Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Dane osobowe przesyłane w formie nieszyfrowanej – problem biurokracji czy odpowiednich regulacji prawnych?

Bardzo często przesyłamy swoje dane osobowe komunikacją elektroniczną – jest to wręcz dla większości z nas codzienność. Owe dane, zamieszczone są czy to przy okazji dostarczanych na nasze skrzynki pocztowe faktur lub rachunków czy też przy różnych rejestracjach np. na stronach urzędów.

Dla tego typu komunikacji, w większości przypadków – głównym narzędziem jest nasza skrzynka pocztowa. To właśnie za jej pośrednictwem otrzymujemy stosowne dokumenty, czy też wysyłamy je do danego adresata. Zauważmy więc, że takie konto pocztowe staje się dla nas istotnym z punktu bezpieczeństwa i prywatności – miejscem związanym z naszymi danymi osobowymi (a są to choćby PESEL, numer seryjny dowodu osobistego, adres zamieszkania itd.).
Co więc w przypadku gdy ta komunikacja odbywa się nieszyfrowanym kanałem? Lub co gorsza, zostanie ono skradzione? Niestety, większość nawet nie zdaje sobie z tego sprawy...

Kto może podejrzeć treść moich wiadomości?

W przypadku szyfrowanego kanału komunikacji (HTTPS), wewnątrz skrzynki pocztowej – tylko dostawca usługi pocztowej.

W tym przypadku, kwestia analizy wiadomości e-mail przez dostawców usługi jest rzeczą znaną od dawna. Do takich praktyk przyznało się m. in. Google, które oferuje bardzo popularną usługę pocztową – Gmail. Oficjalnie, ma to na celu wychwycenie słów kluczowych związanych choćby z pedofilią, co ma „wspomagać” ściganie przestępców czy też ochronę danych.

Jednakże w tym przypadku, aby ominąć automaty analizujące treść – wystarczy spakować przesyłane dokumenty do archiwum ZIP i zaszyfrować z użyciem hasła. Takie hasło, możemy przesłać za pośrednictwem SMS'a do adresata.

W przypadku atakującego, jego jedyną i bodajże najskuteczniejszą metodą jest próba włamania się na konto pocztowe. Tutaj w formie obrony, przyda się nie tyle mocne hasło co i funkcja weryfikacji dwuetapowej (o ile jest możliwa dla naszego konta pocztowego). Owa „weryfikacja” polega na podaniu hasła i jednorazowego kodu, za każdym razem darmowo przysyłanego na podany numer telefonu. Z tego typu funkcji korzystają skrzynki pocztowe Gmail, Outlook oraz Gazeta.pl. Tutaj, oprócz złamania hasła – atakujący musi być także w posiadaniu naszego telefonu ;-)

Istota weryfikacji dwuetapowej, została świetnie opisana na stronach pomocy Google'a

W przypadku nieszyfrowanego kanału komunikacji (HTTP), wewnątrz skrzynki pocztowej – przestępca przechwytujący ruch sieciowy wewnątrz sieci (klasyczny atak "Man in the middle”) + dostawca usługi pocztowej.

Osobiście uważam, że ten przypadek jest bardzo poważny. Zwłaszcza biorąc pod uwagę polską scenę usługodawców pocztowych w postaci o2, WP.pl, Onet.pl, Gazeta.pl czy Interia.pl. Tylko dwaj ostatni *domyślnie* zapewniają odpowiedni poziom zabezpieczeń (szyfrowany jest proces logowania, a także komunikacja wewnątrz konta pocztowego).

W pozostałych przypadkach, możliwe jest jedynie RĘCZNE wymuszenie protokołu HTTPS, poprzez dopisanie w pasku adresu liter „S” do nazwy protokołu... Na pewno każdy będzie o tym pamiętał... ;-)

W zeszłym miesiącu temat zabezpieczeń oferowanych przez polskich dostawców kont pocztowych, opisywał portal Niebezpiecznik.pl – na tapetę biorąc pocztę o2.pl. Wyniki nie są zadowalające o czym świadczą wyniki powyżej.

Tego typu sytuacja definiuje dosyć poważny problem bezpieczeństwa, związany z przesyłaniem danych osobowych z użyciem konta pocztowego, nie dysponującego szyfrowanym kanałem komunikacji (brak HTTPS). Sytuacje podkreśla też fakt, że bardzo duży procent polskich Internautów, swoje (główne) prywatne skrzynki pocztowe posiada właśnie na tego typu usługach pocztowych...

W tej sytuacji, pozostaje albo zmiana usługodawcy pocztowego, albo...

Korzystanie z szyfrowania GPG/PGP

Co jednak definiuje pewną skalę utrudnień albowiem nie każdy Internauta, jest na tyle obeznanym z aspektami informatycznymi, aby swobodnie i komfortowo móc korzystać z szyfrowania GPG lub PGP.

Gwoli wytłumaczenia, warto zauważyć – że szyfrowanie z użyciem GPG (ang. GNU Privacy Guard) lub PGP (ang. Pretty Good Privacy) – polega na komunikacji z użyciem kryptografii opierającej się na kluczach publicznych i prywatnych. W idealnych warunkach, sytuacja klarowała by się następująco:

Powyższy schemat, przedstawia prosty przykład szyfrowanej komunikacji na przykładzie obywatela i urzędu. Równie dobrze, owe role można też zamienić na klienta i przedsiębiorstwo. Generalnie komunikacja w oparciu o GPG/PGP jest na tyle uniwersalna, że polega na wygenerowaniu klucza prywatnego i publicznego możliwego do użycia powszechnego. Użytkownik dla potrzeb komunikacji, dystrybuuje klucz publiczny aby każdy mógł przesłać do niego zaszyfrowaną wiadomość. Odszyfrować ją może tylko i wyłącznie za pośrednictwem swojego klucza prywatnego.

Co prawda, to wszystko w teorii fajnie i ładnie wygląda – ale niektóre osoby może znacznie przerazić. Zwłaszcza te mniej zaawansowane, które potrzebują „czarno na białym” mieć wypisane konkretne komendy w postaci „Zaszyfruj” i „Deszyfruj”, co oczywiście należy zrozumieć – i dążyć do ułatwienia tego procederu przez zaawansowanych użytkowników.

Być może przydatnym w tym aspekcie, może być rozszerzenie do klienta poczty Thunderbird o nazwie „Enigmail”. Jego instalacja, konfiguracja (między innymi uwzględniająca generowanie kluczy), a także obsługę – w przystępny i merytoryczny sposób prezentuje portal Sekurak.pl w tym artykule.

Wracając jeszcze do nieszyfrowanej komunikacji wewnątrz skrzynki...

...omówiłem de facto możliwe rozwiązania niwelujące nieszyfrowaną komunikację w trakcie wysyłania i odbierania poczty. Wszystko, z uwzględnieniem jedynie dostawcy pocztowego, a jest jeszcze jeden aspekt warty omówienia – potencjalny atakujący.

Jednakże wyczerpanie tego tematu, to kolejny wpis jak nie dwa... W którym po raz kolejny, czy to na łamach blogów DP czy ogólnie Internetu – klepany będzie temat, jak zabezpieczyć się przed złośliwym oprogramowaniem, włamaniem do sieci Wi-Fi czy też opisane będzie mnóstwo innych wektorów ataku... Dlatego też, postanowiłem bardziej skupić się na usługodawcach pocztowych, a metody ochrony przed zagrożeniami ze strony potencjalnego atakującego – opisać w punktach.

Aby uniknąć podsłuchania komunikacji na koncie pocztowym...

...odbywającej się, nieszyfrowanym protokołem HTTP:

  1. Spróbuj ręcznie wymusić komunikację po protokole HTTPS, w adresie przeglądarki dopisując literkę „S” do protokołu. („http://” na „https://”)
  2. Do powyższego punktu, może być przydatne rozszerzenie „HTTPS Everywhere” do przeglądarek, które niweluje potrzebę ręcznego wymuszania szyfrowanego protokołu
  3. Staraj się posiadać zawsze zaktualizowane oprogramowanie antywirusowe (najlepiej w pakiecie „Internet Security”) wraz z aktualną bazą złośliwego oprogramowania
  4. W przypadku korzystania z domowej sieci Wi-Fi, postaraj się o jej skuteczne zabezpieczenie. Oprócz mocnego hasła, rozważ także filtrowanie po adresach MAC, ukryciu nazwy sieci, a także ustawieniu odpowiednich reguł we wbudowanym Firewallu (zależnie od posiadanego routera)
  5. W przypadku korzystania z publicznych sieci Wi-Fi, rozważ korzystanie z połączeń VPN, w znacznym stopniu uniemożliwiających podsłuch (chyba, że nie dbasz o posiadane certyfikaty dla danych połączeń ;-). W przeciwnym razie, staraj się nie logować i korzystać z poczty ;-)
  6. Jeśli przyjdzie mi (dopiszę tutaj kolejny punkt), albo Tobie Czytelniku coś do głowy –podziel się pomysłem w komentarzu, dla dobra przyszłych Czytających :-)
  7. .

Aspekty prawne dotyczące danych osobowych, przesyłanych nieszyfrowanym kanałem

W pierwszej części wpisu, podzieliłem się zarówno refleksjami jak też i radami, dotyczącymi zabezpieczeń od strony użytkownika. W drugiej części, postanowiłem poruszyć aspekty prawne – dotyczące przesyłania danych osobowych za pośrednictwem nieszyfrowanego kanału. Co częstokroć wynika z próśb czy też procedur realizowanych przez dane firmy na poczet zawiązywanych umów czy dostarczanych rachunków, faktur itd.

Osobiście, nie raz spotkałem się z prośbą, a wręcz wymogiem przesłania swoich danych osobowych, czystym tekstem w treści wiadomości e-mail. Zawsze, sprawę łagodziło przesłanie zaszyfrowanego archiwum + hasła SMS'em z mojego prywatnego numeru na prywatny numer pracownika/urzędnika etc.
Jednakże, zawsze pozostawiało to niesmak w postaci – nie do końca komfortowego i optymalnego pod kątem bezpieczeństwa, rozwiązania sprawy. Tak czy tak, dla potrzeb wpisu – postanowiłem prywatnie, jako autor bloga -- zadać kilka pytań do rzecznika GIODO.

(swoją drogą, akcja z archiwum Zip i SMS'em to ciekawy i skuteczny sposób na zdobycie numeru telefonu do np. bardzo miłej i... uroczej pani z danej firmy – nie żebym testował, ale taka refleksja, któregoś razu mnie naszła :P).

Odpowiedzi na zadane przeze mnie pytania, udzieliła Pani Małgorzata Kałużyńska-Jasak, Dyrektor Zespołu Rzecznika Prasowego. Z tego miejsca, chciałbym bardzo podziękować za szybką i wyczerpującą temat odpowiedź :-)

1. Czy osoba, która zawiera drogą elektroniczną umowę z daną firmą/instytucją, ma prawo żądać przesyłania jej danych osobowych w formie zaszyfrowanej?

a.) Jeśli tak, to czy istnieje ku temu odpowiednia podstawa prawna na którą może się powołać?

b.) Jeśli nie, to czy są jakieś inne, alternatywne drogi do wymuszenia na danej firmie/instytucji - przesyłania danych osobowych w formie szyfrowanej?

Odpowiadając na zadane przez Pana pytanie nr 1, uprzejmie informuję, że przepisy prawa zobowiązują wręcz zastosowanie odpowiednich środków zabezpieczających dane osobowe przy przesyłaniu ich drogą elektroniczną. Są nimi przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych oraz ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną.

Zgodnie z ww. przepisami jednym z podstawowych obowiązków spoczywających na administratorze jest, wynikający z art. 36 ust. 1 ustawy o ochronie danych osobowych obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, a w szczególności zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym.

Dotyczy to przetwarzania danych osobowych zarówno w sposób tradycyjny, jak i z wykorzystaniem systemów informatycznych.

W sytuacji przekazywania danych drogą elektroniczną (metodą teletransmisji przy użyciu sieci publicznej), zawsze istnieje możliwość przejęcia przesyłanych danych przez osobę nieuprawnioną. Istnieje również niebezpieczeństwo ich nieuprawnionej zmiany, uszkodzenia lub zniszczenia. Niezbędne jest zatem zastosowanie odpowiednich zabezpieczeń (np. zaszyfrowania), które ochronią przesyłane dane przed dostępem osób nieuprawnionych. Zgodnie z § 6 ust. 4 powołanego rozporządzenia, administrator danych obowiązany jest w takim przypadku zastosować środki bezpieczeństwa na poziomie wysokim. W praktyce oznacza to, że system używany przez administratora do przetwarzania danych osobowych przy użyciu np. formularza dostępnego poprzez Internet powinien spełniać wszystkie minimalne wymagania określone w załączniku do rozporządzenia dla zabezpieczeń na poziomie podstawowym, podwyższonym oraz wysokim.

Przede wszystkim powinien być zabezpieczony przed zagrożeniami z sieci publicznej poprzez zastosowanie środków chroniących go przed nieuprawnionym dostępem, które zapewniają kontrolę przepływu informacji między tym systemem a siecią publiczną oraz kontrolę działań inicjowanych z sieci publicznej (punkt XII załącznika do rozporządzenia). Ponadto transmisja danych między systemem administratora a komputerem rejestrującego się użytkownika powinna być zabezpieczona przy użyciu kryptograficznych środków ochrony danych (np. poprzez zastosowanie protokołu SSL).

Należy również wziąć pod uwagę ustawę o świadczeniu usług drogą elektroniczną, która w art. 16 stanowi, iż dane osobowe podlegają ochronie (…) w zakresie ich przetwarzania niezależnie od tego, czy jest ono dokonywane w zbiorach danych. Ponadto nakłada na usługodawcę obowiązek zabezpieczenia np. zaszyfrowania danych przesyłanych mailem, który wymusza też obowiązek poinformowania i przekazania narzędzi służących do odszyfrowania (art. 20 ust. 1 pkt 2).

Zatem, jak wynika z powyższego, zabezpieczenie jest obowiązkiem administratora danych a jego niedopełnienie zagrożone jest karą, o której mowa w art. 52 ustawy o ochronie danych osobowych. Stanowi on, że ten kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

2. Czy istnieją odpowiednie regulacje prawne, które wymuszają na Administratorach Bezpieczeństwa Informacji, znajomość rozwiązań szyfrowania poczty z użyciem GPG/PGP?

a.) Jeśli tak, to czy wymuszają one przeszkolenie przez ABI personelu odpowiadającego za kontakt z klientami (m.in. e-mail'owy) pod kątem w/w rozwiązań?

W odpowiedzi na drugie pytanie uprzejmie informuję, że administrator danych tworzy politykę bezpieczeństwa, w której określa właściwe środki ochrony, a wyznaczony przez niego ABI nadzoruje by były one właściwie stosowane – art. 36 ust. 1 pkt 3 ustawy o ochronie danych osobowych.

Odnosząc się natomiast do szkoleń uprzejmie informuję, iż ustawa o ochronie danych osobowych nie reguluje tych kwestii. W jej przepisach znajduje się jedynie odniesienie do obowiązku spoczywającym na każdym administratorze dotyczącym konieczności dopuszczenia do przetwarzania danych osobowych osób, które posiadają nadane przez niego upoważnienie (art. 37 ustawy). Ponadto administrator danych powinien zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane (art. 38 ustawy). Również, zgodnie z art. 39 ustawy, administrator musi prowadzić ewidencję osób upoważnionych do przetwarzania danych.

Warto również podkreślić, iż osoby, które zostały upoważnione do przetwarzania danych są obowiązane zachować w tajemnicy te dane osobowe oraz sposób ich zabezpieczenia.

3. Co powinna zrobić osoba, która zauważyła niedbałość danej firmy/instytucji przy bezpiecznym/szyfrowanym przesyłaniu danych osobowych?

Odnosząc się do trzeciego pytania uprzejmie informuję, że jeżeli chodzi o instytucje publiczne, to zastosowanie będą miały przepisy ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne. Znajdują się tam m.in. przepisy dotyczące elektronicznej skrzynki podawczej, w której przewidziane są mechanizmy odpowiedniego zabezpieczenia, np. szyfrowania.

Jednakże w każdym przypadku, gdy osoba której dane dotyczą stwierdzi, iż doszło do naruszenia zasad ochrony jej danych osobowych może wystąpić do administratora danych z wnioskiem o usunięcie uchybień.

Dodatkowo informuję, że osoba ta może zwrócić się również z pisemną skargą do GIODO, który po przeprowadzeniu indywidualnego postępowania administracyjnego stwierdzi, czy w tym konkretnym przypadku doszło do naruszenia prawa do ochrony danych osobowych. W przypadku ich stwierdzenia GIODO wydaje decyzje administracyjną nakazującą przywrócenie stanu zgodnego z prawem m.in. zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe.

Regulacje prawne istnieją, czyli wina biurokracji?

Jak w wyczerpujący sposób, opisała Pani Małgorzata Kałużyńska-Jasak – istnieją odpowiednie regulacje prawne wymuszające egzekwowanie procedur lub też polityk bezpieczeństwa co do ochrony danych osobowych. Istnieją też takie, które pozwolą na egzekwowanie praw w przypadku ich nieprawidłowego zabezpieczenia. Tylko czy są one na tyle mocne, ażeby wymuszać w jeszcze lepszy sposób ich skuteczne przesyłanie?

Z drugiej strony, nikt nie definiuje de facto czy darmowa usługa pocztowa winna domyślnie umożliwiać użytkownikom, komunikację po szyfrowanym protokole HTTPS. W przykładzie przytoczonym przez Rzeczniczkę GIODO – mowa jest jedynie o formularzu rejestrującym/logowania, który powinien być zabezpieczony zgodnie z wymogami przytoczonego rozporządzenia. Ale co z resztą? Przecież najistotniejszym miejscem jest właśnie interfejs pocztowy gdzie poczta jest odbierana/wysyłana – to jej podsłuch jest największym zagrożeniem bezpieczeństwa ;-)

W moim odczuciu, pomimo istniejących regulacji prawnych – problem leży w połowie między prawem, a biurokracją – która de facto wszelkimi regulaminami, politykami itd. danego urzędu/firmy - W większości przypadków definiuje mało komfortowy, a także skuteczny pod kątem bezpieczeństwa oraz prywatności sposób komunikacji dla danych osobowych. Do tego jeszcze warto dorzucić czynnik ludzki, bo zdarza się że urzędnik/pracownik po drugiej stronie ekranu/telefonu – chcę współpracować, a w innym przypadku... nie ;-)

Dlatego też, chyba póki co nie pozostaje nic innego jak... we własnym zakresie propagować zdrowo rozsądkowe podejście względem bezpieczeństwa, opierającym się na kompromisie w postaci wysłanego szyfrowanego archiwum ZIP + przesłanego SMS'a z hasłem ;-)

 

internet bezpieczeństwo porady

Komentarze

0 nowych
  #1 21.09.2014 22:13

Tekst ciekawy. Brawo. Mała dygresja. Jak sprawa wygląda pod kątem posługiwania się profilem zaufanym na platformie ePUAP w załatwianiu spraw z biurokracją (czy wysyłanie i odbieranie wniosków/dokumentów odbywa się poprzez protokół HTTPS?). Inna z kolei opcja to posługiwanie się kwalifikowanym certyfikatem bezpieczeństwa. Czy samo to nie stanowi dla ABI wystarczającej podstawy do kontaktów z klientami??

command-dos   17 #2 21.09.2014 22:44

"opierającym się na kompromisie w postaci wysłanego szyfrowanego archiwum ZIP + przesłanego SMS'a z hasłem ;-)" - nie ma, jak dwuetapowa weryfikacja ;)

  #3 22.09.2014 00:44

F2A jest dobre, ale nie jest obsługiwane przez większość klientów pocztowych.

  #4 22.09.2014 02:32
GBM MODERATOR BLOGA  19 #5 22.09.2014 07:43

@command-dos: No coś w ten deseń :)

@PP: Ciężko mi się odnieść co do platformy ePUAP i tego jakim kanałem odbywa się tamtejsza komunikacja związana z dokumentami.

Nie do końca rozumiem, czemu ABI musiałby kontaktować się z klientami bezpośrednio? Imho ABI odpowiada za odpowiednie zarządzanie bezpieczeństwem (m. in. dzięki stworzeniu i egzekwowaniu polityki bezpieczeństwa) - do jego obowiązków należy przede wszystkim dbać bezpieczeństwo danych osobowych - kontaktu z klientami bym tutaj nie włączał :-)

@-$$#@: Fakt, two-factoring nie na każdej skrzynce pocztowej jest dostępne - ale warto zwrócić uwagę, że na tych popularnych (Gmail i Outlook) jest obecny. Są to de facto wygodne konta pocztowe, posiadające sporo przydatnych ułatwień dla użytkownika - czy to nie jest wystarczające aby zainteresować się, założeniem tam konta? :-)

De facto warto zwrócić uwagę, że poczta oferowana przez Gazeta.pl - oparta jest o Google Apps, przejmując wszystkie funkcje i możliwości rodem z Gmaila, a jedynie posiadając konto w domenie @gazeta.pl. Uważam, że to również interesujące rozwiązanie.

vectrolot   2 #6 22.09.2014 13:08

Na poczcie onet-u jest domyślnie https, zarówno przy wejściu bezpośrednio ze strony głównej jak i poprzez wpisanie adresu poczta.onet.pl

  #7 22.09.2014 14:02

@GBM: Fakt, pomyliłem pojęcia. Miałem na myśli urzędnika, który obsługuje skrzynkę odbiorczą, po wcześniejszym zaakceptowaniu certyfikatu przez ABI.

Jim1961   7 #8 22.09.2014 22:42

Dziwna skłonność autora do (nad)używania zwrotu "de facto" :-)

GBM MODERATOR BLOGA  19 #9 23.09.2014 12:24

@vectrolot Całkiem możliwe, tekst opieram na badaniach sprzed ponad miesiąca. Dodatkowo, nie posiadam konta na poczcie Onetu więc, nie wykluczone że sytuacja mogła sie zmienić :)

@PP: Jasne, jeśli pracownik, który odpowiada za kontakt z klientami -- posiadałby dany certyfikat potwierdzający jego zdolność dostępu do tajnych/poufnych informacji -- to dobrze świadczy o pracowniku. Ale pamiętajmy, że to tylko certyfikat świadczący o osobie, a nie pracodawcy... a to m. in. firma kształtuje proces komunikacji z klientami :)

@Jim1961 Wiesz... generalnie to ja mam różnorodne skłonności w ilości dużej, ale... co zrobisz jak nic nie zrobisz ;)

pocolog   11 #10 25.09.2014 15:53

Dobry tekst.
Szkoda ze nie byl promowany ale widac sa inne priorytety niz prawo do prywatnosci i bezpieczenstwo :(

WODZU   16 #11 04.10.2014 09:00

Z jednej strony każe nam się chronić cudze dane osobowe, a z drugiej ludzie w marketach robią sobie samojebki smartfonami i tabletami wystawionymi do testów.

GBM MODERATOR BLOGA  19 #12 04.10.2014 17:11

@WODZU: O, ciekawe - rozumiem, że trafiłeś na coś takowego? :P

Axles   16 #13 06.10.2014 12:21

Ale te prawo jest chore, czytając to czy tym samym wysyłanie listu zwykłego/poleconego jest bezpieczne, przecież też w każdej chwili ktoś może przejąć korespondencję np. napadając listonosza, otwierając ołówkiem skrzynkę pocztową itp. i ma jawny wgląd do danych. W takim przypadku też powinno się wiadomości szyfrować szyfrem Cezara? :)

GBM MODERATOR BLOGA  19 #14 06.10.2014 12:32

@Axles: Jasne, ale to są konwencjonalne środki, które można zastosować celem zdobycia danych. Ja skupiłem się na elektronicznej formie komunikacji :-)

Poza tym, akcja z listonoszem przewiduje między innymi:
- zorientowanie się, kiedy przesyłka zostaje wysłana od nadawcy
- kiedy trafi do placówki pocztowej
- kiedy i o której godzinie, listonosz bierze z urzędu listy do roznoszenia
- jaki jest algorytm roznoszenia poczty przez listonosza (czy idzie po kolei numerami, a jeśli tak to w jakiej kolejności? Czy też idzie tak, jak zostanie mu posortowana poczta? etc.)
- czy na drodze listonosza, przed dojściem do skrzynki adresata - jest "ustronne" miejsce na wykonanie napadu?
- jak szybko może trwać powiadomienie policji, a także dojście do miejsca "schronu" na czas przeczesywania okolicy przez policję?

Więc w sumie zależy od zorganizowania, szczęścia i umiejętności atakującego. Ale jak widać, wysyłanie pocztą robi się "troszkę" bezpieczniejsze :P

A co do skrzynki, podejrzewam, że łatwiej by było wyciągnąć list bezpośrednio. Jednakże skrzynki w klatkach/ulicy znajdują się w miejscach, często uczęszczanych przez ludzi - dlatego też, trochę dziwnie może wyglądać gmeranie ołówkiem w skrzynce :D

  #15 21.07.2015 11:38

tekst bardzo dobry, ale być może ktoś będzie miał ochotę go uzupełnić wtedy plecam również informację stąd http://ochronadanychosobowychwsieci.pl/zabezpieczenie-danych-osobowych/

  #16 09.11.2015 13:58

Dane osobowe muszą być przestrzegane, bo jeśli takie dane dostaną się w niepowołane ręce, to może być spory problem, bo jeżeli przejmie jest właśnie oszust, to może on skutecznie uprzykrzyć nam życie z tego tytułu. http://emediatorlegal.pl/