RODO TUŻ TUŻ, A TU …
2018.04.22
RODO puka do drzwi firm, ale dotychczasowe praktyki stawiają pod znakiem zapytania przygotowanie do implementacji przepisów. Jak zwykle słabym ogniwem jest człowiek. Choć może bardziej celne byłoby stwierdzenie, że słabym ogniwem jest nieprzeszkolony pracownik.
Pisaliśmy już na temat błędów człowieka, skutkujących nieplanowanym ujawnieniem danych. Tym razem, z różnych portali wyłuskaliśmy szereg przykładów, jak nie działa świadomość o bezpieczeństwie danych. Na niewiele zdadzą się procedury, choćby najstaranniej przygotowane, gdy nie będą stosowane na co dzień.
Tak głupie, że aż śmieszne
W krajach europejskich działają odpowiedniki naszego GIODO. I tak, w Wielkiej Brytanii jest to ICO (Information Commissioner’s Office). W lutym pojawiły się problemy z oficjalną stroną ico.org.uk. Została zainfekowana koparką kryptowalut. Padła ofiarą szerokiej kampanii, w której zarażone zostały 4 tysiące innych stron. Nie był to więc finezyjny atak skierowany przeciwko samego ICO.
Z tego wynika, że urząd, który ma dbać o bezpieczeństwo danych obywateli, nie umie zadbać o bezpieczeństwo własnej witryny. Strach się bać. (Źródło: Sekurak)
Z naszego podwórka. Klient T-Mobile zwrócił się mailowo do operatora z pewnym problemem. W odpowiedzi konsultant T-Mobile poprosił o podanie mailem numeru telefonu, nazwiska i imienia właściciela, hasła abonenckiego lub numeru PESEL. Otwartym kanałem, bez szyfrowania.
No cóż, można i tak. Chociaż nie, nie można. Przepisy o ochronie danych nakładają obowiązek ich odpowiedniego zabezpieczenia przy przesyłaniu drogą elektroniczną. (Źródło: ZTF)
Sport to zdrowie
Ale niekoniecznie dla pracowników ZUS. Wiedzieliście, że jest taka instytucja jak Fundacja Skarbowości? I, że co roku organizuje Mistrzostwa Polski Skarbowców? My też nie. I pewnie nic o niej byśmy nie wiedzieli, gdyby nie spektakularna wpadka z ujawnieniem danych pracowników ZUS.
Organizator skorzystał z platformy B4sport do rejestracji uczestników. Znalazło się tam około 3000 nazwisk wraz z numerem telefonu, adresem e-mail i macierzystą jednostką skarbową. To oczywiste, że gdzieś te dane trzeba zebrać, tylko, że w tym przypadku dodatkowo zostały one udostępnione publicznie.
Jak tłumaczy się organizator, stało się to przez niedomówienie. Fundacji wydawało się, że dostęp będą mieli tylko uczestnicy, a platforma potraktowała dostęp dosłownie: „jak wszyscy, to wszyscy”. (Źródło: Niebezpiecznik)
Kibicom też nielekko
Fani polskiej reprezentacji piłki nożnej, jeśli chcą kupić bilet na mecz, muszą legitymować się Kartą Kibica. PZPN uruchomił portal Łączy nas piłka, który między innymi służy do rejestrowania kibiców i zamawiania Karty.
Przy rejestracji, jak to zwykle bywa, trzeba podać mnóstwo swoich danych, a także dołączyć skan lub zdjęcie dowodu osobistego. Ciekawostką jest to, że przeciętny użytkownik, może dotrzeć do strony z aktywnością dowolnych innych użytkowników. A tam, obok kolejnych wpisów typu „skomentował artykuł”, pojawia się też „dodał zdjęcie”. No i ten punkt obejmuje również zdjęcie dowodu osobistego. (Źródło: Niebiezpiecznik)
Już tylko te przykłady wystarczą, żeby uświadomić sobie, jak beztrosko do naszych danych podchodzą poważne instytucje. Instytucje, które mają poważne środki na programistów i szkolenia pracowników.
Akademia Extel jest niekomercyjnym programem edukacyjnym kierowanym przede wszystkim do menadżerów i pracowników firm. O nowych artykułach informujemy poprzez newsletter. Napisz do nas