Z przykrością informujemy, że w Centralnym Ośrodku Sportu Ośrodku Przygotowań Olimpijskim w Zakopanem doszło do naruszenia ochrony Państwa danych osobowych. Naruszenie polegało na nieuprawnionym uzyskaniu dostępu do sieci COS – OPO w Zakopanem, w wyniku czego doszło do zaszyfrowania danych na naszych serwerach oraz nieuprawnionego usunięcia części danych. Ponadto zidentyfikowaliśmy nieautoryzowany transfer danych, co mogło skutkować wyciekiem Państwa danych osobowych. Przyczyną zdarzenia był przeprowadzony na naszą infrastrukturę sieciową atak hakerski – poinformował oficjalnie dziś COS w Zakopanem.
Ośrodek podaje, że w wyniku owego zdarzenia, mogły zostać naruszone dane osobowe jego klientów i gości bazy noclegowej w postaci: imion, nazwisk, numerów PESEL, adresu zamieszkania, adresu e-mail, numer telefonu, a w przypadku jego dostawców i kontrahentów prowadzących jednoosobową działalność gospodarczą dodatkowo numer NIP i REGON oraz numer rachunku bankowego.
Zakopiański COS przestrzega też, że zakres możliwie naruszonych danych oraz charakter zdarzenia powoduje wysokie ryzyko pełnej identyfikacji osoby fizycznej co skutkuje wysokim ryzykiem naruszenia jej praw lub wolności. W związku z tym następstwem zdarzenia może być np. podjęcie próby uzyskania przez osoby trzecie na dane jego klientów pożyczek w instytucjach pozabankowych, np. przez internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości czy wyłudzenia ubezpieczenia lub środków z ubezpieczenia.
W związku z tym cyberatakiem eksperci zwracają uwagę, że szeroko rozumiany świat sportu pozostaje w obszarze zainteresowań hakerów, a efektem ich działań niekoniecznie musi być tylko kradzież wrażliwych danych. Zagrożenia mogą dotyczyć wpływu na przebieg rywalizacji.
– Wyobraźmy sobie konsekwencje ingerencji w system alarmów przeciwpożarowych w hotelach zamieszkanych przez faworytów określonej konkurencji, przeprowadzony na dzień przed ważnymi zawodami. Cyberprzestępcy potencjalnie mogą mieć realny wpływ na wyniki zmagań sportowców – ocenia Aleksander Kostuch, ekspert Stormshield, wytwórcy rozwiązań z obszaru bezpieczeństwa IT.
Postępująca cyfryzacja i rozwój technologii smart przedkładają się na wzrost poziomu ryzyka w obszarze cyberbezpieczeństwa. Dotyczy to również Igrzysk Olimpijskich, ich organizatorów, a także kibiców i samych sportowców.
Co może czekać organizatorów święta sportu w Paryżu?
– Możemy uczyć się z wcześniejszych doświadczeń, ale co najważniejsze, musimy być przygotowani na nieznane, ponieważ niektóre zagrożenia 2024 roku jeszcze nie zostały poznane – deklarują organizatorzy mającej rozpocząć się za ponad siedem miesięcy imprezy w stolicy Francji.
Komitet Organizacyjny w przygotowaniach do imprezy wykorzystuje wnioski wyciągnięte z poprzednich edycji. Francuska Agencja ds. Cyberbezpieczeństwa (ANSSI) podpisała m.in. umowę o współpracy ze swoim japońskim odpowiednikiem NISC (National Center of Incident Readiness and Strategy for Cybersecurity).
Firma Dagma przedstawia historię cyberataków na Igrzyska Olimpijskie. Zwraca uwagę, że Pomiędzy 2016 a 2021 rokiem odnotowano 8-krotny wzrost liczby ataków związanych z IO, a jedyną edycją, podczas której wedle dostępnych informacji nie wystąpiły poważne incydenty w tej sferze, były odbywające się w Soczi zimowe zawody w 2018 roku. Zawody w Paryżu rozpoczną się w sierpniu, a wcześniej w Niemczech rozegrany zostanie turniej o Mistrzostwo Europy w piłce nożnej. Wedle przewidywań obu wydarzeniom będzie towarzyszyć wzrost intensywności związanych z nimi i nawiązujących do nich działań cyfrowych przestępców.
- 2004, Ateny – główne ryzyko zakłócenia technologii wynikało z lokalnej aktywności sejsmicznej.
- 2008, Pekin – podczas IO utworzono kilka fałszywych stron do sprzedaży fałszywych biletów.
- 2012, Londyn – w dniu ceremonii otwarcia odnotowano ponad 212 mln cyberataków, m.in. DDoS na infrastrukturę elektroenergetyczną.
- Soczi, 2014 – brak informacji o poważnych incydentach związanych z cyberbezpieczeństwem lub nie została upubliczniona wiedza na ich temat.
- 2016, Rio de Janeiro – liczba zgłoszonych cyberataków przekroczyła pół miliarda, co oznacza 400 ataków na sekundę podczas trwania imprezy. Na kilka miesięcy przed ceremonią otwarcia przeprowadzono masowe ataki DDoS na strony internetowe partnerów olimpijskich. Ataki ze strony botnetu LizardStresser (o którym już mówiono po zablokowaniu platform gier online PSN i Xbox Live) nasiliły się podczas igrzysk. Przeprowadzona została kampania DDoS o przepustowości ponad 500 Gb/s.
- 2018, Pjongczang – szkodliwe oprogramowanie Olympic Destroyer siało spustoszenie na oczach tysięcy widzów i dziennikarzy. Część widzów nie mogła wydrukować biletów wstępu na stadion, wystąpił problem z WiFi, ceremonia nie była transmitowana na ekranach stadionu, a czujniki RFID na drzwiach wejściowych nie działały, podobnie jak oficjalna aplikacja olimpijska. Odbudowanie infrastruktury IT Olympic z kopii zapasowych wymagało 12 godzin ciężkiej pracy zespołów ds. cyberbezpieczeństwa.
- 2021, Tokio – na organizatorów przeprowadzono 4,4 mld cyberataków. Wysoki rangą japoński urzędnik stwierdził, że igrzyska padły ofiarą ataku, w wyniku którego doszło do wycieku danych osobowych posiadaczy biletów i wolontariuszy (nazwiska, adresy, numery kont bankowych). Dane te zostały ujawnione online.
- Pekin, 2022 – oficjalna aplikacja anty-Covid-19, My2022, okazała się kontrowersyjna z powodu obaw przed cyberszpiegostwem. Badanie aplikacji metodą inżynierii wstecznej wykazało później, że rozmowy sportowców były gromadzone, analizowane i zapisywane na chińskich serwerach. W odpowiedzi władze wielu krajów wydały swoim delegacjom instrukcje, np. zalecenie dotyczące posiadania telefonu jednorazowego.