naukowcy ze zdumieniem odkryli, że niektóre stare metody oszukiwania dawnych czytników linii papilarnych… nadal się sprawdzają. Do złamania zabezpieczeń wystarczyło na przykład „zebrać” odcisk palca z czystej powierzchni używając na przykła zasypki dla niemowląt i taśmy klejącej.
A co z modnymi ostatnio urządzeniami z funkcją rozpoznawania twarzy? Okazuje się, że tę blokadę także można obejść, wykorzystując na przykład zdjęcie właściciela urządzenia w odpowiednio wysokiej rozdzielczości.
Innowacyjne systemy identyfikacji biometrycznej w porównaniu nawet z tradycyjnymi hasłami w formie ciągów znaków, zdają się być zatem dość podatne na ataki. Dlatego właśnie eksperci zajmujący się cyberbezpieczeństwem radzą, aby nie byłby to jedyne elementy całego procesu uwierzytelniania. Nie wystarczy przyłożyć palec do czytnika lub uśmiechnąć się do kamery. Najlepiej wpisać jeszcze kod lub nakreślić wzór odblokowujący ekran. Tak dochodzimy do kwestii uwierzytelniania wieloskładnikowego.
Hasła i kody PIN to ważne elementy bezpieczeństwa, ale jak widać nie są niezawodne i można je złamać. Dlatego znacznie bezpieczniejsze jest użycie uwierzytelniania dwuskładnikowego, zwane również weryfikacją dwuetapową (2FA). Tego typu weryfikacja polega na tym, iż w procesie sprawdzania tożsamości użytkownika strony lub aplikacje wykorzystują dwa lub trzy elementy. Są to zazwyczaj: „coś co masz” - na przykład karta kredytowa lub debetowa z paskiem magnetycznym lub mikroprocesorem, „coś co wiesz” - na przykład PIN lub odpowiedź na pytanie bezpieczeństwa, oraz „to kim jesteś” - metody biometryczne takie jak np. analiza linii papilarnych, rozpoznawanie twarzy czy głosu itp. Im więcej elementów uwierzytelniania, tym większa pewność, że użytkownik rzeczywiście jest tym, za kogo się podaje.
Mogłoby się wydawać, że jest to dość nowatorskie rozwiązanie. Na przestrzeni zaledwie ostatnich kilku lat do korzystania z niego przyłączyły się praktycznie wszystkie banki w kraju i na świecie. Tymczasem weryfikacja typu 2FA towarzyszy nam już od grubo ponad 40 lat, choć często nie jesteśmy nawet świadomi jej istnienia. To właśnie ten typ weryfikacji tożsamości stosuje się między w bankomatach. Aby pobrać gotówkę musimy mieć przy sobie wydaną przez bank kartę („coś co masz) i kod PIN („coś co wiesz”). W niektórych krajach działają już nawet bankomaty z dodatkowymi metodami weryfikacji np. systemem rozpoznawania twarzy lub żył dłoni. Mówimy wówczas o uwierzytelnianiu wieloskładnikowym (MFA).
Dobrze nam znana weryfikacja 2FA jest również wykorzystywana w internecie przez wiele instytucji finansowych, portali administracji publicznej, a także komercyjne serwisy pocztowe i społecznościowe. W tym przypadku łączy się hasło („coś co wiesz”) na przykład z telefonem komórkowym („coś co masz”) lub innym urządzeniem mobilnym. W sytuacji, gdy komórka jest powiązana z używanym urządzeniem lub serwisem, osoba nieuprawniona nie może wejść na tak zabezpieczone konta, nie mając jej fizycznie przy sobie.
Mając na uwadze powyższe metody zabezpieczania haseł, warto rozważyć dodatkową możliwość zabezpieczania operacji i transakcji finansowych za pośrednictwem internetu, a w szczególności w kontekście bankowości elektronicznej i mobilnej.
Wydawać by się mogło, że najprostszym rozwiązaniem jest kupno rocznej (lub innej długoterminowej) licencji programu antywirusowego oraz firewalla na trzy komputery. To nie do końca prawda. Okazuje się bowiem, że przeglądając strony internetowe, możemy załadować w swojej przeglądarce baner ze szkodliwym oprogramowaniem albo dostać je w e-mailu. W każdym z tych przypadków od chwili połączenia z internetem komputer jest nieustannie zagrożony wirusami, a oprogramowanie antywirusowe nie zawsze jest w stanie wyłapać wszystkie ich rodzaje. Kevin Mitnick proponuje inne rozwiązanie, z którego sam korzysta. Chodzi o rozważenie kupna taniego tabletu lub Chromebooka. Domyślnie ma być to osobne urządzenie służące wyłącznie do przeprowadzenia transakcji finansowych w sieci. Dodatkową zaletą jest to, że na Chromebooku nie da się zainstalować żadnych aplikacji, jeśli wcześniej nie założymy konta w Gmailu. Jego funkcjonalność sprowadza się zatem jedynie do przeglądania stron internetowych.
Następnym krokiem jest ustawienie na danej stronie (na przykład stronie banku) weryfikacji dwuetapowej dla posiadanego urządzenia. Kluczem do sukcesu jest dyscyplina. Po skończeniu załatwiania spraw w banku należy sprzęt od razu wyłączyć i nie używać do niczego innego – zwłaszcza do przeglądania internetu.
Początkowo pomysł ten nie wygląda może zbyt zachęcająco i posiada jedną kluczową wadę: decydując się na takie rozwiązanie tracimy dostęp do swojego banku z innych urządzeń. Ma to jednak wiele dobrych stron. Dzięki takiej praktyce znacząco minimalizujemy ryzyko włamania się na konto bankowe. Jeśli będziemy konsekwentnie używać jednego urządzenia wyłącznie w celach finansowych i nie odwiedzać na nim żadnych innych stron internetowych, poza bankiem – mamy wówczas prawie 100 procent pewności, że urządzenia nie zaatakują wirusy lub inne szkodliwe aplikacje.
Tymczasem według przeprowadzonego w II kwartale 2020 przez Krajowy Rejestr Długów Biuro Informacji Gospodarczej i serwis ChronPESEL.pl badania, ponad połowa Polaków jest przekonana, że dobrze chroni swoje dane osobowe (52 proc.), jednocześnie co trzeci ankietowany miał problem z oceną, czy zapewnia swoim danym należytą ochronę (38 proc.) 55 proc. Polaków obawia się kradzieży tożsamości; jednocześnie co trzeci nie potrafi ocenić, czy w sposób właściwy chroni swoje dane osobowe - wynika z badania "Jak Polacy chronią swoje dane osobowe?". Ankietowani za największe zagrożenie uznają działalność oszustów w internecie.
W opinii badanych, złodzieje tożsamości pobierają dane osobowe głównie w drodze wyłudzenia, na przykład poprzez fałszywe strony logowania lub fałszywe e-maile (74,5 proc.). Równocześnie ponad połowa ankietowanych uważa, że oszuści zyskują dostęp do danych poprzez kradzież dokumentów papierowych i plastikowych (50,3 proc.). Z kolei ponad 41 proc. Polaków obawia się, że przestępcy wykorzystają ich dane osobowe podrabiając dokumenty lub karty płatnicze.
Kto ma informacje, ten ma władzę
Dopiero w latach 90. zrobiło się głośno o grupach hakerów, którzy dokonywali ataków na systemy operacyjne, komputery lub strony internetowe. Jak wspomina w swojej autobiografii Kevin Mitnick, początkowo chodziło głównie o zabawę i swego rodzaju wyzwanie. Hakerzy sprawdzali się nawzajem wyznaczając sobie coraz trudniejsze cele. Z pozoru niewinna, a niekiedy również prostacka zabawa ewoluowała. Praktycznie nieograniczone możliwości działania sprawiły, że w pierwszej kolejności cyberprzestępcy wykorzystywali swoje umiejętności w celu zdobywania majątków i powiększania zdobytych już fortun. Szybko jednak okazało się, że informacje przechowywane na komputerach oraz publikowane w Internecie są łakomym kąskiem dla wszelkiego rodzaju działalności szpiegowskiej. Nie bez znaczenia pozostaje również fakt, że coraz częściej dane te oraz usługi hakerów lub pospolitych cyberprzestępców zaczęto wykorzystywać również w kampaniach politycznych. Wiedza, którą do tej pory trzeba było gromadzić godzinami, a nawet miesiącami, w przypadku Internetu i komputerów, była dosłownie na wyciągnięcie ręki. Odpowiednio użyta mogła wpłynąć pozytywnie na czyjąś karierę, rozwój firmy, wizerunek lub wręcz przeciwnie – mogła się stać podstawą tzw. czarnego PR. Nic więc dziwnego, że zaczęto rozważać zastosowanie tych wszystkich umiejętności i mechanizmów w sferze militarnej.
Choć wiele osób nadal stara się tego nie zauważać, to właśnie media społecznościowe stały się obecnie areną działań szpiegów z całego świata. Dane, zarówno te jawne, jak i tajne często są dosłownie na wyciągnięcie ręki, a brak świadomości realnego zagrożenia powoduje, że wielu użytkowników Internetu udostępnia informacje, które jeszcze kilkadziesiąt, a nawet kilkanaście lat temu uzyskać było niezwykle trudno.
Łatwość w dostępie do tego typu informacji zachęca służby wywiadowcze na całym świecie do wykorzystywania cyberprzestrzeni na szeroką skalę.
O skali zagrożenia zrobiło się głośno po ujawnieniu informacji o programie PRISM. Zgodnie z informacjami przekazanymi mediom przez Edwarda Snowdena od 2007 roku służby specjalne zbierały dane z serwerów m.in. Google, Facebook, Yahoo, Paltalk, AOL, Skype, YouTube i Apple. Nie trzeba chyba nikogo przekonywać, że dostęp do tego typu danych oznacza, że służby specjalne mogą dowiedzieć się o internautach wszystkiego, począwszy od gustu muzycznego czy kulinarnego przez upodobania seksualne, aż po zainteresowania i hobby, zwłaszcza te mogące zostać uznane za zagrożenie dla bezpieczeństwa kraju.
Snowden błyskawicznie stał się wrogiem publicznym, jednak w obliczu poparcia ze strony WikiLeaks ujawnił dalsze szczegóły dotyczące inwigilacji w Internecie. Ujawniając dokumenty Agencji Bezpieczeństwa Narodowego (NSA), dla której do niedawna pracował, Snowden ujawnił istnienie systemu XKeyscore, który swoim zasięgiem i możliwościami przyćmiewa nawet budzący liczne kontrowersje PRISM. XKeyscore zapewnia dostęp do niemal wszystkiego, co typowy użytkownik robi w internecie i pozwala penetrować bazy danych, na których zgromadzone są informacje na temat tego, co dzieje się w sieci w wymiarze globalnym. Dzięki temu, w prosty sposób można odnaleźć adresy e-mailowe, ściągnięte z Internetu pliki, a nawet numery telefonów i treści rozmów z internetowych czatów. Edward Snowden uciekł z USA i ukrywa się na terenie Rosji, gdzie wystąpił o azyl. Choć Snowden praktycznie zniknął, dając o sobie znać jedynie co jakiś czas, wywołany przez niego problem pozostał.
Coraz częściej też, to właśnie sami użytkownicy – świadomie lub nieświadomie – ujawniają w sieci coraz więcej informacji na swój temat. Czym grozi tego typu wirtualny ekshibicjonizm i gdzie leży granica pomiędzy rozrywką a bezpieczeństwem? Odpowiedź na te pytania jest kluczem do świadomego funkcjonowania w cyberprzestrzeni i budowania społeczeństwa obywatelskiego o wiele bardziej odpornego na zagrożenia płynące z cyberprzestrzeni.
Przy obecnej potędze mediów społecznościowych, wpadnięcie w pułapkę rozrywki w przestrzeni wirtualnej jest tylko kwestią czasu. Wraz ze swoim pojawieniem się na rynku Facebook, Twitter, a do niedawna także komunikator Gadu-Gadu czy serwis Nasza Klasa, oferowały użytkownikom praktycznie nieograniczone możliwości aktywnego funkcjonowania w cyberprzestrzeni. To właśnie media społecznościowe dają nam możliwość błyskawicznego kontaktu z osobami oddalonymi o setki tysięcy kilometrów. Wypełniają nam wolny czas oferując różnego rodzaju gry, filmy lub muzykę, a także dają nieograniczony dostęp do informacji (co wykorzystuje się również w wojnie informacyjnej w celach kampanii dezinformacji).
Wreszcie, media społecznościowe to potężne narzędzie promocji. Dziś nie trzeba już płacić za ogłoszenia w prasie, dzwonić do znajomych czy wysyłać setki e-maili. Użytkownicy mają wszystko dosłownie na wyciągnięcie ręki, dostępne za pomocą kilku kliknięć. Pomimo niewątpliwych korzyści wynikających z powszechnej dostępności nowych technologii, a także mediów społecznościowych, coraz rzadziej zwraca się uwagę na zagrożenia, które się z nimi wiążą – a szczerze mówiąc, jest ich całe mnóstwo. Problem polega na tym, że nowe technologie i nowe media, dla współczesnego pokolenia przestały być zupełnie nowe, a co za tym idzie coraz częściej zaczęto bagatelizować oczywiste zagrożenia płynące z cyberprzestrzeni.
Nie ulega wątpliwości, że wizerunek danej osoby zależy od wielu czynników takich jak na przykład ubiór, aparycja, zachowanie, a nawet zainteresowania. Ogromny wpływ na nasz wizerunek ma także aktywność w sieci. O ile świadomość możliwości odpowiedniego kreowania wizerunku staje się powoli coraz powszechniejsza, o tyle nadal jeszcze wiele osób nie nie zdaje sobie sprawy z oczywistej wręcz zależności – udostępniane w internecie treści nawet po ich usunięciu pozostawiają ślady. Gdy dziś czytamy wpisy na forach internetowych lub sprawdzamy posty umieszczone na łamach serwisów społecznościowych kilka, a nawet kilkanaście lat temu, często ogarnia nas zażenowanie. Jest to jedynie wierzchołek góry lodowej. Prawdziwe problemy mogą zacząć się, gdy treści te zobaczą nasi obecni znajomi, koledzy i koleżanki z pracy a może nawet przyszły potencjalny pracodawca...
Wraz z rozwojem serwisów społecznościowych w internecie zapanował wirtualny ekshibicjonizm. Jego realne konsekwencje obserwować będziemy przez najbliższe dziesięciolecia.
Łowy na wyborcę. Behawioralny model kampanii i programowanie przyszłych głosów
Dziś nie jest już żadną tajemnicą, że wybory coraz częściej wygrywa się… w internecie. Obok programu partii, wizerunek ugrupowania oraz poszczególnych polityków jest tym, co wyróżnia poszczególne formacje na scenie politycznej. Coraz częściej to właśnie wizerunek polityczny, a nie koncepcje zawarte w programie wyborczym decydują o poparciu wyborców i głosie oddanym w wyborach. Dlaczego tak się dzieje? Wystarczy spojrzeć na statystyki i szanse na złowienie wyborców z sieci nomen omen we własne sieci. Chociaż może bardziej trafne byłoby stwierdzenie o łapani wyborców w sidła. Cały proces do złudzenia przypomina bowiem patenty kłusowników. Miliony polskich internautów stanowią dość łatwy cel dla specjalistów od propagandy. Począwszy od reklamy i marketingu, przez medialną dezinformację, aż po świat wielkiej polityki, praktycznie codziennie wszyscy narażeni jesteśmy na różne formy manipulacji.
Obietnice wyborcze, lepszy lub gorsze programy poszczególnych partii, konferencje prasowe, PR-owe sztuczki i marketing polityczny w czystej postaci. Politycy ścigają się w licytacji na to, kto ma fajniejsze pomysły i na kogo warto oddać swój głos. Co z tego wszystkiego wynika? Co wynika z tych marketingowych sztuczek, obietnic i spotkań z wyborcami? Czasem nie wynika po prostu nic. Czasem jednak mamy prawdziwy polityczny hit.
Choć brzmi to dość niepokojąco, obserwując polską scenę polityczną można odnieść wrażenie, że coraz mniej liczy się jakikolwiek program czy oferta wyborcza. W dzisiejszych czasach w cenie są sztuczki socjotechniczne i możliwość pozyskania zainteresowania potencjalnych wyborców nawet w sytuacji, gdy dana partia nie ma zupełnie nic do zaoferowania. Jak inaczej wytłumaczyć obecność niektórych „eksperymentów” politycznych w polskim parlamencie?
Z najbardziej aktualnego badania Mediapanel za kwiecień 2023 (wyników za maj w chwili pisania tego tekstu jeszcze nie opublikowano) opracowanego prze PBI/Gemius wynika, że liczba internautów wyniosła w Polsce 29,6 mln. Średnio dziennie korzystało z tego medium 25,7 mln osób. Choć oczywiście nie wszyscy z tej grupy mają czynne prawo wyborcze, grupa docelowa i tak pozostaje ogromna. A co z niepełnoletnimi użytkownikami sieci? Oni również stanowią łakomy kąsek dla partyjnych spin doktorów. Co prawda osoby poniżej 18 roku życia jeszcze nie głosowały w wyborach, ale kiedyś przecież będą – a to oznacza, że jest jeszcze trochę czasu, żeby przygotować pod to głosowanie podatny grunt. Resztą zajmą się algorytmy.
W celu zrozumienia powagi sytuacji, warto jest spróbować odpowiedzieć na proste pytanie. Zróbmy mały eksperyment myślowy i zastanówmy się, jakie informacje na swój temat udostępniamy różnym firmom i stronom trzecim klikając „lubię to” lub udostępniając poszczególne treści w mediach społecznościowych. Zapewne w pierwszej chwili uznamy, że są to nic nie znaczące dane – bo przecież nie mamy nic do ukrycia. Nic bardziej mylnego. To właśnie na podstawie tych z pozoru nic nie znaczących danych algorytmy tworzą nasze profile psychologiczne i behawioralne. To z kolei umożliwia wielkim koncernom, firmom, a także partiom politycznym poznanie naszych upodobań… i to w skali globalnej. Poznanie preferencji użytkownika to jednak zaledwie pierwszy krok. Następnym jest wykorzystanie tej wiedzy w opracowaniu szytych na miarę kampanii socjotechnicznych, dzięki którym możliwe będzie wpływanie na podejmowane przez nas decyzje. Każdy, kto zastanawiał się w sklepie nad wyborem produktu X lub Y powinien doskonale wiedzieć, co mam na myśli. Warto zadać sobie pytanie, na ile świadome są dokonywane przez nas codzienne wybory, a na ile jest to wypadkowa kampanii marketingowych i socjotechnicznych sztuczek, na które jesteśmy niezwykle podatni.
Nie da się ukryć, że żyjąc w czasach internetu, jesteśmy w sporym zakresie zależni od wszechobecnych algorytmów. Choć do niedawna była to koncepcja rodem z filmów science-fiction, dziś rozwiązania te pozwalają na dostarczanie treści dostosowanych do naszych zainteresowań i niestety grozi zamknięciem w bańce informacyjnej. Każda informacja, którą pozostawiamy w sieci, każde słowo, ruch śledzony jest przez miliony algorytmów, które tworzą nasz cyfrowy portret, decydują o tym, co widzimy, z kim się komunikujemy, co czytamy i jakie decyzje podejmujemy.
Już kilka lat temu odbierając nagrodę Crunchie Award, Mark Zuckerberg stwierdził, że „prywatność przestała być normą społeczną”. Przekonywał wówczas, że potwierdzają to zachowania użytkowników Facebooka. Okazało się, że ważniejsza jest dla nich możliwość komunikacji i wymiany informacji niż ochrona swojego życia prywatnego.
Największy problem polega na tym, że o ile sami nie doceniamy wartości danych na nasz temat – nie oznacza to, że są one bezwartościowe. Są one bowiem kluczowe dla biznesu i środowisk politycznych. Praktycznie z dnia na dzień zostaliśmy sprofilowani i z konsumentów zmieniliśmy się w towar. Szczegóły tego procesu opisuje dokładnie profesor Harvardu Shoshana Zuboff w książce „Wiek kapitalizmu inwigilacji”, a w sposób bardziej przystępny popkulturowo ukazuje serial „Westworld”.
Czy tego chcemy czy nie, dziś musimy liczyć się z tym, że praktycznie w każdej chwili jesteśmy inwigilowani, a każdy nasz ruch w sieci jest pod stałą kontrolą. Kawałek po kawałku algorytmy uczą się naszych zachowań i składają nasz behawioralny model.
Big data, czyli przetwarzanie ogromnych ilości danych, wkracza w kolejne dziedziny i branże - od badań z zakresu fizyki, przez ekonomię, po psychologię czy medycynę. Warto jednak pamiętać, że z pomocą tych właśnie technik można również z zadziwiającą precyzją badać nastroje społeczne i preferencje nie tyle złożonych grup, lecz nawet pojedynczych osób. Skoro technologię tego typu można wykorzystywać do analizowania i przewidywania wyników wyborów, zasadne wydaje się również pytanie, czy te same działania można wykorzystać do wpływania na ich wyniki…
Zajmujący się tymi kwestiami naukowcy nie mają już dziś wątpliwości, że masowa analiza danych z pomocą sztucznej inteligencji i innych skomplikowanych metod pozwala obecnie już dość dokładnie przewidzieć wynik wyborów i maksymalnie skutecznie oddziaływać na wyborców.
Zainteresowane tego typu działaniami podmioty w zasadzie bez trudu mogą dotrzeć do dostępnych publicznie w internecie baz danych z informacjami na temat wyborców. Znajdziemy tam sporo cennych informacji od tego, kim są, jakie mają preferencje, po oczekiwania od polityków, którym w najbliższych kampaniach będzie trzeba sprostać.
Analiza tych danych możliwa jest dzięki różnym metodom eksploracji danych, technikom uczenia maszynowego oraz technikom ekonometrycznym. Korzystając z tych technik można bez większego trudu opracować najlepszą kampanię wyborczą i prowadzić ją między innymi z tzw. mikrotargetowaniem.
To właśnie mikrotargetowanie pozwala opracować możliwie najlepiej dopasowaną do indywidualnych potrzeb wersję kampanii wyborczej. Oznacza to, że różne osoby mogą otrzymać różne warianty tej samej kampanii. Każdy zobaczy dokładnie to, co będzie chciał zobaczyć/usłyszeć od polityka lub to, co partia będzie chciała pokazać. To nic innego, jak zamknięcie wyborców w bańce informacyjnej na sterydach, wspieranej przez sztuczną inteligencję.
Model mikrotargetowanej kampanii wyborczej
1. Określenie grupy odbiorców o danych preferencjach
2. Przygotowanie treści dopasowanych pod konkretne preferencje grupy docelowej (nawet pojedynczego wyborcy)
3. Udostępnienie treści wyborczych na zasadach zbliżonych do targowania reklamy internetowej.
4. Potencjalny wyborca widzi jedynie te treści, które zostały dopasowane do jego profilu behawioralnego.
No dobrze, ale skąd poszczególne firmy i instytucje czerpią te wszystkie dane na nasz temat? Okazuje się, że źródeł jest naprawdę sporo. Na przykład ze spisów powszechnych można wyciągnąć informacje na temat dochodów, wykształcenia, liczby dzieci lub pochodzenia etnicznego obywateli. Gdy dodamy do tego informacje z mediów społecznościowych, które można analizować pod kątem konkretnych słów kluczowych lub fraz otrzymujemy niezwykle cenny materiał źródłowy. Należy podkreślić, że dane tego typu są praktycznie ogólnodostępne i w zasadzie darmowe. Kolejny stopień wtajemniczenia stanowią płatne bazy danych dotyczące poszczególnych preferencji konsumentów. Tam znajdziemy m.in. numery telefonów, maile, dane o hipotekach oraz historiach zakupów. A to jeszcze nie wszystko. Do tego dochodzą jeszcze dane gromadzone bezpośrednio przez partie, na przykład o ludzi przekazujących darowizny lub wspierających działania partii w ramach wolontariatu. Nie należy zapominać również o różnego rodzajach newsletterach i listach mailingowych. Mając dostęp do tego typu danych, przy wykorzystaniu odpowiednich narzędzi analitycznych można sprawdzić, czy dany wyborca częściej otwiera maile dotyczące podatków, praw człowieka, czy sądownictwa. Wiedza na ten temat pozwala następnie dobrać dla takiej osoby odpowiednio dopasowane treści.
Czy jest zatem możliwe, że konkretny polityk lub partia osiąga wyborczy sukces dzięki danym gromadzonym z internetu? To bardzo ryzykowna diagnoza. Gdyby dostęp do tego typu technologii miała wyłącznie jedna partia polityczna w obrębie danego kraju, można byłoby zaryzykować stwierdzenie, że faktycznie tak właśnie się dzieje. Musimy jednak pamiętać o tzw. czynniku ludzkim.
Niezależnie od tego, jak skuteczna lub nieskuteczna jest kampania - to nie dane wygrywają wybory. To nie dane idą do urn i oddają głos. W taką narrację radziłbym nie wchodzić, ponieważ łatwo jest wysunąć zbyt daleko idące wnioski. Doskonale wiemy, że nie od dziś w kampaniach wyborczych używa się różnego rodzaju zabiegów socjotechnicznych, a wizerunek polityków często kreowany jest właśnie na podstawie badania opinii. To jeden z filarów kampanii PR. Od lat politycy i ich sztaby zamawiali i zamawiają sondaże. One też wyborów nie wygrywały, nie wygrywają i nie będą wygrywały. Jeśli jednak obudujemy to wszystko odpowiednią socjotechniką i dodamy do tego zasady wywierania wpływu opisane przez Roberta Cialdiniego, otrzymamy potężne narzędzie do sterowania nastrojami potencjalnych wyborców i przed wrzuceniem głosu do urny wyborczej staniemy przed podobnym dylematem, jak przywołany już przeze mnie przykład ze sklepu. Czym kierujemy się wybierając produkt z niebieską etykietą, a czym z czerwoną? Czy jesteśmy w stanie przebić się przez otaczająco nas bańkę informacyjną? Na te pytanie każdy musi odpowiedzieć sobie indywidualnie.
Człowiek kontra sztuczna inteligencja
W dzisiejszych czasach rozwój technologiczny umożliwił stworzenie coraz bardziej zaawansowanych robotów i sztucznej inteligencji. Jednak równocześnie na horyzoncie pojawiają się zupełnie nowe wyzwania natury etycznej i prawnej związane z używaniem i wprowadzaniem nowoczesnych technologii w naszym codziennym życiu. Jeszcze na długo przed rozwojem sztucznej inteligencji i powstaniem pierwszych robotów zaczęto się zastanawiać, czy w przyszłości nie będzie to stanowić zagrożenia dla ludzkości. Niektórzy naukowcy i filozofowie od lat ostrzegają przed możliwością, że sztuczna inteligencja może stać się zbyt inteligentna i przejąć kontrolę nad ludźmi. Jak bumerang wraca również lęk przed buntem maszyn. Są jednak tacy, którzy uważają, że rozwoju sztucznej inteligencji i robotyzacji nie należy przerywać, lecz ograniczyć systemem konkretnych praw i nakazów.
Tymczasem okazuje się, że wraz z rozwojem sztucznej inteligencji człowieka będzie coraz łatwiej oszukać, a maszynę coraz trudniej. Już dziś cyberprzestępcom najłatwiej jest oszukać człowieka, nie walczyć z różnego rodzaju maszynami i cyfrowymi zabezpieczeniami. Dlatego aż 80% wszystkich włamań do systemów i aplikacji zaczyna się od przejęcia konta lub wrażliwych danych. Ta liczba niestety będzie wciąż wzrastać, ponieważ dzięki rozwiązaniom AI, takim jak m.in. ChatGPT czy midjourney, ataki polegające na socjotechnice stają się jeszcze prostsze. Skan twarzy, odcisk palca, fizyczny klucz to dzisiaj jedyne sposoby, które są w stanie skutecznie przeszkodzić takim procederom. Hasła już od dawna nie są dla przestępców żadną barierą.
Przejmowanie kolejnych działań – czy to w biznesie, czy w sferze prywatnej – przez technologię to kierunek nieodwracalny. Niestety dotyczy to również tych, które niekoniecznie są dobre i etyczne. Już dziś rozwiązania takie, jak ChatGPT bardzo przydają się i są używane przez cyberprzestępców. Szczególnie przez takich, którzy nie mają zbyt rozwiniętych umiejętności technicznych. Dla nich to oszczędność pieniędzy i czasu.
Na co powinny więc zwrócić uwagę banki czy inne organizacje, których pracownicy chcą na co dzień używać generatorów typu ChatGPT w swojej pracy? Trudno jednoznacznie odpowiedzieć na to pytanie, ponieważ dla wszystkich to, co dziś się dzieje, jest nowością. Jesteśmy na początku tej specyficznej ery. Na pewno jednak każda firma powinna przywiązywać ogromną wagę do tego zagadnienia, tym bardziej że coraz więcej osób pracuje zdalnie, często na źle zabezpieczonym sprzęcie, łącząc się z podejrzanymi sieciami. To przecież pierwszy krok do utraty danych uwierzytelniających, który otwiera intruzowi bramę do wewnętrznej sieci banku.
Patrząc na zachowania poszczególnych państw, łatwo zauważyć problem ze zdiagnozowaniem nowego fenomenu. Władze same nie wiedzą, jak do niego podejść. Włochy pierwotnie zablokowały ChatGPT tylko po to, aby kilka tygodni później przywrócić możliwość jego użytkowania.Wielka Brytania z kolei uznała, że nie powinno się nic regulować i w nic ingerować. Platformy AI mogą być cennymi narzędziami np. do automatyzacji funkcji, wsparciem w kreowaniu pomysłów, mogą też sugerować nowy kod i poprawki dla uszkodzonych aplikacji. Sam Gartner przewiduje, że do 2025 roku rynek oprogramowania AI osiągnie prawie 134,8 mld USD, a wzrost rynku ma przyspieszyć z 14,4% w 2021 roku do 31,1% w 2025 roku, znacznie przewyższając ogólny wzrost na rynku oprogramowania. Zanim jednak firmy przejdą do szybkiego działania, konieczne są środki ostrożności.
W dzisiejszych czasach firmy muszą zmierzyć się z rosnącymi zagrożeniami w obszarze cyberbezpieczeństwa. Wraz z rozwojem technologii pojawiają się coraz bardziej zaawansowane metody ataków, które mogą doprowadzić do wycieku danych i uszkodzenia reputacji przedsiębiorstwa. Jak więc zapewnić odpowiedni poziom zabezpieczeń? Odpowiedzią na to pytanie może być filozofia bezpieczeństwa Zero Trust oraz wykorzystanie sztucznej inteligencji.
Model Zero Trust zakłada podejście oparte na silnym uwierzytelnianiu i maksymalnym ograniczeniu uprawnień użytkowników. Jego głównym celem jest zapewnienie bezpieczeństwa poprzez wielopoziomowe zabezpieczenia, takie jak uwierzytelnianie, autoryzacja i szyfrowanie danych. W ramach tego modelu każda osoba, nawet ta działająca wewnątrz organizacji, jest traktowana jako potencjalne zagrożenie dla sieci. Dzięki temu podejściu możliwe jest skuteczne ograniczenie ryzyka ataków i wycieków informacji.
Model Zero Trust jest szczególnie przydatny w kontekście rosnącej liczby pracowników pracujących zdalnie i korzystających z różnych urządzeń. W takiej sytuacji, ryzyko ataków hakerskich i wycieków danych znacząco wzrasta. Dlatego przedsiębiorstwa coraz częściej szukają rozwiązań, które pozwolą im zwiększyć poziom ochrony i bezpieczeństwa. Model Zero Trust jest uważany za jedno z najskuteczniejszych podejść w tym zakresie.
Współczesny świat biznesu coraz bardziej polega na sztucznej inteligencji i innowacyjnych rozwiązaniach. W tym kontekście narzędzia takie jak ChatGPT odgrywają istotną rolę, rewolucjonizując sposób działania firm. Wraz z rozwojem tych technologii, konieczne staje się wprowadzanie coraz lepszych zabezpieczeń. Jednym z takich rozwiązań jest wdrażanie kompleksowego silnego uwierzytelniania w całej organizacji.
Co ważne, silne uwierzytelnianie będzie rozwijać się w taki sposób, że dla przeciętnego użytkownika stanie się ono zupełnie niezauważalne. Coraz częściej zamiast haseł będziemy korzystać z biometrycznego uwierzytelniania, takiego jak skanowanie linii papilarnych czy rozpoznawanie twarzy. Takie rozwiązania są nie tylko bardziej bezpieczne, ale także bardziej wygodne dla użytkowników.
Podsumowanie
Żyjemy w społeczeństwie informacyjnym. Obrazowo można nawet powiedzieć, że pływamy po przepełnionym oceanie danych. Szacunki pokazują, że do 2025 roku globalna produkcja danych wzrośnie do ponad 180 zettabajtów. Zastanawiając się przez chwilę nad tym, jak objąć umysłem taki ogrom treści docieramy do znacznie poważniejszego wyzwania – co zrobić z tymi wszystkimi danymi? Kto może z nich korzystać? A może znacznie bardziej zasadne byłoby pytanie, kto może wykorzystać je przeciwko nam?
Robert Cialdini - profesor psychologii Uniwersytetu Stanowego w Arizonie, który zyskał ogromną popularność na całym świecie m.in. za sprawą książki Wywieranie wpływu na ludzi. Teoria i Praktyka opisał znane od lat zasady wywierania wpływu wywierania wpływu. Co może się stać, gdy mając świadomość niezwykłej skuteczności tych reguł przeniesiemy je w obszar cyberprzestrzeni?
Użytkownicy mediów społecznościowych najczęściej nie mają najmniejszych nawet oporów przed publikacją w mediach społecznościowych bardzo osobistych, czy wręcz intymnych zdjęć – dopiero po latach okazuje się, jak poważny jest to problem i jakie niesie ze sobą konsekwencje. Gdy czytamy Rok 1984 George’a Orwella lub Nowy wspaniały świat Aldous’a Huxleya może się wydawać dziwne, jak można funkcjonować w świecie praktycznie pozbawionym prywatności. Tymczasem właśnie w takim świecie dziś żyjemy. Prywatność praktycznie przestaje istnieć na naszych oczach. Staje się atrakcyjnym towarem, a dotychczasowych konsumentów zmienia w… produkt.
Nie ulega wątpliwości, że na przestrzeni ostatniej dekady kluczową rolę w kontekście form komunikowania zaczęły pełnić media społecznościowe, zawłaszczając sporą część przestrzeni medialnej zarezerwowanej przez lata właśnie dla wszelkiego rodzaju ekspertów. W ciągu zaledwie kilku lat eksperci stanęli przed dylematem, czy swoją dotychczasową aktywność przenieść do cyberprzestrzeni i mediów społecznościowych czy też nie.
Zgodnie z definicją Andreasa Kaplana i Michaela Haenleina, media społecznościowe są „grupą bazujących na internetowych rozwiązaniach aplikacji, które opierają się na ideologicznych i technologicznych podstawach Web 2.0 i które to umożliwiają tworzenie i wymianę wygenerowanych przez użytkowników treści”. Największe portale społecznościowe tworzone były, jako media służące do interakcji międzyludzkiej i w zasadzie już od chwili powstania dysponowały rozbudowanym zestawem narzędzi komunikacyjnych, które wykraczały poza dotychczasową komunikację społecznościową. Wykorzystanie nowych technologii spowodowało daleko idące zmiany w sposobie komunikacji i komunikowania nie tylko na płaszczyźnie indywidualnej, całych grup, organizacji, a nawet społeczności.
Konkretnych dowodów na to, w jaki sposób media społecznościowe usprawniły komunikację i znacznie ułatwiły kontakty międzyludzkie, dostarczyło badanie zrealizowane przez psychologów Stanleya Milgrama i Jeffreya Traversa w 1969 roku. Badacze poprosili mieszkańców stanu Nebraska w USA o przekazanie przez swoich znajomych, a następnie przez ich znajomych, paczki dla mieszkańca Bostonu. Następnie prześledzili łańcuch znajomości, dzięki któremu wędrowała przesyłka. Dzięki temu badacze doszli do wniosku, że dwóch dowolnych mieszkańców tego stanu dzieli 6,2 znajomego. Badanie te stało się podstawą rozważań dla wielu innych socjologów. Od 2000 roku badacze mediów społecznościowych nawiązują do tej myśli. W 2011 roku Johan Ugander, były stażysta w firmie Facebooka, przeprowadził badanie, w którym udowodnił, że użytkownicy Facebooka są od siebie oddaleni o 4,74 stopnie znajomości. Przykład ten dobitnie pokazuje, w jaki sposób rozwój mediów społecznościowych oraz ich upowszechnienie i popularyzacja zwłaszcza wśród użytkowników młodszego pokolenia internautów zmieniły naturę relacji i sposobu, w jaki je w ogóle nawiązujemy.