Živě – únik z IPV: Od koho pochádzajú údaje?
Živě dostalo vytlačené zoznamy žiadostí o dotácie Internetu pre vzdelanie. Ide o dáta podliehajúce zákonu o ochranu osobných údajov. Ale tu problém nie je. Problém je, že sa to stalo takto: *chyba v softwari* (bežne dostupný software, ktorý používa kde-kto) spôsobila, že *provideri nevideli len svoje záznamy ale aj cudzích providerov.* V reálnom živote počítačových systémov nie výnimočná vec. Nerád by som tvrdil, že bežná (pre pochopenie je nutné sa v IT pohybovať).
Predstavme si, čo sa stalo: *zamestnanec providera zistil,* že môže niečo viac ako bolo deklarované. Podotýkam, že za narábanie s osobnými údajmi je zodpovedné MDPT a ja osobne mám pocit, že s tými údajmi narába hlavne provider – on zbiera žiadosti, on ich zapisuje do systému, on k nim pristupuje. Teraz pokračujme v predstavách. Mladý muž sediac za rozhraním databázového systému odrazu vojde do dát, ktoré nie sú evidentne jeho. Takže mu poskočí srdce a *dáta skopíruje* (doslova: narába s citlivými údajmi).
Pretože *tuší mediálnu slávu,* pod ktorej tieňom sa ticho bude pred zrkadlom hrdiť „to som ja“, tak jeho kroky nič nebrzdí.
Teraz by sme mohli pouvažovať, čo sa stalo tým, že mladý muž zamestnaný u jedného zúčastneného providera využil príležitosť a dáta ukradol. Ponechajme zatiaľ otázku zodpovednosti za bezpečnosť osobných údajov (k tomu sa vyjadrí naozaj kvantum odborníkov na internete) a pouvažujme či bol mladý muž Jánošíkom alebo človekom, ktorý nevedomky na seba zobral *ťarchu osobnej zodpovednosti za krádež.*
Osobné sympatie či nesympatie k „hackerom“ (naozaj nemusí nikomu rybičku otvárať v gatiach – naozaj nešlo o „hackovanie“) v mnohých mysliach ospravedlnia veľa činov a najmä vo vzťahu k „tým hore“. Toto samozrejme nie je žiadna „hackerina“.
Strčíme hlavu do mrazáku a uvažujeme: *provideri zúčastnení v projekte nakladajú s osobnými dátami.* Fyzicky ich zosobňujú ich zamestnanci. Nie je iná cesta úniku dát ako práve nimi alebo osobami, ktoré neoprávnene využili ich prostriedky k správe dát. V tomto prípade *je irelevantné AKÁ chyba nastala* a kde. Tým činom totiž bolo zverejnenie osobných dát.
A aj *keby to boli iba dáta zamestnancovho providera, tak ide o prúser.* Takže je jedno, či išlo o „dôkaz“ akú chybu mal systém – je zodpovednosťou aj providera, aby ochránil *minimálne* svoje dáta svojich klientov. Na ne sa totiž vzťahuje takisto ten istý zákon.
V tomto zmysle teda mal zamestnanec ukázať šéfovi „aha, čo vidím“. Šéf má už čosi za sebou a zrejme ho nenapadne doniesť Záhorcovi vytlačený balík papiera. Dvihol by telefón a zavolal prevádzkovateľovi databázy.
Predpokladajme, že *providerovi sa nebude páčiť situácia, že je zodpovedný za únik,* ktorý bol vykonaný na jeho zariadeniach. Môže odraziť útok dvomi smermi: voči MDPT a voči svojmu zamestnancovi. Pravdepodobne skúsi obe možnosti pretože (a to ja tipujem) majú provideri laxnejší vzťah k týmto dátam. To sa dá nakoniec aj predpokladať, pretože s až takými silnými kritériami na ochranu sa pravdepodobne nestretli a zákon na ochranu osobných údajov si komerčné firmy (a ich zamestnanci) vykladajú ako formalitu (prípad poisťovní preposielajúcich si XLS tabuľky s údajmi o klientoch).
Takže technická chyba spôsobila, že niekto u nejakého providera (ktohovie ktorý) ju využil a poskytol tretej strane osobné údaje klientov. Z pohľadu ochrany osobných údajov je však úplne jedno, ktoré to boli. Pretože ten istý bič by plieskal aj keby si ich stiahol regulérne pri práci s dátami.
Zahrajme sa na TIPOS a skúsme tipnúť reakcie: MDPT by malo vedieť KTORÝ provider by to mal byť. Do zmlúv nevidím a preto bude postupovať podľa bodov v zmluvách. Každá správna firma si však tieň podozrenia nenechá na seba ako subjekt ale posnaží sa to prekorčuľovať na územie „osobného zlyhania“ a „vyvodí patričné dôsledky“. *Z hrdinu sa stáva štvaná zver.*
Na záver taký môj osobný postreh [témy sa týka iba okrajovo]: mnohokrát sa mi stáva, že vidím na ľubovoľných miestach cudzí hnuteľný majetok. Mám všetky predpoklady (fyzické) pre uskutočnenie akýchkoľvek zámerov na nakladanie s týmto majetkom počnúc poškodením, premiestnením, prisvojením či púhym pozorovaním neoprávneného nakladania s ním. Predpoklady ale nie sú totožné s pohnútkami. A práve voči pohnútkam je dobré logické zamyslenie sa nad dôsledkami – „dopredné“ myslenie, predvídanie.
Radšej príklad: niekomu spadne peňaženka a kráča ďalej – zavolám, zdvihnem, prinesiem. Niekomu vyberajú peňaženku z tašky – zrúknem, chytím za plece, vyplaším. (oba prípady sa mi stali). Nehovoriac o tom, že neberiem v obchode z regálov napolitánky priamo do vreciek a podobné samozrejmosti.
Máme aféru a práve teraz ešte možno človeka, ktorý sa v spravodlivom hneve nad laxnosťou v zabezpečení privátneho (databáza nebola verejná ale bola zdieľaná obmedzeným okruhom) systému sa rozhodol pre mediálne vďačnú formu „nápravy“.
Pokiaľ by mne takýmto „spôsobom“ cez média reportovali chyby počítačového systému, tak buď „reportér“ alebo ja radšej „abdikujem“ na takúto formu spolupráce na jeho údržbe, administrácií, vývoji…
Prosim oprav v clanku chybny nazov „Internet pre vsetkych“. Spravne to je „Internet pre vzdelanie“. „Internet pre vsetkych“ je obcianske zdruzenie, ktore s touto vecou nema nic spolocne.
jejda, pardon :) ospravedlnujem sa zdruzeniu ;-)
Dakujem, ze s mojim nazorom na podobne veci nie som sam.
Obcas aj dobre napises :) Dnes bez debaty za 1.
dobre napisane. suhlasim, ze posuvat data tretich osob dalej je nezodpovedne. na druhej strane je medializacia potrebna. v ziadnom pripade vsak nemalo zive obdrzat zoznam s osobnymi udajmi, maximalne tak malo mat moznost donho nahliadnut ako dokaz, ze takato chyba existuje.
[5] potrebna/nepotrebna – v tomto pripade ide o uzatvoreny okruh s pristupom k datam a skor by som cakal toto: niekto z opravnenych zisti, ze system ma chybu a nepobezi do prvej bulvarnej redakcie ale klasickym sposobom reportuje chybu systemu. Zdoraznujem, ze nejde o verejnosti otvoreny system.
Na druhu stranu bez tlaku by sa bezpecnost systemov mohla zvrhnut na formality avsak ja si myslim, ze aj bez ucasti bulvaru pride po upozorneni chyby riadne „konanie“ ohladom objavenej chyby. Medializacia je nieco ako posledny stupen, ked chybu a upozornovanie na nu zodpovedni hlupo ignoruju.
V tomto pripade navyse chyba nie je sposobena laxnostou, hlupostou, bohorovnostou alebo niecim podobnym.
Iste je medzi nami cast ludi, ktori pri chybe vyrobku v zarucnej lehote su schopni postvat na predajcu, vyrobcu staby televizii miesto toho aby proste zasli do zarucneho servisu :-) (tym opat netvrdim, ze sa nestavaju pripady, ze je clovek uz z pristupu pocas reklamacie zufaly). No riesit hned po objaveni chyby situaciu okamzitou medializaciou sa mi naozaj zda divne :-) Ale o tom som nepisal.
Ja som pisal o druhom aspekte veci a to o kradezi osobnych udajov vyuzitim prostriedkov jedneho z providerov. A to je daleko vacsie maso ako spominana chyba.
Velmi drzim palce tomu cloveku, ktoreho to napadlo, aby z toho vysiel dobre. Uprimne mu to zelam aby z tohto celeho mu zostalo iba ponaucenie.
[4] dik, ale toto su clanky, ktore by sa nemali vlastne pisat ;-) iba mi vypadli bulvy na medzerovnik, ked mi docvaklo co je za tym „objavenim“ chyby vlastne. Nieco ako keby za Ferdom mravcom stala flotila slonic ;-)
Rony, sleduješ to ďalej? Ja som pozeram komentáre na živě a skončilo to ako to začalo. Vie sa už kto je ten provider? A čo živě? Komentuje? Informuje? Nevieš?
podla mna bude zaujimava situacia az vtedy, ked niekto zisti, kto je ten provider a to na zaklade toho, ze nebude ponukat IPV ;-)
zive je uz na druhej stranke, takze tam nepachne uz nikto ;-) mozno by mali redaktori zive skusit popatrat investigativne, kto je co je :-)
kopia mojho clanku je nakoniec na inet.sk, tam je ale privela slusnych ludi na to, aby sa rozmohli v nadavani na modru oblohu :-)