Odpowiedzialność za dane
W Internecie huczy i grzmi z powodu niedawnego wycieku niedawnej publikacji produkcyjnej bazy danych serwisu wykop.pl (np. blog Piotra Koniecznego), zawierającej m.in. dane użytkowników. O ile wyciek danych z profilu, które i tak są publikowane nie jest tak bolesny, to nazwa użytkownika + niesolony hash hasła + adres e-mail już jest. Jak podaje VaGla wykop.pl miał zarejestrowany zbiór danych osobowych. Pytanie brzmi, czy login + niezabezpieczone hasło + e-mail są danymi osobowymi należącymi do chronionego zbioru?
Skrót dla osób odciętych od świata: Portal wykop.pl ustawił serwer testowy nowej wersji serwisu w taki sposób, że był on dostępny z Internetu. Testowy serwer bazy danych został wypełniony prawdziwymi danymi z produkcyjnej wersji wykopu i niezabezpieczony żadnym hasłem. Po kilku tygodniach od zdarzenia (szantaż ze strony nieznanego sprawcy) odkrył to użytkownik gimbus1xD, który opublikował informacje na ten temat na samym wykopie. Błędy techniczne popełnione na wykopie zostały już wymienione na innych blogach i portalach, błędy PRowe w komentarzach pod oficjalnym wpisem i oficjalną przemową. Na razie cicho jest w sprawie odpowiedzialności za ewentualne szkody.
JedynÄ… metodÄ… postÄ™powania w sprawie szkód wynikÅ‚ych z opublikowania danych, która przychodzi mi na myÅ›l, sÄ… indywidualne pozwy cywilne. Pytania o inny sposób zaÅ‚atwiania tego typu spraw pozostajÄ… bez odpowiedzi. Do tego polskie prawo nie sprzyja poszukiwaniom osoby odpowiedzialnej za taki stan rzeczy, a nawet jÄ… chroni (vide art.267 ust.2 kodeksu karnego). Karnie odpowiada nie administrator, który poprzez zaniedbanie opublikowaÅ‚ dane swoich użytkowników, ale niecny “hakier”, który na tÄ™ publikacjÄ™ trafiÅ‚. Nie ma też obowiÄ…zku informowania użytkowników o tym, że ich dane wyciekÅ‚y, a szybkie poinformowanie użytkowników mogÅ‚oby zapobiec wykorzystaniu ich danych. Brakuje w tym wszystkim równowagi pomiÄ™dzy odpowiedzialnoÅ›ciÄ… użytkownika, a odpowiedzialnoÅ›ciÄ… zarzÄ…dcy systemu informatycznego.
W sieci zaczęły już pojawiać siÄ™ komentarze mówiÄ…ce, że przecież każdemu mogÅ‚o siÄ™ to zdarzyć, nikt nie jest nieomylny. W branży informatycznej, a konkretniej w webdesignie istnieje jednak zbiór dobrych praktyk, które czÄ™sto okazujÄ… siÄ™ wiedzÄ… tajemnÄ…. Te dobre praktyki nie sÄ… jakimiÅ› nieżyciowymi wymaganiami o stosowaniu drutu kolczastego w serwerowni, ale prostymi reguÅ‚ami do których należy siÄ™ stosować, jeżeli nasz serwis przyjmuje dane z zewnÄ…trz (sprawdzaj każdy input, najlepiej przy pomocy gotowych mechanizmów) lub ma przechowywać hasÅ‚a (hashuj hasÅ‚a z tzw. solÄ…, możliwie dÅ‚ugÄ… – tu pozdrowienia dla Allegro). Usprawiedliwianie administratorów, że “tak dużego portalu nie da siÄ™ w 100% zabezpieczyć” przy tego typu zaniedbaniach jest równie trafne, co stwierdzenie, że malowanie pojazdów wojskowych w jaskrawożółte i czerwone naprzemienne pasy to nic zÅ‚ego, bo i tak nie można ich uczynić w 100% niewidzialnymi.
Na razie użytkownikom portali pozostaje tylko siedzieć cicho i mieć nadzieję, że w ulubionych portalach pracują ludzie, którzy wiedzą co robią. Niestety prawo nie daje możliwości wyciągnięcia szybkich i automatycznych (bez siedzenia w sądzie przez kilka lat) konsekwencji wobec administratora serwisu internetowego. Może czas zacząć bezwzględnie wymagać rozsądku od użytkowników Internetu?
Tags: bezpieczeństwo, webdesign
