Przyjazny kodeks karny ;) - podpora ABIego

Na GL w jednej z dyskusji na temat tajności zarobków przytoczony został bardzo ciekawy artykuł z Kodeksu Karnego.

Zerknąłem do źródła: link

Prócz przejrzenia art. 266, zainteresowałem się całym rozdziałem XXXIII

Przestępstwa przeciwko ochronie informacji

Art. 265.
§ 1. Kto ujawnia lub wbrew przepisom ustawy wykorzystuje informacje stanowiące tajemnicę państwową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 2. Jeżeli informację określoną w § 1 ujawniono osobie działającej w imieniu lub na rzecz podmiotu zagranicznego, sprawca podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
§ 3. Kto nieumyślnie ujawnia informację określoną w § 1, z którą zapoznał się w związku z pełnieniem funkcji publicznej lub otrzymanym upoważnieniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Art. 266.
§ 1. Kto, wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Funkcjonariusz publiczny, który ujawnia osobie nieuprawnionej informację stanowiącą tajemnicę służbową lub informację, którą uzyskał w związku z wykonywaniem czynności służbowych, a której ujawnienie może narazić na szkodę prawnie chroniony interes,
podlega karze pozbawienia wolności do lat 3.
§ 3. Ściganie przestępstwa określonego w § 1 następuje na wniosek pokrzywdzonego.

Art. 267.
§ 1. Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem specjalnym.

§ 3. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1 lub 2 ujawnia innej osobie.
§ 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego.

Art. 268.
§ 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Jeżeli czyn określony w § 1 dotyczy zapisu na komputerowym nośniku informacji, sprawca podlega karze pozbawienia wolności do lat 3.
§ 3. Kto, dopuszczając się czynu określonego w § 1 lub 2, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego.

Art. 268a.
§ 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności do lat 3.
§ 2. Kto, dopuszczając się czynu określonego w § 1, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 3. Ściganie przestępstwa określonego w § 1 lub 2 następuje na wniosek pokrzywdzonego.

Art. 269.
§ 1. Kto niszczy, uszkadza, usuwa lub zmienia dane informatyczne o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej
albo samorządu terytorialnego albo zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
§ 2. Tej samej karze podlega, kto dopuszcza się czynu określonego w § 1, niszcząc albo wymieniając nośnik informacji lub niszcząc albo uszkadzając urządzenie służące do automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych.

Art. 269a.
Kto, nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie, uszkodzenie lub zmianę danych informatycznych, w istotnym stopniu zakłóca pracę systemu komputerowego lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Art. 269b.
§ 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 2, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3.
§ 2. W razie skazania za przestępstwo określone w § 1, sąd orzeka przepadek określonych w nim przedmiotów, a może orzec ich przepadek, jeżeli nie stanowiły własności sprawcy.

Miłych wniosków. Miłych... dość dziwne określenie w tym kontekście :)

Dawno nie było ciekawych stron. Dzisiaj są za to dwie:

http://www.gregoriann.eu/

http://blog.gregoriann.eu/

Proponuje zajrzeć - jest co poczytać :)

Zaproszenia na badania cytologiczne w Wiśle

Jakj podał przed chwilą 1 program radiowy, w parku przy brzegu Wisły znaleziono ok. 30 zaproszeń na badania cytologiczne wystosowane przez Warszawski Instytut Onkologiczny. Zaproszenia wystawały sobie z wody i można było wyczytać z nich imię, nazwisko i adres.
Według informacji od przedstawiciela firmy ForPrint (??Four Print??)), która wygrała przetarg na wydrukowanie i dostarczenie tych zaproszeń, nieznany sprawca ukradł kurierowi paczkę z 50 zaproszeniami. Było to na początku lipca.
Kurierowi nie chciało się pracować?
Pomijajać fakt zwykłego świństwa, doszło do naruszenia UODO. Kurier jest przesłuchiwany przez policję.

Zastanawia mnie liczba niedostarczonych przesyłek w kontekście artykułu, jaki opublikowało Życie Warszawy: link
Chyba jednak "złodziej" ukradł większą paczkę.

Listonosz nie jest Bogiem

Szanowni listonosze nauczyli sie, że można bardzo dobrze żyć z dostarczania przesyłek. I to nie chodzi o pensję, jaką otrzymują, ale o możliwości dorobienia. Znane są końcówki od dostarczonych emerytur, które to (te końcówki) sięgają nawet kiluset złotych za rejon dostarczania emertytur (bo przecież taki listonosz biedny i tyle musi się nachodzić). A ponieważ coraz więcej emerytów otrzymuje swoje wypłaty na konta, to trzeba było znaleźć nowy sposób dorabiania do pensji.
Listonosze posiadająbardzo dobry i drogi towar, jakim jest informacja.
Informacja o tym, kto ma rodzine za granicą (listy z zagranicy), kto ma kłopoty finansowe (listy z ponagleniami), kto ma kłopoty z prawem (wezwania do sądu).
Listonosze wiedzą takaże, kto podpadnie pod losowanie funduszu emerytalnego. Ponieważ dzisiaj Poczta Polska, to także OFE Pocztylion, a często wśród przedstawicieli Pocztyliona są znajomi listonoszy (lub dobrzy płatnicy), to czemu nie zarobić?
Okazało się, że listonosze przekazywali dane osób, do których ZUS wystosował listy z przypomnieniem o OFE dla znajomych przedstawicieli OFE Pocztylion, dzięki temu ci wiedzieli gdzie "uderzyć" :)
Jest to jawne złamanie ustawy o ochronie danych osobowych, ponieważ mamy tu doczynienia z danymi (imię, nazwisko, adres) a także powiązanie z marketingiem.
Oficjalnie, jak podaje rp.pl w artykule Listonosze nie mogą werbować do funduszu listonosze nie mogą już tego robić. Oficjalnie nie mogą... ale nieoficjalnie?

Szkolenie...

Znalazłem kolejne szkolenie z UODO z cyklu niskobudzetowego (co jest ważne w momencie kiedy płacimy z własnej kieszeni).
Szkolenie organizuje EagleAuditors w dniach 8-9 września 2008. Koszt to tylko 1200PLN (max - możliwe są zniżki) za 2 dni z zakwaterowaniem i wyżywieniem.
Wiecej informacji na stronie: link
Na pierwszy rzut oka warto.

Adkontekst

Na blogu pojawił sie blok reklamowy adkontekstu. Nie znaczy to, że zaczynam zarabiać kasę na blogu - całość tematu traktuję niekomercyjnie. Blok ten pojawił się dlatego, że jedyną wyszukiwarką z której trafiaja tu czytelnicy jest google. Trzeba sie więc jakoś pokazać w wyszukiwarce Wirtualnej Polski (netsprint) - więc środki uzyskane z adkontekstu będą przeznaczane na reklamę w wyszukiwarce wp.
To tak gwoli wyjaśnienia.

Wyższe kary, wyższa skuteczność?

W dniu dzisiejszym GazetaPrawna.pl opublikowała wywiad z GIODO p. Michałem Serzyckim. Link

Tematem była nowelizacja UODO, która ma zaostrzyć kary za nieprzestrzeganie ustawy, głównie w zakresie kontroli.

Jak to jest z tym egzekwowaniem UODO? Niby jest rodział 8 z przepisami karnymi, ale ustawa nie przewiduje kar za nieudostępnienie kontrolerom zbiorów danych do kontroli. Więc jak tu karać za niedotrzymaniu ustawy, jeżeli nie ma możliwości sprawdzenia?

Stan prawny można zobaczyć tu: link w pozycji 144 (nie wiem czy cały czas będzie w tej pozycji - ale wystarczy wyszukać na stronie).

Co przewiduje omawiana nowelizacja?

Ano zaostrzenie kar:

- kara od 1000 do 100000 eura za niewykonanie decyzji GIODO

- kara do 300% miesięcznego wynagrodzenia dla przedstawiciela firmy za uniemożliwienie lub utrudnianie kontroli, lub w przpadku niedostarczenia w terminie 14 dni informajcji pozwalających na ustalenie wymiaru kary, ryczałtowej kary w wysokości nie mniej niż 10000 euro

Dodatkowo z nowelizacja usuwa jeszcze jeden problem, a mianowicie cofnięcie zgody na przetwarzanie danych osobowych. W obecnym brzmieniu, nie ma ani słowa na ten temat, więc cofnięcie wydanej zgody jest problematyczne.

Najciekawsza wydaje się reakcja firm przetwarzających dane osobowe. Oczywiście podniosła się wrzawa. Protestował Związek Banków Polskich, co wydaję się dość komiczne w odniesieniu do ostatnich wydarzeń z PEKAO S.A. Argumentacja, że banki nie będą w stanie ponieść kosztów na zabezpieczenie danych osobowych... jest śmieszna.

Nieudolność pracowników iPKO :)

No i mamy dzień bankowy (tak się nudzę na urlopie :)).
No i znalazłem dość ciekawą informację na portalu tvn24.pl. Link

W skrócie:
W sieci pojawiła się strona informacyjna z ustawieniami serwera php, na którym działa system bankowości elektronicznej PKO BP S.A.

Na stronie tej pokazane są wszystkie informacje dotyczące konfiguracji php.

No i co? Według rzecznika banku, który o informacje poprosił speców od bezpieczeństwa w swojej instytucji, to nie są żadne niebezpieczne dla banku informacje. Sorki, ale następny rzecznik prasowy banku chyba nie wie o czym mówi. Przecież tak często przytaczany przez odpowiednika z PEKAO S.A. "haker" dokonuje najpierw rozpoznania i zbiera informacje na temat zabezpieczeń stosowanych w systemie. Szuka słabych punktów systemu.
Strona ta, to nic więcej jak naklejka na szybie samochodu w stylu używam zabezpieczeń firmy XXX. A co się dziwić fachowcom banku, że powiedzieli że nie jest to groźna informacja? Przecież za takie coś powinno się polecieć z pracy.

Zgryźliwie zapytam: a może należałoby zapytać zewnętrznego audytora? ;)

Gwoli przypomnienia:
Art. 52.
Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Druga wpadka Visy

Znowu niepokojące informacje na temat elektronicznego pieniądza pojawiły się w sieci. I znowu w powiązaniu ze znanymi kartami kredytowymi VISA.
Na stronach www.rp.pl (link)znalazłem artykuł o wielokrotnym księgowaniu wyplat z kart Visy. Tak jak w styczniu, środki z konta użytkowników ściągane są kilkakrotnie podczas jednej transakcji.
Zaczynam się bać elektronicznego pieniądza. Czas wrócić do czasów skarpety?

Komentarza PEKAO S.A. odnośnie wycieku informacji

Serwis proto.pl opublikował rozmowę z Magdaleną Załubską-Król, zastępcą rzecznika prasowego ds. produktów bankowych. Link

Nie wytrzymałem i skomentowałem. Ma nadzieję, że komentarz pokaże się na stronie, po akceptacji moderatora serwisu.

Moje odczucia

Mimo zmiany osoby wypowiadającej się i zmiany formy wypowiedzi (brak oskarżeń), ton jest ten sam: to nie my, to wina hakera, ktory włamał się na serwer firmy zewnętrznej. Myśmy zrobili audyt i jesteśmy czyści.

Nie jest to tak fajnie. Mimo, że bank zlecił komuś coś, to w dalszym ciągu jest ADO i odpowiada za bezpieczeństwo danych.

Pani rzecznik powołuje się na opinię zewnętrznego audytora i jego opinię, że aplikacja miała niezbędne zabezpieczenia i że gdyby brak było zabezpieczeń, to dane wyciekłby już 8 kwietnia, kiedy rozpoczął on swoja działalność (serwis), a nie w połowie lipca. Oj, szczerze mówiąc bałbym się takiego audytora i jego opinii. Oczywiście dane te mogły być zabezpieczone dostatecznie w kontekście zabezpieczeń dla małej firmy, której serwer nie jest tak łakomym kąskiem dla włamywaczy, a nie największego w regionie banku. Szanowna Pani: zabezpieczenie to ciągły proces, a jego złożoność zależy od kontekstu (od firmy i serwera). Nie wystarczy stwierdzić, że audytor pozwolił i koniec. A gdzie nadzór, kontrola nad działającym już systemem?

No dobra - wystarczy ględzenia o systemach, serwerach i zabezpieczeniach.

A co mógł zrobić PIAR bankowy? Zamiast trzymać się wersji "to nie my", wystarczyło przeprosić, walnąć się w piersi, zadość uczynik poszkodowanym (jakis bonusik odszkodowanie) i transparentnie (fajne slowo) poddać się kontroli. Wyglądałoby to lepiej, niż zamiatanie pod dywan.

Poczekamy, co na to GIODO.

A jednak mój sen się spełnia...

... ale tylko w Niemczech.
Jak podaje money.pl (link) w Niemczech prowadzone sa prace nad nowymi, biometrycznymi dowodami osobistymi. Na życzenie dowód ten może zostać wyposażony w podpis elektroniczny. Oczywiście za dodatkową opłatą.
A jednak można wykonać dystrybucję kwalifikowanego podpisu za pomocą MSWiA, a nie zatrudniać do tego komercyjne firmy.

Bohater największy

Jak podaje gazeta.pl w artykule Pekao SA pokonał PKO BP i jest największym bankiem w regionie bohater ostatniej afery z wypływem danych został największym bankiem w regionie.
Czy to dobrze? Myślę, że troche strasznie. ;)
Bo jak wyglądają zabezpieczenia danych w instytucji, która obraca aktywami w wysokości prawie 33mld euro? :)
Super.

Jak otrzymać certyfikat Prince2 Foundation?

Brak papierka=brak lepszej pracy=brak większej kasy=brak papierka ;)
Tak skrótowo wygląda dzisiejsze życie pracownika. Nic w tym dziwnego - wiedza kosztuje (i to dużo). Pół biedy, gdy szkolenia i kolejne papierki finansuje sponsor w postaci bogatej cioci lub firmy, gorzej gdy trzeba wyskoczyć w własnej kasy.
Ponieważ papierki decyduja o bycie, trzeba wspinać się i zdobywać kolejne, żeby udowododnić... A ponieważ trzeba cały czas udowadniać, padło teraz na P2F :).

Najprościej Prince2 Foundation uzyskać po autoryzowanym szkoleniu w jednej z dwóch autoryzowanych firm:
- CRM S.A. - www.crm.com.pl
- Infovide-Matrix S.A. - www.infovidematrix.pl
Tia... najprościej, ale nie najtaniej.
Szkolenie w CRM kosztuje 4500PLN brutto (w cenie podręcznik Skuteczne Zarzadzanie Projektami PRINCE2 (normalnie 290PLN brutto). Do tego egzamin za 900PLN brutto.
Jeżeli wybierzemy Infovide, to wyniesie nas to 3500PLN brutto za szkolenie i 900PLN brutto za egzamin.
Jedynie te 2 firmy mają status ATO (autoryzowanych ośrodków treningowych).
Inną drogą jest uczestnictwo w nieautoryzowanym kursie, książki, wyszukiwanie wiedzy w necie i zdanie egzaminu w British Council (polski lub angielski).

Nieautoryzowane kursy (kursy autorskie):
- Project Manager Consulting - www.pmc.edu.pl
- ...

Książki (potrzebne do zdania egzaminu):
- Podstawy Metodyki PRINCE2, Ken Bradley
- Skuteczne zarządzanie projektami PRINCE2 - oficjalny podręcznik - 290PLN brutto
Z tego co się orientuje z opinii w necie, o obie książki należy pytać w CRM S.A. i Skuteczne... jest lepsze.

Wiedza w necie:
- cykl ciekawych artykułów na www.pmanager.pl
- ...

Egzamin w BC:
Jak zwykle w niestandardowej (nieoficjalnej) ścieżce trzeba trochę się namęczyć :).
A ponieważ właśnie pies domaga się spaceru, to odsyłam na stronę pmanagera.

Jestem na etapie przygotowań do P2F, więc jeżeli czytelniku znasz jakieś źródła do nauki - daj znać :)

Czy ABI musi być pracownikiem firmy?

Swego czasu wspomniałem, że w przypadku mniejszych firm, można zatrudnić ABIego na podstawie umowy zlecenia lub na podstawie umowy pomiędzy dwoma firmami (ABI prowadzi działalność gospodarczą i wystawia ADO fakturę za swoje usługi). Czasem nawet lepiej (dla tzw. zdrowego współżycia międzyludzkiego) powołać ABIego z zewnątrz.
Nie wszyscy się ze mną zgadzali w tym zakresie. Jednak podczas dzisiejszego bezmyślnego przeglądu on-linowych wersji dzienników natknąłem się w rp.pl na artykuł: link.
Jest to analiza odpowiedzi GIODO na problem, kim może być ABI.
Konkluzja: ABI musi być osobą fizyczną lecz niekoniecznie pracownikiem (etatowym) firmy, w której pełni obowiązki.
Cieszę się z takiego wyjaśnienia, ponieważ otwiera ono szerokie możliwości pracy dla wielu ABI :). Mam nadzieję, że w niedługim czasie stanowisko ABI, będzie tak popularne jak inspektor BHP. :)

Trochę reklamy

Ponieważ marketing szeptany (buzz marketing) jest podobno najbardziej skuteczny, to czemu nie mówić o rzeczach ciekawych i fajnych. A że pogoda nie pozwala na myślenie...
Rzecz numero uno: znalazłem księgarnię internetową, w której książki kosztują średnio 10% mniej, niż w księgarniach standardowych (sugerowana cena z okładki). Przy zamówieniu ponad 190PLN wysyłka jest gratis. A na dodatek ksiegarnia jest w Białymstoku ;) http://www.taniaksiazka.pl/
Rzecz numero duo: rozmawiałem wczoraj z człowiekiem z Omni Modo. Od września/października mają wzbogacić swoją ofertę o kurs dot. zabezpieczeń stricte informatycznych i o kurs dot. pisania dokumentacji i procedur związanych z UODO. http://www.omnimodo.com.pl/. Ponieważ kursy w Omni Modo wspominam miło, to najprawdopodobniej wyląduję na pierwszej edycji.
Rzecz numer trzy (bo po włosku już nie znam ;)): pojawiły się nowe terminy szkoleń on-line: PRICE2 - wprowadzenie (21.08.2008) i Podstawy Zarządzania Projektami (2.08.2008). Mam nadzieję, że w końcu znajdę czas i zabezpieczę logistycznie odizolowane pomieszczenie (żeby nikt nie przeszkadzał). http://www.pmc.edu.pl/, a dokładniej link. Trzeba się śpieszyć, ponieważ są to początki kursów on-line w PMC - jest zniżka (128PLN z kurs).
Z żadnej z powyższych firm, nie uzyskałem żadnej kasy ani zniżki, za wzmianki powyżej.

9th SysAdminDay

Czy to przypadek, że po chłodnych i deszczowych dniach, dzisiaj raptem zaświeciło słonko i temeratura obija się w okolicach 30 Celcjuszy?
Wcale nie, bo jak co roku na 1 maja jest ciepło, tak samo zawsze w ostatni piątek lipca musi być ciepło. Dlaczego?
Bo dzisiaj przypada 9th Annual System Administrator Appreciation Day, czyli DziewiątyDorocznyDzieńUznaniaAdministratorówSystemowych. Wow - tłumaczenie dość karkołomne, ale to znaczy, że dzisiaj administrator systemów informatycznych ma prawo do świętego spokoju. ;)
A jaki prezent zrobiłeś dzisiaj ty - użytkowniku - swojemu adminowi?
Wszystkim kolegom po fachu - wszystkiego spokojnego.

A kto chce poczytać więcej: link