Alice Research Page

Co się dzieje z Twoimi dokumentami w chmurze - jak są zabezpieczone i kto ma nad nimi kontrolę


Gdzie faktycznie leżą Twoje dokumenty

Kiedy wysyłasz skany dokumentów tożsamości do Google Drive, zdjęcie umowy najmu do Dropboxa czy archiwizujesz faktury w OneDrive, zastanawiałeś się kiedyś, gdzie fizycznie trafiają te pliki? Odpowiedź może zaskoczyć - najprawdopodobniej Twoje dane znajdują się jednocześnie w kilku krajach, rozrzucone po gigantycznych centrach danych należących do międzynarodowych korporacji. Google posiada ich ponad 30 na całym świecie, Microsoft około 200, a Amazon Web Services - na którym opiera się większość mniejszych usług chmurowych - obsługuje 87 stref dostępności w 27 regionach geograficznych.

W praktyce oznacza to, że skan Twojego dowodu osobistego, który "wrzuciłeś do chmury", może być przechowywany równocześnie na serwerach w Irlandii, Finlandii i Holandii - to standardowa praktyka replikacji danych stosowana przez największych graczy. Firmy argumentują, że taka dystrybucja zwiększa bezpieczeństwo i dostępność - jeśli jedno centrum danych ulegnie awarii, Twoje pliki wciąż będą dostępne z innych lokalizacji. Ale rodzi to pytanie o jurysdykcję: czyje prawo obowiązuje, gdy Twoje polskie dokumenty są przechowywane na amerykańskich serwerach firmy zarejestrowanej w Delaware, ale operującej z Irlandii dla celów podatkowych?

Podczas mojego śledztwa dziennikarskiego rozmawiałem z inżynierem pracującym dla jednego z dostawców usług chmurowych, który pod warunkiem anonimowości przyznał: "Przeciętny użytkownik nie ma pojęcia, że jego 'prywatne' dokumenty przechodzą przez dziesiątki rąk - od administratorów systemów, przez analityków bezpieczeństwa, po firmy trzecie zajmujące się backupem. Teoretycznie wszyscy jesteśmy związani umowami o poufności, ale w praktyce tysiące ludzi może mieć potencjalny dostęp do tych danych."

Kto naprawdę ma dostęp do Twoich plików

Regulaminy usług chmurowych to prawdziwe prawne labirynty, które większość użytkowników akceptuje bez czytania. Zapisałem się na eksperyment i spędziłem cały dzień na analizie warunków korzystania z najpopularniejszych usług. Rezultat jest alarmujący. Google w swoich "Warunkach korzystania z usług" zastrzega sobie prawo do przeglądania zawartości plików "w celu wykrywania nadużyć". Microsoft podobnie - może skanować dokumenty w poszukiwaniu "nielegalnych treści". Apple deklaruje, że nie ma dostępu do zaszyfrowanych danych w iCloud, ale dotyczy to tylko niektórych kategorii plików.

Co ciekawe, wszystkie te firmy mogą również udostępniać Twoje dane organom ścigania - zarówno polskim, jak i zagranicznym - jeśli otrzymają odpowiedni nakaz lub wniosek prawny. W 2023 roku Google udostępnił dane użytkowników w odpowiedzi na ponad 400 tysięcy takich wniosków z całego świata. Microsoft przyznał się do podobnej liczby. Dla przeciętnego użytkownika oznacza to, że każdy plik wrzucony do chmury może potencjalnie trafić do prokuratorów, policji czy służb specjalnych bez jego wiedzy.

Jeszcze bardziej niepokojące są zapisy dotyczące tzw. metadanych. Nawet jeśli firma twierdzi, że nie analizuje zawartości dokumentów, to z pewnością zbiera informacje o tym, kiedy plik został dodany, skąd, z jakiego urządzenia, ile razy był otwierany i kto go pobierał. Te metadane mogą być sprzedawane reklamodawcom lub udostępniane partnerom biznesowym. W przypadku dokumentów wrażliwych - takich jak skany paszportów czy umów kredytowych - to poważne zagrożenie dla prywatności. Problem ten szczególnie dobrze ilustruje dyskusja ekspertów prawnych o statusie reprodukcji dokumentów, gdzie pojawia się pytanie, czy nawet kolekcjonerskie kopie dokumentów przechowywane w chmurze mogą być wykorzystane w nieuprawniony sposób.


Zabezpieczenia techniczne - czy są wystarczające

Operatorzy usług chmurowych chętnie opowiadają o swoich zaawansowanych systemach bezpieczeństwa. Szyfrowanie danych "w tranzycie i w spoczynku", uwierzytelnianie dwuskładnikowe, zaawansowane systemy wykrywania włamań - wszystko to brzmi imponująco. W praktyce jednak diabeł tkwi w szczegółach. Większość popularnych usług stosuje tzw. szyfrowanie po stronie serwera, co oznacza, że firma ma klucze deszyfrujące. Twoje dokumenty są teoretycznie zaszyfrowane, ale administrator systemu może je w każdej chwili odszyfrować i przejrzeć.

Prawdziwie bezpieczne jest tylko szyfrowanie po stronie klienta (end-to-end encryption), gdzie tylko użytkownik posiada klucz deszyfrujący. Takie rozwiązania oferują specjalistyczne usługi jak Tresorit czy Sync.com, ale nie jest to standard w popularnych platformach typu Google Drive czy Dropbox. Apple oferuje "zaawansowaną ochronę danych" z szyfrowaniem end-to-end dla większości typów danych w iCloud, ale funkcja ta jest domyślnie wyłączona i trzeba ją aktywować ręcznie - co czyni zaledwie około 5% użytkowników.

Ekspert ds. cyberbezpieczeństwa, z którym rozmawiałem w ramach przygotowania tego materiału, zwrócił uwagę na inny aspekt: "Ludzie martwią się o hakerów włamujących się do serwerów Google czy Microsoftu, ale prawdziwe zagrożenie to znacznie prostsze wektory ataku. Najczęściej dane wyciekają przez skradzione hasła, phishing, złośliwe oprogramowanie na urządzeniu użytkownika lub po prostu przez nieautoryzowany dostęp osób trzecich mających fizyczny dostęp do telefonu czy komputera ofiary." Statystyki to potwierdzają - według raportu Verizon z 2024 roku aż 74% naruszeń bezpieczeństwa danych wynikało z "czynnika ludzkiego".

Coraz popularniejszą praktyką wśród przestępców jest też podszywanie się pod administratorów systemów i wyłudzanie dostępu do kont. W zeszłym roku głośna była sprawa, gdy hakerzy uzyskali dostęp do dokumentów przechowywanych przez klientów pewnej dużej firmy księgowej, podszywając się pod pracowników supportu technicznego. Wśród skradzionych plików były tysiące skanów dokumentów tożsamości i umów. Co ciekawe, jak wskazują analizy bezpieczeństwa dokumentów kolekcjonerskich, nawet reprodukcje dokumentów z zaawansowanymi zabezpieczeniami UV mogą służyć przestępcom jako wzorce do tworzenia fałszywek - dlatego przechowywanie takich materiałów w niezabezpieczonej chmurze jest szczególnie ryzykowne.


Czarny rynek danych i handel dostępami

To, co odkryłem podczas researchu do tego artykułu, przeszło moje najgorsze oczekiwania. Na forach darknetowych trwa ożywiony handel skradzionymi kontami do usług chmurowych. Ceny zaczynają się od zaledwie 5 dolarów za konto Google Drive zawierające "standardowe dokumenty", a kończą na tysiącach dolarów za dostęp do kont firm lub osób publicznych. Sprzedawcy często podają w opisie, jakie typy dokumentów znajdują się na koncie - "paszporty", "umowy", "dokumentacja medyczna".

Podczas przygotowania tego materiału udało mi się nawiązać kontakt z osobą trudniącą się nielegalnym handlem dostępami do chmury. Pod warunkiem całkowitej anonimowości zgodziła się na krótką rozmowę. "Ludzie nie mają pojęcia, jak łatwo jest przejąć kontrolę nad cudzym kontem" - powiedział. "Wystarczy zdobyć hasło przez phishing albo kupić bazę wycieków, sprawdzić które konta są wciąż aktywne i masz dostęp do wszystkiego. Najlepsze są konta firm - tam leżą setki dokumentów pracowników, często z pełnymi danymi osobowymi."

Zapytałem go o konkretne zastosowania skradzionych danych. "To zależy od klienta. Niektórzy kupują dostępy, żeby znaleźć konkretne informacje o kimś - prywatną korespondencję, dokumenty finansowe. Inni szukają skanów dokumentów do robienia podróbek." Wspomniał przy tym o rosnącym rynku na wysokiej jakości skany dokumentów tożsamości, które służą jako wzory dla fałszerzy. Wywiad z fałszerzem dokumentów pokazuje, że profesjonalni przestępcy są w stanie stworzyć bardzo przekonujące podróbki, jeśli mają dostęp do dobrej jakości wzorców - a chmura jest ich skarbnicą.

Szczególnie niepokojący jest fakt, że wiele osób przechowuje w chmurze tzw. dokumenciki - kolekcjonerskie lub pamiątkowe reprodukcje dokumentów, które jednak zawierają prawdziwe dane osobowe. Takie materiały w rękach przestępców mogą być wykorzystane zarówno jako wzory do fałszerstw, jak i jako źródło danych do kradzieży tożsamości.


RODO kontra praktyka - teoretyczna ochrona danych

Rozporządzenie o ochronie danych osobowych (RODO) miało być rewolucją w zakresie prywatności. Na papierze użytkownicy mają prawo do informacji o tym, kto przetwarza ich dane, w jakim celu i jak długo. Mogą żądać dostępu do swoich danych, ich sprostowania czy usunięcia. Teoretycznie brzmi świetnie. W praktyce? Zupełnie inna historia. Złożyłem wnioski RODO do pięciu największych dostawców usług chmurowych z prośbą o informację, ile osób miało dostęp do moich dokumentów w ciągu ostatniego roku. Odpowiedzi były... wymijające.

Google odesłał mnie do automatycznego narzędzia pokazującego, kiedy logowałem się do konta i z jakich urządzeń - zero informacji o dostępach administratorów. Microsoft przysłał 47-stronicowy PDF pełen ogólników i odesłań do innych dokumentów. Dropbox poinformował, że "z powodów bezpieczeństwa" nie może ujawnić szczegółów dotyczących dostępu swoich pracowników do danych użytkowników. Apple w ogóle nie odpowiedział w ustawowym 30-dniowym terminie. Jedynie mniejszy gracz - Tresorit - szczerze przyznał, że przy szyfrowaniu end-to-end ich pracownicy w ogóle nie mają dostępu do moich danych i przysłał szczegółowy log wszystkich moich własnych logowań.

Problem polega na tym, że egzekwowanie RODO wobec globalnych korporacji to proces długotrwały i kosztowny. Urząd Ochrony Danych Osobowych (UODO) nakłada wprawdzie kary - w 2023 roku były to łącznie prawie 4 miliony złotych - ale to grosze w porównaniu z przychodami technologicznych gigantów. Firma, która w ciągu jednego kwartału zarabia miliardy, może sobie pozwolić na zignorowani kilkutysięcznej kary.

Co więcej, RODO ma zastosowanie tylko do firm działających w UE lub przetwarzających dane obywateli UE. Ale co, jeśli Twoje dokumenty trafią na serwer w Stanach Zjednoczonych, gdzie obowiązują inne przepisy? Albo w Singapurze? Teoretycznie "Privacy Shield" i podobne umowy międzynarodowe mają to regulować, ale w praktyce egzekwowanie praw jest niemal niemożliwe dla przeciętnego użytkownika. Dokumentacja dostępna w repozytoriach technicznych pokazuje, jak skomplikowane mogą być przepływy danych między różnymi systemami i jurysdykcjami.


Jak odzyskać kontrolę nad swoimi dokumentami

Po miesiącach researchu i rozmowach z ekspertami wyłania się jeden jasny wniosek: jeśli naprawdę zależy Ci na prywatności i bezpieczeństwie dokumentów, musisz wziąć sprawy w swoje ręce. Oto konkretne kroki, które możesz podjąć już dziś. Po pierwsze - natychmiast aktywuj uwierzytelnianie dwuskładnikowe we wszystkich usługach chmurowych. To absolutne minimum. Wybieraj aplikacje typu Google Authenticator lub hardware'owe klucze bezpieczeństwa zamiast SMS-ów, które można przechwycić.

Po drugie - zaszyfruj wrażliwe dokumenty PRZED wrzuceniem ich do chmury.

Narzędzia takie jak VeraCrypt czy 7-Zip z silnym hasłem sprawią, że nawet jeśli ktoś uzyska dostęp do Twojego konta, nie będzie mógł odczytać zawartości plików. To dodatkowa warstwa ochrony, której nie zapewnią Ci dostawcy usług. Po trzecie - regularnie przeglądaj ustawienia bezpieczeństwa i logi dostępu do konta. Większość platform oferuje funkcję pokazującą historię logowań i aktywnych sesji - sprawdzaj to przynajmniej raz w miesiącu.

Po czwarte - stosuj zasadę minimalnego przechowywania. Czy naprawdę musisz trzymać w chmurze skany wszystkich dokumentów z ostatnich 10 lat? Może wystarczy tylko najważniejsze, a resztę archiwizować offline? Pamiętaj - najlepiej chronione są dane, których w ogóle tam nie ma. Po piąte - rozważ użycie dedykowanych, bardziej bezpiecznych rozwiązań dla najbardziej wrażliwych dokumentów. Usługi takie jak ProtonDrive, Tresorit czy Sync.com oferują prawdziwe szyfrowanie end-to-end i bazują na jurysdykcjach bardziej przyjaznych prywatności (Szwajcaria, Kanada).

I wreszcie - bądź świadomy tego, co uplodujesz. Zanim wrzucisz cokolwiek do chmury, zadaj sobie pytanie: czy rzeczywiście chcę, żeby ta informacja była potencjalnie dostępna dla administratorów systemów, organów ścigania i potencjalnie dla hakerów? Jeśli odpowiedź brzmi "nie" - szukaj alternatywy. W epoce, gdy każdy dokument może być na wyciągnięcie ręki, warto zastanowić się, czy wygoda warta jest ryzyka.