Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Nowe rozporządzenie o przekazaniu spisu wyborców: „na informatycznych nośnikach danych”, „w edytowalnym pliku w formacie .xls albo .xlsx, bez hasła”
Nowe rozporządzenie z dnia 9. maja 2020r „w sprawie przekazania spisu wyborców gminnej obwodowej komisji wyborczej oraz operatorowi wyznaczonemu w związku z przeprowadzeniem wyborów powszechnych na Prezydenta Rzeczypospolitej Polskiej zarządzonych w 2020 r.” zawiera takie dość niepokojące fragmenty:
Wójt, burmistrz lub prezydent miasta przekazuje spis wyborców w postaci elektronicznej podpisanej kwalifikowanym podpisem elektronicznym, podpisem osobistym albo podpisem zaufanym (…)
Przekazania spisu wyborców w trybie i formie określonych w ust. 1 pkt 2 dokonuje się:
Zakres przekazanych danych jest dość obszerny:
Czyżby pendrajwy z niezaszyfrowanymi danymi wyborców? brrr…
–ms
Hmm….
a gdyby ktoś ukradł albo zgubił pendrive?
Wyciek jakich mało.
Czyli najlepiej jak już to ePUAP.
Albo na płytach CD jak baza PESEL od Min. Cyfryzacji
Lipa, ale przynajmniej nie ma nr. dowodu osobistego.
BTW. Po co wszędzie podaje się osobno datę urodzenia, skoro ona jest już w PESELu ?
@piotr hmmm…żeby się uwierzytelnić ;)
Nie zawsze PESEL pokrywa się z datą urodzenia. Przykład mam w postaci numeru mojej córki. ;)
Wszydlstko się zgadza jeśli ktoś jest urodziny po 2000 roku do miesiąca urodzenia dodaje się 20 ot i cała tajemnica rozwiązana
Bo na „rok” w peselu są do dyspozycji tylko dwie cyfry.
A żyją ludzie, ktorzy maja ponad 100 lat.
Ponad 100 lat to nie powód, PESEL obsługuje rok urodzenia od 1800 do 2299, manipulując przy miesiącu. Inna sprawa że błędy w PESEL się zdażają – mam w rodzinie osobę której PESEL wskazywał na datę urodzenia o 5 lat wcześniej. Po parunastu latach udało się odkręcić.
Na kartach perforowanych! TO jest prawdziwy informatyczny nośnik danych… jakieś 91% osób w tym kraju, nie potrafiłoby tego rozszyfrować (;
He he he ;-D
Czemu xls/xlsx a nie csv?
Chyba lepiej zachować minimalizm.
Nie lepiej na dyskietkach bardziej bezpieczne bo juz nikt nie ma odrwarzacza😂
Oj. zdziwil bys sie ;)
Mozna kupic nawet na USB.
FDD bylo przerażająco wolne. I ma się rozumieć, o znikomej pojemności. Nigdy wiecje FDD ;)
To w jaki sposob zapewnia rozliczalnosc kto i z jakich danych skorzystal lub zrobil kopie ?
To już problem Poczty lub komisji wyborczej, stają się Administratorami Danych i to oni odpowiadaj za dane od momentu otrzymania ich od gminy.
To jest jedno podejście, drugie to takie, że usbstick bez hasła to równie bezpieczna forma jak aktówka z wydrukami. Oczywiście do formy elektronicznej łatwiej dodać zabezpieczenie i tak należałoby zrobić, ale w tym wypadku nie tracimy bezpieczeństwa względem tradycyjnej formy, którą też można zgubić lub ukraść.
Nie to żeby coś, ale sporo trudniej jest ukraść kilka ton papieru, aniżeli kilka gram pendrive. Dodatkowo dane osobowe powinny być przekazywane w sposób bezpieczny. Art. 24 ust. 1 RODO mówi o tym, że powinniśmy stosować odpowiednie środki techniczne i organizacyjne, aby zabezpieczyć dane osobowe. Dane na pendrive, w plikach excel, bez hasła i przekazywane bez nadzoru nie spełniają tego warunku ustawowego.
Jako prorok: Za kilkanaście miesięcy będą płacze i krzyki, bo ktoś weźmie chwilówki na tysiące obywateli, kto wtedy za to beknie? Wiadomo, że nie władza, bo przecież nie udowodnisz, skoro nie mają nad tym kontroli po nagraniu na pendrive.
> usbstick bez hasła to równie bezpieczna forma jak aktówka z wydrukami
Nieprawda.
W aktówce nie pozostają ślady po kartkach z danymi, a na usbsticku – owszem. Nie tylko skasowanie pliku nie usuwa jego zawartości, ale w wypadku pamięci tymu usbstick NIE DA SIĘ bezpiecznie ich wyczyścić metodami programowymi!
Trzeba go PROFESJONALNIE (przez drobne zmielenie i dokładne roztworzenie w silnym kwasie) zniszczyć – to specjalna usługa którą oferują firmy zajmujące się nieodwracalnym usuwaniem danych.
Za poprzednie przekazanie prokuratura zajęła się przekazującymi a Państwo zamiast pomóc w tej sytuacji nadal komplikuje całą sytuację …
Po pierwsze, użycie formatu XLS powinno być zabronione, bo to zamknięty format. Owszem, proste tabelki w stylu spis wyborców raczej bez problemu da się zrobić z LibreOffice i w XLS zapisać, ale chodzi o zasadę. Państwo powinno używać wyłącznie otwartych formatów.
A co do zabezpieczania przekazanych danych: przecież to jest idealna okazja żeby użyć PGP!
W rozporządzeniu powinien być obowiązek zaszyfrowania pliku kluczem publicznym Poczty Polskiej. I dopiero taki plik powinien być na ten nośnik wgrywany – winno być to wyraźnie określone w rozporządzeniu.
Ja rozumiem że wybory muszą się odbyć, ale ten przecież te dane można przekazać w sposób bezpieczny!
Do tego łamanie innych przepisów:
GDPR
ROZDZIAŁ II – Zasady
Artykuł 5 – Zasady dotyczące przetwarzania danych osobowych.
1. Dane osobowe muszą być:
[..]
f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
Pewnie się okaże, że jednak tego przepisu nie narusza, bo GDPR a w szczególności zadbanie o bezpieczne przekazanie danych dotyczy tylko zwykłych obywateli. 8)
Tylko, że jak dane wyciekną, to ktoś będzie mógł sobie zadzwonić do mojego Banku, podać się za mnie i ukraść moje pieniądze – a ja nie mam jak się przed tym zabezpieczyć.
Cudownie……….
Na taśmach streamerów albo na dyskietkach. Zus swego czasu kupił kilkaset tysięcy dyskietek jak już nie było gdzie ich wsadzić.