Ochrona danych osobowych, która nikogo nie chroni czyli o GIODO i przeregulowaniu rynku

Jakiś czas temu testowałem Freshmaila. Jest to narzędzie online do wysyłania newsletterów. Zaskoczyło mnie jak duże wymogi są tam dotyczące hasła. Hasło musi mieć min. 8 znaków, liczbę i znak specjalny, trzeba zmieniać je raz na miesiąc i nie może być wtedy takie samo jak 25 poprzednich haseł. Ostatnio jeszcze natrafiłem na dodatkową fosę w postaci blokady adresu IP po 2 błędnych próbach zalogowania się. Co ciekawe po zablokowaniu IP musiałem czekać kilka minut zanim mogłem wysłać sobie przypomnienie na mejla.

W każdym bądź razie dostęp do konta na Freshmail jest tak zabezpieczony, że samemu czasem będziesz miał problem tam wejść. Trochę irytujące, tym bardziej, że do karty bankomatowej mam pin składający się z czterech cyfr i nie blokuje mi karty po dwóch błędnych próbach. No ale adresy e-mail to coś więcej niż grosze na moim koncie. Czy da się obliczyć jaka jest wartość “czarnorynkowa ” bazy mejlowej? Owszem. Na Ukrainie można kupić wysyłkę spamu do niemal 40 mln kont Polaków kosztuje podobno 1000 dolców. Więc jeśli masz bazę 300 mejli to na czarnym rynku jest ona warta 2 grosze. No co na to poradzę, że tyle wychodzi? Nie sądzę, żeby ktokolwiek rzucił się na taką bazę korzystając z tęczowych tablic, sztuczek socjologicznych i luk w oprogramowaniu aby zarobić 2 grosze. Czemu więc Freshmail robi aż takie zabezpieczenia?

Nikt przy zdrowych zmysłach przecież nie utrudniałby bez przyczyny życia swoim użytkownikom. W wędrówce po sieci trafiłem w końcu na powód. Strona GIODO pokierowała mnie do Rozporządzenia Dz. U. z 2004 r. Nr 100, poz. 1024. Jest to dokument z 2004 który nazywa się “w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych”.

Określa on 3 poziomy bezpieczeństwa, z czego trzeci, najwyższy dotyczy danych osobowych zgromadzonych w sieci publicznej (internet). Dwa poniższe poziomy dotyczą baz danych osobowych np. w firmach na komputerach nie podłączonych do sieci. Jakie wymogi co do hasła stawia to rozporządzenie?

Czytaj podobne  Zaczyna się internetowa rewolucja a Ty jesteś jej wojownikiem!

poziom podstawowy

“W przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni. Hasło składa się co najmniej z 6 znaków.”

poziom podwyższony

“Hasło składa się z co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne.”

poziom wysoki

Poziom wysoki nie ma wymogów co do hasła więc zakładam, że musi obejmować wymogi w niższych poziomach, ni mniej ni więcej:

  • Minimum 8 znaków
  • Małe i wielkie litery
  • Cyfry albo znaki specjalne
  • Zmiana co najmniej raz na  30 dni

I nagłe wyjaśnia się skąd Freshmail ma takie obostrzenia.

Czy naprawdę wymogi co do haseł muszą być aż tak ostre? Eksperci od bezpieczeństwa powiedzą oczywiście, że hasło powinno mieć przynajmniej 6 znaków i jakieś znaki specjalne, żeby nie można było go złamać łatwo. Oczywiście to prawda. Ale nie o to pytam.

Pytam, czy prawo powinno wymuszać tak wyśróbowane środki bezpieczeństwa?

Niektórzy powiedzą, że tak, bo przecież zbiór 200 mejli jest tak bezcenny, że trzeba poświęcić wszystko aby go chronić. No cóż, moi drodzy, przykro mi ale oddaliście już swoje mejle za darmo i dobrowolnie na różnych forach, zakładając konto pocztowe, konta na serwisach społecznościowych, a jeżeli gdzieś na stronie podałeś e-mail to nieskończona liczba spamerów ma Twój mejl w swojej bazie danych. I te obostrzenia nie uratują Cię przed niczym.

No chyba, że chcesz ukryć na jaki newsletter zapisałeś się. To oczywiście pewien argument, nikt nie chciałby ujawniać jakie różowe materiały subskrybuje. Ale pomijając parę tematów jak seks itp. jest coś o czym nie chciałbyś żeby inni się dowiedzieli? No oczywiście.

Pracujesz jako grafik, a jesteś zapisany na kurs hotelarski? – obecny szef nie powinien wiedzieć. Przykładów można by mnożyć. Ale dalej – czy sądzisz, że hakerzy specjalnie by poświęcali setki godzin, aby wykraść hasło admina Twojej listy subskrypcyjnej i szantażować Cię ujawnieniem prawdy szefowi? Toż to raczej paranoja, a nie zdrowy rozsądek.

Czytaj podobne  Podatek od piractwa i kserowania - już wiem ile płacimy

No dobrze, ale powiedzmy, że newsletter jest na temat drażliwy np. porady dla osób dotkniętych przemocą w rodzinie. Nie chcielibyśmy, żeby taka lista wyszła na jaw. A czy twórca newslettera by chciał? Zapewne on też nie, bo oprócz zarzutów karnych i więzienia straciłby cały szacunek i jego cała praca poszłaby nie tylko na marne, ale by mógł dodatkowo zaszkodzić osobom, którym pomóc chciał.

Jednak na co dzień nie sądzę, żebyśmy zapisywali się na wiele newsletterów o których ukrywalibyśmy przed wszystkimi informacje.

A rozporządzenie zakłada, jakby każda baza danych osobowych zawierała tak wrażliwe dane.

Zapisałem się na newsletter McDonalda – wielka rzecz. Najwyżej kilka osób dowie się, że przybyło mi parę kilogramów. Co za problem.

Pomyślicie, że jednak mimo wszystko takie reguły są dobre, bo jednak chronią dane osobowe bo przecież admin może wpisać hasło 123 do konta newslettera o AIDS. No dobrze, niech Wam będzie.

Załóżmy więc na chwilę, że te obostrzenia jednak miałyby ratować jakieś bazy.

No cóż… nie ratują.

Jeżeli spojrzycie na ostatnie wycieki baz danych w Polsce to żaden nie dotyczył zbyt prostego hasła.

Rozporządzenie powstało w 2004, teraz mamy 2011, a w międzyczasie mimo GIODO i mimo rozporządzenia wyciekły:

baza Wykop.pl

baza Filmweb.pl

baza Joemonster.org

baza CV PKO

baza deviantART

a nawet dane użytkowników Wrocławskiej Karty Miejskiej

“wyciekła” też baza klientów Play

wyciekła “jakaś” baza 10 tysięcy haseł

Ani rozporządzenie ani GIODO tych danych nie uratowało.

Po co więc wymuszać takie zabezpieczenia dla haseł skoro dane i tak wyciekają?

Czy nie jest to przesada?

No cóż nie wiadomo co by było gdyby hasła były krótsze… chociaż?

A gdyby sprawdzić jakie wymogi mają najbardziej popularne usługi newsletterów na świecie?

Aby to zrobić skorzystałem ze strony Mashable, skąd wziąłem 10 usług międzynarodowych + 2 polskie (GetResponse(polskie?) i Freshmail):

Czytaj podobne  Wikileaks i wojny medialne

Jak widać tylko dwa zagraniczne serwisy spełniają wymogi rozporządzenia co do długości hasła.

Wymóg liczb spełnia tylko 1 serwis zagraniczny

Natomiast żaden nie wymusza zmiany hasła co max. 30 dni jak wymaga rozporządzenie.

Jeżeli jeszcze przyznamy punkt za każdy stopień bezpieczeństwa możemy przestawić wynik na osi wygoda – bezpieczeństwo:

Co z niego widać? Po pierwsze Freshmail jest wyjątkowo restrykcyjny jeżeli chodzi o hasła, o wiele bardziej niż wymaga tego rozporządzenie.

Drugi wniosek jest dosyć ciekawy i dlatego napisałem ten wpis.

Otóż jak widzicie, wymogi ustawowe są najbardziej wychylone w prawo względem testowanych serwisów międzynarodowych.

Serwisy międzynarodowe nie mają takich obostrzeń, a jakoś nie słychać żeby jakieś dane z tych systemów wyciekały.

Innymi słowy tam gdzie praktyka pokazała, że wystarczą mniejsze obostrzenia co do hasła, teoria (ustawodawca polski) uznał, że trzeba zaostrzyć regulacje.

Niestety taka praktyka wpisuje się w dłuższą niechlubną modę w Polsce.

W Polsce prawo tworzone jest często nad wyrost.

Prawo jest tworzone dla skrajnych przypadków.

W prawie polskim brakuje często zdrowego rozsądku.

Polskie prawo pisane jest dla korporacji, a wymuszane na małych firmach.

No i tracą na tym niestety polscy usługodawcy. Bo każde nowe rozporządzenie, które nakłada nowe wygórowane obowiązki na firmy powoduje, że ich koszty rosną i firmy te mają coraz gorzej w konkurencji z podmiotami zagranicznymi. A wiadomo, że podmiot zagraniczny może przyciągać i przyciąga polskich internautów – wystarczy, że wprowadzi polską wersję językową.

To nie jest odosobniony przypadek. Różnych przypadków przeregulowania jest więcej i dopóki niedawno mnie to slabo obchodziło, teraz mnie martwi bo ustawodawca z nudów zaczyna dobierać się do technologii.

A jak czytam pompatyczne regułki pisane stylem gimnazjalisty jak “powinnością nowoczesnego państwa europejskiego jest promowanie europejskiej twórczości audiowizualnej”  naprawdę zaczynam się martwić o to, kto ustanawia u nas prawo i  żeby przypadkiem ustawodawca nie zgasił przez swoją głupotę szansy jaką internet otworzył polskim innowatorom.

Przeczytaj też

Zaczyna się internetowa rewolucja a Ty jesteś jej ... Telewizja, kino i muzyka upadają. Tylko Ty jesteś w stanie zmienić ten stan rzeczy. Masz wszystko co jest potrzebne, żeby rozpocząć internetową rewolu...
Wikileaks i wojny medialne Dzisiaj trochę offowo, o WikiLeaks i wojnach medialnych jakich doświadczamy w ostatnich tygodniach. My żyjąc sobie tutaj w pokojowych warunkach od ...
Podatek od piractwa i kserowania – już wiem ... Czy zdarzyło Ci się kopiować książki podczas studiów? Albo nagrywać na pendrive albo płytę DVD film albo muzykę bez zgody autora? Bardzo wielu ludzi t...
Piractwo a pożytki dla twórców Tydzień temu udostępniłem video kurs w sieci Torrent. O zgrozo - myślą ci z Was którzy są twórcami, przecież to siedlisko piractwa. I z pewnością maci...
Regulamin NK vs FB Wokół nowego regulaminu NK.pl wybuchła burza dlatego postanowiłem przyjrzeć się regulaminowi Facebooka i Naszej Klasy i zobaczyć skąd ta panika. Okazu...
Napisano w Prawo