Autor: Piotr Balcerzak

Phishing na miarę nowych czasów. Spoofing, vishing, smishing – co to, jak i dlaczego z tym walczyć?

Oszustwa dokonywane przez przestępców działających nie na ulicach, ale w sieci, nie są niczym nowym, ale działania oszustów są coraz bardziej śmiałe i wyszukane.  Od wielu lat problemem jest phishing, wiadomości phishingowe wyglądem przypominają te autentyczne, a ich celem jest nakłonienie nas do ujawnienia poufnych informacji, co w wielu przypadkach skutkuje stratami finansowymi. Są one często skuteczne, bo oszust pisze z adresu pozornie mam znajomego, podszywając się pod instytucję finansową lub firmę usługową. Szata graficzna wiadomości lub fałszywych stron, do których wiadomości te odsyłają, zazwyczaj uniemożliwia szybkie rozpoznanie, że mamy do czynienia z oszustwem. Dopiero po skrupulatnej analizie można zweryfikować prawdziwość korespondencji i ustrzec się przed działaniami niepożądanymi, do jakich nakłania nas oszust.

Przez lata nauczyliśmy się bronić przed zagrożeniami działań phishingowych. Dzięki zachowaniu kilku podstawowych zasad można znacząco zmniejszyć ich szkodliwość i lepiej chronić nasze dane osobowe i środki finansowe. Dziś wiemy, że nie należy podawać swoich danych osobowych tam, gdzie to nie jest niezbędne, a jeśli już zdecydujemy się na podanie danych, to musimy być pewni, że robimy to w sposób bezpieczny. Dobry program antywirusowy, zabezpieczona odpowiednio strona, silne i unikalne hasło dostępu do serwisu, to podstawy bezpiecznego działania w sieci. Coraz częściej uważnie weryfikujemy adresy stron, które nas zachęcają do podjęcia określonych działań.  Wiemy, że nie należy klikać w linki zamieszczone w e-mailach i by zwracać uwagę na wszelkie nietypowe działania w sieci.

Testy Socjotechniczne

Oszuści wybierają kolejne narzędzia umożliwiające im przestępczą działalność. Obecnie coraz częściej spotykamy się z podszywaniem się oszustów pod niebudzące podejrzeń numery telefonów, z których odbieramy sms’y (smishing) albo komunikaty głosowe, które mają nas nakłonić do zadzwonienia pod podany numer telefonu. Czasem jest to połączenie z numeru podobnego do lokalnego prefiksu, ale może się zdarzyć, że będzie to kompletny numer, np. podszywający się np. pod biura obsługi klienta firmy telekomunikacyjnej albo dostawcy mediów (spoofing), wykorzystanie telefonu do działań pishingowych (vishing).

Jak oszuści podszywają się pod numer telefonu?

Spoofing telefoniczny, czyli Caller ID Spoofing, jest chętnie wykorzystywany przez oszustów z powodu   prostoty, z jaką niemal każdy może podszyć się pod dowolny numer. Powodem są luki w używanych powszechnie protokołach VoiP, w których serwery mają gotowe rozwiązania do modyfikacji wyświetlanych nagłówków, więc „spoofer” by działać nie musi być nawet ekspertem telekomunikacyjnym. W Internecie znaleźć można darmowe narzędzia, które pozwalają wybrać połączenie na dowolny numer i wyświetlić na telefonie odbiorcy znany mu identyfikator – nazwę banku lub zaufanego kontaktu. Takie aplikacje pozwalają wpisać numer osoby, do której oszust chce zadzwonić i numer, jakim chce się przedstawić (ten numer z kolei przestępca mógł pozyskać poprzez wcześniejszy hacking). Sposób wykorzystania tej technologii zależy od przestępcy, który może na przykład poprosić o wykonanie płatności lub przesłanie poufnych danych.

Sam fakt połączenia od podmiotu, z którym wiąże nas umowa nie ma powodów budzić podejrzeń. Natomiast komunikat, który oszust nam przekazuje zawiera zazwyczaj groźbę działań takich jak odłączenie medium (prądu, gazu, telefonu) jeszcze w tym samym lub w kolejnym dniu w wypadku braku natychmiastowego uiszczenia rzekomo zaległej opłaty, w czym pomóc ma przekazany link. Taka informacja może wywołać u odbiory stres, pod wpływem którego osoba ta może podążyć za wskazówkami oszusta bez wcześniejszego sprawdzenia salda swoich opłat, tym bardziej, że zazwyczaj nie ma ona czasu na sprawdzenie czy przestawiona w rozmowie informacja jest prawdziwa. Przestępcy też czasem podszywają się pod członka bliskiej rodziny, znajomych, szybką i niewyraźną mową proszących o pomoc np. po wypadku. Jeżeli oszuści mają choćby podstawowe informacje o nas i naszej rodzinie, to liczą na to, że pod wpływem wywołanych przez nich emocji osiągną swój zamierzony cel.

 

Przed takim atakiem nie ma technicznej ochrony. Nic nie da zablokowanie numeru telefonu, bo oszuści w każdej chwili mogą podszyć się pod inny numer. Nie pomagają też filtry antyspamowe, bo przecież oszuści podszywają się pod numery telefonów, których zwykle nie traktujemy jako spam. Jedyne, co można zrobić, to być świadomym możliwości wystąpienia ataku i umieć go rozpoznać.

Jak oszuści wykorzystują dane osobowe?

Celem spoofera nie zawsze jest bezpośrednie uzyskanie środków finansowych. Czasami inicjatywa jest zaplanowana na podstępne nakłonienie do przekazania danych, które dopiero w późniejszym czasie posłużą do popełnienia właściwego przestępstwa kradzieży tożsamości. Jeżeli damy się oszukać i nieopatrznie podamy oszustom dane, to może mieć dla nas wiele przykrych, dotkliwych i kosztownych konsekwencji. Jedynie przykładowe z nich to:

  • Dostęp i opróżnienie konta bankowego.
  • Otwieranie nowych rachunków bankowych i zaciąganie pożyczek lub otwieranie linii kredytowych.
  • Zawieranie umów abonamentowych.
  • Kupowanie towarów na rachunek oszukanej osoby.
  • Uzyskanie dostępu do poczty e-mail, w celu znalezienia innych poufnych informacji.
  • Uzyskanie dostępu do kont w mediach społecznościowych w celu dokonania dalszych oszustw.

Spoofing a bezpieczeństwo narodowe

Nie można zapominać, że na opisane powyżej ataki (vishing, smishing) narażeni jesteśmy nie tylko jako osoby prywatne, ale również jako przedsiębiorcy i osoby prawne. Każda forma phishingu – niezależnie od nowej nazwy, która ma ją charakteryzować stanowi zagrożenie dla bezpieczeństwa obrotu gospodarczego. Na ataki spooferów narażeni są też politycy i urzędnicy państwowi. Skala takich przestępstw jest na tyle duża – i wciąż dramatycznie się zwiększa – że problemem poważnie zainteresowały się organy ochrony prawnej m.in. Urząd Komunikacji Elektronicznej i NASK. W szczególności rzecznik UKE ostrzega, że nasilające się ataki spoofingowe nie są przypadkiem ani dziełem naśladowców, lecz związane są z napiętą światową i europejską sytuacją geopolityczną.  Dlatego trwają prace nad rozwiązaniami prawnymi, które pozwolą skuteczniej walczyć z nowymi formami phishingu. Ale póki co, przedstawiciele administracji, jak i operatorzy telekomunikacyjni zgadzają się, że trudno będzie całkowicie wyeliminować to zjawisko wyłącznie narzędziami organizacyjnymi. Firmy telekomunikacyjne zapewniają przy tym, że zintensyfikują działania na rzecz modernizacji systemów, żeby utrudnić działanie oszustom.

Jak bronić się przed spoofingiem?

Mam nadzieję, że ataki staną się rzadsze po wdrożeniu przez firmy telekomunikacyjne nowych standardów. Jednak ważna jest również edukacja i istniejących zagrożeniach, jego formach i podstawowych sposobach ochrony. Instytucje powinny szkolić swoich pracowników. Wiedza o zagrożeniach skutecznie pozwala na ich skuteczniejsze unikanie.  Lepiej to zrobić zanim zagrożenie będzie miało szansę się zmaterializować.  Nasze bezpieczeństwo wzmacnia również skuteczny program antywirusowy.

 

 

Jakie dokumenty może pracodawca żądać od pracownika – cudzoziemca, aby być w zgodzie z przepisami RODO?

Zatrudnienie cudzoziemca

W związku z RODO wielu pracodawców ma dylemat, jakie dokumenty mogą się znaleźć w aktach osobowych pracownika – cudzoziemca?

W pierwszej kolejności należy odnieść się do przepisów Kodeksu pracy, albowiem zgodnie z nimi pracodawca może przetwarzać zamknięty katalog danych osobowych (art. 221 § 1 i 3) osoby ubiegającej się o pracę oraz pracownika.  § 4 Kodeksu pracy daje pracodawcy możliwość żądania podania innych danych osobowych niż określone w tym katalogu, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.  Pracodawca zatrudniający cudzoziemca w podstawowym zakresie prowadzi i przechowuje jego akta osobowe na takich samych zasadach, jak w przypadku zatrudnienia obywateli polskich. Warunki przyjmowania osób niebędących obywatelami Rzeczpospolitej Polskiej określają przepisy ustawy z dnia 15 czerwca 2012 r. o skutkach powierzania wykonywania pracy cudzoziemcom przebywającym wbrew przepisom na terytorium Rzeczypospolitej Polskiej. Zgodnie z jej art. 2 podmiot powierzający wykonywanie pracy cudzoziemcowi ma obowiązek żądać od cudzoziemca przedstawienia przed rozpoczęciem pracy ważnego dokumentu uprawniającego do pobytu na terytorium Rzeczpospolitej Polskiej. Natomiast art. 3 ustawy określa, że pracodawca, który powierza wykonywanie pracy cudzoziemcowi musi przechowywać przez cały okres wykonywania pracy przez cudzoziemca kopię tego dokumentu.

W związku z powyższym, pracodawca ma prawo przechowywać w aktach osobowych dokumentację związaną z zatrudnianiem obcokrajowca, w tym kopię paszportu pracownika, gdyż to on występuje o wydanie jednego z trzech dokumentów legalizujących pracę cudzoziemca w Polsce, wizy czy dokumentów potwierdzających legalność pobytu (tj. zezwolenie na pracę, zezwolenie na pracę sezonową) i zatrudnienia pracownika (powinny to być kopie). Natomiast zezwolenia na pracę i pracę sezonową umieszczamy w aktach w oryginale, albowiem te dokumenty są wydawane w trzech egzemplarzach, tj. jeden dla urzędu, jeden dla cudzoziemca oraz jeden dla pracodawcy.

Przetwarzanie danych osobowych dotyczących pobytu na terenie Polski, wykraczających poza katalog wskazany w art. 221 Kodeksu pracy, będzie odbywało się zatem na podstawie art. 6 ust. 1 lit. c RODO, czyli obowiązku prawnego administratora, jaki ma pracodawca, w związku z wspomnianymi wyżej przepisami ustawy o skutkach powierzania wykonywania pracy cudzoziemcom przebywającym wbrew przepisom na terytorium Rzeczpospolitej Polskiej.

Webinar: RODO w branży e-commerce – niezbędnik na rok 2022!

Zapraszamy na webinar firmy działające w branży e-commerce do zapoznania się z niezbędnikiem RODO na 2022 rok. Wiele firm z branży e-commerce zastanawia się czy podejmowane działania są zgodne z RODO, czy ich sklep internetowy ma odpowiedni regulamin lub jakie jest niezbędne minimum zgodności z RODO, które powinien spełniać i co jest najważniejsze. 

 

Podczas naszego webinaru,  przedstawimy Państwu odpowiedzi na poniższe pytania:

1. RODO jako system oparty o analizę ryzyka – co jest najważniejsze?

2. Najczęstsze błędy na przykładach z branży e-commerce:

  • Regulamin strony internetowej
  • Polityka cookies i polityka prywatności
  • Zgody marketingowe
  • Profilowanie

3. Kiedy, jak i czy w Twojej organizacji należy powołać inspektora ochrony danych?

4. Jakie są różnice pomiędzy zadaniami inspektora a koordynatora ds. danych osobowych?

Zapraszamy!

 

Zapisy na wydarzenie odbywają się poprzez platformę Clickmeeting:

>>>Zarejestruj się <<<

e-TOLL, RODO, a monitoring pracowniczy

1 grudnia 2021 r. uległ zmianie pobór opłat na części państwowych odcinkach płatnych dróg w związku z wprowadzeniem systemu e-TOLL. Na odcinkach Konin – Stryków (autostrada A2) i Wrocław – Sośnica (autostrada A4) kierowcy pojazdów nie mają obecnie już możliwości opłacenia przejazdu przy tzw. bramkach. W sytuacji zatem, gdy lokalizacja pracownika będzie podlegała monitoringowi, należy zapewnić przetwarzanie danych osobowych zgodnie z przepisami RODO1 , jak i Kodeksu pracy2 .

System e-TOLL

Czym jest e-TOLL? System e-TOLL opierający się na technologii pozycjonowania satelitarnego zastąpił dotychczasowy viaTOLL, który wykorzystywał technologie komunikacji bliskiego zasięgu (DSRC). Obecnie kierowcy mają możliwość opłacenia przejazdu za pomocą:

  • Urządzenia pokładowego OBU, który wymaga wyposażenia pojazdu w urządzenie pokładowe lub zewnętrznego systemu lokalizacyjnego (ZSL). Dane geolokalizacyjne przesyłane są do systemu e-TOLL za pośrednictwem transmisji danych.
  • Zewnętrznego systemu lokalizacyjnego (ZSL), który wymaga instalacji w pojeździe i aktywacji usługi e-TOLL.
  • Aplikacji mobilnej e-TOLL.
  • Opłacenia przejazdu w punkcie stacjonarnym lub poprzez inne aplikacje mobilne.

Brak uiszczenia opłaty w terminie zagrożone jest karą w wysokości do 500 złotych. Kolejno, oprócz obowiązku uiszczenia opłaty za przejazd, w sytuacji, gdy pracodawca otrzymuje informacje o lokalizacji pracownika, zobowiązany jest do wdrożenia przepisów dotyczących ochrony danych osobowych. Nowy system poboru opłat wiąże zatem wielu pracodawców do uregulowania przedmiotu monitoringu pracowniczego w organizacji w związku z wprowadzeniem systemu e-TOLL.

e-TOLL a ochrona danych osobowych

Zgodnie z art. 4 ust. 1 lit. a) RODO do danych osobowych należy zaliczyć m.in. dane o lokalizacji. W polskim porządku prawnym, krajowy ustawodawca w art. 22[3] Kodeksu pracy określił możliwość stosowania monitoringu wyłącznie w dwóch celach. Do celów tych zalicza się niezbędność przetwarzania do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy. Niewątpliwie, monitoring lokalizacji pracownika w związku z użytkowaniem przez niego mienia organizacji znajduje się w katalogu celów wskazanych przez ustawodawcę krajowego. Na marginesie należy wskazać, iż podstawę przetwarzania należy każdorazowo określić w dostosowaniu do celu przetwarzania, jak i podmiotu danych.

Niemniej, w związku z monitoringiem wiąże się szereg obowiązków, które zobowiązany jest zrealizować przedsiębiorca. W szczególności należą do nich:

1. Realizacja obowiązku informacyjnego z art. 13 i 14 RODO.

Dla nowych pracowników rekomendowanym jest przekazanie obowiązku informacyjnego uwzględniającego cel przetwarzania związany z monitoringiem na etapie onboardingu. W stosunku zaś do obecnych pracowników, pracodawca również zobowiązany jest do realizacji obowiązku informacyjnego z uwagi na określenie nowego celu przetwarzania. Oznacza to, iż w związku z wprowadzeniem monitoringu, może zachodzić konieczność ponownego realizowania obowiązku informacyjnego, gdy nie dochodzi do wyłączenia określonego w art. 13 i 14 RODO. Jednocześnie należy wskazać, iż Europejska Rada Ochrony Danych w wytycznych 01/2020 wskazuje, iż dozwolonym jest również ograniczenie pisemnej informacji poprzez wprowadzenie na przykład ikon w celu zwiększenia przejrzystości informacji.

2. Poinformowanie pracowników o stosowaniu monitoringu przed przystąpieniem pracownika do pracy lub co najmniej 2 tygodnie przed jego uruchomieniem.

Zgodnie z art. 22[2] Kodeksu pracy, pracodawca zobowiązany jest do poinformowania pracowników o stosowaniu monitoringu w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu. Jednocześnie warto zwrócić uwagę, iż ustawodawca wprowadził obowiązek przekazania informacji na piśmie o celach, zakresie oraz sposobie stosowania monitoringu wobec pracowników, którzy zostaną dopuszczeni do pracy.

3. Pojazd, który jest monitorowany powinien zostać odpowiednio oznakowany.

Kodeks pracy w art. 22[2] wskazuje również obowiązek odpowiedniego oznaczenia pojazdu, który jest objęty monitoringiem. Oznaczenie powinno być widoczne i czytelne. Ustawodawca wprowadził możliwość oznaczenia za pomocą znaków, jak i ogłoszeń dźwiękowych. Dodatkowo, określono, iż termin nie powinien przekraczać jednego dnia przed jego uruchomieniem.

4. Określenie okresu retencji danych osobowych.

Pracodawca jako niezależny administrator danych zobowiązany jest do określenia okresu przetwarzania danych osobowych dotyczących lokalizacji pracownika. Okres ten nie powinien być dłuższy, niż jest to konieczne do celów, dla których dane zostały pobrane lub dla których są przetwarzane.

5. Przeprowadzenie testu DPIA.

Zgodnie z komunikatem Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony3 , przetwarzanie danych lokalizacyjnych zostało zakwalifikowane jako rodzaj operacji przetwarzania wymagający przeprowadzania oceny skutków dla ochrony danych. Administrator zatem dokonując przetwarzania, został zobligowany przez organ nadzorczy do przeprowadzania dodatkowej analizy. Test DPIA pozwoli administratorowi zweryfikować podatności, jak i wdrożyć odpowiednie środki w celu zmniejszenia wysokiego ryzyka naruszenia praw lub wolności podmiotów danych.

Konkludując, wraz z wprowadzeniem systemu płatności e-TOLL w organizacji, kluczowym jest również właściwa implementacja przepisów dotyczących ochrony danych osobowych. Odpowiednie wprowadzenie monitoringu w przedsiębiorstwie zapewni zgodność z prawem przy jednoczesnym dostosowaniu do nowych możliwości technologicznych.

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

[2] Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy, Dz. U. z 2020 r., poz. 1320, z 2021 r. poz. 1162

[3] Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony (Dz. U. poz. 666)