Pri nedeľnej káve mi manžel strčil pod nos svoj mobil. Blúdila som očami po obrazovke a hádala, čo si mám prečítať, ale nejak mi to nedochádzalo. Tu, ťukol manžel do obrazovky: GDPR ako zbraň hackerov? Zákon vedia zneužiť
Hlúposť, aká zbraň preboha, pomyslela som si ospalo, ale zvedavosť mi nedala. Aj nadpis pôvodného článku na portáli BBC, na ktorý sa Aktuality odvoláva znie: “Nariadenie GDPR zneužité na odhaľovanie osobných údajov”.
Aha, tak to už znie inak. Jasné, že GDPR sa dá zneužiť, ak …
Ako zneužiť GDPR
V skratke, výskumník Oxfordskej univerzity, James, sa dohodol so svojou snúbenicou, že v rámci experimentu sa pokúsi zistiť jej osobné údaje, ktoré sa nachádzajú v rôznych inštitúciách.
Pýtate sa, ako je možné, že zákon, ktorý má vaše údaje chrániť, ich ponúka cudzím ľuďom? Odpoveď je veľmi jednoduchá! GDPR dáva dotknutým osobám práva:
- Právo na informácie: máte právo vedieť, aké údaje o vás spoločnosť spracúva, odkiaľ ich získala, na aký účel ich zamýšľa používať a na akom právnom základe, či ich zamýšľa prenášať do zahraničia, s kým ich zdieľa, a aké sú lehoty na výmaz
- Právo na opravu: máte právo požadovať od spoločnosti, aby vaše osobné údaje boli správne
- Právo na prenos: v prípade automatizovaného spracovania máte právo na to, aby vaše údaje boli prenesené v štandardnom elektronickom formáte do inej spoločnosti
- Právo namietať spracúvanie: nie je to síce právo absolútne, ale predsa len, za určitých okolností máte právo namietať určité spracovateľské operácie
- Právo na výmaz: podobne ako právo na obmedzenie spracúvania, nie je absolútne, ale za určitých okolností aplikavateľné
A čo s tým majú hackeri?
Nič, môžme ísť ďalej. Práva dotknutej osoby sú naviazané na povinnosti prevádzkovateľa, teda spoločnosti, ktorá tie osobné údaje spracúva.
Nariadenie GDPR zaväzuje prevádzkovateľa, aby svoje povinnosti splnil bez zbytočného odkladu, najneskôr však do 30 dní a bezodplatne, ak ide o prvú požiadavku danej dotknutej osoby.
Takže, ak od vás ako od firmy dotknutá osoba žiada informáciu, opravu, výmaz alebo namieta spracúvanie, urobiť to musíte, inak vám hrozí, že sa naštvaná dotknutá osoba obráti na dozorný orgán a to nikomu netreba.
Riešenie
Budete sa smiať, ale riešenie je fakt strašne jednoduché. Stačí nastaviť kritéria overovania identity dotknutej osoby, zaškoliť zamestnancov, stanoviť si bezpečnosť a ochranu osobných údajov ako prioritu a reálne dodržiavať svoje vlastné smernice. Takže vlastne nič nové pod slnkom, toto fungovalo už pred GDPR.
Asi si nemusíme dvakrát hovoriť, že za istých okolností, ak ide niekomu fakt o veľa, tak môže mať záujem aj zastrašovať zamestnanca napríklad aj vašej spoločnosti. A čo váš zamestananec? Ak nevie žiadateľa dôveryhodne identifikovať, jednoduché musí trvať na svojom a nenechať sa manipulovať. Na druhej strane stále platí, že väčšina skúsených manipulátorov skôr využíva techniku cukru ako biča, a preto ku pochybeniam dochádza možno častejšie, ako vieme zdokumentovať.
Ľudia nedodržiavajú predpisy, respektíve predpísané postupy. A to je veľmi nebezpečné. A môže to byť aj drahé, pokiaľ svojim nerozvážnym konaním spôsobia závažnú škodu. Ako bývalý headhunter, ktorý zisťoval pre klienta podstatné skutočnosti dlho pred rozšírením internetu a nástupom sociálnych sietí na scénu, by som vedela rozprávať, čo všetko vám ľudia povedia, aj keď nesmú.
Social Engineering
Potvrdzuje to aj príbeh tohto nášho výskumníka. Dôležité je povedať, že počas svojho pokusu nevytváral falošné potvrdenia, nepodpisoval dokumenty menom svojej snúbenice, neposielal e-maily so záhlaviami sfalšovanými tak, aby to vyzeralo ako e-mail do dotknutej osoby. Myslím, že ak by šiel až tak ďaleko, jeho úspešnosť by bola oveľa vyššia.
Namiesto toho sa mu podarilo presvedčiť spoločnosti, ktoré žiadali silné ID, ako napríklad pas alebo vodičák, aby akceptovali dokumenty, ktoré sa síce tiež dali ľahko sfalšovať, a on ich získal od svojej snúbenice.
Napríklad namiesto požadovanej fotokópie pasu presvedčil zamestnanca vlakového prevádzkovateľa, aby akceptoval poštou riadne opečiatkovanú obálku na adresu svojej snúbenice. V inom prípade spoločnosť akcpetovala fotografiu bankového výpisu ktorý bol vybielený tak, že jediné viditeľné informácie boli meno a adresa.
Stanoviť si bezpečnosť a ochranu osobných údajov ako prioritu
Bohužiaľ, hoci sa dodržiavanie predpisov a smerníc javí ako smiešna byrokratizácia, ich nedodržiavanie vedie častokrát ku škaredým situáciám. To sa ľahko bagatelizuje, kým tým poškodeným nie ste vy.
Naozaj je potrebné ako prvé nastaviť kritéria overovania identity dotknutej osoby. Tie kritéria sa čo do komplexnosti budú odlišovať podľa toho, aká je rizikovosť operácií, aká by bola možná spôsobená škoda. Predstavte si dom, ktorý ste prácne niekoľko rokov budovali. Spočiatku ste možno mali staré okná a dvere, neskôr ste investovali do bezpečnostného zámku a dnes, keď už je plný cenných vecí, máte možno aj alarm a kameru.
Či sa to niekomu páči alebo nie, ale zamestnanci vždy napodobujú prístup a správanie vedúcich pracovníkov. Inak povedané, ak zamestnanci vidia, že ochrana osobných údajov je pre vás na smiech alebo vyslovená otrava, tak aj oni budú brať svoje povinnosti súvisiace s ochranou osobných údajov len ako čosi, čo musia urobiť pro forma. Potom je len otázkou času, kedy nastane prvý vážnejší problém a koľko vás to bude stáť.
Reálne dodržiavať svoje vlastné smernice
Keď už si teda niečo dohodnete a popíšete, tak to aj dodržujte. Ak sa to dodržiavať nedá, tak je to zle popísané a treba to aktualizovať. A ak sa vám zdá, že všetko je v poriadku, tak si skúste urobiť aspoň raz za rok inventúru vo vlastných smerniciach, vyhodiť alebo prepísať tie, ktoré už doslúžili.
Ja sa už roky riadim pravidlom “dúfaj v najlepšie, pripravuj sa na najhoršie”.
Vy s vašim šéfom pre bezpečnosť, privacy managerom alebo zodpovednou osobou môžete porozmýšľať:
- Máme klasifikovanú dôverenosť dokumentov, a ak áno, tak sú klasifikované správne?
- Ako kontrolujeme dodržiavanie dôvernosti?
- Kto bude overovať identitu dotknutej osoby?
- Ako ju bude overovať?
- Aké nástroje mu k tomu potrebujeme zabezpečiť?
- Sú tie nástroje bezpečné?
- Kto za bezpečnosť nástrojov a overovacích kritérií bude zodpovedať?
- Ako a kto zaškolí zamestnanca/ zamestnancov?
- Ako často budeme preškoľovať a prehlbovať tieto zručnosti?
Ak sa nemáte na koho obrátiť, alebo si chcete overiť, ako na tom ste, ozvite sa. Pôsobíme primárne v Bratislave, Trnave, Nitre, Leviciach, Zvolene a Veľkom Krtíši, ale základné konzultácie poskytujeme aj virtuálne.
