Dyskusja po brytyjskich wyciekach danych
Jak wiadomo - W Wielkiej Brytanii wyciekają archiwa z danymi obywateli. Miałem o tym pisać w zeszłym roku, ale tyle się działo, a wszyscy o tym pisali... W każdym razie temat wraca ze względu na prezentera programu Top Gear, Jeremiego Clarksona. Stwierdził publicznie, że wyciek danych osobowych 25 milionów obywateli jest problemem sztucznie rozdmuchanym i opublikował w "The Sun" dane swojego konta bankowego wraz z numerem rozliczeniowym swojego banku. Uznał, że nic się nie może wydarzyć, bo ludzie będą mogli jedynie wpłacać pieniądze na jego konto. Mylił się. Następnego dnia ktoś ustawił stałe zlecenie przelewu 500 funtów z jego konta na konto organizacji charytatywnej Diabetes UK.
O sprawie pisze Gazeta.pl w tekście Clarkson stracił pieniądze, bo... opublikował dane swojego konta. Trochę dziwi fragment na temat niemożliwości sprawdzenia autora zlecenia: "Bank nie może stwierdzić, kto to zrobił z powodu przepisów o ochronie danych osobowych"... Angielskojęzyczne źródła, to np. Clarkson's 'steal my ID' stunt backfires albo Top Gear's Clarkson's identity stolen, Jeremy Clarkson eats his words over ID theft (tu fajne zdjęcie prezentera) i jeszcze Clarkson caught by ID thieves. Tu zamiast o stałym zleceniu mowa o direct debit. Przy okazji dowiadujemy się też, że prezenter podał inne jeszcze informacje dotyczące jego osoby - instrukcje na temat tego, jak znaleźć jego adres zamieszkania w rejestrach wyborców (electoral roll) oraz informacje na temat tego, jakim jeździ samochodem. Organizacja, która uzyskała 500 funtów to British Diabetic Association... Ponoć w przypadku ustanowienia przelewu na rzecz organizacji dobroczynnych nie jest potrzebny podpis właściciela rachunku.
Odnośnie wycieków w Wielkiej Brytanii: najpierw w listopadzie zeszłego roku zaginęły dane 25 milionów Brytyjczyków, zgromadzone na dwóch dyskach CD (por. Round-up: The HMRC data breach). Dane zniknęły z urzędu HM Revenue and Customs zarządzającego zasiłkami wychowawczymi na dzieci. Dyski zaginęły w drodze do the National Audit Office (z Newcastle do Londynu). Wśród zgromadzonych danych były numery kont bankowych (ponoć chodziło o zaoszczędzenie pieniędzy i przekazywano dane nie filtrując ich wcześniej).
Potem, w grudniu zeszłego roku, ujawniono, że współpracująca z brytyjskim resortem transportu prywatna firma zagubiła dane osobowe kolejnych 3 mln osób. Ciekawe w tym ostatnim przypadku było to, że dane Brytyjczyków (a konkretnie dysk twardy z nazwiskami, adresami, adresami poczty elektronicznej, numerami telefonów kandydatów starających się o prawo jazdy) zaginęły w USA. Stało się tak dlatego, że agencja brytyjska zleciła przechowywanie danych amerykańskiej spółce Pearson Driving Assessments Ltd.
W Wielkiej Brytanii teraz nieco wrze. BBC w tekście Tougher data laws needed, say MPs opisuje dyskusję publiczną nad wprowadzeniem kryminalizacji utraty danych. Wedle opublikowanych tam informacji - dziś agencje rządowe nie mogą być w żaden sposób karnie odpowiedzialne za utratę danych (?). Padają głosy, że taka odpowiedzialność jest potrzebna. Brytyjski Parlament rozważa nowelizację ustawy the Data Protection Act, a konkretnie jej art. 60 (section 60).
Podobne doniesienia i komentarze gromadzę w działach: prywatność, dane osobowe, bezpieczeństwo i banki (ale przecież nie tylko tam) niniejszego serwisu.
PS. Aktualnie pracownicy techniczni HM Revenue and Customs rozpoczęli strajk w obronie swoich miejsc pracy (a jest ich tam ponoć 70 tys pracowników odpowiedzialnych za IT). Ogłoszono plany redukcji zatrudnienia w tym urzędzie - 25 tys ludzi ma stracić pracę do 2011 roku. Pracownicy IT twierdzą, że w przypadku redukcji etatów takich jak ich - dane będą szybciej wyciekać... (por. HM Revenue and Customs IT staff ballot over job losses).
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
tak poza głównym tematem
tak poza głównym tematem to wyraz twarzy Clarksona na Telegraph miażdży :D
Mina Clarksona - bezcenne, za wszystko inne...
Nieżle ubawiłem się czytając wskazane artykuły. Poniekąd jednak sedno sprawy - powierzchowne i instrumentalne pojmowanie znaczenia ochrony danych osobowych przez dziennikarzy jako dobrych, sensacyjnych tematów, bardzo przypomina mi to, jak traktuje się ochronę danych osobowych w Polsce. Nasi rycerze pióra też lubią zgarnąć kilka groszy za sensacyjkę o danych osobowych ze śmietnika, ale poza straszeniem nie dostrzegam głębszej refleksji np. o problemie zbytecznego gromadzenia danych przez wiele różnych instytucji czy też pomysłów na rozszczelnianie ochrony tych danych jak to argumentuje Dyrektor Departamentu
informatyzacj w MSWIA:
tommy
_____ http://www.put.poznan.pl/~tommy
Ale on chyba nie tak sam z siebie?
Ktoś go podpuścił?
Wojciech
500Ł za gigantyczną kampanię reklamową
Ja bym Clarksona specjalnie nie żałował - cała sprawa przysporzyła mu tyle popularności, że z łatwością odrobi stratę nie tylko 500 funtów, ale i 5 tyś.
Zupełnie inna kwestia to szczelność Brytyjskiego systemu bankowego, jestem ciekaw jak to wygląda w praktyce, bo niestety brytyjscy obgryzacze ołówków nie są zbyt konkretni.
Sam z siebie
Sam to wykombinował kombinując jak by tu wyszydzić sprawę i udowodnić tym, którzy wszczęli poważną dyskusję o ochronie danych osobowych w GB, że niby te obawy i zagrożenia to humbug. Dostał o co sam się napraszał. Co więcej, ma szczęście, że ludzie z sieci nie sprzedali go razem z domem i jego ulubioną carą-dżaguarą albo co tam fajnistego ma.
tommy
_____ http://www.put.poznan.pl/~tommy
Kowal zawinił piernik do wiatraka
Bank miał kiepskie (nie miał w ogóle?) mechanizmy uwierzytelniania to jest potwierdzania autentyczności zleceniodawcy (stwierdzania zgodności jego tożsamości z tożsamością posiadacza konta), a nie zachowania poufności tożsamości osoby jej dokonującej. Pewnie - gdyby atakujący nie wiedział, że Clarkson ma konto i jakie w tym banku, albo gdyby nie wiedział, że taki bank istnieje, albo w ogóle nie wiedział co to jest bank, to nie byłoby problemu. Tyle, że o numerze konta owegoż Clarksona wiedziało na tyle dużo osób (jego szef, księgowy w firmie gdzie pracował, jego rodzina, sklepy wysyłkowe w których płacił przelewem, zakład energetyczny czy firma telekomunikacyjna, które świadczyły mu usługi, kolega, który miał mu przelać jakieś drobne, które kiedyś odeń pożyczył, firma ubezpieczeniowa, która wypłaciła mu - znowu przelewem - odszkodowanie za jakąś stłuczkę, fundusz emerytalny, w którym odkładał sobie pieniądze na starość, dom maklerski, który kupował dla niego akcje, księgowy w firmie gdzie miał jakąś chałturę, szef tej firmy, pracownicy działu kadr tamże i tak dalej i tak dalej) że trudno tę wiedzę uznać za poufną i opierać na niej bezpieczeństwo transakcji. Możemy się upierać żeby w części miejsc te dane "utajnić" tylko ż równie dobrze moglibyśmy próbować utajnić twierdzenie Pitagorasa.
Z moich kontaktów
Z moich kontaktów E-bayowych z przedstawicielami innych nacji wynika, że numeru konta strzegą oni jak oka w głowie. I w praktyce, większość wymienionych powyżej płatności odbyła by się drogą czeku. Wypłata - czek. Odszkodowanie - czek. Itd, itp. A z przypadku Clarksona mamy chyba jasno wynikający powód - kiepskie procedury identyfikacji w bankach.
Mam wrażenie, że w Polsce nic takiego nie mogłoby mieć miejsca, a w każdym razie byłoby to mało prawdopodobne.
numeru konta strzegą oni
i sami również nie dokonują żadnych przelewów? bo przecież wtedy odbiorca takiego przelewu widziałby skąd on został wysłany
Przelewy to może i robią,
Przelewy to może i robią, ale za energię, telefon itp. Rozliczenia między znajomymi to już raczej czeki. U nas obrót czekowy zamarł jakiś czas temu, za Wyspach jest bardzo popularny. Kiedy jeszcze nie było PayPala w Polsce próbowałem zapłacić za jakiś towar gościowi z Niemiec. Długo się natłumaczyłem, zanim nie dostałem konta i kodu banku. A u naszych sąsiadów czeki też nie są chyba powszechnie stosowane.
Co kraj to obyczaj
Około 8 lat temu mieszkałem przez jakiś czas w Holandii. Miałem konto w tamtejszym banku, ponieważ akurat bawiłem się trochę eBay-em to bardzo często musiałem robić niewielkie przelewy, wszyscy bez problemu podawali numer swojego konta, wręcz ten numer był podawany w standardowym opisie użytkownika - dokładnie tak samo jak u nas. Zabezpieczenia bankowe były analogiczne jak u nas, jak robiłem przelew w banku sprawdzali mnie po prostu z paszportu (nie musiałem jedynie wypełniać durnych druczków jak w Polsce, wystarczała ustna dyspozycja). Tamtejszego czeku nie widziałem na oczy.
Jedyną ciekawostką było to, że jak raz chciałem komuś wpłacić gotówkę na konto, to absolutnie nie było gdzie tego zrobić (ewidentnie nie na poczcie). W końcu oddział tego banku w którym delikwent miał konto zgodził się przyjąć ode mnie gotówkę, pobierając za to bardzo wysoką prowizję.
Miałem natomiast (w Polsce) kilkukrotnie do czynienia z amerykańskimi czekami, które ktoś przysyłał do rozliczenia, trzeba było je oddawać w banku do inkasa, ich spieniężenie trwało czasem nawet kilka miesięcy (sic!). Na szczęście od jakiegoś czasu kontrahenci z USA bez problemu robią "wire transfer".
Czyli jak widać zależy to
Czyli jak widać zależy to od kraju i pewnie od konkretnej osoby... Z czekami z USA miałem te same kłopoty w Polsce... Prowizja zjadała nieraz połowę wartości czeku...