poniedziałek, 14 lipca 2008

Czemu należy rejestrować ruch do sieci...


Na portalu rynekzdrowia.pl w dniu 6 czerwca pojawiła się informacja o wycieku danych osobowych i danych dot. zarobków prcowników. Link
Nastepnie w dniu 2 lipca pojawiła się kolejna informacja na ten temat - prokuratura umorzyła śledztwo. Link
Czyli cicho sza. Ktoś cos wypuścił, ale z braku laku, sprawa została umorzona. Co ciekawsze powszechne oburzenie wywołały zarobki niektórych osób, a nie fakt, że wyciekły dane.
W skrócie: ktoś wypuścił dane do internetu przy pomocy darmowego konta pocztowego, założonego na fałszywe dane. Prokuratura szczyciła się, że od właściciela serwera otrzymała dane, na jakie zostało założone konto ;)
Hmm... wynik? Prokuratura znalazła osobę, która kolportowała listę płac pracowników, ale nie robiła tego przy użyciu internetu, więc nie postawiono jej zarzutów. :)
Właściwego poszukiwanego nie znaleziono.
Cudownie.
A jak to wyglda od strony prawa?
Ustawa o ochronie danych osobowych:
Art. 1 ust. 1 mówi, że każdy ma prawo do ochrony dotyczących go danych.
Art. 36 ust. 1 mówi, że administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Art. 38 mówi, że administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
Art. 49 mówi, że kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
Art. 51 ust. 1 mówi, że kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
Art. 51 ust. 2 mówi, że jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Art. 52 mówi, że kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Więc, jak widać z powyższych i podstawowych przepisów, szef jednostki powinien być w pierwszym rzędzie pociągnięty do odpowiedzialności karnej. Zgodnie z ustawą, to on jako ADO odpowiada za bezpieczeństwo przetwarzania danych i to on doprowadził do udostępnienia danych. Poza tym, nie wydaje mi się, że w przypadku, gdyby wdrożona była polityka bezpieczeństwa, a także logowane były ruchy pracowników w systemie informatycznym, to w przypadku wystąpienia incydentu ujawnienia danych, nie byłoby większego problemu z ustaleniem winnnego (art. 36 i 38).
Nastepnie przyłapany pracownik, który udostępniał dane innym (ale nie wypuścił do internetu) powinien odpowiadać za udostepnienie danych osobowych i jeżeli nie był upoważniony do ich przetwarzania, za nieuprawnione przetwaranie danych osobowych.
A teraz rozporządzenie ministra spraw wewnętrznych i administracji, załącznik.
Ponieważ system przetwarzający dane osobowe był/jest połączony z siecią publiczną winny być zastosowane środki zabezpieczające na poziomie wysokim, a wiec, zgodnie z załącznikiem do rozporządzenia (rodział C):
XII
1. System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.
2. W przypadku zastosowania logicznych zabezpieczeń, o których mowa w ust. 1, obejmują one:
a) kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych
a siecia publiczną;
b) kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych.
XIII
Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej.
Więc, czyżby ktoś niedopełnił obowiązku nałożonego przez akty wykonawczy do ustawy? Jeżeli włączone zostałoby logowanie ruch na zewnątrz, myślę, że nie byłoby większego problemu z ustaleniem z jakiego komputera i o której godzinie wyszły te dane. A to chyba pomogłoby w ustaleniu konkretnej osoby.
W tym momencie śledztwo powinno przenieść się w obszar komunikacji w firmie i wypełniania obowiązków nałożonych przez ustawę: czy w firmie był ABI, czy ABI zgłaszał problemy i zapotrzebowanie na zmianę sprzętu/oprogramowania/procedur, czy administrator systemów informatycznych borze wykonywał swoje obowiązki, czy pracownicy zostali przeszkoleni/poinformowani w zakresie obowiązków ochrony danych... Pytań jest całą masa i tym powinna zająć się prokuratura i GIODO.
A tak? A tak to mamy bardzo ciekawe zjawisko - brak winnych, śledztwo umorzone... czyżby podobnie będzie z wyciekiem danych z PEKAO S.A? oj przepraszam, przecież dane nie wyciekły z banku, tylko z jakies obcej firmy... A umowa na powierzenie przetwarzania danych i audyt były? ;)

Brak komentarzy: