Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Nowe rozporządzenie o przekazaniu spisu wyborców: „na informatycznych nośnikach danych”, „w edytowalnym pliku w formacie .xls albo .xlsx, bez hasła”

09 maja 2020, 21:39 | W biegu | komentarze 22

Nowe rozporządzenie z dnia 9. maja 2020r „w sprawie przekazania spisu wyborców gminnej obwodowej komisji wyborczej oraz operatorowi wyznaczonemu w związku z przeprowadzeniem wyborów powszechnych na Prezydenta Rzeczypospolitej Polskiej zarządzonych w 2020 r.” zawiera takie dość niepokojące fragmenty:

Wójt, burmistrz lub prezydent miasta przekazuje spis wyborców w postaci elektronicznej podpisanej kwalifikowanym podpisem elektronicznym, podpisem osobistym albo podpisem zaufanym (…)

Przekazania spisu wyborców w trybie i formie określonych w ust. 1 pkt 2 dokonuje się:

1) na informatycznych nośnikach danych;
2) w edytowalnym pliku w formacie .xls albo .xlsx, bez hasła;
3) nadając nazwę składającą się z nazwy gminy.

Zakres przekazanych danych jest dość obszerny:

1) imię (imiona);
2) nazwisko;
3) imię ojca;
4) data urodzenia;
5) numer ewidencyjny PESEL;
6) miejscowość;
7) dzielnica, w przypadku m.st. Warszawy;
8) ulica;
9) numer domu;
10) numer mieszkania;

11) uwagi.

… a dane mogą być przekazane za pomocą ePUAP (bezpieczna forma), ale również: „operatorowi wyznaczonemu – właściwemu miejscowo dyrektorowi Regionu Sieci operatora wyznaczonego lub osobie przez niego upoważnionej – na informatycznych nośnikach danych;

Czyżby pendrajwy z niezaszyfrowanymi danymi wyborców? brrr…
–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. PiotreK

    Hmm….
    a gdyby ktoś ukradł albo zgubił pendrive?
    Wyciek jakich mało.
    Czyli najlepiej jak już to ePUAP.

    Odpowiedz
  2. Kex

    Albo na płytach CD jak baza PESEL od Min. Cyfryzacji

    Odpowiedz
  3. Piotr

    Lipa, ale przynajmniej nie ma nr. dowodu osobistego.

    BTW. Po co wszędzie podaje się osobno datę urodzenia, skoro ona jest już w PESELu ?

    Odpowiedz
    • mario

      @piotr hmmm…żeby się uwierzytelnić ;)

      Odpowiedz
    • Ireneusz

      Nie zawsze PESEL pokrywa się z datą urodzenia. Przykład mam w postaci numeru mojej córki. ;)

      Odpowiedz
      • Jacek

        Wszydlstko się zgadza jeśli ktoś jest urodziny po 2000 roku do miesiąca urodzenia dodaje się 20 ot i cała tajemnica rozwiązana

        Odpowiedz
    • Tomasz

      Bo na „rok” w peselu są do dyspozycji tylko dwie cyfry.
      A żyją ludzie, ktorzy maja ponad 100 lat.

      Odpowiedz
      • Wacek

        Ponad 100 lat to nie powód, PESEL obsługuje rok urodzenia od 1800 do 2299, manipulując przy miesiącu. Inna sprawa że błędy w PESEL się zdażają – mam w rodzinie osobę której PESEL wskazywał na datę urodzenia o 5 lat wcześniej. Po parunastu latach udało się odkręcić.

        Odpowiedz
  4. Damazy

    Na kartach perforowanych! TO jest prawdziwy informatyczny nośnik danych… jakieś 91% osób w tym kraju, nie potrafiłoby tego rozszyfrować (;

    Odpowiedz
    • zero one

      He he he ;-D

      Odpowiedz
  5. Lotuw

    Czemu xls/xlsx a nie csv?
    Chyba lepiej zachować minimalizm.

    Odpowiedz
  6. Jaro

    Nie lepiej na dyskietkach bardziej bezpieczne bo juz nikt nie ma odrwarzacza😂

    Odpowiedz
    • Jur50

      Oj. zdziwil bys sie ;)

      Mozna kupic nawet na USB.

      FDD bylo przerażająco wolne. I ma się rozumieć, o znikomej pojemności. Nigdy wiecje FDD ;)

      Odpowiedz
  7. Tt

    To w jaki sposob zapewnia rozliczalnosc kto i z jakich danych skorzystal lub zrobil kopie ?

    Odpowiedz
    • P

      To już problem Poczty lub komisji wyborczej, stają się Administratorami Danych i to oni odpowiadaj za dane od momentu otrzymania ich od gminy.

      Odpowiedz
  8. Leszek

    To jest jedno podejście, drugie to takie, że usbstick bez hasła to równie bezpieczna forma jak aktówka z wydrukami. Oczywiście do formy elektronicznej łatwiej dodać zabezpieczenie i tak należałoby zrobić, ale w tym wypadku nie tracimy bezpieczeństwa względem tradycyjnej formy, którą też można zgubić lub ukraść.

    Odpowiedz
    • ja

      Nie to żeby coś, ale sporo trudniej jest ukraść kilka ton papieru, aniżeli kilka gram pendrive. Dodatkowo dane osobowe powinny być przekazywane w sposób bezpieczny. Art. 24 ust. 1 RODO mówi o tym, że powinniśmy stosować odpowiednie środki techniczne i organizacyjne, aby zabezpieczyć dane osobowe. Dane na pendrive, w plikach excel, bez hasła i przekazywane bez nadzoru nie spełniają tego warunku ustawowego.

      Jako prorok: Za kilkanaście miesięcy będą płacze i krzyki, bo ktoś weźmie chwilówki na tysiące obywateli, kto wtedy za to beknie? Wiadomo, że nie władza, bo przecież nie udowodnisz, skoro nie mają nad tym kontroli po nagraniu na pendrive.

      Odpowiedz
    • Marcus

      > usbstick bez hasła to równie bezpieczna forma jak aktówka z wydrukami

      Nieprawda.

      W aktówce nie pozostają ślady po kartkach z danymi, a na usbsticku – owszem. Nie tylko skasowanie pliku nie usuwa jego zawartości, ale w wypadku pamięci tymu usbstick NIE DA SIĘ bezpiecznie ich wyczyścić metodami programowymi!

      Trzeba go PROFESJONALNIE (przez drobne zmielenie i dokładne roztworzenie w silnym kwasie) zniszczyć – to specjalna usługa którą oferują firmy zajmujące się nieodwracalnym usuwaniem danych.

      Odpowiedz
  9. Pablo

    Za poprzednie przekazanie prokuratura zajęła się przekazującymi a Państwo zamiast pomóc w tej sytuacji nadal komplikuje całą sytuację …

    Odpowiedz
  10. Marcin

    Po pierwsze, użycie formatu XLS powinno być zabronione, bo to zamknięty format. Owszem, proste tabelki w stylu spis wyborców raczej bez problemu da się zrobić z LibreOffice i w XLS zapisać, ale chodzi o zasadę. Państwo powinno używać wyłącznie otwartych formatów.

    A co do zabezpieczania przekazanych danych: przecież to jest idealna okazja żeby użyć PGP!

    W rozporządzeniu powinien być obowiązek zaszyfrowania pliku kluczem publicznym Poczty Polskiej. I dopiero taki plik powinien być na ten nośnik wgrywany – winno być to wyraźnie określone w rozporządzeniu.

    Odpowiedz
  11. Gal Nie Anonim :]

    Ja rozumiem że wybory muszą się odbyć, ale ten przecież te dane można przekazać w sposób bezpieczny!
    Do tego łamanie innych przepisów:

    GDPR
    ROZDZIAŁ II – Zasady
    Artykuł 5 – Zasady dotyczące przetwarzania danych osobowych.
    1. Dane osobowe muszą być:
    [..]
    f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

    Pewnie się okaże, że jednak tego przepisu nie narusza, bo GDPR a w szczególności zadbanie o bezpieczne przekazanie danych dotyczy tylko zwykłych obywateli. 8)

    Tylko, że jak dane wyciekną, to ktoś będzie mógł sobie zadzwonić do mojego Banku, podać się za mnie i ukraść moje pieniądze – a ja nie mam jak się przed tym zabezpieczyć.

    Cudownie……….

    Odpowiedz
  12. Qurt

    Na taśmach streamerów albo na dyskietkach. Zus swego czasu kupił kilkaset tysięcy dyskietek jak już nie było gdzie ich wsadzić.

    Odpowiedz

Odpowiedz