Expert z ÚOOÚ: Nepovoľujem prístup len preto, že si to aplikácia žiada

Expert z ÚOOÚ: Nepovoľujem prístup len preto, že si to aplikácia žiada

Pri príležitosti Dňa ochrany osobných údajov (28. január) si pre vás redakcia CyberSec.sk pripravila obsiahly rozhovor s riaditeľom odboru informačnej bezpečnosti a certifikácie Úradu na ochranu osobných údajov (ÚOOÚ) Martinom Oczvirkom. V rozhovore sa dočítate:

  • ako sa (ne)rieši ochrana osobných údajov vo firmách,
  • ako chrániť svoje osobné údaje v smartfónoch,
  • z ktorých sektorov najčastejšie unikali osobné údaje,
  • čo môže mať za následok únik citlivých údajov z lekárskych záznamov.

Čo je základom bezpečnosti pri ochrane osobných údajov?

GDPR definuje len vo všeobecnosti zavedenie primeraných bezpečnostných opatrení. Ak by sme to veľmi zjednodušili, tak potom je to stanovenie si základných bezpečnostných pravidiel v podniku, takzvaných organizačných a technických opatrení. V organizačnej časti si je potrebné definovať bezpečnostné politiky, pravidlá a zodpovedné osoby. Je treba určiť zoznam aktív, kde osobné údaje spracovávam a uchovávam. Potom definovať riziká vzťahujúce sa k týmto aktívam a nastaviť vhodné opatrenia. Z hľadiska prístupov k údajom postupovať podľa zásady „potreba vedieť“ a definovať každému zamestnancovi len nevyhnutné prístupy a oprávnenia. Potom je to technologická časť bezpečnostných opatrení. Dôležité je mať definované zálohovacie procedúry, plány obnovy systémov, incident manažment. K tomuto sa vzťahuje aj pravidelný tréning zamestnancov, aby vedeli, ako reagovať pri bezpečnostnom incidente, na koho sa majú obrátiť a kam majú hlásiť potrebné informácie o incidente.

Aké technológie treba použiť?

Technológií je celá rada. Vo všeobecnosti treba zaviesť bezpečnostné technické opatrenia na sieť a zariadenia. Ďalej by to mali byť antimalvérové nástroje, ľudovo povedané antivírusový softvér, šifrovacie nástroje, elektronické skartačné nástroje. Čo sa týka sietí, určite minimálne štandardy ako firewall, IPS, SIEM. Potom sú to už rôzne ďalšie bezpečnostné nástroje a procedúry ako nástroje na odhaľovanie zraniteľností. Ako som uviedol, technológií je vždy nepreberné množstvo, ale vždy si musíme zvážiť cenu nákladov a cenu aktív, ktoré spravujeme. Opatrenia by nemali byť drahšie ako samotné aktívum.

S akými problémami sa firmy najčastejšie stretávajú pri implementácií bezpečnostných riešení?

Z osobných skúseností viem povedať, že sú to skoro vždy financie na bezpečnosť a personál. Žiaľ, bezpečnosť je skoro vždy niekde na konci chvosta priorít firiem. Poväčšine sa do bezpečnosti začne investovať v prípade incidentov alebo ak na firmy tlačí legislatíva. Otázkou je aj samotné zavedenie – firmy nevedia ako bezpečnosť uchopiť. Urobí sa napríklad analýza rizík, ktorá nepokryje všetky oblasti alebo sa len formálne akceptujú riziká. V praxi sa stretávame s prípadmi, keď si organizácie zaplatia externých špecialistov na zavedenie bezpečnosti, ktorí nastavia určitý stupeň opatrení. Avšak, časom po ich odchode sa všetko vracia do starých koľají. Zavládne názor, že „bezpečnosť už máme a sme v pohode”. Bezpečnosť treba neustále dodržiavať a vylepšovať. Je treba vykonávať pravidelné zvyšovanie bezpečnostného povedomia, pretože práve veľa útokov sa vedie cez najslabšie články v bezpečnostnom reťazci a tými sú ľudia.

Firmy často GDPR vytýkajú, že pre nové pravidlá museli veľa investovať do ochrany osobných údajov. Majú v tom smere teda výhodu väčšie podniky nad menšími?

Je to podľa mňa individuálne. Menšie podniky môžu reagovať pružnejšie. Väčšie majú často výhodu vo financiách  na pokrytie bezpečnosti. Čo sa týka zabezpečenia, existuje celá rada open-source produktov, ktoré sa výborne hodia na bezpečnosť. Vždy to závisí od veľkosti infraštruktúry. Osobne si myslím, že najväčšia investícia má ísť do špecialistu na bezpečnosť. Ani najdrahšia technológia vám nepomôže, ak nemáte na jej správu schopného človeka.

Ako by mala firma postupovať v prípade úniku dát? Na koho sa obrátiť?

Tu existuje viac pohľadov. Z hľadiska GDPR existuje povinnosť nahlásiť takúto udalosť podľa článku 33 ÚOOÚ SR. Tento článok hovorí, že v prípade porušenia ochrany osobných údajov prevádzkovateľ bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín po tom, čo sa o tejto skutočnosti dozvedel, incident nahlási. Na webovej stránke úradu máme na to konkrétny elektronický formulár. Z hľadiska krádeže je treba zvážiť trestné oznámenie.

GDPR malo svojimi vysokými pokutami prinútiť spoločnosti starať sa o dáta svojich zákazníkov lepšie. Ako sa to podľa vás darí? Myslíte, že je to efektívny spôsob ako prinútiť spoločnosti zlepšiť ochranu osobných údajov?

Môj osobný názor je, že kde je nejaká sankcia alebo hrozba trestu, tak tam sa pristupuje k problematike dôslednejšie. Všetko nám ukáže čas a štatistiky. GDPR je v podstate stále relatívne čerstvé nariadenie.

Ako má bežný občan chrániť svoje osobné údaje v kybernetickom priestore? Akým chybám sa vyhnúť?

Svoje osobné údaje treba poskytovať len v nevyhnutnom rozsahu. Ak registračný formulár na webe žiada minimum údajov ako meno alebo e-mail, tak určite netreba vypĺňať dátumy narodenia, pohlavie, fotku a podobne. Pri prehliadaní na internete používať bezpečnostné šifrovacie protokoly SSL, TLS. Neukladať si svoje bankové údaje z platobnej karty. Vždy si prečítať, čo mi hláška na webe chce povedať a nie rýchlo odkliknúť tlačidlo OK. Nezabúdať ani na nastavenie cookies. Povoliť len nevyhnutné cookies a zakazovať cookies tretích strán. Používať rôzne heslá a nie jedno heslo na všetky prihlásenia. Nepoužívať jednoduché heslá ako meno alebo heslo, ktoré si vie niekto ľahko odvodiť. Používať dvojstupňovú autentifikáciu buď cez SMS, e-mail, alebo nejaký iný spôsob. Určite si treba zachovať určitý stupeň anonymity. Treba preto využívať aj VPN-ky.

Veľa osobných údajov má bežný človek aj na mobilných zariadeniach. Ako si ich chrániť?

Do mobilného zariadenia by sme nemali inštalovať zbytočné aplikácie, ktoré nepoužívame. Ak si nejakú aplikáciu potrebujem nainštalovať, vždy je dobré, aby bola od renomovaného tvorcu. Pri používaní prihlasovania sa do aplikácií využívať dvojstupňovú autentifikáciu. Potom tu sú jednotlivé prístupy, o ktoré aplikácie žiadajú. Nepovoľujem prístup len preto, že si to aplikácia žiada. Ak napríklad používam bežeckú aplikáciu a tá žiada povoliť prístup ku kamere a mikrofónu, tak sa musím pýtať „prečo?”. V zariadeniach si treba vypínať nepotrebné služby, pokiaľ ich práve nepoužívam. Napríklad Bluetooth alebo lokalizačné služby, ktoré nám pridávajú ďalšie údaje k fotkám. Ja osobne si myslím, že majiteľ mobilného zariadenia by mal mať nainštalovanú aj antimalvérovú aplikáciu.

V minulom roku vyvolali pochybnosti o ochrane súkromia používateľov mobilné aplikácie Faceapp alebo ZAO. Dnes sú to Tinder a Grindr. Na čo je treba dať si pri podobných aplikáciách pozor? Sú podľa vás dôveryhodné?

Otázkou je, prečo chcem poskytovať nejaké osobné údaje takejto aplikácii? Vždy treba vychádzať z predpokladu, že tieto údaje sa nejakým spôsobom môžu analyzovať. Určite netreba poskytovať alebo zdieľať citlivé osobné informácie intímneho charakteru, či už fotky alebo statusy. Táto konkrétna štúdia [o aplikáciách Tinder a Grindr, pozn. redakcie] od Norwegian Consumer Council odhalila porušenie GDPR. Aplikácie údajne zdieľali údaje používateľov ako sexuálne preferencie, osobnostné údaje a presnú lokalizáciu reklamným spoločnostiam. V týchto konkrétnych prípadoch sa jednalo hlavne o nejasné vysvetlenie informácie v súhlase používateľa, komu sa údaje budú poskytovať. V aplikáciách taktiež chýbali možnosti na nastavenie či chcú používatelia zdieľať údaje s tretími stranami. Vo všeobecnosti však nezdieľať citlivé osobné statusy ani fotografie.

Evidujete v minulom roku nejaký závažný kybernetický útok na Slovensku, ktorý mal za následok únik osobných údajov?

Áno, evidujeme. Je ich niekoľko. Jednalo sa o kybernetické útoky hekerov ako aj útoky s pomocou ransomvéru. Došlo k úniku, respektíve ku krádeži bankových údajov o klientoch zariadenia. Útočník využil bezpečnostnú chybu v používanom systéme. Potom útoky ransomvérom, ktoré zašifrovali databázu klientov.

Z ktorých sektorov unikali dáta najčastejšie?

Kybernetické útoky boli smerované najčastejšie na súkromný sektor. Išlo o spoločnosti zamerané na služby cestovnom ruchu a transakčné služby.

Koľko ransomvérových útokov vám firmy nahlásili v minulom roku?

V roku 2019 bol nahlásený jeden útok ransomvérom. Išlo o súkromný sektor v oblasti poskytovania služieb.

Podľa Kaspersky Lab sa kyberzločinci v roku 2020 zamerajú na krádež lekárskych záznamov z nemocníc. Ako ich dokážu zužitkovať a s akými rizikami má pacient v takom prípade počítať?

Údaje týkajúce sa zdravia sú naozaj citlivé a môžu jednak slúžiť ako nástroj na vydieranie alebo sa z takýchto údajov dajú vytvoriť profily vhodnosti na povolanie alebo do nejakej štúdie. Ak má človek nejaké pohlavné infekčné ochorenie, toto môže slúžiť ako nástroj na vydieranie alebo diskreditáciu. Ak má pacient nejaké telesné alebo duševné defekty, potencionálny zamestnávateľ potom vie takéhoto uchádzača vyradiť. V podstate by to pripomínalo scenáre z filmu Gattaca.