Multe lucruri se vand si se cumpara pe lume, iar numele, adresa si telefonul dumneavoastra nu fac exceptie de pe lista marfurilor cu valoare. Exista destui manageri de firme romanesti care sunt pe punctul sa faca o criza de nervi de fiecare data cand vreun coleg bine intentionat aduce intamplator vorba despre beneficiile unei asigurari de viata. Si asta nu pentru ca respectivii s-ar crede cumva nemuritori, ci dintr-un motiv mult mai simplu. Cel putin o data pe luna, se intampla ca, exact atunci cand au mai multe pe cap si sunt mai obositi, sa sune telefonul mobil si la capatul celalalt sa fie un agent de asigurari cu o super-oferta. De fiecare data altul, cu care n-au mai stat niciodata de vorba.
Cum incepe de obicei o astfel de poveste? Cu o discutie cu un agent de vanzari, caruia omul de afaceri ii lasa si numarul de telefon. Printr-o misterioasa scurgere de informatii, numarul nu ramane doar la respectivul agent, iar apoi victima trebuie sa discute pe tema asigurarilor de viata cu ceva mai multi oameni decat ar avea chef. Iar daca scapa de telefoanele nedorite, se enerveaza in fata computerului cand trebuie sa stearga o multime de e-mail-uri nesolicitate cu cele mai neobisnuite oferte, de la Viagra la investitii in Caraibe.
Expertii denumesc astfel de intamplari trafic de informatii confidentiale sau vanzare de date personale. Indiferent cum i-am spune, este vorba de un fenomen care prinde viteza in tarile dezvoltate, si care face primii sai pasi si in Romania. Se pare ca orice informatie oricat de banala are valoarea ei. Iar un nume si o adresa nu fac in nici un caz exceptie de la regula. Specialistii in marketing spun ca firmele pot sa faca presupuneri destul de exacte despre obiceiurile de consum ale unei persoane, pornind chiar si numai de la o simpla adresa, si sa-si promoveze produsele in consecinta.
Cei care au patit-o deja ar intelege mai bine ce se intampla cu informatiile lor personale, daca in inbox-urile lor ar ajunge unul dintre e-mailurile care circula in ultimele luni pe Internetul romanesc. Este vorba de un mesaj spam, cu tenta comerciala, evident nesolicitat de catre destinatari. Care este, practic, oferta? In schimbul unei sume ce poate varia intre 100.000 si 500.000 de lei, cel care primeste mesajul este invitat sa cumpere un CD cu mii de adrese de e-mail romanesti reale, colectate prin diverse metode.
In Romania, ca si in alte tari, au avut loc furturi de baze de date, este de parere Radu Ionescu, managing director la compania de marketing online Kinecto. Cum si studiile internationale o arata, de cele mai multe ori furturile de baze de date sunt efectuate intern, adica de angajati ai companiei care au acces la informatii.
Conform datelor detinute de compania furnizoare de soft si solutii Softwin, atacurile informatice din exterior in scopul sustragerii de informatii sunt mai rare, cam 30% din total, spune Cosmin Mares, director de comunicare. Atacurile din exterior sunt mai rare pentru ca sunt mai usor de detectat, iar companiile se pot proteja cu solutii de securitate. Cele din interior pot fi mai greu detectate, iar urmarile sunt mult mai importante ca valoare, a mai spus Mares.
Probabil, cel mai frecvent mod prin care se fura informatii confidentiale in Romania este urmatorul: cand un angajat pleaca din companie, pleaca cu tot cu baza de date pe un CD, crede Catalin Patrasescu, asociat al companiei de consultanta IT SmartPoint. Daca traficantii de informatii personale il conving, de exemplu, pe un angajat al unui furnizor de Internet sa dea mai departe e-mailurile clientilor, acestuia ii este destul de simplu sa exporte baza de date pe un CD, este de acord Mihai Herescu, consultant IT pentru operatorul de plati online DotCommerce Romania. Insa oricum, informatii prea multe despre astfel de cazuri nu exista, pentru ca nimeni nu vrea sa dezvaluie asa ceva atunci cand i se intampla, adauga Patrasescu.
Intr-adevar, cel putin la nivel oficial, ultimii ani nu au adus nici o sesizare in privinta vreunei baze de date furate, a confirmat Liviu Nicolescu, specialist IT in antifrauda si securitatea retelelor la Ministerul Comunicatiilor si Tehnologiei Informatiei (MCTI). Singurele sesizari de pana acum apartin unor persoane care au reclamat ca datele lor personale au fost instrainate de anumiti operatori de recrutare de personal (site-uri de job-uri, unde se inscriu CV-uri). Insa este vorba de cazuri izolate, este de parere Nicolescu.
Atunci cum reusesc negustorii de e-mailuri sa faca rost de mii de adrese? Perceptia este ca, pana acum cel putin, acel gen de CD-uri cu e-mailuri scoase la vanzare au rezultat prin colectare de pe Internet cu softuri specializate, spune oficialul MCTI. Mecanismul nu este foarte complicat. Traficantii de e-mailuri scaneaza cu soft-ul de colectare automata o lista uriasa de site-uri, iar daca dumneavoastra v-ati scris pe vreunul din ele adresa de e-mail in clar (de exemplu, ca semnatura pe o lista de discutii), programul o recunoaste si o adauga automat intr-o baza de date ad-hoc. Cum poate sa stie soft-ul ca este vorba de o adresa de e-mail romaneasca? Simplu: este programat sa caute tiparul obisnuit – text@text.ro – unde simbolul @ si terminatia .ro sunt criteriul de cautare.
Piratii au si alte metode prin care pot sa faca rost de sute de adrese de e-mail. Una dintre ele este sa puna la punct un site aparent respectabil, de pilda cu informatii despre fotografie, spune Mihai Herescu de la DotCommerce. Pentru a putea accesa articolele, utilizatorul trebuie sa se inregistreze cu adresa de e-mail. Scopul autorilor, acela de a face rost de e-mailuri reale, a fost atins, explica Herescu.
Nu in cele din urma, mai exista o solutie pentru a strange repede baze de date cu potentiali clienti. Este versiunea cea mai spectaculoasa, aceea a atacului din afara directionat de un hacker asupra unei companii. Hacker-ul studiaza compania-victima si incearca sa gaseasca punctul slab al scutului informatic de protectie. In Romania exista inca multe companii care nu respecta nici macar regulile de baza ale protejarii informatiilor, cum ar fi instalarea unui antivirus si actualizarea periodica a sistemului de operare, spune Cosmin Mares de la Softwin.
In astfel de cazuri, furtul de informatii confidentiale este extrem de usor de realizat, prin crearea unor programe speciale care se folosesc de slabiciunile platformei software a companiei respective pentru a prelua controlul unui computer-cheie. Astfel, atacatorul va avea acces si la informatiile stocate pe acel calculator, deci si la bazele de date. Astfel de cazuri cu siguranta au existat si vor mai exista in Romania, conchide Mares.
Exista insa si opinii mai sceptice. Sa angajezi un hacker ca sa-ti faca rost de o baza de date poate sa coste mult timp si multi bani, iar Romania nu este inca o piata atat de dezvoltata ca sa merite investitia in asa ceva, este de parere Mihai Herescu, consultant IT la DotCommerce. Nu cred ca se agita foarte multi ca sa fure baze de date. Asa ceva te intereseaza atunci cand vinzi un produs sau un serviciu, iar in Romania oamenii nu prea cumpara online. Cu atat mai putin se hotarasc sa cumpere dupa ce citesc un e-mail, care mai este si spam.
La randul lor, si autoritatile au o explicatie pentru care hackerii nu par sa fie o amenintare majora pentru datele confidentiale ale companiilor. Legea romaneasca prevede o pedeapsa dura pentru accesarea neautorizata a unui sistem informatic: inchisoare de la 3 la 7 ani, spune Liviu Nicolescu, specialist antifrauda in cadrul Ministerului Comunicatiilor. In prezent, pentru aceasta infractiune sunt in curs de anchetare peste 50 de persoane din intreaga tara, iar aproximativ 20 au fost deja trimise in judecata, a spus Ioana Albani, procuror anticriminalitate informatica la Parchetul de pe langa Inalta Curte de Justitie si Casatie. Majoritatea pagubitilor nu sunt insa din Romania, ci din strainatate, spune Albani: Se obtin informatii personale, pe care romanii fie le vand mai departe, fie le folosesc pentru a comite diverse infractiuni, cum ar fi accesarea neautorizata a unor conturi pe site-ul de comert electronic eBay.
Un alt motiv pentru care Romania nu este deocamdata o tinta foarte atractiva pentru hotii de informatii personale este si faptul ca infrastructura informatica este prea slab dezvoltata ca sa permita realizarea de baze de date de mari dimensiuni, spune Patrasescu de la SmartPoint. Si da si un exemplu. Administratia si institutiile fiscale nu prea au sisteme IT care sa comunice intre ele. De pilda, judetul Brasov nu stie care este situatia din judetul Prahova si invers. Deci, este destul de greu sa obtii dintr-un singur punct o baza de date cu milioane de persoane.
Regula are insa si exceptii. Probabil, companiile care opereaza cu cele mai mari baze de date din Romania sunt operatorii de telefonie mobila. Acestia, alaturi de unele companii din sectorul financiar si bancar, fac parte din clubul select al firmelor care aplica politici de securitate la cel mai inalt nivel, spune Patrasescu. In astfel de companii, angajatul nu are cum sa scoata date. Calculatoarele nu sunt conectate la Internet, nu au e-mail extern si nici unitate de discheta, de CD sau port de USB, explica el.
Fluxul de informatii si bazele de date cu care lucreaza zi de zi Connex sunt protejate prin politici de securitate succesive, a spus pentru BUSINESS Magazin Irina Mitrea, director pentru arhitectura si securitatea informatiei. Este vorba in primul rand de protectia informatiilor la nivel logic (politici de securitate aplicate asupra computerelor si a sistemelor de operare), dar si fizic (n.r. – in manualele de securitate IT se specifica clar ca, uneori, cel mai bun mod de a-ti proteja datele este un lacat gros pe usa dupa care se afla serverul). In al doilea rand, securitate mai inseamna si definirea clara a modului in care diversi angajati au dreptul sa acceseze anumite portiuni ale bazelor de date (de pilda, un sef de departament are mai multe privilegii decat un subaltern), a mai spus Mitrea. Un exemplu al felului in care actioneaza aceste politici de securitate il constituie colaborarea de cativa ani dintre Connex si banca Raiffeisen. Cele doua companii au dezvoltat impreuna cateva servicii comune, printre care myBanking, serviciul prin care abonatii Connex isi pot verifica situatia contului de la Raiffeisen si efectua transferuri bancare.
Pentru ca acest serviciu sa functioneze, cele doua companii pun in comun unele informatii despre clientii lor. Moment in care poate aparea intrebarea cate din informatiile despre clientii unei companii ajung in posesia celeilalte.
Avem unele informatii despre clientii comuni, insa fiecare dintre cele doua companii lucreaza cu propria sa baza de date, iar informatiile confidentiale nu sunt instrainate, a spus Laurentiu Lazar, product manager la Connex. De pilda, valoarea facturii la mobil sau numarul de SMS-uri trimise intr-o luna sunt informatii detinute doar de Connex. In acelasi timp, cati bani are in cont respectivul utilizator stie doar Raiffeisen.
Iar nivelul de securitate ramane ridicat inclusiv in cadrul companiei, declara oficialii Connex. Mi-ar placea sa stiu care dintre clientii nostri sunt si clienti ai Raiffeisen, pentru ca astfel as putea promova serviciul myBanking direct la tinta. Insa nu am aceasta informatie. Este adevarat, putem vedea daca un abonat isi plateste factura la o sucursala Raiffeisen, insa asta nu inseamna neaparat ca este si client al bancii, a mai spus Laurentiu Lazar.
In concluzie, peisajul companiilor autohtone este divers atunci cand vine vorba de siguranta datelor personale ale clientilor. Daca unele firme isi iau masuri severe de precautie, altele inca n-au aflat ca sunt in pericol sa-si piarda bazele de date. Oricum, este cert ca si in Romania datele personale incep sa capete valoare. Iar recomandarea specialistilor este clara: aveti grija cui incredintati datele dumneavoastra personale, pentru ca s-ar putea ca numarul contului bancar sau cel al apartamentului unde locuiti sa intre pe listele care fac obiect de negociere in tranzactiile dintre piratii Internetului.