Dzisiejszym tekstem chciałabym Czytelnikom portalu przybliżyć zagadnienie, które chociaż może części z nich kojarzyć się raczej z taki podmiotami jak FIFA, MKOl czy Manchester United (jedne ze słynniejszych ofiar cyberataków), to jednak powinno ono zostać przeanalizowane przez organizacje sportowe, w tym w szczególności przez kluby sportowe czy polskie związki sportowe.
Cyberatak
,,Cyberatak” według definicji internetowego słownika języka polskiego PWN oznacza każdy rodzaj ofensywnego działania w Internecie osób lub organizacji, którego celem mogą być systemy informatyczne, sieci komputerowe, komputery lub inne urządzenia osobiste.
Branża sportowa nie jest powszechnie kojarzona z cyberprzestępczością. Weźmy jednak pod uwagę fakt, że obecnie miejsca, w których odbywa się współzawodnictwo sportowe są wyposażone w nowoczesne technologie, które służą nie tylko celom marketingowym, np. stadiony w VR, ale przede wszystkim są nieocenionym narzędziem wspierającym organizację meczu, np. system challenge. Ponadto próżno szukać klubu sportowego, który nie miałby konta na jednym z portali w mediach społecznościowych. Strony internetowe czy dedykowane adresy e-mail to już standard. Serwer w chmurze, bankowość internetowa, bazy danych zawodników, trenerów, statystyki, informacje o kibicach logujących się w serwerach klubu - przykładów można podawać bardzo wiele. Nie trudno zatem sobie wyobrazić konsekwencji ataku hakera na bazy danych klubu sportowego zawierające szczegółowe informacje dotyczące strategii marketingowej, planów rozwoju, partnerów biznesowych, korespondencji e-mail dotyczącej umów sponsorskich czy zawodników - ich predyspozycji psycho-fizycznych, które to dane obecnie bardzo często pochodzą m.in. z urządzeń określanych mianem tzw. technologii ubieralnej,
Kolejną kwestią jest fakt wykorzystywania wspomnianych urządzeń np. do pomiaru siły uderzenia piłki, analizy ruchu gracza na boisku podczas treningu, meczu czy czujników działających na zasadzie bluetooth dostarczających danych biometrycznych zawodników, np. tętna sportowca, długości i jakości jego snu, szybkości jazdy etc. Część urządzeń wykorzystywana jest do bezpośredniego kontaktu sztabu trenerskiego z zawodnikiem, np. podczas zawodów kolarskich. A co w momencie, kiedy dane otrzymane przez szkoleniowców, które mają umożliwić odpowiednią modyfikację decyzji taktycznych zostaną ,,zhakowane” i do sztabu dotrą inne informacje dotyczące np. pulsu, zawodnika…? W tym momencie to już nie jest tylko zagadnienie wykorzystania danych dotyczących zdrowia np. w polityce transferowej, w organizacji zakładów bukmacherskich, ale realne zagrożenie dla zdrowia i życia sportowca.
Atak hakerski i okup
Dwa lata temu ponad pół miliona danych osobowych (nazwy użytkownika i hasła do kont, adresy, adresy e-mail, daty urodzenia, numery ubezpieczenia społecznego) dotyczących sędziów sportowych, meczów, pracowników ligowych zostało skradzionych z bazy ArbiterSports za pomocą ataku ransomware. Hakerzy próbowali wyłudzić od firmy okup – oferując usunięcie skradzionych danych w przypadku dokonania płatności. W mediach można znaleźć informację, że ArbiterSports zapłacił hakerom okup i „uzyskał potwierdzenie, że nieupoważniony podmiot usunął pliki”.
Ransomware to oprogramowanie, które blokuje dostęp do systemu komputerowego lub uniemożliwia odczyt zapisanych w nim danych, a następnie żąda od ofiary okupu za przywrócenie stanu pierwotnego.
Cyberataki, a e-sport
Specyfika branży e-sportowej powoduje wzrost zagrożenia cyberatakami. W tym miejscu odsyłam jednak do swoich wcześniejszych wpisów na portalu prawosportowe.pl, w tym m.in. do tekstu pt. ,,Atak na konto gracza”, ,,Wirtualny świat i nowe wyzwania”, w którym omawiam zagadnienie związane z kradzieżą wirtualnych przedmiotów.
Inne przykłady cyberataków
Phishing. Polega on na manipulowaniu danymi informatycznymi celem osiągnięcia korzyści majątkowej (podszywanie się pod inna osobę lub instytucję), Przestępstwo phishingu odpowiada ustawowemu przestępstwu z art. 287 Kodeksu karnego (oszustwo komputerowe). W praktyce najczęściej polega na wysyłaniu wiadomości e-mail do potencjalnych ofiar z wiadomością, której treść jest tak skonstruowana, aby uzyskać od odbiorcy informacje np. PIN, kod, hasło.
Pharming, to natomiast rodzaj oszustwa, które polega na tym, że odwiedzający prawdziwą stronę klubu są przekierowywani na podszywające się pod nią strony celem przechwycenia danych np. hasła, numery kart kredytowych i inne dane.
Jak chronić się przed cyberatakami? Ubezpieczenie cyberrisk?
Wraz z rosnącym zagrożeniem cyberatakami na organizacje sportowe zasadniczego znaczenia nabiera przygotowanie kadry zarządzającej podmiotem na tego rodzaju zdarzenia. Na co zatem powinna ona zwrócić szczególną uwagę?
- wdrażanie usług szkoleniowych z zakresu cyberbezpieczeństwa,
- stosowanie dwupoziomowego uwierzytelnienia,
- ograniczenie transferu danych,
- ostrzeżenia przed pobieraniem plików z niezweryfikowanych źródeł,
- tworzenie kopii zapasowych gromadzonych danych,
- ostrożność przy otwieraniu wiadomości e-mail,
- wdrażanie programów antywirusowych,
- aktualizacja oprogramowania komputerowego wykorzystywanego na urządzeniach będących w zasobach klubu, trenerów, statystyków itd.
- zakup usług, oprogramowania o wysokich standardach bezpieczeństwa, analiza licencji,
- opracowanie planu działania na wypadek naruszenia.
Coraz większe ryzyko związane z cyberatakami, a także odpowiedzialność osób zajmujących się bezpieczeństwem danych (co do zasady specjalistów z branży IT) powinny także skłonić takie osoby do zabezpieczenia się na wypadek ewentualnych szkód wyrządzonych swoim kontrahentom poprze polisę OC. Coraz więcej towarzystw ubezpieczeniowych oferuje ubezpieczenie cyberrisk czy OC zawodowej informatyków. Zakres takiej polisy może obejmować odpowiedzialność cywilną przed roszczeniami osób trzecich np. za wyciek danych osobowych, naruszenie bezpieczeństwa informacji dotyczących klientów, a także pokryć koszty sądowe, czy utracony zysk podmiotu.
Zainteresowanych zapoznaniem się tematyką związaną cyberbezpieczeństwem zachęcam do zapoznania się z tematycznie pogrupowanymi i udostępnionymi informacjami na stronie Rady Europejskiej (informacje dostępne w języku polskim): https://www.consilium.europa.eu/pl/policies/cybersecurity/
