Verizon - analiza naruszeń bezpieczeństwa informacji (ciekawa lektura)

Polecam lekturę raportów z serii "Data Breach Investigations Report" -- http://www.verizonbusiness.com/Products/security/dbir/

Za rok 2011 Verizon napisał:

Imię i nazwisko nie są danymi osobowymi?

Imiona powstały na skutek potrzeby identyfikowania osób w niewielkich społecznościach. Tam, gdzie te społeczności były większe, wykształciły się przydomki a nawet nazwiska. Te ostatnie pochodzą z Chin, gdzie  nazwisko tworzono w ramach hołdu swoim przodkom.

Audyt zawsze lepszy niż kontrola?

W moim slowniku występują pojęcia audyt i kontrola w następujących znaczeniach:

kontrola – ogół czynności zmierzających do ustalenia faktycznego stanu rzeczy, połączony z porównaniem stanu istniejącego ze stanem planowanym (za I. Serzonem)

oraz

audyt – ma na celu zbadanie, czy cel zamierzony przez organizację jest osiągany

Jak przetwarzać dane osobowe w Dropboxie (bezpiecznie)?

Jeśli jest to tylko internetowy dysk, to można je po prostu zaszyfrować i przechowywać w chmurze (a nawet współdzielić) w formie zaszyfrowanej. Korzystając z systemu Linux jest to szalenie proste. Wystarczy miec zainstalowany program encfs. Załóżmy, że jest to Dropbox, który z "chmury" dane synchronizuje do katalogu domowego o nazwie Prywatne. Wtedy wystarczy wydać w terminalu polecenie

encfs ~/Dropbox/Prywatne ~/Prywatne

pojawią się wtedy komunikaty

Pochodzenie wyrazów "bezpieczny" i "security"

Według Słownika języka polskiego bezpieczeństwo to stan niezagrożenia, spokoju, pewności*). Krystyna Długosz-Kurczabowa w Poradni Językowej PWN stwierdza, że

[…] bezpieczny to taki, który jest bez pieczy, a to dlatego, że tej pieczy nie potrzebuje, nie wymaga, jest zatem pewny, że mu nic nie grozi, jest spokojny[...].

Co nas czeka w nowym prawie dotyczącym danych osobowych

Warto odnotować zdarzenie - http://www.giodo.gov.pl/1520125/id_art/4542/j/pl/ - konferencję pt. Reforma regulacji ochrony danych osobowych w Unii Europejskiej. Wstępna ocena jej zakresu i konsekwencji. Konferencja odbyła się w dniu 7 marca 2012 r. w Warszawie w godz. 10.00 – 18.00 (planowano do 17:00), w siedzibie Krajowej Szkoły Administracji Publicznej (ul. Wawelska 56).

Statystyki za 2007-2011 - Biuro GIODO nie ma lekko...

Jeden obraz wart tysiąca słów. Trzy wybrane zestawy liczb ze strony GIODO - http://www.giodo.gov.pl/541/id_art/886/j/pl/ - w wykres. I cóż - widać, że pracownicy Biura GIODO lekko nie mają. Pracy co roku więcej i więcej.... Świadomość społeczeństwa rośnie. Ale jak patrzę na sprawozdania roczne i skład osobowy Biura, to na przestrzeni ostatnich kilku lat skład Biura zwiększył się o niecałe 10% (z 116 etatów na 127), zaś pracy przybyło średnio 200-300%. Zastanawiam się, czy mają oni w ogóle czas coś zjeść w "porze lunchowej"?

Avast bawi i zabezpiecza - "to mówiłem ja, Jarząbek Wacław"

Program antywirusowy może być... zabawny! Producent oprogramowania antywirusowego Avast! udostępnił ciekawe tematy dźwiękowe -

Projekt rozporządzenia europejskiego w sprawie ochrony danych osobowych

Chciałbym z Państwem podzielić się pobieżnymi wnioskami (po lekturze części materiału) z dokumentu  Wniosek Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych) (wersja SEC(2012) 72 i 73 final) - http://ec.europa.eu/justice/data-protection/document/review2012/sec_2012_73_en.pdf

Dobre hasło i dane osobowe - rozporządzenie a życie

Na początek słowo definicji -- uwierzytelnianie to proces ustalania tożsamości osoby w systemie informatycznym. Polega to na tym, że użytkownik systemów „mówi” kim jest (podaje np. identyfikator użytkownika tzw. login) a następnie potwierdza ten fakt jakimś czynnikiem (ang. factor). Tym czynnikiem może być:

"Przemilczane niebezpieczeństwa ACTA z punktu widzenia GIODO"?

Znalezione na Wykopie (tutaj link a tutaj z komentarzami). Pozwolę sobie zacytować w całości:

VI Spotkanie administratorów bezpieczeństwa informacji, Warszawa, 01.03.2012 r.

1 marca miało miejsce kolejne, już VI spotkanie administratorów bezpieczeństwa informacji. Oczywiście jest to nazwa symboliczna, w gruncie rzeczy są to spotkania osób zainteresowanych „roztrząsaniem” problematyki  ochrony danych osobowych w tym  dzieleniem się wiedzą i wątpliwościami na ten temat.  Niezmiernie nam przyjemnie, że tym razem do spotkania dołączyli Pan Maciej Byczkowski, Prezes Stowarzyszenia Administratorów Bezpieczeństwa Informacji (SABI - www.sabi.org.pl) a także inni członkowie tego stowarzyszenia.

Dzień ochrony danych osobowych - udana konferencja (30.01.2012)

28 stycznia 2012 r. obchodziliśmy VI Europejski Dzień Ochrony Danych Osobowych. Ponieważ to sobota, to siłą rzeczy trudno, aby GIODO organizował w tym dniu jakieś eventy. Z tego powodu konferencja Co Państwo wie o obywatelach? Zasady przetwarzania danych w rejestrach publicznych odbyła się 30 stycznia. I mogę szczerze napisać - bardzo udana konferencja.

Spotkanie było podzielone na sesje:

I - Autonomia informacyjna jednostki w kontekście działań władzy publicznej

II - Rejestry publiczne; proces tworzenia i zasady funkcjonowania

Internetowy Klub ABI...

Jak się dobrze zastanowić, to istnienie tego serwisu i spotkań (w realu) administratorów bezpieczeństwa informacji można zawdzięczać Panowi Jarosławowi Żabówce. To on pierwszy (z)organizował spotkanie tego rodzaju. Teraz można powiedzieć w pewnym sensie podzieliliśmy się - my organizujemy spotkania w realu, zaś kolega - w wirtualu.

Skąd w ogóle wiemy, że w sprawie ACTA to na pewno hackerzy?

Ostatnio oglądałem film Fair Game - http://www.filmweb.pl/film/Fair+Game-2010-502782. Historia w telegraficznym skrócie jest tego rodzaju, że rząd USA szuka usprawiedliwienia dla ataków na Irak. Dorabiają do zakupu rur aluminiowych historię, że służyć mają one produkcji broni atomowej i nakręcają prasę. I tak w związku z tym filmem pomyślałem sobie, a co, jeśli nie ma żadnych hackerów, tylko te strony są podmieniane na zlecenie administracji? Jak dowiedziemy tego, że jest właśnie tak, a nie inaczej?

Bezpieczny e-sklep 2012 i refleksja o certyfikatach SSL

Na stronie GIODO pojawił się interesujący news o drugiej edycji konkursu dla sklepów internetowych Bezpieczny eSklep 2012:

6 grudnia 2011 r. ruszyła II edycja konkursu „Bezpieczny eSklep”, mającego na celu wyróżnienie najbardziej wiarygodnych i rzetelnych sklepów internetowych w Polsce. Organizatorzy oraz patroni konkursu są przekonani, że taka inicjatywa podniesie jakość usług handlu elektronicznego w Polsce.

Już wiadomo jaka jest propozycja zmian w prawie europejskim. Są przecieki.

Ze strony www.statewatch.org można ściągnąć wersję 56 (29/11/2011)  dokumentu "Proposal for a regulation of the European Parliament and of The Council  on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)".

Jak długo się czeka na rejestrację zbioru w GIODO?

Ustawa rozróżnia dwa rodzaje zbiorów,  zbiór z danymi zwykłymi i zbiór zawierający dane wrażliwe. Dane wrażliwe nazywane też sensytywnymi (art. 27 ust.1) to dane m.in. o zdrowiu, karalności, preferencjach seksualnych, poglądach politycznych.

Dane osobowe zwykłe można przetwarzać po wysłaniu zgłoszenia rejestracyjnego, natomiast dane sensytywne dopiero po zarejestrowaniu zbioru przez GIODO (art. 46).

Vice-President Viviane Reding and Ilse Aigner join forces in the drafting of the new directive

Widać, sporo się ostatnio pojawia szumu informacyjnego dookoła zmian w dyrektywie. Ja jestem zaskoczony, że kwestie nie są publicznie dyskutowane, tylko potajemnie (jakby niewiadomo o co chodziło) ustalane w ukryciu. Tak widać ma być. Ciekawe jednak co z tego wyniknie.

What's at stake for Poland? The impact of revised EU data protection legislation.

24 listopada 2011 w Hotelu Sofitel odbyło się spotkanie zorganizowane przez AMCHAM EU (American Chamber Of Comerce to the European Union) i AMCHAM (American Chamber of Commerce in Poland). Spotkanie poświęcone było tematyce „What's at stake for Poland? The impact of revised EU data protection legislation”, czyli o wpływie zmian w prawie europejskim EU dotyczącym ochrony danych osobowych.

Jak promować (bezpiecznie) firmę przez maila?

Kto z Państwa dostaje do skrzynek pocztowych rozmaite ulotki a to z hipermarketów, sklepów RTV-AGD, etc? Chyba prawie każdy. W skrzynce tak dużo czasami tego bywa, że ciężko znaleźć list lub awizo, Nazwijmy te materiały "niezamówioną informacją handlową" (przecież jej nie zamawialiśmy)

V Spotkanie administratorów bezpieczeństwa informacji, Warszawa, 24.11.2011 r.

24 listopada 2011 roku wznowiliśmy spotkania ABI (Administratorów Bezpieczeństwa Informacji) i odbyło się kolejne, piąte spotkanie. Miało ono miejsce w Warszawie. Trwało ponad 2,5 godziny. Dyskutowaliśmy na nim wiele istotnych tematów, jeden z nich dotyczył przypuszczalnych planów Komisji Europejskiej kształtu (prawnego) regulacji dotyczących ochrony danych osobowych w UE.

Dane osobowe w telefonie - rejestrować, czy nie?

Ostatnio modny jest temamt przetwarzania danych osobowych w telefonach, zainicjowany artykułem1 w „Gazecie Wyborczej”, w którym autorka stwierdziła: „Masz listę firmowych kontaktów w telefonie? Powinieneś ją zgłosić do GIODO, bo lista kontaktów to dane osobowe. Nie zgłosiłeś tego? Grozi ci kara. Nawet 200 tysięcy złotych” -> http://wyborcza.biz/Firma/1,101618,10412794,200_tys__kary_za____kontakty....

Naiwni podają swoje dane osobowe...

W artykule "Kradli tożsamość na dużą skalę. Dziesiątki oszukanych." (http://warszawa.gazeta.pl/warszawa/1,34862,10469925,Kradli_tozsamosc_na_...) można przeczytać o ciekawej metodzie zbierania (nielegalnego) danych osobowych. Otóż oszuści zamieścili / zamieszczali fałszywe ogłoszenia o pracę. Same ogłoszenia to nic - należało jeszcze przesłać kserokopię dowodu osobistego, który niby był potrzebny do wyrobienia przepustki do wstępu na rozmowę kwalifikacyjną.

12 października - Dzień Bezpiecznego Komputera - siedem porad jak bezpiecznie pracować

Teraz każdego dnia jest jakiś dzień czegoś. 28 stycznia jest dzień ochrony danych osobowych ustanowiony 26 kwietnia 2006 r. przez Komitet Ministrów Rady Europy. W Polsce obchody tego dnia organizuje Generalny Inspektor Ochrony Danych Osobowych (GIODO).

A 12 października jest dzień bezpiecznego komputera.  To chyba nie jest jakiś międzynarodowy "dzień", gdyż jak czytamy na stronie https://www.microsoft.com/poland/centrumprasowe/prasa/04_10/03.aspx:

"fizyczne zabezpieczenie chroniące przed nieuprawnionym dostępem pochodzącym z sieci publicznej" - o co tutaj chodzi?

Załącznik do rozporządzenia, część C.XII określa, że

System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie  fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.

2. W przypadku zastosowania logicznych zabezpieczeń, o których mowa w ust. 1, obejmują one:

a) kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną;

Zgłoszenie zbioru do rejestracji - 1 rok kary pozbawienia wolności

Jeśli nie zostanie zgłoszony zbiór do rejestracji, grozi nawet do 1 roku pozbawienia wolności. Stanowi o tym art. 53 ustawy o ochronie danych osobowych "Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku". Nie ma znaczenia, czy zbiór został zgłoszony poprawnie, czy nie, istotny jest sam fakt, czy zbiór został zgłoszony - w sensie czy zostalo wysłane zgłoszenie.

Strony

Subscribe to Administratorzy Bezpieczeństwa Informacji RSS