Reklama
Reklama
  • WIADOMOŚCI

Fizyczny aspekt cyberbezpieczeństwa. Jak kradziono dyski i płonęły dane?

Cyberbezpieczeństwo ma nie tylko wymiar informatyczny, ale również fizyczny
Cyberbezpieczeństwo ma nie tylko wymiar informatyczny, ale również fizyczny
Autor. Pixabay.com. Licencja: https://pixabay.com/service/license-summary/

Cyberbezpieczeństwo to nie tylko zabezpieczenia informatyczne. Powinniśmy pamiętać o tym, że nasze dane znajdują się na fizycznych nośnikach, które mogą zostać skradzione bądź uszkodzone. Przytaczamy kilka incydentów, które jasno pokazują konieczność uwzględniania ryzyka związanego z włamaniami do pomieszczeń bądź przejęciem dysku przez nieuprawnione osoby.

W Załączniku nr 4 do Ustawy o Krajowym Systemie Cyberbezpieczeństwa, dotyczącym wymogów dla Systemu Zarządzania Bezpieczeństwem Informacji dla podmiotów ważnych będących podmiotem publicznym, znalazł się następujący wymóg:

„(…) zapewnienie ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami”.

Warto jednak sobie zadać pytanie o to, jakie incydenty z zakresu kradzieży bądź uszkodzenia nośników danych zdarzały się w przeszłości – nie tylko w podmiotach publicznych, ale również w polskich firmach.

Kradzież komputera

Historia zna przynajmniej kilka przypadków utraty dostępu do laptopa z danymi osobowymi. Głośny incydent dotyczył kradzieży prywatnego komputera pracownika SGGW, który zawierał dane osób rekrutujących na uczelnię w ciągu ostatnich kilku lat (sprawa miała miejsce w 2019 roku – przyp. red.).

Liczba rekordów, które potencjalnie mogły ulec naruszeniu ochrony, wyniosła nieco ponad 81 tys. – należy przy tym podkreślić, że nie jest to liczba osób, których dane trafiły w niepowołane ręce (z racji na możliwość kilkukrotnego aplikowania na kierunki).

W 2022 roku Prezes Urzędu Ochrony Danych Osobowych ukarał jednego z wójtów gminy za niezastosowanie odpowiednich środków technicznych i organizacyjnych w związku z kradzieżą laptopa z domu pracownika urzędu.

Rok później PUODO wydał podobną decyzję w przypadku kradzieży laptopa z samochodu służbowego osoby na kierowniczym stanowisku.

Incydenty jasno pokazują, że w przypadku przetwarzania danych osobowych konieczne jest m.in. szyfrowanie dysków (np. w oparciu o Bitlockera bądź VeraCrypt). Nie powinniśmy również umożliwiać pracownikom przetwarzania danych osobowych na ich prywatnych komputerach.

Reklama

Dysk zniknął z urzędu, a karta z szpitala

W styczniu br. opisywaliśmy przypadek kradzieży dysku z siedziby Wojewódzkiego Zespołu do spraw Orzekania o Niepełnosprawności w Województwie Podkarpackim. Osoby poinformowano o sprawie dopiero rok po zdarzeniu. Niestety nie możemy zawrzeć linku do komunikatu, ponieważ… został usunięty ze strony urzędu.

Na początku 2025 roku Prezes UODO wydał decyzję związaną z „zagubieniem bądź kradzieżą” kart pamięci, na których przechowywano nagrania z monitoringu wizyjnego w centrum medycznym.

Konieczność fizycznej ochrony przed nieuprawnionym dostępem pokazują również włamania do różnych obiektów. Dobrym przykładem jest nieuprawnione wejście do archiwalnego pomieszczenia Urzędu Miasta Chorzów, co opisywaliśmy w marcu br. Sprawca wyłamał stalowe drzwi.

„Bezpieczeństwo fizyczne często jest pomijane w kontekście ochrony informacji. Wielu specjalistów w różnych przedsiębiorstwach i instytucjach państwowych skupia się na warstwie cyfrowej ochrony dostępu do informacji, bagatelizując lub nie będąc świadomymi zagrożeń fizycznych” – przekazał nam wówczas Krzysztof Smaga (CyberDuckSecurity) w kontekście bezpieczeństwa fizycznego.

Policja informuje

W 2013 roku Komenda Stołeczna Policji poinformowała o zatrzymaniu dwóch osób podejrzewanych o kradzież laptopa z hotelu. Mężczyźni mieli dostać się do pomieszczenia za pomocą „drzwi od zaplecza”. Groziło im do 5 lat pozbawienia wolności.

12 lat temu KMP w Katowicach zatrzymała trzy osoby podejrzewane o włamanie do serwerowni. „Wnętrze serwerowni zostało zdewastowane. Właściciel budynku wstępnie oszacował straty na… 400 tysięcy złotych – stwierdzono w komunikacie.

Reklama

Dane nam spłonęły

W listopadzie 2023 opublikowano decyzję Prezesa UODO, dotyczącą zniszczenia serwerowni w wyniku pożaru. Skutkowało to utratą jedynej kopii danych osobowych – firma nie tworzyła backupów. Stanowiło to naruszenie, ponieważ bezpowrotnie utracono dane 14 tysięcy osób.

Nie był to jedyny incydent tego typu. „W dniu 6 lutego 2021 r. o godz. 20.30 doszło do pożaru w magazynach Archiwum UMK – czytamy w komunikacie Urzędu Miasta Krakowa. Zdarzenie nie dotyczy danych informatycznych oraz obejmowało dokumenty sprzed kilkudziesięciu lat, lecz pokazuje bardzo praktyczny wymiar utraty zbiorów informacji, szczególnie pod kątem kopii zapasowych w dzisiejszych systemach.

Jeżeli Pani/Pan pragnie się powołać na treść dokumentu, który spoczywał w Archiwum UMK i uległ spaleniu, wówczas nie będzie się mógł Pani/Pan powoływać na ten dokument, który może być Pani/Panu potrzebny w prowadzonych postępowaniach administracyjnych czy sądowych, chyba, że inne egzemplarze tego dokumentu zostały zachowane w zasobach innych organów czy instytucji.
Komunikat UMK

Chmura nie jest panaceum

Ktoś mógłby rzec: „przenieśmy wszystkie dane do chmury, przecież tam jest bezpiecznie i na pewno nic nie spłonie!”. Tyle, że… ryzyko zawsze istnieje. I mieliśmy nawet taki incydent.

W marcu 2021 roku serwery OVH spłonęły (głównie blok SBG2 – przyp. red.). Na łamach Sekuraka podkreślano, że wiązało się to z konsekwencjami dla niektórych polskich firm.

Zdarzenie pokazuje jedno: nawet w środowiskach chmurowych warto pamiętać o tym, że w przypadku posiadania tam dwóch kopii danych (produkcyjnej i zapasowej) należy rozważyć przechowywanie ich w różnych miejscach (serwerach będących w innych lokalizacjach geograficznych).

Podkreślają to również niedawne ataki dronów na Bliskim Wschodzie, które spowodowały uszkodzenie trzech obiektów związanych z świadczeniem usług chmurowych przez Amazon (AWS), zlokalizowanych w Zjednoczonych Emiratach Arabskich i Bahrajnie.

AWS mówi, że dwa obiekty w ZEA miały być uderzone bezpośrednio, natomiast w Bahrajnie atak dronem w pobliżu jednego z obiektów spowodował fizyczne uszkodzenia infrastruktury
BBC
Reklama

Jak się chronić?

W przypadku bezpieczeństwa fizycznego nośników danych kluczowe jest szyfrowanie. Z założenia nic nas nie kosztuje (poza czasem wdrożenia), lecz znacznie zwiększa bezpieczeństwo danych – szczególnie w przypadku dysków, pendrive’ów czy laptopów.

Jednocześnie kluczowe jest to, aby hasło (klucz) było odpowiednio złożone. PESEL można złamać w ciągu minut bądź godzin na biurowym sprzęcie.

Niezmiennie ważne pozostają kopie zapasowe, tworzone w ramach zasady „3-2-1” bądź „3-2-1-1-0”. Pamiętajmy, że przynajmniej jeden z backupów powinien być odizolowany – zarówno pod kątem logicznym (dostępu z poziomu sieci lokalnej) oraz fizycznym (znajdowania się w innym miejscu).

Włamania do obiektów publicznych jasno wskazują na konieczność należytej kontroli dostępu do obiektów. W raporcie Najwyższej Izby Kontroli z 2025 roku wskazano, że aż połowa badanych jednostek nie wdrożyła odpowiednich zabezpieczeń fizycznych serwerowni.

Nawet w sytuacji, gdy nasze dane są szyfrowane oraz posiadamy stosowne kopie – nigdy nie powinniśmy zostawiać naszych urządzeń bez opieki.

Doskonale rolę zabezpieczeń pokazuje film z 2015 roku, gdzie ”gość z drabiną” jest w stanie wejść w wiele miejsc.

YouTube cover video
CyberDefence24.pl - Digital EU Ambassador

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama