-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

W nocnym mailu Poczta Polska prosi samorządowców o przesłanie wrażliwych danych wyborców. Archiwa mają być szybko i „bez hasła”. Czy jest to bezpieczne?

23 kwietnia 2020, 16:36 | Aktualności | komentarzy 18

A feralnym mailu pisało już sporo osób. Nie będziemy wnikać tutaj w podstawę prawną wniosku przesłanego do samorządowców przez Pocztę Polską, zobaczmy jak to wygląda od strony bezpieczeństwa:

1. E-mail wysłany został w formie jawnej, oraz bez podpisu elektronicznego (sam napis „Poczta Polska” raczej nie można traktować nawet jako zwykły „podpis”). Niektórzy słusznie wskazują, że może to wręcz wyglądać na próbę wyłudzenia danych. Zupełnie na marginesie, po wejściu na domenę poczta-polska.pl (czy wyszukaniu w Google: Poczta Polska) czeka nas taki widok:

2. Archiwum z wrażliwymi danymi wyborców (zestaw wymaganych danych poniżej) ma być wysłane do Poczty „bez hasła”, za pośrednictwem platformy ePUAP. Całość można rozumieć też w ten sposób, że jedynie podpis zaufany ma być zrealizowany „za pośrednictwem platformy ePUAP”.

Sam zwrot „bez hasła” oraz brak jakiegokolwiek wspomnienia w mailu o bezpieczeństwie danych, może sprawiać wrażenie odsunięcia tematu bezpieczeństwa na boczny tor, czy wręcz nadanie mu roli „hamulcowego”. Dane w końcu chcemy szybko (2 dni robocze!).

Jednocześnie warto zaznaczyć, że wysłanie danych do systemu ePUAP będzie odpowiednio zabezpieczone (przynajmniej jeśli chodzi o poufność i integralność w trakcie przesyłania tych danych przez Internet). Tutaj bezpieczeństwo w trakcie przesyłania zapewni TLS, a nie „hasło” na archiwum.

3. Problematyczny jest brak precyzyjnej instrukcji postępowania, wskazującej ryzyka (patrz np. punkt 4. poniżej) w tym na przykład wskazań czego absolutnie nie należy robić – np. nie odsyłać mailem archiwum zawierającego dane wyborców.

Część samorządowców może odnieść błędne wrażenie, że jeśli „ważne pismo z Poczty Polskiej” przyszło mailem, to oczywisty i akceptowalny format odpowiedzi to właśnie… e-mail.

4. Problematyczne może być również przygotowanie samej bazy wyborców – chodzi o umieszczenie ich w pliku wskazanym przez Pocztę, w formacie wskazanym przez Pocztę:

  • Jak baza będzie transferowana na komputer osoby, która wyśle ePUAPem te dane? (pendrajwem, nieszyfrowanym mailem? a może za pomocą wydzielonego do sieci folderu – z jakimi uprawnieniami?).
  • Gdzie te pliki będą przechowywane? (na pulpicie?)
  • Czy komputery gdzie dane się znajdą, mają skonfigurowane pełne szyfrowanie dysku (jeśli nie – to co w przypadku gdy taki komputer zaginie, zostanie skradziony, czy zostanie przekazany do serwisu?)
  • Czy archiwum zostanie trwale usunięte z komputera (komputerów) w danym urzędzie?
  • Może proces przesyłania danych będzie realizowany kilka razy (błędy!), przez różne osoby, mające różną wiedzę, pracujące na różnych komputerach. Czy procedura to uwzględnia?

Takich pytań można zadać jeszcze kilka, a ekstremalnie krótki czas (2 dni robocze) na dostarczenie odpowiednich danych, naszym zdaniem raczej spowoduje zejście bezpieczeństwa na drugi plan (delikatnie rzecz ujmując).

5. Można odnieść wrażenie, że kwestie bezpieczeństwa związane z przesłaniem i przetwarzaniem tych danych zostały przerzucone na samorządy – jednocześnie bez wskazania, że dane te są wyjątkowo wrażliwe oraz powinien zostać przygotowany przynajmniej podstawowy plan w kontekście odpowiedniego bezpieczeństwa całego procesu.

Treść wiadomości, do której się odnosimy – poniżej:

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Amadeuszx

    Może to tylko forma wyłudzenia danych? Skąd pewność, że ktoś się pod nich nie podszywa? Przecież poczta nie może być tak niekompetentna w sprawach bezpieczeństwa…

    Odpowiedz
    • Siodłaj kuca

      Geniuszu, to jest zasugerowane w tekście. Może trzeba było go przeczytać?

      Odpowiedz
      • Amadeuszx

        Nie ogarniasz ironii?

        Odpowiedz
    • Rafał

      Jestem pewien :(
      że Poczta Polska przeprowadziła ocenę skutków dla ochrony danych, o której mowa w art. 35 RODO.

      Mam nadzieję :(
      że Prezes Urzędu Ochrony Danych Osobowych przed wydaniem opinii, że wszystko jest w porządku i Poczta ma prawo uzyskać te dane, zapoznał się z oceną skutków. A może nawet przeprowadzono uprzednie konsultacje ???

      Odpowiedz
  2. Anonim

    Wszystko grubymi nićmi szyte. Jestem ciekaw kto będzie odpowiedzialny jeśli się pojawi jakiś fackup: poczta czy urzędy i w jaki sposób…

    Odpowiedz
  3. Dominik

    Niestety to prawdziwa wiadomość.
    Niestety jak wskazała osoba wyżej jak dane wyciekną to mała szansa że ktoś odpowie.
    A kara od urzędu innego jest bez sensu kasa z urzędu na 2 urząd. Więc bardzo słabo

    Odpowiedz
  4. Tomek
    Odpowiedz
  5. KRS

    Poczta jest zawsze przenajbezpieczniejsza.
    Ostatnio był wyciek adresów osób objętych kwarantanną, czyli coś do czego poczta ma dostęp. I ich listonosze też.

    Odpowiedz
  6. Rav

    Ale po co ktoś ma to podpisać z imienia i nazwiska? Żeby potem zostać pociągniętym do odpowiedzialności karnej? Ale bajzel.

    Odpowiedz
  7. :)

    Postawcie się w roli szeregowego pracownika Poczty. Dostał rozkaz od prezesa Poczty czy jakiegoś dyrektora pionu i musi robić, bo inaczej się pożegna z pracą jak niedawny prezes Poczty.
    A hierarchia tego rozkazu jest prosta. Pracownik poczt -> prezes poczty-> minister aktywów państwowych (J. Sasin) -> premier Morawiecki -> J. Kaczyński.

    Odpowiedz
  8. olek

    Miła niespodzianka skaner mi powiedział z http://www.poczta-polska.pl/ stoi na OpenBSD .

    no szacunek Panowie jeśli to prawda .
    Chyba że tylko firewall .

    Odpowiedz
  9. Guzik wrażliwe

    W artykule trzy razy uzyliscie sformulowania „dane wrazliwe”, a nawet „dane te są wyjątkowo wrażliwe”.

    Ja wsrod 17 rodzajow danych w opisanym mailu nie widze ani jednego rodzaju danych wrazliwych.

    https://pl.wikipedia.org/wiki/Dane_wra%C5%BCliwe

    „Dane wrażliwe w RODO

    Zgodnie z motywem 10 ogólnego rozporządzenia o ochronie danych (RODO) danymi wrażliwymi są szczególne kategorie danych osobowych, wymienione w art. 9 RODO:

    dane ujawniające pochodzenie rasowe lub etniczne,
    dane ujawniające poglądy polityczne,
    dane ujawniające przekonania religijne lub światopoglądowe,
    dane ujawniające przynależność do związków zawodowych,
    dane genetyczne,
    dane biometryczne (wykorzystywane w celu jednoznacznego zidentyfikowania osoby fizycznej),
    dane dotyczące zdrowia,
    dane dotyczące seksualności lub orientacji seksualnej.”

    Odpowiedz
    • OK cenna uwaga, „dane wrażliwe” zostały użyte w tekście w rozumieniu potocznym, nie w rozumieniu RODO. Dla nas osobiście np. PESEL w połączeniu z imieniem / nazwiskiem i kilkoma innymi elementami to właśnie 'dane wrażliwe’. :-)

      Odpowiedz
      • dr

        To może lepiej ukuć na to nowe określenie: dane drażliwe. Jak ktoś zobaczy, że takie dane wyciekły, to będzie wyjątkowo rozdrażniony.

        Odpowiedz
      • tt

        Tez odebralem to jak napisal przedmowca (Sekurak), nigdzie nie jest napisane, ze dane wrazliwe z perspektywy RODO. Jest duzo norm i standardwo, ktorte maja odmienne widzenie na dane wrazliwe. Ale mega trafna uwaga, jakos tez nie bylem swiadomy tego nazewnictwa w RODO.

        pozdrawiam

        Odpowiedz
    • malti

      Kolego nie cytuj i nie linkuj wikipedii. Wiki nie jest żadnym zaufanym źródłem informacji. Wiki to taka encyklopedia pisana ołówkiem. Lepszym pomysłem było by podanie linka do strony GIODO, albo o RODO.

      Odpowiedz
  10. Audytor

    hm, jak to w ramach audytu wdrażania RODO w PL nazwałem?
    RODEO :-)

    Odpowiedz
  11. Sardi

    Niewątpliwie powinno być pełnodyskowe szyfrowanie na komputerze, na którym będzie taki spis wyborców zbierany do wysyłki – bardzo słuszna sugestia Autora artykułu.

    Uważam jednak, że zabezpieczenia wiadomości w systemie ePUAP to za mało. Owszem, tam jest szyfrowanie, ale tylko TLS. To znaczy, że administratorzy ePUAPu mieliby dostęp do wszystkich przysłanych do Poczty Polskiej, niezaszyfrowanych plików ze spisami wyborców. Tutaj aż się prosi zastosować szyfrowanie asymetryczne – w poleceniu wysyłki winno być jasno powiedziane, że plik musi być zaszyfrowany kluczem publicznym Poczty o odcisku takim a takim, który jest dostępny pod adresem poczta-polska.pl/kluczpubliczny.asc

    Znacznie podniosłoby to bezpieczeństwo.

    Odpowiedz

Odpowiedz na Rafał