ehm, nechapem. Co sa da spravit ? Hromadne im zmenit mena, prestahovat ich a zmenit RC ? 
Vsetci co boli testovani vedia ze ich data zrejme unikli, ale zase nerobme z toho svetovu katastrofu. Je to hlavne reputacny problem, nie priamo ohrozenie ludi. Ano, zrejme budu castejsie obetou pokusov o zneuzitie identity, ale to nam hrozi vsetkym. Z kazdej knihy navstev sa daju podobne udaje ukradnut ( nie v takom mnozstve a tak lahko).
1 Like
Ze co sa da spravit? Pozri si ake kroky podnikol Singapur tusim v 2018, ked sa mu take stalo.
Informoval ludi o tom, com im mozno v dosledku incidentu hrozi. Poskytol navody, na co si dat pozor. Informoval co mozu spravit na svoju ochranu…atd…atd…proste cielene awareness.
2 Likes
ok, to by slo.
Bežný človek netuší ake to ma dopady na jeho život. Ma/nemá si ist zablokovať kartu v banke? Môžu teraz hackeri volať na jeho telefónny účet? Môže sa stat ze si niekto na jejo udaje vybaví úver? Ma si ísť vybaviť nový občiansky? Atd atď. Proste treba jasne informovať aké opatrenia ma obcan prijat a prečo.
2 Likes
zda sa ze taktika NCZI je teraz zapierat, zapierat. A ked to nejde, tak priznat len minimum. Tvrdia ze ziadne data neunikli. Mozne bolo ze to nevedia zistit, ale pokial to zistuju ti co to programovali, tak mam velke obavy o uveritelnost.
Obávam sa, že sa toho nedočkáme, presnejšie že v súčasnej štátnej správe sa nenájde nikto, kto by sa toho chopil. Ale - keď si už spomínal príklad Singapúru, tak tam iniciatívu prejavili aj ďalšie inštitúcie - napr. Monetary Authority of Singapore (centrálna banka), ktorá nariadila všetkým finančným inštitúciam sprísniť procedúry overovania identity klientov tak, aby tieto nezáviseli len od údajov, ktoré unikli, a tiež aby vykonali posúdenie dôsledkov toho útoku na bezpečnostné opatrenia pre finančné služby, poskytované klientom. Bolo by fakt pekné, keby sa niečo podobné, hoci aj v menšom rozsahu, udialo aj u nás - ale príliš v to neverím.
1 Like
Ak tam neni nieco co presne audituje odchadzajuce data - teda neda sa dokazat ani ci unikli alebo neunikli. Treba sa spravat tak ze data unikli. Aby nahodou raz ti co o nich data unikli a oni uverili ze nic sa nestalo nezostali prekvapeni.
@janhargas @Lubor co keby s.d napísalo vyzvu určenú trebars uoou, nar. centru pre kb, nbu apod., aby prijalo opatrenia a postupy pre riadene zvládanie dopadov bezpečnostných incidentov na poškodených občanov , explicitne informovanie o tom co hrozí/nehrozí vlastníkom uniknutych údajov?
2 Likes
Bolo by to pekné a ja to určite podporujem, ale … ak sa to pojme tak, že by mal niekto také opatrenia a postupy centrálne určiť, obávam sa, že sa to utopí v kompetenčných sporoch (ak teda vôbec bude chuť sa toho chopiť). Možno by bola lepšia všeobecnejšie adresovaná výzva na viacerých adresátov, aby sa zamysleli nad tým, či/ako by sa v sfére ich pôsobnosti mohli zneužiť údaje, ktoré unikli v tomto prípade a prijali vhodné opatrenia, resp. informovali verejnosť. Ale ani v SK-CERT by nemuseli čakať na konkrétne prípady zneužitia - keď už vydávajú rôzne varovania, mohli by sa aj sami zamyslieť, čo môže hroziť v dôsledku úniku takých údajov (napríklad vydieranie) a zverejniť varovanie.
No tak zasa nedramatizujme. Kombináciu meno, priezvisko, dátum narodenia, RČ, pohlavie, adresa viem pre desiatky ľudí a nie je ju obzvlášť ťažké zistiť pre cieleného človeka. Napr. viem to pre Teba. Triasol si sa doteraz, že si na Tvoje meno vybavím úver?
Nápad pekný. Čo si presnejšie pod takým postupom predstavuješ? Všeobecné veci už sú v zákone, každý incident je iný, čiže aj postupy budú iné.
Napr. štátom platená psychologická pomoc (poznáme príklady z komerčného sveta pri podobných incidentoch)?
Bežne web server loguje všetky req., čiže aj prístupy na príslušnú API. Stačí teda dohľadať v logoch všetky volania API a preveriť IP adresy. Isteže môže sa stať že niektoré záznamy sa nebudú dať spoľahlivo doriešiť, ale keďže zrejme aplikácia ktorá API legitímne používala má nejaký štandardný postup volaní, nemal by byť problém odlíšiť legitímne a iné volania.
Súhlasím že vzhľadom na hrubé chyby pôvodného tímu dôveryhodný audit musí spraviť niekto iný.
Nie, nebol dovod. Ale. Niečo mi uslo a medzičasom si sa stal súčasťou digitálneho podsvetia a mam sa začať bat? 
Na začiatkok by stačilo, keby incident manažment vo vzťahu k občanom neskončil jeho oznámenim
ak uz nie je neskoro, jednoducho kroky NCZI od zaciatku kauzy su velmi divne. A obhajoba typu “co mozem ine ako verit svojim ludom” je desiva. Este by sa mohli aj modlit. A snaha z toho spravit nejake osobne zlyhanie ? Je to celkom jasne systemovy problem.
Občanom riaditeľ Bielik odkazuje, že súčasné zabezpečenie skontrolovali. „Boli vykonávané nejaké kontroly, myslím si, že boli podstatne kvalitnejšie a hlbšie,“ opísal s tým, že sa môže len spoľahnúť na svojich zamestnancov.
Fakt ma prekvapuje, že špecialista na bezpečnosť sa zníži na argumentačnú úroveň bývalého ministra vnútra v známom prípade bezpečnosti eID kariet (“no tak hacknite moju eID kartu”) … očakával by som trochu viac serióznosti ako aj viac predstavivosti. Ak na rozsiahlu vydieračskú kampaň stačí vedieť, že sa nájde dosť ľudí ktorí majú radi pornografiu (tie známe maily typu “hackol som tvoj počítač a nahral som si, čo robíš pri pozeraní porna”), prečo by sa niekto nemohol pokúsiť využiť napríklad už len samotný fakt, že MOŽNO unikli údaje testovaných na covid (masové rozosielanie mailov typu “našiel som tvoje údaje v uniknutej databáze, ak <vydieračská podmienka>, oznámim všetkým susedom/kolegom/… že si mal(a) pozitívny test na covid”)?
Ked uz tu rozdavame napady, ako zneuzit tieto data, tak by sa to dalo nasypat aj do systemov kde RC sluzi ako identifikator. Trebars taky internetbanking a zablokovat tam masovo pristup ludom. Sice tym nic neziskam, ale nejaku skodu tym banke urobim.
ALe predsa tu je iny problem (aklo rodbne cislo), a to ten, ze kto bol testovany a s akym vysledkom. To sa predsa da zneuzit. To je ako keby som malk zoznam kto ma aku rakovinu ci HIV … to su data ktore majhu byt pod najvacsou ochranou
To vsetko je samozrejme mozne. Ale to hlavne sme zabudli povedat:
Je to tazke porusenie zakona o ochrane osobnych udajov. Ano ak mam telefonny zoznam mam kopu osobnych udajov, ale ak k nim pridam rodne cislo a zdravotny stav co je osobitne chraneny osobny udaj a vynasobim to 390 000 tak uz to take jednoduche ako kolega napisal neni.
Pre tych postihnutych obcanov tymto vznikla neistota bude moje udaje niekto zneuzivat ci nebude?
Ak je pravdepodobnost ze budu moje udaje zneuzite ako sa viem proti tomu branit? Ponesie stat nejaku zodpovednost ak by niekto mojim menom niekomu sposobil skodu? Atd…
to ze je porusenie zakona je jasne, a pokutu dostanu. Ale aby si dostal odskodnenie od statu tak by si musel stat zalovat a to ma nejasny koniec. Nie su k tomu ziadne precedensy.
Smutné je, že práve ľudia, ktorí sa bez vlastného zavinenia stali (potenciálnymi) obeťami bezpečnostného incidentu, sú obvykle mimo záujmu autorít či médií … teda aspoň na Slovensku, v Singapúre - ako tu už bolo spomenuté - sa k tomu postavili inak.
1 Like