Ciężko mi teraz powiedzieć kiedy dokładnie narodził się ten pomysł, ale jedno mogę stwierdzić na pewno – realizacja od koncepcji do efektu końcowego, w postaci zgrabnego pliku PDF z magazynem – trochę trwała. Dzięki wytrwałości i ciężkiej pracy całego zespołu iSecure, a także pomocy ze strony naszych partnerów (tu szczególnie chciałbym podziękować firmie iKoncept, która odpowiedzialna jest za całą stronę graficzną i DTP Prevent Magazine) udało się.

Magazyn od początku do końca tworzony jest przez praktyków. Piszą dla nas pracownicy oraz sami właściciele firm, którzy współpracują z iSecure od lat, ale także całkiem nowi partnerzy. Naszym celem jest edukowanie, a nie promowanie konkretnych rozwiązań, zatem specjaliści z różnych branż postarają się przedstawić swój pogląd na różne problemy związane z bezpieczeństwem w oparciu o wieloletnie doświadczenie. Prevent Magazine to nasza pasja, nasza praca, ale także niesamowita frajda z tego, że możemy cząstkę nas samych podarować Wam – Czytelnikom. Mam nadzieję, że magazyn przypadnie Wam do gustu, a wiedza, którą się z Wami będziemy dzielić, okaże się przydatna w praktyce. Wystarczy, że wejdziecie na stronę Prevent Magazine i zaprenumerujecie magazyn całkowicie za darmo. Czy warto? Po prostu oceńcie sami.

Pierwszy numer poświęciliśmy przede wszystkim zagadnieniom związanym z bezpieczeństwem aplikacji i urządzeń mobilnych, co powinno być ciekawe choćby z tego względu, że właśnie ten aspekt jest póki co traktowany bardzo po macoszemu, zarówno przez przepisy prawa jak i dobre praktyki.

Życzymy przyjemnej lektury.

Należy pamiętać, że nie można traktować problemu ochrony danych jednostkowo i tylko rozpatrywać kwestii technicznych. Cóż bowiem z tego, że rozproszymy dane w chmurze, zrobimy kilka kopii i zabezpieczymy wymyślnym oprogramowaniem jeżeli zapewnimy dostęp do całego systemu, osobie już nawet nie nieupoważnionej, ale zwyczajnie niezaznajomionej z procedurami, która np. dane skasuje lub prześle w miejsce, w które nigdy nie powinny trafić? Co jeśli wyciekną hasła dostępu do systemu? Albo ktoś skorzysta z dostępu w momencie, kiedy uprawniony pracownik wyjdzie nie zabezpieczywszy systemu? Problemów może pojawić się więcej i nie ma właściwie możliwości przewidzieć każdej ewentualności.

Istotne jest opracowanie potrzebnej dokumentacji ochrony danych, instrukcji zarządzania systemem, opracowanie schematów przepływu danych i koniecznych dla nich zabezpieczeń. System powinien zostać sprawdzony nie tylko pod kątem technicznym, ale również na ewentualność nieprawidłowości w stosowanych procedurach. Pracowników należy przeszkolić i dokładnie ewidencjonować ich uprawnienia oraz rozważnie decydować o poziomie przyznawanych uprawnień.

Czynności jest wiele, a i nie każdy wie na co zwrócić uwagę. Z pomocą przyjdzie firma zajmująca się problematyką ochrony danych. Zawsze warto zwrócić się do fachowca o pomoc, bo straty w przypadku utraty/wycieku/modyfikacji danych będę większe niż można przypuszczać – w przypadku dostępu do danych osób nieuprawnionych to administratorowi tychże danych grozi nawet odpowiedzialność karna!

ABI czuwa nad przestrzeganiem zasad ochrony danych osobowych, wynikających z przepisów ustawy o ochronie danych osobowych oraz wydanych do niej aktów wykonawczych, a także przepisów szczegółowych. Za brak przestrzegania wzmiankowanych zasad grozi odpowiedzialność karna, administracyjna a także może się zdarzyć, że zostaniemy pozwani przez klienta/kontrahenta np. w związku z wyciekiem danych. Ujawniony brak przestrzegania zasad ochrony danych osobowych może także sprawić, że klienci/kontrahenci nie będą chcieli z nami współpracować, a to oznacza realne straty finansowe.

Dlatego ważne jest posiadanie w zespole/firmie odpowiednio przeszkolonej osoby,  której kwalifikacje pomogą nam spełniać wszystkie wymogi nakładane przez prawo. W związku z tym przygotowaliśmy dla Państwa konkurs fotograficzny, w którym można wygrać szkolenie ABI. O jego szczegółach dowiecie się Państwo na naszym fan page’u, a regulamin można przeczytać tutaj.

Czym są zalecenia Komitetu Ministrów Rady Europy? Są to akty prawne o niewiążącym charakterze, zawierające oczekiwania standardowego zachowania po stronie państw członkowskich. Nie narzucają one zobowiązań, jednakże zawierają istotne przesłanki i sugestie, będące wynikiem analizy bieżącej sytuacji i postępujących zmian.

W zaleceniu CM/Rec(2012)4, dotyczącym portali społecznościowych, nakreślono wizję standardów, dzięki którym użytkownik mógłby swobodnie kontrolować swoje dane osobowe, w tym usunąć zarówno je, jak i konto. Kwestiom tym poświęcony jest cały rozdział III zalecenia. Podkreślono szczególną odpowiedzialność ciążącą na portalach społecznościowych, a mianowicie obowiązek zabezpieczenia danych przed dostępem osób trzecich. Wskazano również problem zbyt długiego przechowywania danych przez omawiane portale, które to dane nie powinny być przetwarzane dłużej niż to absolutnie konieczne (np. po usunięciu konta, dane użytkownika powinny być całkowicie usuwane).

Ciekawego problemu dotyka zalecenie CM/Rec(2012)3, dotyczące wyszukiwarek internetowych. Otóż podnosi ono kwestię tego, iż wyszukiwarki kreują nową kategorię danych osobowych, takich jak historie wyszukiwania, „ciasteczka” przeglądarek, adresy IP. Nie zdajemy sobie z tego sprawy, ale ogromne ilości danych osobowych są codziennie przetwarzane przez rozmaite wyszukiwarki internetowe. Komitet Ministrów postuluje, aby zwiększyć świadomość użytkowników oraz zezwolić im na usuwanie danych z rejestrów przeglądarek.

Wszystkich zainteresowanych odsyłamy do anglojęzycznej wersji zaleceń, dostępnych na stronie http://www.coe.int/T/CM/home_en.asp w dziale „Latest documents”.

]]> http://www.isecure.pl/blog/2012/04/10/komitet-ministrow-rady-europy-o-portalach-spolecznosciowych/feed/ http://www.isecure.pl/blog/2012/04/04/wyciek-danych-osobowych-z-kart-visa-i-mastercard/ http://www.isecure.pl/blog/2012/04/04/wyciek-danych-osobowych-z-kart-visa-i-mastercard/#comments Wed, 04 Apr 2012 12:24:07 +0000 Karolina http://www.isecure.pl/blog/?p=128 Serwisy zajmujące się realizacją przelewów rzadko lądują na pierwszych stronach gazet, jako firmy obsługujące prozaiczne czynności życia codziennego, jak zapłata za taksówkę. Wyjątkiem jest sytuacja jak ta, w której znalazła się firma Global Payments z USA, o czym można przeczytać tutaj: http://www.businesstoday.pl/artykul/bankowosc/mastercard-i-visa-potwierdzaja-wyciek-danych-z-kart,1581/

Sposób, w jaki zadziałali złodzieje, jest dosyć nowatorski i zapewne dlatego wyciek danych został wykryty tak późno. Operatorzy kart płatniczych odcinają się od skompromitowanego Global Payments, zaś sama firma nie wydała oświadczenia. Faktem zaś jest, że przez prawie miesiąc osoby nieupoważnione miały dostęp do systemu przetwarzania i nie zostały jeszcze ujęte.

Trudno oceniać sytuację pod kątem prawnym – USA nie posiada jednolitego ustawodawstwa w materii ochrony danych osobowych. Przepisy federalne, które były analizowane przez ekspertów UE, nie spotkały się z aprobatą i nie są aż tak restrykcyjne i kompleksowe jak dyrektywy unijne czy przepisy krajowe państw członkowskich.

Sytuacja pokazuje, że rząd USA zdecydowanie więcej uwagi powinien poświęcić na tematykę ochrony danych osobowych, bo na niedoskonałościach systemu ucierpieć mogą klienci amerykańskich firm, a odpowiedzialności nie będzie chciał wziąć na siebie nikt.

Każdy, kto tego dnia przebywał w okolicy, miał dostęp do leżących w altanie przez nie wiadomo jak długi czas, danych. Nie były one ani zabezpieczone ani poddane anonimizacji. Wyrzucając je, administrator danych osobowych, czyli niewymieniona z nazwy instytucja, dwukrotnie złamał ustawę o ochronie danych osobowych.

Po pierwsze – nie wywiązał się z obowiązku ustanowionego art.26 rzeczonej ustawy, brzmiącym „ Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były (…) przetwarzane zgodnie z prawem”. Nie ma wątpliwości, że wyrzucenie ich nie spełnia żadnej z elementów definicji „przetwarzania danych”, która, przypomnijmy, brzmi „Przetwarzanie oznacza jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych”. Administrator, który zapewne chciał się pozbyć danych, powinien je usunąć w przyjęty sposób – niszcząc dokumenty, a nie odkładając je poza swoją siedzibą czy miejscem przechowywania dokumentacji.

Po drugie: administrator poważnie zaniedbał ciążące na nim obowiązki, wynikające z art.36 UODO, brzmiącym „Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem”.

Wydrukowane dane mogły zostać bez problemu zabrane przez nieuprawnioną osobę, przetwarzane dowolnie przez znalazcę, uszkodzone i niszczone w każdy sposób, jaki przyszedłby mu do głowy.

Trudno powiedzieć co przyświecało pracownikom instytucji i dlaczego tak bezmyślnie postąpili, mam jednak nadzieję, że zostaną pociągnięci do odpowiedzialności, a taka sytuacja nie będzie mieć miejsca ponownie.

Ideą tej zmiany jest nie tylko unowocześnienie obowiązujących przepisów, ale i całkowite zharmonizowanie prawa, czyli dostosowanie prawa krajów członkowskich, jak i wstępujących, do prawa Unii Europejskiej - stąd forma rozporządzenia. Rozporządzenie, w przeciwieństwie do dyrektywy, nie wymaga wprowadzania dodatkowych aktów prawnych, samo w sobie obowiązuje na terenie państwo członkowskich.

Zmiany, jakie chce wprowadzić KE w ramach ochrony danych osobowych w policji i wymiarze sprawiedliwości w sprawach karnych, wydane zostaną w formie dyrektywy Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy w celu zapobiegania, dochodzenia, wykrywania lub ścigania przestępstw lub wykonywania sankcji karnych i swobodnego przepływu tych danych, której projekt został przedstawiony tego samego dnia. Dyrektywa ta jest o tyle dla Polski istotna, iż w chwili obecnej w naszym systemie prawnym nie ma jeszcze przepisów, o których ona traktuje.

Teksty projektów aktów prawnych, w języku polskim, umieszczono na stronie GIODO:

http://www.giodo.gov.pl/plik/id_p/2583/j/pl/ - Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych

http://www.giodo.gov.pl/plik/id_p/2586/j/pl/ - Dyrektywa Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy w celu zapobiegania, dochodzenia, wykrywania lub ścigania przestępstw lub wykonywania sankcji karnych i swobodnego przepływu tych danych.

Opinie ekspertów są różne, jednak prawie w każdej przewija się sugestia, iż przedstawione projekty to jedynie zalążek poważnej reformy, gdyż potrzeba solidnych ram, na których można by opierać ochronę danych osobowych.  Dr Wojciech Wiewiórowski (GIODO) jest zdania, iż właśnie dzięki takim ramom można skutecznie zapobiegać fragmentaryzacji przepisów w poszczególnych krajach wewnątrz wspólnoty. Jego zdaniem ułatwi to również prowadzenie działalności, ponieważ przedsiębiorcy, umiejscowieni w jednolitym i spójnym systemie prawnym, nie będą musieli zapoznawać się z dużą ilością wyjątków i różnic, które odnaleźć można zwłaszcza w przepisach szczególnych. Peter Hustinx (EIOD), w oświadczeniu prasowym z dnia 7 marca 2012r. przyznaje, iż proponowane akty będą krokiem naprzód w działaniach na rzecz ochrony danych osobowych, jednak daleko im do kompleksowości i pomijają wiele już istniejących przepisów. W przypadku obu aktów ubolewa nad brakiem środków do egzekwowania zapisów prawnych. Innego zdania jest Jacob Kohnstamm, Przewodniczący Grupy Roboczej Art. 29, który w oświadczeniu z dnia 25 stycznia 2012r, stwierdził, że zmiany ujednolicą uprawnienia i kompetencje organów nadzorczych, aby jeszcze skuteczniej zagwarantować przestrzeganie zgodności z prawem, zarówno indywidualnie, jak i we współpracy ze sobą, na przykład, poprzez nakładanie znacznych kar finansowych. Sami zainteresowani, czyli przedsiębiorcy, jak wynikło ze spotkania GIODO z członkami Konfederacji Pracodawców Prywatnych Lewiatan są zdania, że wysokie kary pieniężne to zbyt wysoka sankcja i proponują aby przed ich nałożeniem wystosowywać ostrzeżenia do naruszających przepisy. Zarówno jednak oni, jak i EIOD są przeciwni przyznawaniu tak wielu uprawnień decyzyjnych KE, co nie pozwoli na przewidzenie skutków ani treści ram prawnych, jakie wprowadzić mają oba akty.

Czy i jakie zmiany wprowadzone zostaną do przedłożonych projektów – czas pokaże. To dobry moment na dopracowanie i przemyślenie zmian obowiązujących przepisów, zwłaszcza w kontekście planowanych zmian Konwencji 108.

Internauta powinien zwrócić uwagę na ilość zbieranych danych w formularzu rejestracyjnym, zwłaszcza pod kątem tego, czy wszystkie te informacje rzeczywiście są niezbędne do osiągnięcia celu (np. rejestrując się w portalu randkowym zbędnym wydaje się zbieranie serii i numeru dowodu osobistego), a także na to, czy przekazywanie danych jest w jakiś sposób zabezpieczone (np. poprzez protokół SSL). Ponadto powinien wnikliwie wczytać się w klauzule, które otrzymuje do odznaczenia (polecam również wczytanie się w regulamin).

Z kolei po stronie przedsiębiorcy internetowego obowiązków tych jest znacznie więcej. Przede wszystkim musi on podjąć wszelkie czynności techniczne i organizacyjne, które będą miały na celu zabezpieczenie danych. Te zabezpieczenia to m.in. przechowywanie danych w taki sposób, by nie miały do nich dostępu osoby nieupoważnione, przyznawanie uprawnień do przetwarzania danych tylko tym osobom, które taki dostęp powinny mieć z racji wykonywanych w firmie obowiązków. Ponadto w przypadku portali internetowych praktycznie zawsze pojawia się obowiązek zgłoszenia zbioru danych do rejestru Generalnego Inspektora Ochrony Danych Osobowych. Przedsiębiorca świadomy zagrożeń istniejących w internecie powinien również, na zasadzie dobrych praktyk, wymuszać na internaucie stosowanie trudnych haseł do kont w portalu (trudne hasło to takie, które wymaga podania co najmniej jednej litery dużej, a także jednej cyfry lub znaku specjalnego i składa się przynajmniej z 8 znaków), a także dać im możliwość ustawiania opcji prywatności polegającej np. na tym, że jego dane będą widoczne wyłącznie dla zalogowanych użytkowników.

Gdy spojrzymy na kilka komunikatów prasowych zamieszczanych w branżowych portalach, co chwila widać informacje dotyczące coraz to nowych zagrożeń dla smartfonów (zwłaszcza tych wyposażonych w system Android). Także prognozy na 2012 r. nie napawają pod tym względem optymizmem, co podkreślają m.in. pracownicy laboratorium firmy ESET. Z ich badań wynika, że w najbliższym czasie coraz więcej zagrożeń dotyczyć będzie użytkowników smartfonów, z uwagi właśnie na wykorzystywanie tych urządzeń zarówno w pracy jak i w życiu prywatnym.

Na to wszystko nakłada się od strony prawno – biznesowej jeszcze jeden ciekawy problem, a mianowicie jak traktować smartfony firmowe, gdy wykorzystuje się je do przetwarzania danych osobowych. Próżno szukać wskazówek w tym zakresie w aktualnie obowiązujących przepisach, w tym w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Brzmi interesująco? Właśnie dlatego postanowiliśmy zorganizować na ten temat bezpłatną konferencję Mobilesec - Bezpieczeństwo urządzeń i aplikacji mobilnych. Już 28 lutego w Warszawie będziemy opowiadali m.in. o:

• Aplikacjach i urządzeniach mobilnych w świetle przepisów ustawy o ochronie danych osobowych
• Zarządzaniu ryzykiem w obszarze bezpieczeństwa rozwiązań mobilnych. Zagrożenia, szanse, najlepsze praktyki
• Zagrożeniach związanych ze złośliwym oprogramowaniem w kontekście platform mobilnych
• Zarządzaniu efektywnością i ciągłością pracy firmy z wykorzystaniem technologii mobilnej
• A także o tym na co zwrócić uwagę przygotowując zgodną z prawem kampanię SMS

W przypadku wycieku danych osobowych (ale też w ogóle w zakresie ochrony dotyczących nas danych osobowych) zawsze możemy skorzystać z praw wskazanych w art. 32 ust. 1 ustawy o ochronie danych osobowych, wśród których znajdują się m.in. takie uprawnienia jak: możliwość uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w zbiorze danych, możliwość żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane. Zawsze też istnieje możliwość złożenia skargi do Generalnego Inspektora Ochrony Danych Osobowych. Szczegóły w tym zakresie można znaleźć na stronie GIODO.

Ponadto, jeżeli będziemy w stanie wykazać, że wyciek danych przełożył się na naruszenie naszych dóbr osobistych, zawsze też postaje możliwość dochodzenia odszkodowania na drodze cywilnoprawnej.

Z punktu widzenia internauty ciężko obronić się przed wyciekiem danych osobowych. Kwestie związane z bezpieczeństwem danych to domena firmy, która te dane pozyskiwała (jest w stosunku do nich administratorem danych). Na pewno jednak można stosować się do jednej prostej zasady – stosować różne hasła do różnych serwisów www, gdzie tworzymy sobie profil lub zakładamy konto. Hasło takie nie powinno być łatwe do złamania, dobrze by było, żeby składało się ono z min. 8 znaków (kombinacja wielkich i małych liter, znaków specjalnych lub cyfr).