»To ni bila kršitev« ali kako veliki zameglijo resničnost ob uhajanju podatkov

»To ni bila kršitev« ali kako veliki zameglijo resničnost ob uhajanju podatkov
18. 04. 2021 objavil/a Primož Govekar
Clubhouse
Facebook
hekerski napad
kršitev varnosti
nadzorni organ

Več kot milijarda zapisov o posameznikih se je v preteklih dneh pojavilo na raznih hekerskih forumih, hkrati pa nihče ne sprejema odgovornosti

Na medmrežju so se tako pojavili podatki o uporabnikih ne samo Facebook, ampak tudi LinkedIn in v zadnjem času še Clubhouse.

Portali seveda zanikajo vsako krivdo in iščejo izgovore, ki so si po svoji retoriki zelo podobni, namreč, da gre v vsakem primeru za javno informacije, ki so jih uporabniki sami posredovali, dostopne pa so preko aplikacijskih vmesnikov (API).

Pustimo ob strani, kako so ti uporabniki bili pravočasno in izčrpno (ne)obveščeni o tem, kdo vse bo lahko do takih podatkov dostopal. Prav tako ne razmišljajmo o pristopu privzete in vgrajene zasebnosti, ki očitno nista bili ravno na mestu, pač pa si poglejmo, kateri izgovori nam lahko koristijo, če se podobno zgodi nam in kateri so ob tem zadržki.

Navajamo nekaj pristopov k zamegljevanju, ki jih v svojem članku navajal časnik Politico (1), za naše potrebe pa smo jih še malo dopolnili.


Podatki so javni


Javni podatki so priljubljen izgovor. »Če so podatki javni, potem je tisto, kar nekdo imenuje odtekanje, zgolj še selitev podatkov iz enega javnega vira v drugega.«

Prvi protiargument temu argumentu je postregel že Facebook sam, saj se je v podatkih, ki so se pojavili na spletu tudi mnogo številk, ki niso del javnih profilov. Prav tako pa za to, da podatki postanejo javni, ni dovolj, da so zgolj objavljeni na profilu, ki je dostopen omejenemu številu sledilcev, pač pa morajo res biti dostopni vsemu svetu (2).

Drugi protiargument je, da dejstvo ali so podatki javni ali ne, v resnici ne spremeni dejstva, da so bili podatki neavtorizirano objavljeni (drugje), kar pa je eden od kvalifikatorjev incidenta.


Ne povejte regulatorju, še manj uporabnikom

Sledeč praksi Facebooka, je najbolje, če ob preverjanju potrebe po obveščanju nadzornega organa sklepate, da »ni verjetno, da bi bile s kršitvijo varstva osebnih podatkov ogrožene pravice in svoboščine posameznikov«(3) in zato ne obveščate nadzornega organa.

Ker je za obveščanje uporabnikov v GDPR še višji prag (4), pa seveda velja: če ni potrebe po obveščanju informacijskega pooblaščenca, zakaj bi obveščali posameznike.

Nadzorni organ ima seveda možnost preveriti vse vaše zapise o incidentih in ugotoviti, da je bilo vaše sklepanje napačno, z vsemi posledicami, ki temu pritičejo.

Hekerji si s podatki tako ali tako ne morejo pomagati

Izjava gre z roko v roki s prejšnjima dvema. Podatki so javni in jih heker verjetno že ima, ali dovolj nepomembni (npr. e-pošta), da jih hekerji res ne potrebujejo.

Seveda pa ne gre pozabiti, da hekerju vsak drobec, ki ga dobi, olajša možnost izkoriščanja drugih ranljivosti; da o tem, da bi uporabnik na portalu lahko uporabljal drugačen e-naslov od javno objavljenega, niti ne govorimo.

Ignorirajte, ignorirajte in še enkrat ignorirajte

Politico navaja primer (1), ko je žrtev portala plačala zajetno vsoto, potem pa napake ni odpravila, v upanju, da se napad ne bo več zgodil. Napačno sklepanje se je po navedbi portala izkazalo že v dveh tednih, ko je isti heker ponovno izkoristil isto ranljivost.

Skratka, če se vdor zgodi zaradi ranljivosti, poiščite tudi vzroke in zakrpajte.

Zvalite krivdo na drugega

Seveda je to lahko bivši (celo odpuščeni) sodelavec, vajenec, pripravnik ali preprosto zunanji izvajalec.

Pri tem pa ne gre pozabiti, da ste kot upravljavec/obdelovalec formalno odgovorni tako za svoje zaposlene, kot morebitne obdelovalce/podobdelovalce.

Objavljena je bila »napačna ali nepopolna informacija«

Mediji seveda objavljajo pretirane informacije, zato je to smiselno pojasniti, da je informacija vzeta povsem iz konteksta, je napačna ali popolna.

Toda potem pričakujte vprašanje o natančnejših pojasnilih informacije, sicer se vam lahko zgodi EMA(1).

Prefinjen vdor

»Vdor je bil tako prefinjen in kljub temu, da smo storili vse, da bi zaščitili vaše osebne podatke, se je vendarle zgodilo,« je tudi pogost odgovor, ki mu povprečen posameznik težko ugovarja.

Pravzaprav tudi tisti, ki se redno ukvarjamo z informacijsko varnostjo, tako na zunaj dostikrat težko sklepamo, ali je trditev resnična ali ne. Še inšpektorji – če pridejo v pregled – dostikrat naletijo na situacijo, kjer ni dovolj dokazov o krivdi oziroma so se ti nekje »izgubili«

Kakršenkoli izgovor upravljavec (ali v njegovem imenu obdelovalec) že uporabi, pa je GDPR v 1. odstavku 24. člena na tem področju jasen: »Ob upoštevanju narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec izvede ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da obdelava poteka v skladu s to uredbo.«

So potem gornji izgovori res še v smislu GDPR?

Viri:

(1) Manacourt V., Cerulus V. na dan 15. 4. 2021

(2) Povzeto po primeru sodnice  RTV Slo na dan 15. 4. 2021

(3) GDPR, 1. odstavek 33. člena

(4) GDPR, 1. odstavek 34. člena: »Kadar je verjetno, da kršitev varstva osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov, upravljavec brez nepotrebnega odlašanja sporoči posamezniku, na katerega se nanašajo osebni podatki, da je prišlo do kršitve varstva osebnih podatkov.«