VIDEO: Ako by mali konať ľudia, o ktorých unikli informácie? Majú nárok na odškodné? Ako by mal štát spúšťať systémy s citlivými údajmi? Ako a kedy verejné inštitúcie testovali aplikáciu Moje ezdravie?
Malo by tých 130-tisíc dotknutých ľudí vedieť, že sa s ich údajmi narábalo?
Oni sa už v podstate o tom dozvedeli z médií, takže už o tom vedia. V zmysle európskeho nariadenia na ochranu osobných údajov známeho ako GDPR má prevádzkovateľ systému v prípade vzniku bezpečnostného incidentu, kde boli dotknuté osobné údaje, povinnosť oznámiť bezpečnostný incident Úradu na ochranu osobných údajov. Toto súvisí aj s kybernetickou bezpečnosťou, takže by sa to ako kybernetický incident malo nahlasovať aj Národnému bezpečnostnému úradu alebo jednotke pre riešenie kybernetických bezpečnostných incidentov – CSIRT. Tá by následne mala zabezpečiť a pomáhať riešiť takýto incident.
Mali by si občania teraz dávať pozor? Čo sa im môže stať?
Je to štátny systém. Ak nám zákon prikazuje svoje osobné údaje niekam dávať, asi sa tomu nevyhneme. Druhá vec je, do akej miery by mal štát garantovať bezpečnosť takýchto systémov a preverovať ich. Máme platný zákon o kybernetickej bezpečnosti, takže štátne a verejné inštitúcie by mali mať implementovanú zhodu s týmto zákonom. Je na kontrolných orgánoch, aby preverili, či to tak je a či tieto inštitúcie sú na podobné hrozby pripravené, či tieto hrozby a zraniteľnosť pravidelne vyhodnocujú a prijímajú aktuálne opatrenia, ktoré by znižovali riziká, že k niečomu takému dôjde.
Má občan nárok na nejaké odškodnenie, ak sa zneužijú jeho osobné údaje?
Záleží od dosahov na konkrétneho človeka, či mu vznikli nejaké škody alebo riziká. Každý má právo sa svojich práv domáhať na súde, takže je to na nich. Ak boli porušené práva nejakých osôb, sú tu aj ďalšie mechanizmy, aby sa ičlovek nejakým spôsobom mohol brániť.
Aplikácia sumarizujúca citlivé údaje o testovaných na COVID-19 je v praxi už niekoľko mesiacov. Sú na spúšťanie podobných aplikácií nejaké prísne procesy? Prebiehajú kontroly nastavenia? Kto mohol zlyhať?
Každý systém pri spúšťaní prevádzky, zvlášť pri takýchto citlivých a osobných údajoch, musí prejsť testovaním funkčnosti a testovaním odolnosti – teda penetračným testovaním. To je, samozrejme, hneď na začiatku. Tie hrozby sa ale stále vyvíjajú a stále vznikajú nové hrozby a tvoria sa nové zraniteľnosti. Preto je nevyhnutné čo najčastejšie preverovať odolnosť, riešiť a odstraňovať zraniteľnosť takéhoto informačného systému.
Ako často by sa mal takýto citlivý informačný systém kontrolovať?
Je to veľmi individuálne. U malej firmy či inštitúcie, ktoré spracúvajú úplne bežné dáta a informácie, stačí minimálne raz ročne. Pri takýchto citlivých systémoch by sa to malo preverovať minimálne raz mesačne. Je preto žiaduce, aby takéto inštitúcie využili interných špecialistov, ktorí sa tomu budú kontinuálne venovať. Alebo aby využili služby komerčných spoločností ponúkajúcich tzv. bounty programy. Tí potom vedia pravidelne a priebežne vyhodnocovať zraniteľnosť, skúšať prelomiť bezpečnosť a následne odporúčať prijatie nejakých dodatočných opatrení.
Čo by sa stalo, keby práve v tomto prípade tie penetračné testy neprebehli?
Spustiť takýto systém do produkčnej prevádzky bez penetračných testov, teda otestovania odolnosti, to by bol nonsens a zlyhanie. Neviem si predstaviť, že by štát takýto systém spustil bez týchto testov.