Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Wyciek z Krajowej Szkoły Sądownictwa i Prokuratury (KSSIP) – UODO nakłada karę 100 000 zł.
O wycieku z KSSIP pisaliśmy jakiś czas temu – również w kontekście tego, czy przestępcy mogą łatwo złamać pozyskane hasła. Przypomnijmy: na początek 2020 roku wyciekło około 50 000 rekordów osób parających się dosyć wrażliwymi zawodami…:
W bazie znajdowały się takie dane jak: Imię/Nazwisko, numer telefonu, adres e-mail, jednostka (miejsce) pracy, miejsce zamieszkania, hasło (w formie zahashowanej).
Analizowaliśmy również przyczyny wycieku; Prokuratura pisze w ten sposób:
w trakcie testowego migrowania danych szkoły na nowo utworzoną platformę utworzył katalog, do którego przeniósł dane osobowe pracowników wymiaru sprawiedliwości, zapisane w systemie informatycznym KSSiP. Następnie katalogowi (…) nadał uprawnienia publiczne, tzn. umożliwił pobranie danych z katalogu dowolnej osobie, mającej dostęp do internetu. Pliki te zostały pobrane przez dotychczas nieustalone osoby i zamieszczone w serwisach internetowych umożliwiających przechowywanie danych.
Po analizie tematu, UODO nałożył na szkołę karę 100 000 zł. W decyzji czytamy między innymi:
Na zasobach informatycznych KSSiP znajdowała się kopia bazy danych, której istnienie i bezpieczeństwo, po wykonaniu czynności migracyjnych, w żaden sposób nie zostało zweryfikowane przez administratora, co jest jego prawnym obowiązkiem wynikającym z przepisów o ochronie danych osobowych. KSSIP, w związku ze zmianami w procesie przetwarzania, nie podjęła wystarczających działań mających na celu zweryfikowanie bezpieczeństwa środowiska przetwarzania przed rozpoczęciem działań migracyjnych, jak i po ich zakończeniu.
Warto zaznaczyć, że Urząd coraz częściej wspomina właśnie o konieczności realnego testowania i weryfikacji bezpieczeństwa (np. w formie testów penetracyjnych). „Sama procedura” zdecydowanie nie wystarczy (co wynika swoją drogą bezpośrednio z samego RODO).
–ms
Czy w związku z tym, że moje dane wyciekły dostanę 2 zł od UODO?
Ochrona danych osobowych w Polsce leży i kwiczy.
Nic się nie zmieni – dopóki kara finansowa nie będzie nakładana na konkretną osobę, odpowiedzialną za zabezpieczenie danych osobowych w danym podmiocie. Wówczas automatycznie wzrosłyby pensje ludzi w IT i zaczęłyby się zabezpieczenia na poważnie.
I znajdź mi frajera, co z własnej nieprzymuszonej woli, jednoosobowo, weźmie na siebie finansową odpowiedzialność za ewentualny wyciek. A wyciek może się zdażyć nawet jeśli soft napisze renomowany software house i przejdzie on pentesty. Decyzje PUODO z ostatniego czasu pokazują, że można dowalić karę wbrew zdrowemu rozsądkowi. Patrz Warta.
> I znajdź mi frajera
Za rażące niedbalstwo należy się sprawiedliwa kara.
Jeżeli nie jesteśmy w stanie zabezpieczyć danych przed wyciekami, to nie przechowujmy ich na komputerze podłączonym do Internetu. Jeżeli i to zabezpieczenie jest za słabe, to przechowujmy dane na papierze i zamykajmy w sejfie.
Wygoda, „dostęp jednym kliknięciem”, innowacja, cyfryzacja itp. nie mogą narażać danych na wycieki. Owczy pęd do cyfryzowania wszystkiego jest bardzo groźny.
Wysokość kar – tu jest pole do dyskusji.
Ale skoro na przykład potrącę pieszego na jezdni, to mogę być zobowiązany do płacenia mu dożywotniej renty.
Wyobraźmy sobie że mowa o kilkunastu tysiącach pacjentów szpitala, ze zdjęciami ich ran w miejscach intymnych czy wynikami badań na choroby weneryczne. Dlaczego nie miałbym analogicznie ponieść odpowiedzialności finansowej za wyciek takich danych (z mojej winy – bo na przykład dopuściłem jako administrator do przechowywania ich na Windowsie XP podłączonym do Internetu, bez firewalla, albo przechowywałem je na niezabezpieczonym serwerze w publicznie dostępnym katalogu)?
Gdyby kary były dotkliwe, to żaden admin w szpitalu nie zgodziły się pracować za ochłapy, a każdy zatrudniony by się potrafił postawić panu dyrektorowi, który „jest lekarzem więc wie lepiej”.
Moim zdaniem ochrona danych medycznych to sprawa ultraważna i nie można jej bagatelizować stwierdzeniami, że „służby zdrowia nie stać”. Stać, bo dobrze zabezpieczone systemy są i tak znacznie tańsze niż wożenie papierowych wyników badań karetkami – a to się do dziś dzieje.
Są wycieki z wielkich serwisow jak np. Facebook włamanie do Yahoo. Polski przykład warta. Jak 1 osoba ma odpowiadać skoro sztab ludzi pracuje. Odpowiada twórca kodu bo jest źle zrobiony. Osoba co wdrażała ten kod. Tester bo zrobił błąd. Nie ma 1 osoby i nie będzie odpowiedzialnej. Mała firma ma dane w Excelu o np. Kontrahentach i klientach niech szyfruje komputer domyślnie wbudowanym szyfrowaniem windows. Złamiesz to zabezpieczenie to kto odpowiada? Programista szyfrowanie czy administrator małego pensjonatu? Dane są były i będą przechowywane byle jak poza super tajnymi rządowymi ale nawet i one wyciekają bo się nie da zabezpieczyć danych po prostu.
Myślę, że powinniśmy zacząć od polityków i sprawdzić to na nich w praktyce, aby odpowiadali swoim majątkiem za buble prawne i afery.
Politycy ustanawiają prawo, więc nigdy nie wprowadzą takiej zasady :-(.
A jaka wysokość kary? Aby zadość uczynić poszkodowanym skoro 100k jest śmieszna ,należałoby przywalić tak z 15 milionow dla jednej osoby. To wyobraź sobie że popełniasz błąd nawet taki jak ten opisany w artykule i rujnuje cię spłata kary na całe życie , nie jesteś wstanie wziąć kredytu na dom ,ponieważ komornik zabiera ci wszystko, możesz tylko ucieć do Brazyli ,jesteś skończony .Wprowadzasz takie prawo. Co następuje później ,masz taki jeden przypadek drugi po kilku wpadkach nikt w branzy nie chciałby brac odpowiedzialności za takie działania.
Proponuje zatem kary do trzech pokoleń. Podobno w KRLD mają i nie narzekają ;p
Osobą odpowiedzialną za zabezpieczenie danych osobowych wg RODO jest administrator danych (prezes, szef firmy, burmistrz), a zabezpiecza na podstawie przeprowadzonej analizy ryzyka, IOD wg RODO musi jak mantrę powtarzać administratorowi danych – rób analizę w kółko i zabezpieczaj. Jak IOD by tego nie robił to nie wypełnia swoich obowiązków i ma przechlapane.