Dane osobowe przesyłane w formie nieszyfrowanej – problem biurokracji czy odpowiednich regulacji prawnych?
Bardzo często przesyłamy swoje dane osobowe komunikacją elektroniczną – jest to wręcz dla większości z nas codzienność. Owe dane, zamieszczone są czy to przy okazji dostarczanych na nasze skrzynki pocztowe faktur lub rachunków czy też przy różnych rejestracjach np. na stronach urzędów.
Dla tego typu komunikacji, w większości przypadków – głównym narzędziem jest nasza skrzynka pocztowa. To właśnie za jej pośrednictwem otrzymujemy stosowne dokumenty, czy też wysyłamy je do danego adresata. Zauważmy więc, że takie konto pocztowe staje się dla nas istotnym z punktu bezpieczeństwa i prywatności – miejscem związanym z naszymi danymi osobowymi (a są to choćby PESEL, numer seryjny dowodu osobistego, adres zamieszkania itd.). Co więc w przypadku gdy ta komunikacja odbywa się nieszyfrowanym kanałem? Lub co gorsza, zostanie ono skradzione? Niestety, większość nawet nie zdaje sobie z tego sprawy...
Kto może podejrzeć treść moich wiadomości?
W przypadku szyfrowanego kanału komunikacji (HTTPS), wewnątrz skrzynki pocztowej – tylko dostawca usługi pocztowej.
W tym przypadku, kwestia analizy wiadomości e-mail przez dostawców usługi jest rzeczą znaną od dawna. Do takich praktyk przyznało się m. in. Google, które oferuje bardzo popularną usługę pocztową – Gmail. Oficjalnie, ma to na celu wychwycenie słów kluczowych związanych choćby z pedofilią, co ma „wspomagać” ściganie przestępców czy też ochronę danych.
Jednakże w tym przypadku, aby ominąć automaty analizujące treść – wystarczy spakować przesyłane dokumenty do archiwum ZIP i zaszyfrować z użyciem hasła. Takie hasło, możemy przesłać za pośrednictwem SMS'a do adresata.
W przypadku atakującego, jego jedyną i bodajże najskuteczniejszą metodą jest próba włamania się na konto pocztowe. Tutaj w formie obrony, przyda się nie tyle mocne hasło co i funkcja weryfikacji dwuetapowej (o ile jest możliwa dla naszego konta pocztowego). Owa „weryfikacja” polega na podaniu hasła i jednorazowego kodu, za każdym razem darmowo przysyłanego na podany numer telefonu. Z tego typu funkcji korzystają skrzynki pocztowe Gmail, Outlook oraz Gazeta.pl. Tutaj, oprócz złamania hasła – atakujący musi być także w posiadaniu naszego telefonu ;-)
Istota weryfikacji dwuetapowej, została świetnie opisana na stronach pomocy Google'a
W przypadku nieszyfrowanego kanału komunikacji (HTTP), wewnątrz skrzynki pocztowej – przestępca przechwytujący ruch sieciowy wewnątrz sieci (klasyczny atak "Man in the middle” ) + dostawca usługi pocztowej.
Osobiście uważam, że ten przypadek jest bardzo poważny. Zwłaszcza biorąc pod uwagę polską scenę usługodawców pocztowych w postaci o2, WP.pl, Onet.pl, Gazeta.pl czy Interia.pl. Tylko dwaj ostatni *domyślnie* zapewniają odpowiedni poziom zabezpieczeń (szyfrowany jest proces logowania, a także komunikacja wewnątrz konta pocztowego).
W pozostałych przypadkach, możliwe jest jedynie RĘCZNE wymuszenie protokołu HTTPS, poprzez dopisanie w pasku adresu liter „S” do nazwy protokołu... Na pewno każdy będzie o tym pamiętał... ;-)
W zeszłym miesiącu temat zabezpieczeń oferowanych przez polskich dostawców kont pocztowych, opisywał portal Niebezpiecznik.pl – na tapetę biorąc pocztę o2.pl. Wyniki nie są zadowalające o czym świadczą wyniki powyżej.
Tego typu sytuacja definiuje dosyć poważny problem bezpieczeństwa, związany z przesyłaniem danych osobowych z użyciem konta pocztowego, nie dysponującego szyfrowanym kanałem komunikacji (brak HTTPS). Sytuacje podkreśla też fakt, że bardzo duży procent polskich Internautów, swoje (główne) prywatne skrzynki pocztowe posiada właśnie na tego typu usługach pocztowych...
W tej sytuacji, pozostaje albo zmiana usługodawcy pocztowego, albo...
Korzystanie z szyfrowania GPG/PGP
Co jednak definiuje pewną skalę utrudnień albowiem nie każdy Internauta, jest na tyle obeznanym z aspektami informatycznymi, aby swobodnie i komfortowo móc korzystać z szyfrowania GPG lub PGP.
Gwoli wytłumaczenia, warto zauważyć – że szyfrowanie z użyciem GPG (ang. GNU Privacy Guard) lub PGP (ang. Pretty Good Privacy) – polega na komunikacji z użyciem kryptografii opierającej się na kluczach publicznych i prywatnych. W idealnych warunkach, sytuacja klarowała by się następująco:
Powyższy schemat, przedstawia prosty przykład szyfrowanej komunikacji na przykładzie obywatela i urzędu. Równie dobrze, owe role można też zamienić na klienta i przedsiębiorstwo. Generalnie komunikacja w oparciu o GPG/PGP jest na tyle uniwersalna, że polega na wygenerowaniu klucza prywatnego i publicznego możliwego do użycia powszechnego. Użytkownik dla potrzeb komunikacji, dystrybuuje klucz publiczny aby każdy mógł przesłać do niego zaszyfrowaną wiadomość. Odszyfrować ją może tylko i wyłącznie za pośrednictwem swojego klucza prywatnego.
Co prawda, to wszystko w teorii fajnie i ładnie wygląda – ale niektóre osoby może znacznie przerazić. Zwłaszcza te mniej zaawansowane, które potrzebują „czarno na białym” mieć wypisane konkretne komendy w postaci „Zaszyfruj” i „Deszyfruj”, co oczywiście należy zrozumieć – i dążyć do ułatwienia tego procederu przez zaawansowanych użytkowników.
Być może przydatnym w tym aspekcie, może być rozszerzenie do klienta poczty Thunderbird o nazwie „Enigmail ”. Jego instalacja, konfiguracja (między innymi uwzględniająca generowanie kluczy), a także obsługę – w przystępny i merytoryczny sposób prezentuje portal Sekurak.pl w tym artykule.
Wracając jeszcze do nieszyfrowanej komunikacji wewnątrz skrzynki...
...omówiłem de facto możliwe rozwiązania niwelujące nieszyfrowaną komunikację w trakcie wysyłania i odbierania poczty. Wszystko, z uwzględnieniem jedynie dostawcy pocztowego, a jest jeszcze jeden aspekt warty omówienia – potencjalny atakujący.
Jednakże wyczerpanie tego tematu, to kolejny wpis jak nie dwa... W którym po raz kolejny, czy to na łamach blogów DP czy ogólnie Internetu – klepany będzie temat, jak zabezpieczyć się przed złośliwym oprogramowaniem, włamaniem do sieci Wi-Fi czy też opisane będzie mnóstwo innych wektorów ataku... Dlatego też, postanowiłem bardziej skupić się na usługodawcach pocztowych, a metody ochrony przed zagrożeniami ze strony potencjalnego atakującego – opisać w punktach.
Aby uniknąć podsłuchania komunikacji na koncie pocztowym...
...odbywającej się, nieszyfrowanym protokołem HTTP:
- Spróbuj ręcznie wymusić komunikację po protokole HTTPS, w adresie przeglądarki dopisując literkę „S” do protokołu. („http://” na „https://”)
- Do powyższego punktu, może być przydatne rozszerzenie „HTTPS Everywhere ” do przeglądarek, które niweluje potrzebę ręcznego wymuszania szyfrowanego protokołu
- Staraj się posiadać zawsze zaktualizowane oprogramowanie antywirusowe (najlepiej w pakiecie „Internet Security”) wraz z aktualną bazą złośliwego oprogramowania
- W przypadku korzystania z domowej sieci Wi-Fi, postaraj się o jej skuteczne zabezpieczenie. Oprócz mocnego hasła, rozważ także filtrowanie po adresach MAC, ukryciu nazwy sieci, a także ustawieniu odpowiednich reguł we wbudowanym Firewallu (zależnie od posiadanego routera)
- W przypadku korzystania z publicznych sieci Wi-Fi, rozważ korzystanie z połączeń VPN, w znacznym stopniu uniemożliwiających podsłuch (chyba, że nie dbasz o posiadane certyfikaty dla danych połączeń ;-). W przeciwnym razie, staraj się nie logować i korzystać z poczty ;-)
- Jeśli przyjdzie mi (dopiszę tutaj kolejny punkt), albo Tobie Czytelniku coś do głowy –podziel się pomysłem w komentarzu, dla dobra przyszłych Czytających :-)
- .
Aspekty prawne dotyczące danych osobowych, przesyłanych nieszyfrowanym kanałem
W pierwszej części wpisu, podzieliłem się zarówno refleksjami jak też i radami, dotyczącymi zabezpieczeń od strony użytkownika. W drugiej części, postanowiłem poruszyć aspekty prawne – dotyczące przesyłania danych osobowych za pośrednictwem nieszyfrowanego kanału. Co częstokroć wynika z próśb czy też procedur realizowanych przez dane firmy na poczet zawiązywanych umów czy dostarczanych rachunków, faktur itd.
Osobiście, nie raz spotkałem się z prośbą, a wręcz wymogiem przesłania swoich danych osobowych, czystym tekstem w treści wiadomości e-mail. Zawsze, sprawę łagodziło przesłanie zaszyfrowanego archiwum + hasła SMS'em z mojego prywatnego numeru na prywatny numer pracownika/urzędnika etc. Jednakże, zawsze pozostawiało to niesmak w postaci – nie do końca komfortowego i optymalnego pod kątem bezpieczeństwa, rozwiązania sprawy. Tak czy tak, dla potrzeb wpisu – postanowiłem prywatnie, jako autor bloga -- zadać kilka pytań do rzecznika GIODO.
(swoją drogą, akcja z archiwum Zip i SMS'em to ciekawy i skuteczny sposób na zdobycie numeru telefonu do np. bardzo miłej i... uroczej pani z danej firmy – nie żebym testował, ale taka refleksja, któregoś razu mnie naszła :P).
Odpowiedzi na zadane przeze mnie pytania, udzieliła Pani Małgorzata Kałużyńska-Jasak, Dyrektor Zespołu Rzecznika Prasowego. Z tego miejsca, chciałbym bardzo podziękować za szybką i wyczerpującą temat odpowiedź :-)
1. Czy osoba, która zawiera drogą elektroniczną umowę z daną firmą/instytucją, ma prawo żądać przesyłania jej danych osobowych w formie zaszyfrowanej?
a.) Jeśli tak, to czy istnieje ku temu odpowiednia podstawa prawna na którą może się powołać?
b.) Jeśli nie, to czy są jakieś inne, alternatywne drogi do wymuszenia na danej firmie/instytucji - przesyłania danych osobowych w formie szyfrowanej?
Odpowiadając na zadane przez Pana pytanie nr 1, uprzejmie informuję, że przepisy prawa zobowiązują wręcz zastosowanie odpowiednich środków zabezpieczających dane osobowe przy przesyłaniu ich drogą elektroniczną. Są nimi przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych oraz ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną. Zgodnie z ww. przepisami jednym z podstawowych obowiązków spoczywających na administratorze jest, wynikający z art. 36 ust. 1 ustawy o ochronie danych osobowych obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, a w szczególności zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym. Dotyczy to przetwarzania danych osobowych zarówno w sposób tradycyjny, jak i z wykorzystaniem systemów informatycznych. W sytuacji przekazywania danych drogą elektroniczną (metodą teletransmisji przy użyciu sieci publicznej), zawsze istnieje możliwość przejęcia przesyłanych danych przez osobę nieuprawnioną. Istnieje również niebezpieczeństwo ich nieuprawnionej zmiany, uszkodzenia lub zniszczenia. Niezbędne jest zatem zastosowanie odpowiednich zabezpieczeń (np. zaszyfrowania), które ochronią przesyłane dane przed dostępem osób nieuprawnionych. Zgodnie z § 6 ust. 4 powołanego rozporządzenia, administrator danych obowiązany jest w takim przypadku zastosować środki bezpieczeństwa na poziomie wysokim. W praktyce oznacza to, że system używany przez administratora do przetwarzania danych osobowych przy użyciu np. formularza dostępnego poprzez Internet powinien spełniać wszystkie minimalne wymagania określone w załączniku do rozporządzenia dla zabezpieczeń na poziomie podstawowym, podwyższonym oraz wysokim. Przede wszystkim powinien być zabezpieczony przed zagrożeniami z sieci publicznej poprzez zastosowanie środków chroniących go przed nieuprawnionym dostępem, które zapewniają kontrolę przepływu informacji między tym systemem a siecią publiczną oraz kontrolę działań inicjowanych z sieci publicznej (punkt XII załącznika do rozporządzenia). Ponadto transmisja danych między systemem administratora a komputerem rejestrującego się użytkownika powinna być zabezpieczona przy użyciu kryptograficznych środków ochrony danych (np. poprzez zastosowanie protokołu SSL). Należy również wziąć pod uwagę ustawę o świadczeniu usług drogą elektroniczną, która w art. 16 stanowi, iż dane osobowe podlegają ochronie (…) w zakresie ich przetwarzania niezależnie od tego, czy jest ono dokonywane w zbiorach danych. Ponadto nakłada na usługodawcę obowiązek zabezpieczenia np. zaszyfrowania danych przesyłanych mailem, który wymusza też obowiązek poinformowania i przekazania narzędzi służących do odszyfrowania (art. 20 ust. 1 pkt 2). Zatem, jak wynika z powyższego, zabezpieczenie jest obowiązkiem administratora danych a jego niedopełnienie zagrożone jest karą, o której mowa w art. 52 ustawy o ochronie danych osobowych. Stanowi on, że ten kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
2. Czy istnieją odpowiednie regulacje prawne, które wymuszają na Administratorach Bezpieczeństwa Informacji, znajomość rozwiązań szyfrowania poczty z użyciem GPG/PGP?
a.) Jeśli tak, to czy wymuszają one przeszkolenie przez ABI personelu odpowiadającego za kontakt z klientami (m.in. e-mail'owy) pod kątem w/w rozwiązań?
W odpowiedzi na drugie pytanie uprzejmie informuję, że administrator danych tworzy politykę bezpieczeństwa, w której określa właściwe środki ochrony, a wyznaczony przez niego ABI nadzoruje by były one właściwie stosowane – art. 36 ust. 1 pkt 3 ustawy o ochronie danych osobowych. Odnosząc się natomiast do szkoleń uprzejmie informuję, iż ustawa o ochronie danych osobowych nie reguluje tych kwestii. W jej przepisach znajduje się jedynie odniesienie do obowiązku spoczywającym na każdym administratorze dotyczącym konieczności dopuszczenia do przetwarzania danych osobowych osób, które posiadają nadane przez niego upoważnienie (art. 37 ustawy). Ponadto administrator danych powinien zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane (art. 38 ustawy). Również, zgodnie z art. 39 ustawy, administrator musi prowadzić ewidencję osób upoważnionych do przetwarzania danych. Warto również podkreślić, iż osoby, które zostały upoważnione do przetwarzania danych są obowiązane zachować w tajemnicy te dane osobowe oraz sposób ich zabezpieczenia.
Z drugiej strony, nikt nie definiuje de facto czy darmowa usługa pocztowa winna domyślnie umożliwiać użytkownikom, komunikację po szyfrowanym protokole HTTPS. W przykładzie przytoczonym przez Rzeczniczkę GIODO – mowa jest jedynie o formularzu rejestrującym/logowania, który powinien być zabezpieczony zgodnie z wymogami przytoczonego rozporządzenia. Ale co z resztą? Przecież najistotniejszym miejscem jest właśnie interfejs pocztowy gdzie poczta jest odbierana/wysyłana – to jej podsłuch jest największym zagrożeniem bezpieczeństwa ;-)
W moim odczuciu, pomimo istniejących regulacji prawnych – problem leży w połowie między prawem, a biurokracją – która de facto wszelkimi regulaminami, politykami itd. danego urzędu/firmy - W większości przypadków definiuje mało komfortowy, a także skuteczny pod kątem bezpieczeństwa oraz prywatności sposób komunikacji dla danych osobowych. Do tego jeszcze warto dorzucić czynnik ludzki, bo zdarza się że urzędnik/pracownik po drugiej stronie ekranu/telefonu – chcę współpracować, a w innym przypadku... nie ;-)
Dlatego też, chyba póki co nie pozostaje nic innego jak... we własnym zakresie propagować zdrowo rozsądkowe podejście względem bezpieczeństwa, opierającym się na kompromisie w postaci wysłanego szyfrowanego archiwum ZIP + przesłanego SMS'a z hasłem ;-)
