Natalia MARSZAŁEK, Aleksandra SOWA: It’s data security, głupcze! Bezpieczeństwo w roku ognistego koguta

It’s data security, głupcze!
Bezpieczeństwo w roku ognistego koguta

Flaga de Natalia MARSZAŁEK, Aleksandra SOWA: It’s data security, stupid!
Cybersicherheit im Jahr des Feuer-Hahns
Photo of Aleksandra SOWA

Aleksandra SOWA

Badacz nowych mediów. Z kryptologiem Hansem Dobbertinem w Horst Görtz Institute for Information Security prowadziła jedne z najważniejszych europejskich badań dotyczących kryptologii oraz bezpieczeństwa w dziedzinie technologii informatycznych. Autorka licznych publikacji fachowych. Zajmowała się także m.in. redakcją internetową w ramach „Wahlkampftour” w kampanii wyborczej Gerharda Schroedera.

Ryc.: Fabien Clairefond

zobacz inne teksty Autorki

Photo of Natalia MARSZAŁEK

Natalia MARSZAŁEK

Absolwentka kierunku Bezpieczeństwo Wewnętrzne ze specjalnością bezpieczeństwo systemów i sieci teleinformatycznych. Czyta literaturę fantasy. Kocha Tatry. Pisze prozę.

zobacz inne teksty Autorki

W chińskim horoskopie kogut reprezentuje orientację, suwerenność i silny charakter. Posiada talent organizacyjny i lubi porządek. Jednocześnie „kokot” pragnie posłuchu i podziwu. Rok Koguta był więc dobrym rokiem dla każdego, kto chciał rozwinąć swój pełny potencjał i znaleźć swoje mocne strony – piszą Natalia MARSZAŁEK i Aleksandra SOWA

.W 2017 roku hakerzy i cyberprzestępcy mieli wiele dobrych powodów, aby zaufać własnym możliwościom. Choć część winy za sporą ilość udanych ataków należy przypisać firmom, które zdawały się wręcz prześcigać w tym, która z nich szybciej utraci więcej danych swoich klientów. Tanio i źle zaprogramowany software, strony internetowe bez podstawowych zabezpieczeń i wiele innych luk w bezpieczeństwie umożliwiły ataki i masowe kradzieże danych – mogłoby się zdawać, że jeszcze w ostatnim momencie przed wejściem w życie Europejskiego RODO. Bo od maja 2018 r. firmy, którym udowodni się naruszenia ochrony danych osobowych (dotyczy to danych osób zamieszkujących kraje UE) podlegają jednolitym karom pieniężnym w wysokości do 20 mln EUR lub do 4% całkowitego rocznego obrotu – w zależności od tego, która z tych kwot jest wyższa.

Trafiło się ślepej kurze ziarno

Equifax czyli jedna z trzech największych agencji ratingowych w USA wyznała, że z powodu luki w zabezpieczeniach ich serwisu internetowego wyciekły wrażliwe dane – w tym również numery ubezpieczeń społecznych – około 145 milionów Amerykanów. Większość ofiar – kredytobiorców – nawet nie wiedziała, że ich dane były zbierane i przechowywane przez agencję. Przed ujawnieniem wycieku przez media niektórzy z menedżerów sprzedali swoje udziały w firmie. Według oficjalnej wersji zrobili to jednak zanim dowiedzieli się o ataku. Niektórzy złożyli wypowiedzenia zaraz po tym, jak skandal ujawniono. Teraz są to tematy, którymi zajmuje się specjalna komisja w amerykańskim Kongresie. Oraz powód, dla którego Amerykanie z coraz to większym zainteresowaniem patrzą na europejskie przepisy dotyczące ochrony danych. Amerykański guru ds. Bezpieczeństwa, Bruce’a Schneier, potwierdził w Harvard Gazette, że w Europie obowiązują bardziej rygorystyczne przepisy dotyczące ochrony danych niż w USA. Ogólnie rzecz biorąc Amerykanie ufają przedsiębiorstwom bardziej niż rządowi. W Europie jest odwrotnie. Dlatego w USA istnieją silne prawa chroniące obywateli przed inwigilacja przez państwo, natomiast w Europie silne prawa regulują gospodarkę. „Democracy needs deliberation, and it is slow“ – wyjaśnił Paul Nemitz, główny doradca Dyrektora ds. Sprawiedliwości i Konsumentów przy Komisji Europejskiej. Obywatele (i media) przyznają instytucjom europejskim coraz większą skuteczność. Jeśli chcemy kształtować kapitalizm, powiedział Nemitz, to musimy mieć do tego odpowiednie narzędzia. RODO to dopiero początek.

Jeśli nie masz jeszcze noworocznych postanowień, powinieneś rozważyć bojkot firmy taksówkowej Uber, poradził ostatnio redaktor techniczny NYT, Brian X. Chen. Nie tylko ze względu na skandal z molestowaniem seksualnym, który zmusił około 20 osób do opuszczenia firmy, ale również dlatego, że Uber niespodziewanie ujawnił opinii publicznej, że w 2016 r padł ofiarą ataku, podczas którego splądrowano 57 milionów kont kierowców i klientów. Niestety przez ponad rok Uber nie odczuł potrzeby poinformowania swoich klientów, pracowników czy władz o utracie danych. Czy firmy mogą być ścigane i karane z powodu utraty osobowych lub wrażliwych danych, które ktoś już wcześniej stracił w wyniku innego wycieku? Dobre pytanie, które będzie prawdopodobnie wałkowane przez sądy jeszcze długo po planowanym na 25 maja 2018 wejściu RODO w życie.

Agencje ratingowe kontra ochrona danych

Na starym kontynencie sprawy maja się podobnie: zaraz po świętach, 27 grudnia 2017 r. ZDNet poinformowało, że firma należąca do Otto Group – Eos – działająca w branży windykacyjnej, została zaatakowana przez swoje serwery w Szwajcarii i dziesiątki tysięcy danych dłużników zostało skradzione. „Najstarsze dokumenty sięgały roku 2002” – a informacje o ataku ujawnili mediom sami hakerzy. Wisienką na torcie nie jest to, że dane mogły w ogóle zostać skradzione, – ale fakt, jakie to były dane. Firma najwyraźniej gromadziła dane dotyczące również byłych dłużników – mimo iż jest zobligowana do ich usunięcia po zakończeniu procesu windykacji – „lekarze przesłali do windykatora pełną dokumentację medyczną z wyszczególnieniem informacji o leczeniu i wcześniej przebytych chorobach. Skany paszportów, rachunki za karty kredytowe również znajdują się w posiadaniu agencji windykacyjnej. ”

W przypadku windykacji długów, imię, nazwisko, adres i kwota długu powinny być wystarczające. Każdy kto dostarczy do agencji windykacyjnej informacje wykraczające poza ten zakres, popełnia przestępstwo karne. Właśnie to mają zapewnić prawa dotyczące ochrony danych. Każdy lekarz, który przekazuje dane swojego pacjenta osobom trzecim, narusza poza tym tajemnicę lekarską. W praktyce jednak wygląda to tak, że niemieckim prokuratorom i prawu karnemu przestępstwa takie jak „pogwałcenie prywatności” lub „naruszenie dóbr osobistych” nie są znane. Mimo tego, iż federalna ustawa o ochronie danych (BDSG) reguluje tą kwestię w paragrafie 44 BDSG. W § 44 ust. 1 BDSG czytamy: „Każdy, kto popełni umyślny czyn, o którym mowa w § 43 ust. 2, za wynagrodzenie lub z zamiarem wzbogacenia siebie lub innej osoby lub zaszkodzeniu innej osobie, podlega karze grzywny lub pozbawienia wolności do dwóch lat”. A spis” umyślnych czynów” zgodnie z §43 ust. 2 jest bardzo długi.

Prawo bez planu

„Hipertrofia prawa, która stara się regulować wszystko według siebie, poprzez ekscesy formalnej zgodności  przyśpiesza tylko utratę istotnej prawomocności ” krytykuje Georgio Agamben w Die Geschichte des Bösen „niechybny upadek„ instytucji demokratycznych, które, choć nie robią nic nielegalnego, znajdują się w kryzysie legalności. Dlatego większość wprowadzonych w roku kampanii przez federalnego ministra sprawiedliwości Heiko Maas inicjatyw legislacyjnych, jak kontrowersyjny NetzDG,  nie przetrwało konfrontacji z rzeczywistością. Thomas Fischer, emerytowany sędzia federalnego sądu najwyższego wskazał tą kwestię w jego pożegnaniu z Ministrem Sprawiedliwości, za przykład podając podniesienie kar za włamania: „wyższa kara nie koncentruje się na naruszeniu prywatnego i intymnego obszaru, ale raczej na kradzieży jakiejś banalnej rzeczy: Kto włamie się w celu splądrowania i przeszukania wszystkiego, dostanie minimalną grzywnę w wysokości pięciu euro (pięć stawek dziennych a jedno euro). Kto włamie się aby ukraść jabłko, dostanie minimalną karę jednego roku”. I gdzie tu konsekwencja, pyta Fischer.

Kto był pierwszy: kura czy jajko?

Niemieckie prawo karne zna liczne przykłady z kategorii tzw. nowej przestępczości gospodarczej, które reguluje za pomocą tzw. „paragrafów hackerskich” („Hackerparagrafen”). Mamy więc: szpiegowanie danych, § 202a StGB; Przejęcie danych, § 202b StGB; Przygotowanie do szpiegowania i przechwytywania danych, § 202c StGB; Oszustwa komputerowe, § 263a StGB; Fałszowanie dowodów, § 269 StGB; nieprzestrzeganie prawa podczas przetwarzania danych, § 270 StGB; Zmiany danych, § 303a StGB; Sabotaż komputerowy, § 303b StGB. W 2015 roku dodano do tego nowe przestępstwo handlu skradzionymi danymi , §202b Kodeksu Karnego: Handel nielegalnie uzyskanymi danymi podlega karze grzywny lub pozbawienia wolności do trzech lat. Czy handel danymi w ogóle nie podlegał karze przed 2015 r.? Bynajmniej. Ale przepis § 44 BDSG, który go regulował, był widocznie nieprzekonujący dla niemieckich organów ścigania – dlatego potrzebna była dodatkowa regulacja w Kodeksie Karnym.

Dochodzenia przeciw hakerom mogą się toczyć niezależnie od tego, jakie są ich cele czy intencje i mimo tego, że często dopiero dzięki nim społeczeństwo dowiaduje się o wątpliwych praktykach i metodach stosowanych przez agencje ratingowe czy windykacyjne. „Nowe kradzieże i wycieki danych wyciągnęły na światło dzienne dotychczas tajne praktyki biznesowe brokerów danych”, skomentował Torsten Kleinz w c’t; , w USA jest ich nawet do 8000 różnych wartości ratingowych na obywatela, w Europie około 600. „Ratingi obliczane są przez niejasne algorytmy sztucznej inteligencji”. A te zaś uważane są za tajemnicę handlową firmy i są chronione prawem autorskim – podobnie jak oprogramowanie wyborcze używane w Niemczech do zliczania głosów w wyborach do Bundestagu, czy też maszyny do głosowania w USA. W obu przypadkach w 2017 roku wykryto luki w zabezpieczeniach. Na konferencji hakerów DEF CON w lipcu 2017 roku w Las Vegas uczestnikom udało się w mniej niż 90 minut włamać do nabytych w celach testowych maszyn do głosowań. Wiele z przetestowanych modeli nadal jest używanych w niektórych stanach i okręgach wyborczych – pomimo udowodnionych luk w zabezpieczeniach. Przed 2015 r. takie testy były nielegalne – komputery do głosowania były chronione prawem autorskim. Library of Congress zrobiła wyjątek, aby umożliwić tę formę badań nad bezpieczeństwem.

W Niemczech komputery do głosowania (jeszcze) nie zostały wprowadzone, ale 7 września 2017 r. ,na kilka dni przed wyborami do Bundestagu, Chaos Computer Club (CCC) zaserwował mediom niezły hit publikując informacje o lukach w zabezpieczeniach oprogramowania do zliczania, transferu i kumulacji głosów: PC-Wahl. Z powodu słabych zabezpieczeń, oraz haseł dostępu, takich jak „wahlen,ftp” (wybory,ftp) , oprogramowanie było całkowicie nieodporne na atak czy manipulacje.

Aby jednak takie testy mogły być legalnie prowadzone, musimy znów odzyskać wolny dostęp do technologii – chociażby nawet przez możliwość samodzielnej wymiany baterii w smartfonie – czy właśnie uzyskania wglądu w oprogramowanie. „Niedawno pomocnik wyborczy Ingo Hoeft przegrał sądową batalię o uzyskanie wglądu w program, który używany był w wyborach samorządowych w Nadrenii-Palatynacie w 2009 r.” – poinformował CCC. Sąd odrzucił tą możliwość, ponieważ „tajność oprogramowania ma zasadnicze znaczenie dla bezpieczeństwa wyborów.” Niezależnie od techniki czy praw autorskich: to, jak działa technologia, pozostaje coraz częściej w ukryciu.  Dlatego właśnie aktywiści domagają się coraz głośniej demokratycznej kontroli nad oprogramowaniem.

.W dniu 16 lutego rozpoczyna się według chińskiego horoskopu rok psa, którego cechami są lojalność, pracowitość i rzetelność. Rok, w którym ciężka praca w końcu ma zacząć się opłacać. Lepsze oprogramowanie, wgląd w technologie, przejrzystość i sankcje wobec tych, którzy nie przestrzegają prawa – oczekiwania wobec RODO są spore. Po latach, w których cyber bezpieczeństwo grało pierwsze skrzypce, rok psa ma szanse stać się rokiem bezpieczeństwa danych.

Natalia Marszałek
Aleksandra Sowa

Materiał chroniony prawem autorskim. Dalsze rozpowszechnianie wyłącznie za zgodą wydawcy. 6 lutego 2018