Toto je definované v ktorom zákone ? A bude sa tým zákonom riadiť aj nejaký black-hat ?
Navyše akýkoľvek bezpečnostný subjekt / projekt môže povedať, že “chyby sme nenašli”, ale nemôže dokázať, že tam chyby nie sú ( pretože dôkaz zastavenia Turingovho stroja ).
Z tohto dôvodu je spracovateľ údajov povinný vykonať také bezpečnostné opatrenia, potencionalnymi únikom predchádzal, identifikoval ich a v prípade výskytu ich rýchlo eliminoval ( IDS / IPS - systémy ). Podľa zverejnených informácií, však NCZI ani nezaznamenalo únik údajov…
Navyše postaviť zabezpečenie údajov na “utajení” rodného čísla môže iba <<…doplní si každý sám…>>
Skúsme inak, kúpiš si trezor za 100M, platíš mesačne 217t za jeho údržbu. Dodávateľ Ťa presviedča, že nikto okrem Teba sa do toho trezora nedostane, dokonca sa bude oháňať papierom s piatimi pečiatkami. A potom ide okolo “priateľ” (bez peciatok) ktorý Ti ukáže ako sa do toho trezora dostať. Na koho podáš trestne oznámenie ?
NCZI lieta z jedného extrému ( totálne zabezpečený a nepoužiteľný systém ) do druhého extrému ( žiadne zabezpečenie ).
Najskôr riešia eHealth, Kde cez VPN otvoria SSH/SFTP, aby mohli poslať zašifrované údaje, ktoré následne rozhadzu po disku, aby ani admin nevedel, že tieto dva recepty patria tej istej osobe. Keď sa následne pokúšajú vyskladať tie dáta, tak ich sem-tam pokúšajú …
Keď im prihara pod zadkom, tak prevezmú aspon eRecept, kde v prvých verziách odovzdali “hesla”/prístupové kódy lekárov v plain textových súboroch, aby ich admini naimportovali do ambulantných/nemocničných systémov. T.j. admin poznal hesla všetkých lekárov a mohol si vyberať cez, ktorého si vypíše eRecept, pričom zodpovednosť zostala na lekárovi.
Následne uniknú údaje o pozitívne testovaných, pretože nejaký “sato” zabudol vypnúť debugovacie API.
A teraz zas, uniknú ďalšie osobné údaje, pretože iný “sato” si myslí, že 910 rôznych možností rodného čísla je dostatočne veľké “náhodne” heslo.
Zaujímavé že oboch prípadoch na únik dát prišlo NZCI až keď im to white-hat oznámili…
Ja preferujem “použiteľný systém s rozumným zabezpečením v ktorom si viem skontrolovať kto/kedy/prečo pristupoval ku mojim údajom s existujúcim systémom riešenia bezpečnostných incidentov.”
Cez zákon 211 som sa snažil riešiť neoprávnený zápis do mojej EZKO. NCZI odpísali, že oni sa tam pozrieť nedokážu a ani to riešiť nebudú…