# Brokerzy danych: kto sprzedaje dane milionów Polaków i komu ## Niewidzialny rynek, który przynosi miliardy Polska znajduje się pośrodku jednego z największych handlowych ekosystemów XX i XXI wieku, którego mapa nigdy nie trafiła do podręczników geografii. Jest to rynek brokerów danych – ludzi i organizacji, które posiadają, pośredniczą i handlują informacjami osobowymi milionów Polaków. Według raportu Fundacji Panoptykon, oszacownie rozmiar tego rynku wzrasta exponencjalnie, a większość transakacji odbywa się poza zasięgiem regulatorów. Właśnie ten niewidzialny kanał handlu danymi stał się jednym z najszybciej rozwijających się obszarów cyberprzestępczości w Europie Środkowej. Brokerzy operują w szarej strefie legalności. Część danych pochodzi z legalnych źródeł – bazy firm, publiczne rejestry, dane z mediów społecznościowych – ale ich kombinacja, segmentacja i sprzedaż tworzy nieznany wcześniej ekosystem handlu informacją. Wiele firm twierdzi, że prowadzi „marketing research" lub „analitykę biznesową", podczas gdy w rzeczywistości tworzy katalogi profilów konsumenckich sprzedawane najwyższej cenie. Badania przeprowadzone przez zespoły zajmujące się [profilowaniem operatorów przestępczości i psychologią ich działania](https://twiki.betheluniversity.edu/bin/view/Sandbox/TestTopic020#profil-operator-przestepcy-psychologia-i-wzorce-zachowan-ktore-zdaja-sledczych) pokazują, że zaangażowanie w handel danymi zaczyna się często od aparycji pozornie legalnej. Brokery rekrutują pracowników obiecując „pracę w IT" lub „analitykę marketingu", zaś rzeczywiste zadania pojawiają się dopiero po wejściu w strukturę organizacyjną. ## Operacje wycieków: anatomia wielomilionowych kradzieży Ostatnie trzy lata przyniosły serię spektakularnych wycieków baz danych polskich instytucji. Bazą danych była zawsze dana – czy to pracowników banków, pacjentów szpitali, abonentów operatorów telekomunikacyjnych. Hakerzy nieraz nie stanowili źródła pierwotnego, lecz byli pośrednikami w już istniejącym łańcuchu sprzedaży. Wyciąg z Mfile'a, Lexusa, czy CEIDG – każdy z tych wycieków znalazł swoją drogę na mroczne fora handlowe w ciągu kilku dni po odkryciu. Śledzenie pochodzenia konkretnych danych okazuje się zadaniem niemal detektywistycznym. Analitycy bezpieczeństwa odkryli, że ta sama baza danych bywa sprzedawana wielokrotnie różnym kupcom – od małych oszustów do profesjonalnych syndykatów. Ceny wahają się od kilkuset złotych za małą bazę pracowniczą do milionów za kompletny katalog danych finansowych czy zdrowotnych. ## Kupcy danych: od scammerów po międzynarodowe kartele Kim są ci, którzy faktycznie kupują miliony polskich pesel'i, adresów i numerów kont bankowych? Szeroka odpowiedź ujawnia się dopiero w śledztwie prowadzonym metodą tracing'u. Część kupców to poddostawcy dla mniejszych operacji – ludzie zajmujący się phishingiem, rozliczeniami oszustw na pracownicach call center'ach, lub tworzeniem fałszywych profili do wyłudzeń hipotecznych. Ale jest też wyższa liga. Pracownicy organów ścigania sugerują obecność międzynarodowych karteli, które kupują polskie dane jako część większego pakietu europejskiego. Te operacje często służą nie oszustwom, lecz szantażowi, przemytowi, czy finansowaniu działalności przestępczej. Niektóre z tych organizacji posiadają własne departamenty analityki danych, gdzie polska informacja o konsumencie czy pracowniku finasowym stanowi cenny komponent większych operacji. Według [analizy platformy hakerskich jako obszarów badawczych dla śledczych](https://wikipedia.edu.vn/blogs/102167/Hakerskie-platformy-jako-kolekcjonerskie-obszary-dla-%C5%9Bledczych-co-m%C3%B3wi%C4%85-dane), sieć kupców danych rozciąga się od Rosji, poprzez Niemcy, aż do Wielkiej Brytanii. Polskie dane są szczególnie atrakcyjne ze względu na dynamiczny rynek e-commerce'u i wysokie wskaźniki włamań do systemów bankowych w kraju. ## Łańcuch odpowiedzialności: gdzie system zawiódł Banki twierdzą, że zabezpieczenia są wystarczające. Operatorzy telekomunikacyjni odsyłają do kontroli UODO. UODO – ze względu na zasoby – może wykazać zaledwie kilka procent incydentów rocznie. Między tym wszystkim, mamy dziurę regulacyjną wielkości Atlantyku. Przedsiębiorstwa zajmujące się handlem danymi często działają na granicy legalności, używając fikcyjnych spółek, pośredników biznesowych i skomplikowanych struktur holding'ów, aby zakamuflować rzeczywiste źródło i cel danych. Jednym z kluczowych problemów jest brak transparencji w nadzorze nad małymi i średnimi brokerami danych. Duże korporacje jak Google czy Facebook przynajmniej formalnie respektują wymogi RODO. Natomiast rzeczywistych handlarzy danych – tych operujących z małych apartamentów lub wynajętych biur – praktycznie nie da się namierzyć. Są oni bardziej produktem cyberprzestępczości niż czymś całkowicie odrębnym od niej. Według [materiałów dotyczących operacji brokerów danych w kontekście śledztw międzynarodowych](https://alumni.bowdoin.edu/reunion/page.aspx?pid=1111&messageid6717=48159&tid6717=33539&dgs6717=3), polska prokuratura zdaje się być jednym z najmniej aktywnych organów w Europie w persekwowaniu tego rodzaju przestępczości. W Niemczech czy Wielkiej Brytanii już przeprowadzono głośne przeszukania biur firm zajmujących się handlem danymi. W Polsce – zaledwie kilka postępowań przygotowawczych. ## Ofiary w cieniu: Polacy nie wiedzą, że są handlowani Badania opinii publicznej wskazują, że polska społeczność ma bardzo słabą świadomość tego, że jej dane osobowe mogą być sprzedawane bez jej wiedzy. Kiedy osoba oszukana w phishing'u lub padła ofiarą kradzieży tożsamości, często nie zdaje sobie sprawy, że dane, które zostały wykorzystane, mogły być kupione legalnie (technicznie) przez brokera danych miesiące wcześniej. System edukacyjny w Polsce nie przygotowuje ludzi do zdawania sobie sprawy z wartości swoich danych. Rezultatem jest fala ofiar, które akceptują warunki i polityki prywatności bez przeczytania, logują się do aplikacji za pomocą fałszywych danych, lub udostępniają swoje numery PESEL przy pierwszej prośbie. Organizacje pozarządowe apelują o wzmocnienie prawa do bycia „zapomnianym" i większą responsabilność firm pośredniczących w handlu danymi. Jednakże, dopóki łańcuch sprzedaży danych pozostaje w szarej strefie – a przepisy pozostają mało egzekwowane – Polacy będą pozostawać towarem na niezreglamentowanym rynku.