Image
12.2.2014 0 Comments

BLOG: (Ne)ochrana osobných údajov v SR. Mýty, bludy, konšpirácie

security.jpg Technológia

Princíp práce počítačov je stále ten istý: „Otrok na triedenie núl a jednotiek." Uvidíme, čo prinesie kvantový počítač. To isté platí pre princípy potvrdenia identity jedinca v digitálnom svete, „otrok" vie spracovať identitu len cez reťazec núl a jednotiek. Používateľ má tri možnosti, ako poskytnúť reťazec: viem; mám; som.

„Viem" vytvoriť reťazec písmen, číslic a špeciálnych znakov (len 0,5 % hesiel) a cez klávesnicu ich priamo zadať do PC. Realita je taká, že väčšina hesiel je málo kreatívna, dokonca sú rovnaké: "123456", "nbu123", prípadne vytvorené z mien, priezvisk a dátumov, tzv. mnemotechnických pomôcok. Výsledok - relatívne ľahké prelomenie hesla, najčastejšie použitím slovníkov hesiel (tzv. word lists) - až 98 % hesiel!

Riešenie: ak ide o bezvýznamné účty, tak žiadne, ale ak heslá chránia hmotné, nehmotné majetky či dokonca životy, napríklad prvky kritickej infraštruktúry, treba heslá riešiť. Minimálne si urobiť poriadok s heslami, napríklad pre každý účet používať iné dostatočne bezpečné heslo (bezpečnosť možno overiť cez web howsecureismypassword.net), v prípade veľkého množstva hesiel treba použiť správcu hesiel (napríklad keypass) a potom extra bezpečné „master" heslo. Stále to však nestačí, treba dostatočne a neustále chrániť brány (porty) do vašej IT infraštruktúry z verejne dostupnej siete - internetu. Napriek všetkým technologickým opatreniam ostáva ľudský faktor, sociálny inžiniering a veľká nevýhoda typu „viem" - relatívne jednoduchý prenos z osoby na osobu, ľudovo povedané, prezradenie hesla.

„Mám" identifikačný predmet - ide napr. o rádiofrekvenčnú identifikáciu tzv. kartou RFID s reťazcom núl a jednotiek od výroby napáleným v karte. Reťazec z karty sa dostane do PC cez čítačky RFID bezdrôtovo priložením karty k čítačke (čítačka generuje vysokofrekvenčné magnetické pole, ktoré v cievke karty indukuje napätie na prenos reťazca z karty do čítačky). Najrozšírenejšie karty EM, HID a Legic Prime nemajú žiadne šifrovanie dát, to znamená, že ich zneužitie je pomerne jednoduché, napríklad „falošnou" tzv. skimmer čítačkou (cena rádovo 200 až 400 eur) načítate obsah karty a zapíšete do ďalšej karty a máte klon originálnej karty. Druhú skupinu kariet tvoria Mifare Classic a Hitag, ktoré už majú šifrované dáta, ale veľmi slabo (všeobecne je známy prípad prelomených kariet Mifare Classic, stále hojne používaných v hromadnej doprave).

Tretia skupina sú karty so silným šifrovaním, napríklad Mifare Plus, DESfire, SmartMX, HID iClass. Riešenie proti zneužitiu a klonovaniu kariet je použiť túto skupinu. Pozor, aj keď použijete karty s najlepším šifrovaním, stále ostáva ľudský faktor, vedomá či nevedomá strata, zabudnutie karty, zasa pomerne jednoduchý prenos identity z osoby na osobu. Dnes je už klasická tvorba „tacho", respektíve „čiernych" hodín pri registrácii dochádzky.

Osobné údaje typu „viem" a „mám" veľmi dobre poznáme aj v ich kombinácii, napríklad na platobnej karte, a veľmi dobre poznáme aj ich zneužitie napríklad v bankomatoch. Potom zostáva naozaj rozum stáť, prečo pri našich nových občianskych preukazoch bola použitá práve táto, evidentne nie najlepšia koncepcia L.

„Som" jedinec s jedinečnými fyziologickými i zvykovými črtami: odtlačok prsta, tvar ruky, krvné riečisko, geometria tváre, hlas, tep srdca, ručné písmo, štýl písania na klávesnici a tak ďalej. Ako je to s reťazcom núl a jednotiek v tomto prípade a ako to všetko funguje? Na to bolo treba veľmi veľa úsilia, začiatky môžeme pozorovať už u starých Egypťanov pri stavbe pyramíd a potom dlho nič - až Jan Evangelista Purkyně si všimol unikátnosť štruktúry papilár odtlačkov prstov (1832), nasledovala „ručná" daktyloskopia a zhruba od 60. rokov minulého storočia „elektronická" daktyloskopia.

Prvý krok je načítanie biometrickej črty do biometrickej čítačky, napríklad položením prsta na optický senzor (prechod do digitálneho sveta), výsledok - obrázok časti prsta. Nasleduje to najpodstatnejšie: výber (extrakcia) markantných jedinečných bodov do výslednej biometrickej šablóny, teda reťazec núl a jednotiek. To najpodstatnejšie práve prichádza, reťazec núl a jednotiek pri tom istom prvku (napríklad odtlačok prsta) NIKDY nie je rovnaký. Na rozdiel od typu „viem" a „mám" totiž vstupný údaj nikdy nie je úplne rovnaký, živá bytosť nie je stroj, raz pritlačí prst silnejšie, inokedy slabšie, raz viac zľava, raz viac sprava, stav prsta sa mení, organizmus je dynamický „živý" systém.

Tu nastupuje mohutná matematická výbava (neurónové siete, fuzzy logika, biometrická štatistika), kladný výsledok porovnania „referenčného" oproti „živému" reťazcu NIKDY nie je 100 % (ak áno, je to jasný falzifikát), ale zároveň nemôže byť pod „prahom citlivosti". Prah citlivosti môžeme charakterizovať aj ako mieru zhody „referenčného" a „živého" reťazca. Čím bude prah citlivosti vyšší, tým bude vyššia miera zhody, no zhoda nikdy nedosiahne 100 %. V tomto prípade hrá ľudský faktor zásadnú rolu.

Možno napríklad sociálnym inžinierstvom zneužiť dáta typu „som"? Pri dobrom návrhu technológie (napríklad zabezpečenie overenia „živosti" pri odtlačku, prípad iPhone 5) a pri odbornej správe systému (prah citlivosti) prakticky neexistuje možnosť prenosu identity z osoby na osobu. Osoba je identická len a výlučne sama so sebou :-).

Môžeme konštatovať, že z technologického pohľadu je ochrana osobných dát rádovo vyššia pri systémoch typu „som" (tzv. biometria) ako pri systémoch typu „viem" alebo/a „mám". Nakoniec vývoj na trhu to jednoznačne potvrdzuje hromadným rozšírením biometrie v posledných pár rokoch: hlasová biometria, biometrické podpisy a podobne.

Aktuálna legislatíva a aplikačná prax

Presný opak je charakteristikou stavu legislatívy a hrôzostrašnej aplikačnej praxe Úradu na ochranu osobných údajov (ďalej len Úrad). Spoločnosti využívajúce biometrické systémy sú svojvoľne šikanované nezmyselnou byrokraciou, diskriminované a v mnohých prípadoch je im dokonca používanie biometrie zakázané (mesto Trenčín, Východoslovenské stavebné hmoty).

Súhlas

Pri spracovaní osobných údajov je kľúčový inštitút jedinca, ktorého osobné údaje sa budú spracúvať u zamestnávateľa. V aktuálnom zákone je dokonca zakotvený, ale v praxi „zmietnutý zo stola". Takto súhlas aplikuje v praxi jedna z autoriek zákona, pani Zuzana Valková: „Súhlas dotknutej osoby musí byť slobodne daný, výslovný a zrozumiteľný. Vo vzťahoch medzi zamestnávateľmi a zamestnancami je však sloboda ako jeden zo základných obligatórnych náležitostí súhlasu problematicky aplikovateľným aspektom. Táto skutočnosť vyplýva zo špecifickosti týchto (pracovnoprávnych) vzťahov, ktoré možno charakterizovať ako vzťahy nadriadenosti a podriadenosti, kde sa zamestnanec vo väčšine prípadov riadi pokynmi zamestnávateľa a pri plnení pracovných úloh vykonáva vôľu zamestnávateľa." Dvetisíc rokov fungujúci inštitút súhlasu s obsahom, vyjadrený vlastnoručným podpisom, pani Valková poslala na smetisko dejín a zamestnancov vyhlásila za nesvojprávne identity.

Rovnosť pred zákonom

Atribút charakterizujúci normálnu spoločnosť podľa Úradu je realizovaný takto: Banky, NKÚ alebo Samsung môžu bez problémov spracovávať tzv. osobitnú kategóriu osobných údajov - biometrické údaje. Naproti tomu „obyčajní" prevádzkovatelia, ako sú vodárne, okresné súdy, strojárske podniky či dokonca sami autori biometrického systému v NKÚ, sú znovu a znovu šikanovaní byrokraciou a nakoniec im je spracovanie zakázané (napr. Okresný súd Košice vidiek). Dôvod: Úrad považuje spracovanie za rizikové!!!

Slon v porceláne

Tak sa správa Úrad voči poctivcom, voči tým, ktorí chcú dodržiavať literu zákona. Splnili si ohlasovaciu povinnosť, podali žiadosť o osobitnú registráciu, podľa Úradu od tejto chvíle by spracovanie nemalo prebiehať až po kladné spracovanie žiadosti. Problém je, že Úradu trvá vybavenie niekedy až 6 mesiacov a ani po takomto čase nie je schopný rozhodnúť. Podľa Úradu v tomto období treba zastaviť spracovanie údajov. Čo robiť v prípade, keď pozastavené informačné systémy riešia životne dôležité funkcie, napríklad vstupy do strategických priestorov (serverovne, pokladne, vývojové laboratóriá)? Čo ak spracovávajú podklady na mzdy pracovníkov, čo v prípade ovládania výrobných liniek, všetky tie procesy sa majú zastaviť? V mnohých prípadoch ten istý úradník schválil používanie daného systému ešte podľa starého zákona, napríklad Phoenix Zeppelin Caterpillar, IBV Stavivo, ASO Vending atď.

Toto Úrad už, samozrejme, nerieši!!!

Mýty, bludy, konšpirácie

Pred časom v SME a následne i v Pravde vyšli „čudné“ články s názvami Odtlačky úrad zakazuje a Odtlačky môžu zamestnávatelia žiadať len výnimočne. Niesli sa v duchu, že odtlačky sú citlivé údaje, ich zneužitie by malo kvalitatívne oveľa väčšie následky ako bežné metódy (asi heslo alebo karta RFID), vraj odtlačky odhaľujú ďalšie citlivé údaje o osobe, ako napríklad zdravotný stav, rasu a ktoviečo ešte.

Poďme si to rozobrať cez príklady s nádychom fabulácie. Keď chránim miestnosť s trezorom s 10 miliónmi dolárov po a) heslom, po b) odtlačkom prsta a zbojníci mi ho ukradnú, mám rozdielnu škodu? Samozrejme, že nie, ani kvantitatívne, ani kvalitatívne, v obidvoch prípadoch som prišiel o 10 miliónov. Keď robím registráciu dochádzky po a) zamestnaneckou kartou, po b) odtlačkom prsta a zamestnanec mi mesačne vykáže „tacho“ hodiny, za ktoré mu zaplatím, aj keď ich neodpracoval, po a) 50 hodín a po b) takisto 50 hodín, mám kvalitatívne či kvantitatívne inú škodu? Samozrejme, že nie. Keby sme išli do dôsledkov podľa tohto uvažovania, nemôžeme používať klávesnicu PC (štýl písania, tzv. keystroke), webové kamery (rozpoznávanie tváre) či mikrofóny (rozpoznávanie hlasu)!!!

K citlivosti: podľa aktuálnej smernice EU 95/46 medzi citlivé osobné údaje patria napríklad zdravotný stav, rasa, etnický pôvod. Ako teda biometrické údaje súvisia s citlivými osobnými údajmi? Len a len okrajovo, a nie plošne, ako ich chybne definuje náš zákon a bludne aplikuje Úrad. Biometrický údaj súvisí s citlivým údajom vtedy, keď cez biometrický údaj vieme odhaliť citlivý údaj, takého údaje sú len tri: a) fotografia v surovom stave (stav pred spracovaním do biometrickej šablóny) – mohli by sme vizuálne zistiť rasu, zhruba etnický pôvod a možno experti aj zdravotný stav, b) reťazec DNA, len špecializované pracoviská, POZOR: DNA sa v komerčnej praxi vôbec nepoužíva, c) hlas, zasa možno v surovom stave. Cez všetky ostatné biometrické údaje nikto nemá šancu odhaliť citlivé údaje. Toto isté celé roky tvrdí pracovná skupina 29 (predsedovia jednotlivých Úradov v rámci EÚ), napríklad stanovisko WP 80 z roku 2003. Zástupcovia nášho Úradu prácu skupiny buď ignorujú, alebo jej nerozumejú, prípadne si účelovo vyberú len to, čo sa im hodí „do krámu“ :-(.

Dôsledky

Aktuálne sú prevádzkovatelia povinní evidovať, registrovať a osobitne registrovať informačné systémy, ustanoviť oprávnené alebo zodpovedné osoby, zabezpečiť bezpečnostné projekty, nanovo zrevidovať zmluvy so sprostredkovateľom, a tak ďalej. Aj v 21. storočí všetko v písomnej papierovej podobe! Výsledok - priemerné finančné náklady na stredný podnik 700 eur, a ak to rozrátame na všetky postihnuté firmy, finančné, časové, morálne, ale aj „zelené" dosahy sú astronomické, len lesa padne asi 12 hektárov.

Hlava XXII, Švejk alebo „Otče, odpusť im, lebo nevedia, čo činia" v jednom.

Dá sa s tým vôbec pohnúť?

Proti šikanovaniu, byrokracii a arogancii predstaviteľov Úradu bojujeme už celé roky, výsledok je zatiaľ jasne v prospech úradníkov. Spôsob práce parlamentu, schvaľovacia mláťačka bez akejkoľvek zodpovednosti a tradícia vlády SR pri nomináciách na vedúce miesta - stranícke tričko, nulová odbornosť i prax, potom je jasné, prečo naša spoločnosť ako celok je tam, kde je - v hospodárskom a morálnom úpadku. Samozrejme, česť výnimkám, zopár sa ich našlo v parlamente a jedna dokonca vo vláde.

Svetielko v tuneli

V posledných pár týždňoch sa o danú problematiku začali zaujímať médiá .týždeň, Hospodárske noviny, Sme, Pravda, v TA3 sám premiér po tlaku zo strany zamestnávateľských združení. Možno sa predsa len niečo podarí, ale zatiaľ to vôbec nie je isté, a keď sa skončí haravara okolo prezidentských a eurovolieb, znovu môžeme byť tam, kde sme boli.

Uvedený zákon treba urýchlene novelizovať a vedenie Úradu čím skôr vymeniť s novými pravidlami výberu: aspoň minimálne technické vzdelanie a prax v oblasti IT.

Dobrá správa je reforma ochrany údajov (MEMO/14/60), zverejnená 27. januára 2014 Európskou komisiou na čele s jej podpredsedníčkou pani Viviane Redingovou. Pri novelizácii nášho zákona sa bude o čo oprieť, napríklad z pohľadu prevádzkovateľa žiadne registrácie, ohlasovacie, oznamovacie povinnosti, žiadne oprávnené alebo zodpovedné osoby, jeden zákon pre všetkých 28 štátov, jasný tlak na digitálnu EÚ v 21. storočí. Z pohľadu občana právo na zabudnutie, právo rozhodnúť, ako sa bude nakladať s jeho údajmi, právo byť informovaný v prípade zneužitia osobných dát, ochrana osobných dát na prvom mieste, to znamená už pri návrhu produktu a/alebo procesu spracovania počítať s dokonalou ochranou pred zneužitím, presne ako je uvedené v úvode tohto článku.

Odhadovaná cena osobných dát občanov EÚ v roku 2020 má potenciál rásť ročne o jeden bilión eur, len prínos zo zjednotenia legislatívy (jeden kontinent - jeden zákon) sa odhaduje na 2,3 miliardy eur ročne.

Výzva

Osobné údaje patria ich nositeľovi a nikomu inému, žiadnemu úradníkovi či inštitúcii. Aplikačná prax nášho Úradu jasne hovorí o pravom opaku, preto je na každom z nás (a je jedno, či reprezentujeme firmu alebo iba seba samého), ako dovolíme nakladať s našimi osobnými údajmi. Prax Úradu je z veľkej časti aj naším zrkadlom, ako sme dovolili šafáriť s tým najcennejším, čo máme - s našou identitou.


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Biznis 1

Xiaomi vraj neutrpí poklesom predaja smartfónov, živia ho iné zdroje

02.12.2016 00:19

Prepad predaja smartfónov na čínskom trhu nebude mať významný dosah na spoločnosť Xiaomi, pretože bude kompenzovaný predajom inteligentných domácich spotrebičov a príjmami zo softvéru. Povedal to star ...

Biznis

Automobilky sa dohodli o výstavbe siete ultrarýchlych nabíjacích staníc pre elektromobily po celej Európe

01.12.2016 00:15

Automobilky BMW Group, Daimler, Ford Motor Company a skupina Volkswagen s Audi a Porsche uzavreli dohodu o spolupráci pri výstavbe siete vysokovýkonných nabíjacích staníc pre elektrické vozidlá, pokrý ...

Biznis

V Prahe má vo februári odštartovať škola pre youtuberov. Školáci zaplatia 5000 korún...

28.11.2016 00:18

V Prahe sa vo februári otvorí škola pre U2berov. Ako sa píše na stránke projektu, za ktorým stojí firma Books and Cards S.G.J.Š., s.r.o., chlapci a dievčatá sa tu v bloku workshopov naučia bezpečne a  ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá