Zapisi in dokumenti iz področja prava, človekovih pravic in tehnologije.

Odgovorno razkritje ali neodgovorno nerazkritje

V lanskem letu se je v Sloveniji zgodil eden večjih incidentov na področju varstva osebnih podatkov v zdravstvu. V eni večjih slovenskih zdravstvenih ustanov niso bili ogroženi le osebni podatki zaposlenih, pač pa tudi osebni podatki pacientov. Dostopna je bila zdravniška dokumentacija, vključno z napotnicami, ki vsebujejo zelo občutljive osebne podatke pacientov. Vse skupaj je bilo široko odprto v splet, spletni strežnik zdravstvene ustanove pa sploh ni uporabljal HTTPS zaščitene povezave.

In zakaj javnost o tem incidentu ničesar ne ve? Preprosto zato, ker v Sloveniji prevladuje kultura skrivanja napak in pometanja le-teh pod preprogo. Namesto, da bi se o napakah pripravilo izčrpno poročilo, ki bi vsebovalo analizo zakaj je do napake prišlo, neodvisno oceno kakšen je bil obseg morebitne škode ter kateri ukrepi so bili sprejeti, da se zadeva ne ponovi, se podobne zgodbe v Sloveniji zaključi zgolj z nekaj splošnimi ugotovitvami. Namesto, da bi se poročilo javno objavilo, s čimer se bi se na podobne težave opozorilo tudi druge ter pokazalo kakšne bi morale biti dobre prakse na tem področju, se dokumente o takšnih incidentih skriva. Ne gre za to, da bi se iskalo krivce in izvajalo lov na čarovnice. Do napak vedno prihaja in bo prihajalo. Problem je pometanje pod preprogo in prikrivanje, posledično pa se enake napake pojavljajo vedno znova in znova.

In kar je še posebej zaskrbljujoče – pri tovrstni kulturi skrivanja žal sodelujejo tudi tiste institucije, ki bi pravzaprav morale biti prve med varuhi naših podatkov.

Pa si poglejmo konkreten primer. V septembru 2016 je Informacijski pooblaščenec prejel prijavo v kateri je bilo navedeno, da naj UKC Ljubljana ne bi ustrezno zavaroval osebnih in občutljivih osebnih podatkov na svoji spletni strani. Šlo je za spletno stran http://napotnica.kclj.si/, ki pacientom omogoča prijavljanje na preglede v UKC Ljubljana preko spleta. Preko spletne strani, ki sploh ni zaščitena preko HTTPS povezave (!), pacienti UKC Ljubljana posredujejo svoje osebne podatke, vključno s skeniranimi napotnicami.

Inšpekcijski pregled, ki je bil opravljen 9. septembra 2016 je pokazal, da je bilo s preprosto spremembo URL naslova mogoče odpreti “podstran, ki vsebuje osebne podatke zaposlenih in sicer ime in priimek in naslov elektronske pošte” ter pridobiti “dostop do večjega števila zdravniške dokumentacije, vključno z napotnicami, ki vključujejo osebne in občutljive osebne podatke.

Zgodba se s tem seveda ne zaključi. Informacijski pooblaščenec je o ogledu spletne strani in o ugotovitvah sestavil zapisnik št. 0612-181/2016/2, stopil pa je tudi v kontakt z odgovornimi na UKC Ljubljana. Iz UKC Ljubljana so po e-pošti še isti dan (kasneje pa še pisno) Informacijskemu pooblaščencu poslali poročilo o razlogih zaradi katerih je do incidenta po njihovem mnenju prišlo ter o ukrepih, ki so jih izvedli, da bi ranljivost odpravili.

Po mnenju odgovornih na UKC Ljubljana do ranljivosti ni prišlo zato, ker bi bil sistem popolnoma neustrezno zasnovan. Do ranljivosti ni prišlo zato, ker spletna stran ni vsebovala niti najosnovnejših varnostnih mehanizmov. Za ranljivost niso bili odgovorni tisti, ki so spletišče zasnovali v nasprotju z vsemi veljavnimi varnostnimi standardi. Niso bili krivi tisti, ki so opustili dolžno nadzorstvo nad svojimi izvajalci. Ne, kriv je bil – “anonimni napadalec“, ki je “obvestil IP“. Zveni znano?

Po mnenju UKC Ljubljana je bil dostop do navedenih osebnih podatkov posledica varnostne ranljivosti, ki jo je odkril anonimni napadalec. Le-ta je bil po mnenju UKC Ljubljana “zelo verjetno dobro podučen o informacijskem sistemu v okviru katerega so se osebni podatki obdelovali.” Skratka, šlo naj bi za tim. insiderja, ki je pri vsem skupaj najverjetneje imel tudi kakšne skrite namene.

Odgovorni na UKC Ljubljana so v svojem zagovoru tudi poudarili, da javnost ni poznala spornega URL naslova, ki je omogočal dostop do podatkov, pač pa da je do njega dostopal zgolj napadalec. Podatki naj torej ne bi bili javno dostopni. Ali pač?

To so Informacijskemu pooblaščencu dokazali tako, da smo mu posredovali dnevniški zapis s seznamom IP naslovov, ki so dostopali do spornih URLjev. Izpis je dokazoval, da sta do URL povezav dostopala le dva IP naslova – eden je pripadal IP-RS, drugi pa očitno napadalcu. Informacijskemu pooblaščencu so sporočili še seznam ukrepov, ki so jih izvedli za odpravo varnostne ranljivosti in Informacijski pooblaščenec je lahko le ugotovil, “da je zavezanec ugotovljene nepravilnost odpravil” ter ustavil postopek.

Da bi Informacijski pooblaščenec sam zasegel dnevniške zapise spletnega strežnika ter jih neodvisno analiziral, iz dokumentov, ki smo jih pridobili, ni razvidno. Da bi kdo od IP-RS preveril resničnost ostalih navedb zavezanca glede izvedenih varnostnih ukrepov, iz dokumentov, ki smo jih pridobili, tudi ni razvidno. Da bi Informacijski pooblaščenec preveril navedbo zavezanca, da so izvedli “druge tehnične ukrepe za zagotavljanje višje stopnje varnosti” – in preveril tudi kateri so bili ti ukrepi – iz dokumentov, ki smo jih pridobili, ravno tako ni razvidno.

Je pa razvidno, da je bil o incidentu (v popoldanskih urah po obravnavi incidenta na IP-RS) obveščen tudi SI-CERT. In kljub temu, da je bilo navedeno spletišče UKC Ljubljana skrajno nezaščiteno ter široko odprto v splet, in da so bili zaradi tega ogroženi občutljivi osebni podatki številnih posameznikov, Informacijski pooblaščenec o incidentu ni obvestil javnosti. Ne javnosti, ne prizadetih posameznikov. Za razliko od SI-CERTa, katerega naloga niti ni obveščanje javnosti, pač pa zgolj strokovna pomoč pri odpravi incidenta, pa imajo državni organi, ki izvajajo ugotovitvene postopke po Zakonu o splošnem upravnem postopku celo dolžnost k udeležbi v postopek povabiti osebe, za katere ugotovijo, da imajo pravni interes za udeležbo v postopku.

Da bi bil zaradi takšne malomarnosti proti odgovornim sprožen kakšen kazenski postopek, seveda tudi lahko le sanjamo. Še več. Glede na dostopno dokumentacijo so institucije, ki bi morale skrbeti za varnost naših podatkov, zavezancu preprosto verjele na besedo, da je do osebnih podatkov dostopal zgolj napadalec, same pa teh navedb sploh niso neodvisno preverile. Ali je torej prišlo do dejanske zlorabe ter kakšen je bil njen obseg, zato lahko le ugibamo.

Bruce Schneier, znani strokovnjak za informacijsko varnost, je na svojem blogu leta 2007 zapisal: “Popolno razkritje – praksa javnega razkritja podrobnosti varnostnih ranljivosti – je prekleto dobra ideja. Javni nadzor je edini zanesljiv način za izboljšanje varnosti, medtem ko nas tajnost dela samo manj varne.

Verjetno se vsi strinjamo, da naj bo razkrivanje varnostnih ranljivosti odgovorno. To pomeni, da se z objavo podrobnosti počaka dokler ranljivost ni odpravljena, oziroma, dokler ne poteče nek razumen rok, v katerem bi odgovorni ranljivost lahko odpravili, če bi želeli. Skrivanje obstoja ranljivosti po tem, ko je le-ta že zdavnaj odpravljena z izgovorom, da se je s tistim, ki je s svojo malomarnostjo ranljivost pravzaprav povzročil, glede objave potrebno uskladiti, pa z odgovornim razkrivanjem ranljivosti nima dosti skupnega. Prav nasprotno. V tem primeru lahko govorimo kvečjemu o neodgovornem nerazkrivanju, ki spodbuja kulturo skrivaštva in pometanja pod preprogo.

Zakon o varstvu osebnih podatkov v 14. členu določa, da se “pri prenosu občutljivih osebnih podatkov preko telekomunikacijskih omrežij šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom.” Dobrega pol leta po inšpekcijskem pregledu Informacijskega pooblaščenca je spletišče http://napotnica.kclj.si še vedno dostopno zgolj preko nešifrirane HTTP povezave.

 Dostop preko HTTPS povezave nas preusmeri na povsem drugo spletišče, kar kaže na uporabo skupnega gostovanja za eno večjih zbirk osebnih podatkov.

Dostop preko HTTPS povezave nas preusmeri na povsem drugo spletišče, kar kaže na uporabo skupnega gostovanja za eno večjih zbirk osebnih podatkov.

Pravica do pozabe ne velja za osebne podatke, ki se nahajajo v registrih podjetij

Sodišče Evropske skupnosti je včeraj razsodilo, da pravica do pozabe ne velja za osebne podatke, ki se nahajajo v registrih podjetij. Po mnenju sodišča je namreč namen javnosti tovrstnih registrov zagotavljanje pravne varnosti ter varovanje interesov tretjih oseb v razmerju do delniških družb in družb z omejeno odgovornostjo. Te pravice po mnenju sodišča v primeru podjetij, ki nastopajo na trgu ter zastopnikov, ustanoviteljev in nadzornikov teh podjetij, prevladajo nad pravico do zasebnosti.

Sodišče je v svojem mnenju tudi poudarilo stališče, da je dostopnost osebnih podatkov iz registrov podjetij potrebna tudi “več let” po tem, ko podjetje preneha obstajati.

Postopek pred sodiščem je leta 2007 sprožil Salvatore Manni, direktor italijanskega podjetja, ki je zgradilo turistični kompleks v Italiji. Njegovo podjetje kompleksa po izgradnji ni uspelo prodati, saj je bilo iz javnih registrov razvidno, da je bil g. Manni pred tem upravljavec drugega podjetja, ki je leta 1992 bankrotiralo, leta 2005 pa je bilo izbrisano iz registra aktivnih podjetij. A po mnenju sodišča dejstvo, da se potencialni investitorji niso odločili za nakup zato, ker so imeli dostop do zgodovinskega registra, ne opravičuje omejevanja dostopa do teh podatkov. Še zlasti zato, ker imajo te tretje osebe legitimen interes, da razpolagajo s temi informacijami.

Sodišče je sicer dopustilo možnost, da se zgodovinski podatki o podjetjih, ki so izbrisana iz poslovnega registra, lahko izbrišejo, vendar šele “po dovolj dolgem času” o tem pa je potrebno presojati od primera do primera, saj je “nemogoče ugotoviti enoten rok, ob poteku katerega vpis podatkov v register in njihova objava ne bi bila več potrebna“.

S to odločitvijo Sodišča Evropske skupnosti se je za povsem napačno pokazalo stališče Informacijskega pooblaščenca, ki ga je njegova predstojnica Mojca Prelesnik zagovarjala v Državnem zboru v razpravi o sprejemu novele Zakona o sodnem registru. Novelo je namreč leta 2015 v Državni zbor vložilo ministrstvo za pravosodje, namen novele pa je bil omogočiti prosto iskanje po poslovnem registru.

Tedaj veljavni Zakon o sodnem registru je namreč določal, da so podatki o družbenikih, članih uprave in nadzornega sveta sicer javni, vendar le tako, da se sme za posamezen poslovni subjekt ugotoviti, kdo so njegovi lastniki, zastopniki in nadzorniki. Ni pa bilo dovoljeno ugotavljanje v katerih vseh poslovnih subjektih je udeležena posamezna oseba (kot družbenik, zastopnik ali nadzornik). Povedano drugače – posameznik je lahko pogledal kdo je direktor nekega podjetja, a zakon je prepovedoval, da bi nekdo naredil iskalnik, v katerega bi vnesel ime osebe, iskalnik pa bi nato izpisal v katerih družbah je ta oseba bila zastopnik, nadzornik ali ustanovitelj.

Po mnenju IP-RS naj bi pri podatkih iz poslovnega registra šlo za zasebni in ne javni sektor, zato naj bi bilo povsem upravičeno omejiti pravico vedeti. Nasprotniki večje transparentnosti poslovnega registra so ob tem kar pozabili, da kljub temu, da gre za zasebni sektor, gospodarske družbe oziroma poslovni subjekti nastopajo na javnem trgu. Podatki o družbenikih, zastopnikih in nadzornikih so potrebni tako zaradi zagotavljanja varnosti v pravnem prometu v najširšem smislu (tudi delovnopravnem) kot tudi za ugotavljanje obsega premoženja dolžnika s strani njegovih upnikov. Javna objava in možnost prostega iskanja podatkov v poslovnem registru lahko pomaga tudi pri preprečevanju nasprotja interesov. Prav tako je dejstvo, da lastnina ni neka povsem zasebna stvar, ampak ima po 67. členu Ustave RS lastnina tudi gospodarsko, socialno in ekološko funkcijo. Člen 74 Ustave pa tudi določa, da se gospodarska dejavnost ne sme izvajati v nasprotju z javno koristjo. Določbe 38. člena Ustave, ki govori o informacijski zasebnosti, vsekakor niso absolutne, pač jih pa je potrebno upoštevati skupaj z drugimi členi Ustave. Vprašanje udeležbe v poslovnih subjektih tako nikakor ni stvar zgolj zasebnosti, ampak celo Ustava RS poudarja pomen zasebne lastnine na področju skupnega oziroma javne koristi. Iz tega tudi izhaja, da ima javnost povsem upravičen interes do vpogleda oziroma večje transparentnosti tudi na področju zasebne lastnine.

Na koncu je Državni zbor leta 2015 sprejel kompromisni predlog, in povsem prosto iskanje po poslovnem registru še danes ni mogoče.

A kot kaže primer včerajšnje odločitve Sodišče Evropske skupnosti, pravica do zasebnosti v primeru osebnih podatkov iz poslovnih registrov ni absolutna, pomenljivo pa je dejstvo, da je sodišče poudarilo pomen transparentnosti teh podatkov za pravno varnost in pomen legitimnih interesov tretjih oseb, da razpolagajo s temi informacijami, pa četudi gre za povsem zasebni sektor.

Po tokratni razsodbi Sodišča Evropske skupnosti pa se lahko tudi vprašamo koliko transparentnosti pravzaprav sploh zagovarjajo tisti, ki bi pravzaprav morali biti varuhi te pravice. Morda je čas, da se začne razmišljati o razdelitvi Informacijskega pooblaščenca na dva ločena organa – eden bi se ukvarjal s pravico do zasebnosti, drugi pa bi lahko neobremenjeno zagovarjal odprtost in transparentnost.

Iskanje tajnih agentov z oglasi

Pred nekaj dnevi smo lahko brali, da bo britanska obveščevalna služba MI6 nove agente pričela iskati z enominutnim oglasom, ki ga bodo predvajali v kinodvoranah. Britanska agencija se namreč sooča s problemom, da se za delo pri njih zanima podoben profil ljudi, kot je filmski James Bond, ti ljudje pa naj bi imeli tudi precej izkrivljeno predstavo glede tega, kaj pomeni biti agent tajne službe.

Kako pa ta problem rešujemo v Sloveniji?

Pred kratkim je SOVA na fakulteti za računalništvo in informatiko objavila oglas, da “k sodelovanju išče inženirje s področja računalništva, elektrotehnike in matematike za delo na tehničnih projektih povezanih z informacijsko varnostjo“.

Oglas SOVE.

Oglas SOVE.

Kandidati so vabljeni, da svoj življenjepis po e-pošti posredujejo na elektronski naslov, pri čemer morajo datoteke šifrirati po OpenGPG standardu. V oglasu je napisan tudi ID šifrirnega ključa 0xF48FB5FC ter njegov digitalni prstni odtis (5851 C6DE 1AB6 EB3A B95B CD4B A810 F48F B5FC).

Iskanje po OpenGPG strežnikih ključev kaže, da je UID tega ključa naslednji: “Razpis <razpis@1234567890>”. Ključ torej vsebuje “e-naslov” z neveljavno domeno (@1234567890). Kar je seveda dovoljšen razlog, da pobrskamo malce globlje…

Podatki iz strežnika ključev kažejo, da je bil navedeni GPG ključ ustvarjen 8. decembra 2015. A če v iskalniku poiščemo niz “razpis”, bomo našli še en ključ, ki je bil ustvarjen le dan prej (7. decembra 2015), njegov UID pa je <razpis@zaposlitev.local>.

Kot kaže, so pri SOVI najprej ustvarili GPG ključ na katerega so vezali eno izmed svojih lokalnih domen, stari ključ pa je ostal dostopen na strežniku ključev. Morda je nato nekdo prišel na idejo, da razkrivanje lokalnih domen ni ravno nekaj, kar bi si želeli. Uporaba lokalnih domen sicer ni problematična, a le dokler se uporabljajo zgolj znotraj zaprtega omrežja. Ko pa naprava, ki lokalno domeno uporablja, zapusti to omrežje, lahko uporaba lokalnih domen privede do težav, saj potencialnemu napadalcu omogoča, da žrtvi podtakne lažno domeno.

Kakorkoli že. Britanski obveščevalci svoje zaposlene iščejo po kinodvoranah, naši pa na tehničnih fakultetah. Kateri pristop je boljši, pa naj presodi vsak sam.