Na razie pewne jest, że Ekans zdążył uderzyć w systemy firm paliwowych.Miejmy nadzieję, że nowy ransomware nie przebije sławą wirusa Petya, który ujawnił się na wielką skalę w 2017 r. Uderzał głównie w firmy działające na Ukrainie i w Rosji, niemniej dotknął też przedsiębiorstw z Niemiec, Wielkiej Brytanii, Francji, Włoch i Polski. Trudno na razie powiedzieć, czy Ekans zbliży się rozpoznawalnością i skutecznością do CryptoLockera i Petyi, ale specjaliści, którzy go wykryli, przekonują, że jest najgroźniejszym ransomware’em, jaki dotychczas napisano. Jak wspominałem, nie tylko szyfruje dane, lecz także zatrzymuje procesy w systemach przemysłowych.

A tak naprawdę ransomware pojawił się dużo wcześniej. Pierwsze przypadki historia informatyki odnotowuje na przełomie lat 80. i 90. Najpierw komputerom dokuczał program AIDS/PC Cyborg, później bardziej zaawansowane Gpcode i Troj.Ransom.A. Pamiętam, że kiedy usłyszałem o takich metodach wymuszeń, nieco naiwnie zakładałem, że nie mogą działać. Myślałem sobie, że gdyby ktoś zaszyfrował dane w moim komputerze, to nawet gdybym nie zrobił kopii zapasowej i nawet gdybym miał w urządzeniu ważne pliki, których utrata byłaby w jakikolwiek sposób kłopotliwa, to przecież nie mam żadnej gwarancji, że po zapłaceniu okupu przestępca odszyfruje mój dysk (prześle narzędzie lub klucz). Nie ma też żadnej pewności, że nawet po wpłaceniu pieniędzy i odszyfrowaniu nie padnę ofiarą tego samego ataku ponownie. Plus jeszcze poczucie, że uleganie szantażowi jest złem samym w sobie i nakręca przestępczy proceder. Teoretycznie, gdyby nikt nie płacił szantażystom, nie byłoby szantażystów, a w ogóle to nie negocjuje się z terrorystami… A jednak w praktyce negocjuje się i płaci – tak w przypadku terrorystów, jak w przypadku cyberprzestępców.

Tym, czego jeszcze nie wziąłem pod uwagę, jest obiekt ataku. Zwykły użytkownik ryzykuje, że straci dane istotne dla niego z przyczyn sentymentalnych, a ponadto trochę przydatnych dokumentów lub coś zawodowego gromadzonego w prywatnym urządzeniu. W każdym razie najpewniej strata będzie możliwa do zaakceptowania. Z kolei w korporacji atak może oznaczać ogromne straty, ryzyko wizerunkowe, relacyjne, wstrzymanie produkcji, a nawet –w skrajnych przypadkach – upadek firmy. I wtedy zasada o nienegocjowaniu z terrorystami trafia w tryby biznesowej Realpolitik. Dlatego właśnie CryptoLocker zarobił dla swoich twórców 27 mln dol. (szacunki ZDNet), a grupa wirusów ransomware, bazujących na wyłudzaniu opłat w kryptowalutach, generuje rocznie przychód przekraczający miliard dolarów (według specjalistów Bitdefendera).

A skoro mowa o przychodzie, autorzy Ekansa piszą do ofiar: „Jeśli jesteś zainteresowany zakupem narzędzia odszyfrowującego, prosimy o kontakt.”.. – tu pada adres e-mailowy czegoś na kształt biura obsługi klienta. A zatem to nie wirus, tylko zwyczajny cyfrowy produkt?

Artykuł Dlaczego ransomware działa pochodzi z serwisu CRN.

Odpowiedzią na deficyty chmury stał się edge computing, czyli w pewnym sensie powrót do lokalności. Choć to oczywiście znaczne uproszczenie, bo niekoniecznie za obliczenia brzegowe odpowiadają dotychczasowe urządzenia-terminale. Michał Zajączkowski z HPE podczas warszawskiej konferencji IDC Predictions 2020 zdefiniował, że brzeg sieci jest wszystkim tym, co stoi poza serwerownią. Taka definicja ustala klarowną granicę między pojęciami cloud i edge, a równocześnie pokazuje, że chodzi o wiele urządzeń, które łączy (poza samym faktem, że nie są w serwerowni) lokalizacja jak najbliżej miejsca, w którym powstają dane. Dzięki takiemu modelowi część operacji w firmie staje się efektywniejsza. Zresztą zwykły użytkownik zapewne nieraz pomyślał, że wolałby niektóre działania, zwłaszcza na dużych zbiorach danych, przeprowadzić lokalnie i zaoszczędzić w ten sposób czas, nie wysyłając plików tam i z powrotem na zewnętrzny serwer.

Droga od cloud computingu do edge computingu przypomina mi nieco inne zmiany kursów w rozwoju nowych technologii. Dwadzieścia lat temu telefony kurczyły się, by dziesięć lat później znowu zacząć rosnąć i dziś osiągać rozmiary niedawnych mniejszych tabletów. Podobnie u początków ery ekranów dotykowych ich użytkowników cieszyły wirtualne przyciski wypierające te fizyczne i same klawiatury, żeby potem ludzie znowu docenili „prawdziwe” przyciski. Oczywiście każdy z tych przypadków ma swoją specyfikę i inne powody nawrotu do czegoś starego, ale i wspólną cechę – otóż zmiana kierunku jest podyktowana rozwojem technologii.

Przyciski wracają, bo szybko się okazało, że pisanie na wirtualnej klawiaturze jest wprawdzie efektowne, ale z czasem staje się niewygodne i nieefektywne (do dziś wspominam fizyczną qwerty w palmtopie z 2007 r. jako znakomite rozwiązanie). Telefony z urządzeń chowanych w dłoni urosły do rozmiarów uniemożliwiających zmieszczenie ich w kieszeniach, bo funkcjonalny ekran okazał się ważniejszy niż ergonomia.

Podobnie jest z rozwiązaniami chmurowymi i brzegowymi. Cloud computing miał swój czas, w którym zachwycał nowoczesnością. Potem użytkownicy przekonali się, że w części zastosowań trzeba jednak wrócić z serwerowni na brzeg sieci. Co jednak nie oznacza odwrotu od chmury. Doświadczenie z wykorzystywania i przeskalowywania tej technologii pokazało jedynie, że nie zawsze jest ona najlepszym wyborem. A w bliskiej przyszłości obydwa modele będą się po prostu uzupełniały. Przynajmniej do czasu, kiedy pojawi się następny, nowy „computing”.

Artykuł Od brzegu do brzegu pochodzi z serwisu CRN.

Marketing. Zainteresowanie 5G, wyraźnie widoczne w ciągu ostatnich kilkunastu miesięcy, wydaje się jednak mniej kwestią gigabitów, czyli technologii, a bardziej haseł, czyli marketingu. O ile chociażby przejście z 2G na 3G było dla użytkownika zauważalną zmianą, która sprawiała, że korzystanie z internetu stało się funkcjonalne – to zmiana z 4G na 5G może być niedostrzegalna. Poza czasem pobierania bardzo dużych plików i streamingiem usług podczas zwykłego korzystania z sieci nie odczujemy większej różnicy.

Polityczne 5G. Z punktu drugiego wynika wprost trzeci. Jako że 5G jest przede wszystkim dużym biznesem i oznacza potencjalnie wielkie zyski w wymiarze globalnym, i tą sferą musieli zainteresować się politycy. Huawei w wąskim gronie głównych graczy o tort piątej generacji szybko zaczęło wyrastać na lidera, co dostrzegły Stany Zjednoczone, wywierając następnie na koncern z Shenzhen bardzo silną presję. Oficjalnie mocarstwo zarzuciło chińskiej firmie działania szpiegowskie, faktycznie pokazało, że potrafi zmusić Huawei do zrobienia kroku w tył. Układanka jeszcze się tworzy, ale Amerykanie dali sygnał, że niezależnie od zaawansowania technologicznego Państwa Środka Waszyngton nie odpuści wpływu na infrastrukturę, która będzie ważna przez co najmniej kilka najbliższych lat.

Megaustawa i megatesty. 5G w Polsce nie zacznie działać jutro, ale w ostatnich miesiącach wydarzyło się sporo. W październiku w życie weszła tzw. megaustawa, czyli znowelizowane prawo o wspieraniu rozwoju usług i sieci telekomunikacyjnych, które ma umożliwić budowę sieci. Firmy telekomunikacyjne przeprowadziły w drugiej połowie roku w dużych miastach testy działania internetu nowej generacji. A zgodnie z unijnymi wytycznymi w przyszłym roku superszybka łączność powinna już normalnie funkcjonować w jednym polskim mieście. Za sześć lat taki sam obowiązek będzie dotyczył gęsto zaludnionych terenów i szlaków transportowych.

5G i 4.0. W drugim punkcie napisałem, że zwykły użytkownik w typowych zastosowaniach z 5G nie zobaczy różnicy. Ale to nie znaczy, że nikt nie zobaczy, bo przecież te wielkie inwestycje muszą mieć jakiś sens. Według badań przeprowadzonych w USA tylko 10 proc. konsumentów jest skłonnych płacić więcej za szybszy internet. Ale za to 84 proc. firm w Niemczech wierzy, że 5G da im wyższą produktywność. I jest to wiara, która ma silne podstawy – przemysł dokładnie wie, co będzie możliwe razem z transferem piątej generacji. Czeka więc na możliwość korzystania z 5G, o czym wiedzą telekomy i rządy (ze Wschodu i z Zachodu).

Artykuł 5G w pięciu smakach pochodzi z serwisu CRN.

I to właśnie podczas dyskusji pojawił się przykład wspomnianego włamania, którego data do dzisiaj w RSA jest traktowana jako czarny dzień w historii firmy. Otóż osiem lat temu ktoś dobrał się do systemu SecurID, produktu RSA, który umożliwia klientom tego producenta logowanie się do urządzeń za pomocą dwuskładnikowego uwierzytelnienia wykorzystującego generatory jednorazowych haseł. Na początku firma poinformowała o sprawie oszczędnie i zaczęła wymieniać tokeny SecurID używane przez korporacje. Niedługo potem amerykański koncern zbrojeniowy Lockheed Martin, stosujący ten system, ogłosił, że został zaatakowany właśnie drogą haseł SecurID RSA.

Przedstawiciele RSA przyznali, że ich produkt ucierpiał w związku z działaniem APT (Advanced Persistent Threat). To rodzaj uderzenia, przed którym cyberprzestępcy robią precyzyjne rozpoznanie i celują w słaby punkt za pomocą narzędzia dobranego do ustalonych okoliczności. W tym przypadku czterech pracowników EMC (do którego wtedy należało RSA) dostało e-maila wysłanego z podrobionego adresu firmy rekrutacyjnej, zatytułowanego „2011 Recruitment plan”. W załączniku był trojan backdoor Poison Ivy umieszczony w pliku .xls. Wirus korzystał z luki w Adobe Flashu i po otwarciu za pomocą Excela uruchamiał złośliwy skrypt. Następnie chował się w innych systemowych procesach i pozwalał na kontrolowanie zainfekowanego urządzenia.

Poza sensacyjną atrakcyjnością faktu, że hakerzy skutecznie dostali się do systemu firmy specjalizującej się w rozwiązaniach cyberbezpieczeństwa, uwagę zwraca coś ciekawszego. Otóż RSA nazwało atak „bardzo skomplikowanym” i nad takim stwierdzeniem warto się nieco pochylić. Niewątpliwie kategoria APT (zaawansowane, uporczywe zagrożenie) obejmuje działania przygotowane drobiazgowo. Ale atak przez załącznik w e-mailu, który wymaga otwarcia go przez pracownika (socjotechnika plus polityka zabezpieczeń) oraz używa backdoora znanego w 2011 r. już od trzech lat – nie jest operacją szczególnie przebiegłą. A przynajmniej nie powinna ona zaskoczyć ekspertów od cyberbezpieczeństwa i skutkować wejściem intruza do ważnego systemu firmy, w konsekwencji tworząc zagrożenie dla klientów (i to z branży zbrojeniowej!).

Jednak w tym, co piszę, nie chcę skoncentrować się na przemądrzaniu. Prawda jest taka, że luki są w każdej firmie i wszędzie da się włamać. To kwestia wkładu pracy, czasu i kosztów, czyli wysiłku i pieniędzy. Z kryzysowego doświadczenia RSA dla każdego przedsiębiorstwa i instytucji wynika, że bezpieczeństwo urządzeń należy traktować skrupulatnie i nie ograniczać się tylko do kwestii technicznych. Tak samo ważne jak zabezpieczenia, a może nawet ważniejsze, jest dbanie o wiedzę użytkowników w firmie, nawet taką, która specjaliście IT może wydawać się podstawowa i oczywista. Znowu tłumacząc na konkret, hakerzy nie włamaliby się do RSA (i do Lockheed Martina), gdyby jeden z czterech pracowników EMC nie otworzył załącznika w e-mailu. Tylko jeden nietechniczny element udaremniłby groźny atak, przynajmniej ten.

Artykuł Lekarzu, ulecz się sam pochodzi z serwisu CRN.

W badaniach Gartnera i IDC widać też inne ciekawe zmiany. Na politycznych bojach chińskiej firmy z administracją prezydenta Donalda Trumpa zyskuje i bez tego przodujący Samsung – na świecie jeden punkt procentowy, w Polsce siedem. Apple zaś globalnie lekko traci, ale u nas minimalnie zyskuje. Z kolei sprzedaż Xiaomi, która w ostatnich latach gigantycznie rosła, w drugim kwartale br. na świecie zatrzymała się (z mocnymi 9 proc. udziałów rynkowych i czwartą pozycją), ale w Polsce notuje pięciopunktowy progres – z prawie 7 do blisko 12 proc. Dodajmy jeszcze, że tuż za plecami Xiaomi jest Oppo, a gdyby zsumować globalną sprzedaż tych marek, to otrzymamy liczbę telefonów większą nawet niż w przypadku Huawei (61 mln sztuk).

No to kupować czy…? Gdybym umiał odpowiedzieć prosto „tak” lub „nie”, nie potrzebowałbym wcześniej tych kilku akapitów z uzupełniającymi informacjami. Zwykłych użytkowników mniej zajmuje aspekt ewentualnej szpiegowskiej działalności, która mogłaby być prowadzona za pomocą telefonów z Shenzhen. Obawa dotyczy funkcjonalności na wypadek faktycznej blokady usług Google’a. Huawei z pewnością wolałby móc współpracować z firmą z Mountain View, bo to przepustka do zachodniego rynku zdominowanego przez Androida. Ale też od dawna przygotowywał plan B, którego rozwojowym urzeczywistnieniem jest pokazany Harmony OS. Chiński gigant zwyczajnie nie mógł sobie pozwolić na całkowite uzależnienie swojego biznesu od współpracy z jednym partnerem. Zakładam, że smartfony Huawei pozostaną nieźle funkcjonujące z Androidem i bez niego. Na marginesie, proszę pomyśleć, kto używałby systemu Google’a i jaki byłby to fragment rynku, gdyby OS wypadł z chińskich telefonów (i jakie miałoby to konsekwencje dla interesów spółki Larry’ego Page’a i Sergeya Brina).

Heavy userów, tzw. świadomych użytkowników i klientów korporacyjnych oraz instytucjonalnych, interesuje natomiast wątek bezpieczeństwa. I tu rzecz jest prosta i skomplikowana równocześnie. Prosta, bo cybersecurity to nie tylko urządzenie i nakładka systemowa, lecz także suma wielu czynników. Producent nie ma żadnego wpływu na sposób używania smartfona, instalowane dodatkowe oprogramowanie i procedury administracyjne. Nie zapominajmy też, że telefonem steruje nadal amerykański Android. Komplikację stanowi fakt, że Huawei, Xiaomi i Oppo oczywiście pochodzą z kraju o ustroju totalitarnym. I rzecz jasna działanie firm musi być tam podporządkowane państwu. Tylko że to nie jest żadna nowa ani odkrywcza wiedza. A wiemy doskonale, że służby specjalne wielu krajów, z zachodnimi włącznie, starają się korzystać z potencjału wywiadowczego nowoczesnych, osobistych urządzeń. I również w tym wątku przychylałbym się do zdania, że większe znaczenie ma sposób używania smartfona (i sieci w ogóle) niż to, czy dajemy pracownikowi do ręki huawei, czy samsunga.

Artykuł Kupić smartfon Huawei? pochodzi z serwisu CRN.

Świadkowie mówili, że wypadek nie wyglądał groźnie. Samo miejsce też nie sprawiało wrażenia szczególnie niebezpiecznego. Belgijski sportowiec musiał bardzo pechowo upaść. Podobno nie wyciągnął rąk do amortyzacji (co kolarze robią zwykle odruchowo) i być może do obrażeń przyczynił się sam rower – tak często bywa. Nie jest moją intencją oskarżanie, że dało się lepiej zadbać o jego bezpieczeństwo, bo pewno się nie dało. Oglądając wyścigi, wiem, że organizatorzy bardzo zwracają uwagę na to, żeby nie narażać zdrowia zawodników. Ale dały mi do myślenia słowa byłego polskiego kolarza Cezarego Zamany, który w rozmowie z Wirtualną Polską skomentował niedawny dramat. Zapytany o to, czy postęp technologiczny poprawia bezpieczeństwo zawodników, odpowiedział: „Jak na razie, to idziemy w odwrotnym kierunku. Stroje kolarzy są cieńsze, praktycznie »niewidzialne«. Chodzi oczywiście o aerodynamikę. Czy kiedyś naukowcy wymyślą coś na wzór zbroi na ciało, ochraniaczy? Nie wydaje mi się. Nie mam tak bogatej wyobraźni”.

A ja mam. I nawet wiem, że w laboratoriach powstają supermateriały o właściwościach przewyższających te, z których robi się stroje sportowe. Zresztą np. motocykliści już korzystają z „pancerzy” chroniących tułów i kręgosłup. Słowa Zamany – wypowiedziane przez człowieka, który ścigał się i odczuwał lęk przed konsekwencjami poważnej kraksy – mają wagę. Faktycznie kolarze jeżdżą dziś w niezwykle cienkich kombinezonach, które mają być jak najmniej odczuwalne. Tną się natychmiast przy okazji kontaktu z podłożem. Szosowcy mają gołe ramiona, łokcie, kolana, a lekki strój nie zabezpiecza przed niczym. Chroniona jest wyłącznie głowa. Tymczasem bardzo narażone są tułów i kończyny. Niedawno wskutek upadku na treningu właśnie takie poważne obrażenia odniósł Christopher Froome, jeden z najlepszych obecnie kolarzy na świecie.

Może tragiczna śmierć Bjorga Lambrechta powinna przynieść refleksję dotyczącą lepszego zabezpieczenia ciał zawodników? Może trzeba opracować stroje, które dadzą trochę ochrony, nawet kosztem sportowych osiągów – ale takie same dla wszystkich? Może mamy obowiązek w dramat 22-letniego Belga wsłuchać się także od tej strony?

Artykuł Co mówi śmierć Bjorga Lambrechta? pochodzi z serwisu CRN.

Podobne spory pojawiają się także w dziedzinie technologicznej. Platforma Steam wprowadziła tag LGBTQ+, o co poprosił jeden z autorów gier. Oznaczenie ma grupować tytuły podejmujące tematykę mniejszości seksualnych. Ten w sumie kosmetyczny ruch też wywołał sporo nieprzychylnych komentarzy. Internauci pisali, że to niepotrzebne uleganie „poprawności”, lub ironizowali, że teraz będą wiedzieli, czego unikać na Steamie.

Co ciekawe, podobną – w większości krytyczną – reakcję wywołał też news o programie uruchomionym na Uniwersytecie Technicznym w Eindhoven. Uczelnia ma w kadrze naukowej tylko niespełna 30 proc. kobiet, a wśród uczonych z profesurą – 15 proc. To mniej niż unijna średnia. Dlatego rektor zainicjował rekrutację, która przewiduje, że mężczyźni praktycznie w ogóle nie będą przyjmowani do pracy, aby zmienić bardzo niekorzystne dla kobiet proporcje. Robert-Jan Smits przyznał, że to świadoma „dyskryminacja” mężczyzn. Internauci-mężczyźni w komentarzach zauważyli: „jakie larum by się podniosło, gdyby analogicznie ktoś postanowił nie przyjmować do pracy kobiet”.

Tym, co zwraca moją uwagę we wszystkich przywołanych zajściach, jest wysoka, często chorobliwa temperatura komentarzy. Jakbyśmy rozmawiali o krytycznie ważnych kwestiach, o bezpośrednio dotyczących nas fundamentach, w sprawie których – ani kroku wstecz. Właściwie zbyt ostre stanowiska można wytknąć wszystkim stronom. Rozpatrując tylko jeden przykład, nie rozumiem postawy ani pracownika IKEI, ani samej firmy. W zasadzie w każdej z tych sytuacji (w przypadku drukarza z Łodzi, Steama, holenderskiego uniwersytetu i afery z udziałem koncernu meblarskiego) wystarczyłaby – nie wiem, czy mała, czy duża – zwykła empatia. Otwartość na drugiego człowieka, potraktowanie go jak dobrego znajomego, a nie anonima. Uznanie, że nie powinienem mówić innym, jak mają żyć i w co wierzyć.

Może nie podobać mi się LGBT, Biblia albo idea równouprawnienia, ale mogę te zjawiska uszanować jako ważne dla innych. A mówiąc krótko, mam wrażenie, że to konflikty w rzeczywistości o nic, bo sprowadzają ważne wartości – takie jak wiara, szacunek dla odmienności, troska o słabszych – do roli internetowego cepa.

Artykuł Ideologia w technologii pochodzi z serwisu CRN.

Od drugiej połowy 2018 r. obserwujemy w polskich miastach wielki powrót hulajnóg właśnie w wydaniu zaprzeczającym tradycyjnej nazwie. Nikt z wypożyczających pojazdy Lime czy Hive nie odpycha się nogą, bo sprzęty mają elektryczny silnik – sekret ich wielkiego powodzenia. W metropoliach w ostatnich miesiącach stałym elementem pejzażu stali się pędzący na tych urządzeniach ludzie, zwykle młodzi. Widać, że firmy, które stoją za wypożyczalniami, genialnie trafiły w komunikacyjne potrzeby mieszczuchów.

Ale szybko okazało się, że nikt nie pomyślał o prawnym statusie hulajnóg elektrycznych, zasadniczo różnych od tych zwykłych. Są trochę jak rower lub skuter, ale „Prawo o ruchu drogowym” o nich milczy. Zdaniem policjantów po ścieżce rowerowej poruszać się nimi nie wolno, ale po ulicy też nie. Pozostaje chodnik, byle z głową – mówią stróże prawa. Gdy jednak, czego można się było spodziewać, doszło do kilku potrąceń, znowu pojawiły się pytania, co z tymi urządzeniami robić. Resort infrastruktury zapowiedział w końcu nowelizację prawa.

W jej myśl hulajnogi elektryczne mają zostać uznane za pojazdy takie jak rower. Trafią więc na ścieżki rowerowe, a jeśli ścieżki nie będzie, to na ulicę(o ile dozwolona prędkość nie przekroczy 30 km/h). W innych przypadkach będzie można, wyjątkowo, skorzystać z chodnika. Do tego ma dojść ograniczenie konstrukcyjne do 25 km/h, zakaz korzystania przez dzieci do 10 roku życia i wymóg karty rowerowej do 18 urodzin. Za surowo? Niekoniecznie – tuż przed napisaniem niniejszego felietonu przeczytałem informację o dwóch chłopcach, którzy, jadąc jedną hulajnogą, wjechali na trasę szybkiego ruchu S8 na odcinku przebiegającym przez Warszawę…

W całej tej sympatycznej i ciekawej sprawie mam jedną pesymistyczną refleksję. Ludzie rzucili się na urządzenia, które nie wymagają od nich żadnego wysiłku. Nie ukrywam, że gdy widzę „hulajnogowców”, stale przypomina mi się futurystyczny odcinek serialu „South Park”, w którym klienci supermarketu są grubi i nie chce im się chodzić po sklepie, więc jeżdżą elektrycznymi wózkami. Przesadzam?

Artykuł Hulajnogi biorą miasto szturmem pochodzi z serwisu CRN.

O kogo chodzi w przypadku tych danych? Zapewne jako użytkowników należy rozumieć zarówno klientów, jak i osoby oraz firmy, które w witrynie umieszczają ogłoszenia seksualne. Ale co ważne, portal zaznaczył, że nie wie, czy faktycznie doszło do włamania. I tu pada kluczowe zdanie: „Jednakże zgodnie z obowiązującymi przepisami informujemy Państwa o zaistniałym incydencie, wskutek którego Państwa dane mogły dostać się w niepowołane ręce”.

Oczywiście chodzi o RODO. Interesujące w sprawie jest to, że gdyby nie było unijnego rozporządzenia obwarowanego wysokimi karami finansowymi, Roksa zapewne nie miałaby powodu ostrzegać internautów o wycieku, który może był, a może go nie było. Ale Urząd Ochrony Danych Osobowych, jeśli baza faktycznie zostałaby upubliczniona, rozliczy właścicieli portalu z tego, jak zabezpieczyli informacje użytkowników oraz czy dołożyli starań, żeby ograniczyć negatywne skutki naruszenia bezpieczeństwa. Stąd trochę osobliwy komunikat, który trafił do skrzynek osób korzystających z usług Roksy.

Ostrożność firm gromadzących dane jest większa niż dotąd, bo europejscy urzędnicy pokazali w ciągu minionego roku, że nowe prawo naprawdę działa. Pierwszą karę zanotowaliśmy także w Polsce. Przy czym jeden szczegół operacji lokalnego UODO wydał mi się osobliwy. Prezes państwowej instytucji Edyta Bielak-Jomaa, ogłaszając karę dla firmy przetwarzającej informacje o przedsiębiorcach, nie podała nazwy spółki ukaranej kwotą blisko miliona złotych. Wcześniej w wielu krajach zapadały analogiczne decyzje i doskonale wiedzieliśmy, że we Francji 50 mln euro zapłaci Google, w Portugalii 400 tys. euro – szpital Barreiro Montijo, a w Wielkiej Brytanii 120 tys. funtów – lotnisko Heathrow. Dlaczego w Polsce UODO ogłosił karę, ale nie powiedział, na kogo ją nałożył? Mogę się tylko domyślać, że prezes urzędu nie chciała piętnować publicznie firmy, a skupić się na problemie. Może.

Jest to jednak odrobinę niezrozumiałe. Swoją drogą ustalenie, kim jest „pierwsza polska ofiara RODO”, nie było zbyt trudne. Chodzi o szwedzką spółkę Bisnode, działającą w Warszawie. Bisnode, nazywane w branży „wywiadownią gospodarczą”, gromadzi dane o przedsiębiorcach, pobierane z publicznych rejestrów takich jak CEIDG. Z ich użyciem tworzy rekordy i opracowania dotyczące ryzyka handlowego. Aż 943 tys. zł stanowi karę za to, że Bisnode nie powiadomił wszystkich, z grona 6 mln przedsiębiorców, których dane przetwarzał. Tymczasem spółka miała wywiązać się z obowiązku informacyjnego tylko wobec 90 tys. osób z kilkumilionowej rzeszy. Przy czym prezes polskiego oddziału szwedzkiej firmy Andrzej Osiński zapewnił w „Gazecie Prawnej”, że e-maile trafiły do blisko miliona osób. Pozostałych nie powiadomiono, bo w publicznym rejestrze nie było adresów elektronicznych, a wysyłka listów okazała się zbyt droga (koszty sięgnęłyby 22–30 mln zł). Osiński dodaje, że Bisnode był kontrolowany pod kątem RODO w dwóch innych krajach i tamtejsi regulatorzy nie stwierdzili naruszenia przepisów.

Z obydwu opisanych przypadków wynika, że firmy muszą bardzo serio i skrupulatnie podchodzić do zarządzania danymi osobowymi. Rzecz jest tym trudniejsza, że przypadek Bisnode pokazuje, iż można próbować wywiązać się z obowiązków, a i tak dostać wysoką karę. Do tego łatwo sobie wyobrazić, że nie każdy istotny niuans jest jasny. Jak dowodziła firma, koszt powiadomienia wszystkich zainteresowanych byłby abstrakcyjnie wysoki (bardziej opłacało się zapłacić karę). A na pytanie dziennikarzy o właściwy sposób przesłania informacji UODO odpowiada: „nie możemy z urzędu udzielać podobnych wskazówek”. Druga strona medalu jest taka, że dotąd w kwestii obrotu prywatnymi danymi panowała wolnoamerykanka, a firmy telemarketingowe pozwalały sobie na niemało bezczelności. Teraz może nie jest idealnie, ale na pewno zmienił się układ sił.

Artykuł Roksa, czyli erotyczny… wyciek pochodzi z serwisu CRN.

Ciągle młody termin „fake news” może odpowiadać za powszechne mniemanie, że mamy do czynienia z nowym zjawiskiem. Ale to byłaby nieprawda. Przekazywanie nieprawdziwych informacji – niezamierzone, wynikające z ludzkich bądź technicznych ułomności, albo celowe, obliczone na osiągnięcie wpływu – jest dosłownie stare jak świat, kultura i cywilizacja. Czymże bowiem innym były w średniowieczu dworskie plotki, które umiejętnie rozpuszczane miały osłabić lub wzmocnić pozycję konkretnych osób? Albo niepokojące wieści rozsyłane na terenach, które zamierzał podbić najeźdźca? A już w „medialnych czasach”, po II Wojnie Światowej, przez państwa komunistyczne przetoczyła się informacyjna kampania na temat rzekomych zrzutów stonki ziemniaczanej dokonywanych przez Amerykanów.

Fake newsy istnieją od zawsze, dziś tylko (lub aż) dysponujemy skuteczniejszymi narzędziami do ich rozpowszechniania – z różnych zresztą pobudek. Do najgorszych należą te, które bazują na prostym przepisie: zakorzenienie w fakcie, rozwinięcie trafnie nawiązujące do emocji, oczekiwań i lęków odbiorcy, zręczne naśladowanie formatu newsa (wplatanie statystyk, wypowiedzi komentatorów, anonimowych źródeł i zwykłych internautów). Z tej metody korzystał Newsweb, o którym przed wybuchem afery nigdy nie słyszałem. Ale identycznej techniki, jak sądzę, z pełnym cynizmem używają w Polsce także niektóre bardziej znane i znacznie większe media.

Coraz bardziej powszechne rozmycie zasad warsztatowych spowodowało, że na rynku medialnym zagościły szlachetne redakcje określane jako fact-checkingowe. W gruncie rzeczy można by pomyśleć, że to świetnie, iż są w branży ludzie, którzy chcą wracać do korzeni. Warto ich podziwiać, bo dobre dziennikarstwo, nastawione na jakość, nie na liczbę publikacji i jak najszybsze ich pokazanie, jest trudne, drogie i wymaga prawdziwego zaangażowania. Ale właśnie za sprawą dyskusji wokół firmy HGA Media zdałem sobie sprawę, że doszliśmy do granic absurdu. Fact-checking – czyli sprawdzanie faktów, a więc tego, jak naprawdę wygląda kwestia, którą opisujemy, potwierdzanie podawanych informacji, szukanie ich pierwotnych źródeł, nie przekaźników – zaczęliśmy nazywać jakby osobnym gatunkiem. A przecież takie postępowanie powinno być w dziennikarstwie elementarne i oczywiste. Świat, jak zwykle, po raz kolejny stanął na głowie.

Artykuł Od fake newsów do fact-checkingu pochodzi z serwisu CRN.