Innowacyjność vs. bezpieczeństwo: tym razem "gwizdek USB" i 12 milionów obywateli

Jeden z pracowników spółki Atos Origin, która obsługuje brytyjski serwis Government Gateway, zgubił (przed pubem) pendrive z danymi 12 milionów obywateli (12 milionów to i tak mniej, niż 17 milionów w Niemczech - por. Dane 17 milionów klientów Deutsche Telekom i 26 milionów w USA - por. Wyciekły dane osobowe ponad 26 milionów amerykańskich żołnierzy). Jak donoszą media - dane brytyjskich obywateli miały być "poufne" (dlaczego zatem pracownik je nosił w kieszeni?) i dotyczyły "podatników, którzy rozliczają się przez internet".

O sprawie pisze Dziennik.pl w tekście Poufne dane 12 mln osób leżały przed pubem. Serwis rządowy, o który chodzi, to Government Gateway. Dziennik pisze, że po "wycieku" (a więc zgubieniu nośnika danych) "witrynę w internecie zamknięto" (witryna działa, chociaż może nie tak, jak wcześniej - czego nie potrafię zweryfikować). Na nośniku były m.in. zaszyfrowane hasła obywateli (dlatego zarówno spółka jak i strona rządowa twierdzą, że nic takiego wielkiego się w rzeczywistości nie stało; por. również Zderzenie państwa i prywatności obywateli: kogo będzie bolało?), a sam pendrive znaleziono (stąd wiadomo, że został zgubiony) i trafił do gazety Daily Mail. Dziennik.pl relacjonuje:

Żeby korzystać z możliwości witryny trzeba podać imię, nazwisko, adres, numer identyfikacji podatkowej, dane karty kredytowej oraz hasło do swojego konta. Te wszystkie dane były na nośniku. Ale nie tylko. Na pamięci USB zgrano także kod źródłowy całego systemu z instrukcją, jak się po nim poruszać.

TVN24 w tekście Rządowe tajemnice leżały przed pubem pisze na ten sam temat:

Na portalu Gateway może się zarejestrować każdy Brytyjczyk, zabiegający o dostęp do oficjalnej informacji i usług, np. w celu rozliczenia się z podatków, zorientowania się w swoich prawach emerytalnych, czy świadczeniach socjalnych.

Rzeczpospolita zaś (w tekście Brytyjski rząd znów zgubił dane obywateli) dodaje: "Ministerstwo Pracy i Emerytur usiłuje ustalić, w jaki sposób przenośny dysk pamięci wypełniony poufnymi danymi wylądował na parkingu przed pubem Orbital w hrabstwie Staffordshire".

Na stronie Government Gateway można znaleźć zakładkę "Is it secure?" (czy to bezpieczne?) i tam informacja, że bezpieczeństwo danych jest kluczowym zagadnieniem w prowadzeniu tego serwisu, samo bezpieczeństwo jest realizowane przez bezpieczne połączenie (secure connections), szyfrowanie (encryption), wykorzystanie cyfrowych certyfikatów (use of digital certificates), unikalne identyfikatory użytkowników (user IDs).

Skądinąd wiemy (tu za Bankier.pl), że spółka Atos Origin, zdobyła nagrodę Innovation Award 2008 (organizatorami tego przedsięwzięcia promocyjnego jest Orange Business Services oraz Syntec Informatique) w kategorii "Rozwiązania Mobilne i Nowe Technologie" za usługę biletów elektronicznych dla Air France KLM. Spółka jest międzynarodowa, nagroda za innowacyjność dotyczy rozwiązań mobilnych. Gwizdek USB można przenosić i związany jest z nowymi technologiami. Być może przyznając nagrody nie sprawdzano wewnętrznych procedur gwarantujących bezpieczeństwo, być może inne spółki, które brano pod uwagę przyznając nagrodę, były mniej innowacyjne niż zwycięzca?

Na koniec warto chyba przywołać - za serwisem Heise-Online i tekstem RSA Conference: Bruce Schneier na temat przyszłości prywatności - wypowiedź Bruce'a Schneiera, który zajmuje się bezpieczeństwem informacji i kryptografią:

...obserwowane tu i ówdzie tak zwane wycieki danych są rezultatem większego inwestowania w rozwój i badania niż w porządkowanie danych i polis bezpieczeństwa.

Przeczytaj również:

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Ministerstwo Pracy i

Ministerstwo Pracy i Emerytur usiłuje ustalić, w jaki sposób przenośny dysk pamięci wypełniony poufnymi danymi wylądował na parkingu przed pubem Orbital w hrabstwie Staffordshire

Mnie zaś bardziej interesuje w jaki sposób te dane wylądowały na tym pendrive i po co.

poufność nie istnieje...

nawet jeśli wyrwiemy kabel z komputera.

Tu widać wyższość rynku usług nad rynkiem produktów. Usługi wsparcia dają prymat udoskonalaniu, rynek produktu promuje nowe nad stabilnym. Skoro w budżecie są co roku środki do wydania, wydawane są zgodnie z trendem.

-- piotrg --

Szyfrowanie?

Wiele o bezpieczeństwie informacji w urzędach publicznych mówi już sam fakt, że urzędnicy nie szyfrują tych danych w najprostszy chociaż sposób. Mamy XXI wiek i nie jest trudno uczynić dysk/pendrive'a zupełnie nieczytelnym dla przypadkowego znalazcy.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>