Innowacyjność vs. bezpieczeństwo: tym razem "gwizdek USB" i 12 milionów obywateli
Jeden z pracowników spółki Atos Origin, która obsługuje brytyjski serwis Government Gateway, zgubił (przed pubem) pendrive z danymi 12 milionów obywateli (12 milionów to i tak mniej, niż 17 milionów w Niemczech - por. Dane 17 milionów klientów Deutsche Telekom i 26 milionów w USA - por. Wyciekły dane osobowe ponad 26 milionów amerykańskich żołnierzy). Jak donoszą media - dane brytyjskich obywateli miały być "poufne" (dlaczego zatem pracownik je nosił w kieszeni?) i dotyczyły "podatników, którzy rozliczają się przez internet".
O sprawie pisze Dziennik.pl w tekście Poufne dane 12 mln osób leżały przed pubem. Serwis rządowy, o który chodzi, to Government Gateway. Dziennik pisze, że po "wycieku" (a więc zgubieniu nośnika danych) "witrynę w internecie zamknięto" (witryna działa, chociaż może nie tak, jak wcześniej - czego nie potrafię zweryfikować). Na nośniku były m.in. zaszyfrowane hasła obywateli (dlatego zarówno spółka jak i strona rządowa twierdzą, że nic takiego wielkiego się w rzeczywistości nie stało; por. również Zderzenie państwa i prywatności obywateli: kogo będzie bolało?), a sam pendrive znaleziono (stąd wiadomo, że został zgubiony) i trafił do gazety Daily Mail. Dziennik.pl relacjonuje:
Żeby korzystać z możliwości witryny trzeba podać imię, nazwisko, adres, numer identyfikacji podatkowej, dane karty kredytowej oraz hasło do swojego konta. Te wszystkie dane były na nośniku. Ale nie tylko. Na pamięci USB zgrano także kod źródłowy całego systemu z instrukcją, jak się po nim poruszać.
TVN24 w tekście Rządowe tajemnice leżały przed pubem pisze na ten sam temat:
Na portalu Gateway może się zarejestrować każdy Brytyjczyk, zabiegający o dostęp do oficjalnej informacji i usług, np. w celu rozliczenia się z podatków, zorientowania się w swoich prawach emerytalnych, czy świadczeniach socjalnych.
Rzeczpospolita zaś (w tekście Brytyjski rząd znów zgubił dane obywateli) dodaje: "Ministerstwo Pracy i Emerytur usiłuje ustalić, w jaki sposób przenośny dysk pamięci wypełniony poufnymi danymi wylądował na parkingu przed pubem Orbital w hrabstwie Staffordshire".
Na stronie Government Gateway można znaleźć zakładkę "Is it secure?" (czy to bezpieczne?) i tam informacja, że bezpieczeństwo danych jest kluczowym zagadnieniem w prowadzeniu tego serwisu, samo bezpieczeństwo jest realizowane przez bezpieczne połączenie (secure connections), szyfrowanie (encryption), wykorzystanie cyfrowych certyfikatów (use of digital certificates), unikalne identyfikatory użytkowników (user IDs).
Skądinąd wiemy (tu za Bankier.pl), że spółka Atos Origin, zdobyła nagrodę Innovation Award 2008 (organizatorami tego przedsięwzięcia promocyjnego jest Orange Business Services oraz Syntec Informatique) w kategorii "Rozwiązania Mobilne i Nowe Technologie" za usługę biletów elektronicznych dla Air France KLM. Spółka jest międzynarodowa, nagroda za innowacyjność dotyczy rozwiązań mobilnych. Gwizdek USB można przenosić i związany jest z nowymi technologiami. Być może przyznając nagrody nie sprawdzano wewnętrznych procedur gwarantujących bezpieczeństwo, być może inne spółki, które brano pod uwagę przyznając nagrodę, były mniej innowacyjne niż zwycięzca?
Na koniec warto chyba przywołać - za serwisem Heise-Online i tekstem RSA Conference: Bruce Schneier na temat przyszłości prywatności - wypowiedź Bruce'a Schneiera, który zajmuje się bezpieczeństwem informacji i kryptografią:
...obserwowane tu i ówdzie tak zwane wycieki danych są rezultatem większego inwestowania w rozwój i badania niż w porządkowanie danych i polis bezpieczeństwa.
Przeczytaj również:
- Społeczeństwo kontrolowane: Organy ścigania organizują handel danymi z wycieków?
- Inwigilacja w Wielkiej Brytanii - projekt centralnej bazy danych na temat komunikacji elektronicznej obywateli
- Kampania promocyjna "cyfrowych dowodów przestępstwa"
- Kupił na aukcji aparat fotograficzny z materiałami MI6 - informacja to ciekawa "rzecz"
- I co się dzieje dalej z danymi, które wyciekną?
- Co po kradzieży danych?
- ChoicePoint: wyciek na wielką skalę
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
Ministerstwo Pracy i
Mnie zaś bardziej interesuje w jaki sposób te dane wylądowały na tym pendrive i po co.
poufność nie istnieje...
nawet jeśli wyrwiemy kabel z komputera.
Tu widać wyższość rynku usług nad rynkiem produktów. Usługi wsparcia dają prymat udoskonalaniu, rynek produktu promuje nowe nad stabilnym. Skoro w budżecie są co roku środki do wydania, wydawane są zgodnie z trendem.
-- piotrg --
Szyfrowanie?
Wiele o bezpieczeństwie informacji w urzędach publicznych mówi już sam fakt, że urzędnicy nie szyfrują tych danych w najprostszy chociaż sposób. Mamy XXI wiek i nie jest trudno uczynić dysk/pendrive'a zupełnie nieczytelnym dla przypadkowego znalazcy.