Ochrona danych osobowych, która nikogo nie chroni czyli o GIODO i przeregulowaniu rynku

Jakiś czas temu testowałem Freshmaila. Jest to narzędzie online do wysyłania newsletterów. Zaskoczyło mnie jak duże wymogi są tam dotyczące hasła. Hasło musi mieć min. 8 znaków, liczbę i znak specjalny, trzeba zmieniać je raz na miesiąc i nie może być wtedy takie samo jak 25 poprzednich haseł. Ostatnio jeszcze natrafiłem na dodatkową fosę w postaci blokady adresu IP po 2 błędnych próbach zalogowania się. Co ciekawe po zablokowaniu IP musiałem czekać kilka minut zanim mogłem wysłać sobie przypomnienie na mejla.

W każdym bądź razie dostęp do konta na Freshmail jest tak zabezpieczony, że samemu czasem będziesz miał problem tam wejść. Trochę irytujące, tym bardziej, że do karty bankomatowej mam pin składający się z czterech cyfr i nie blokuje mi karty po dwóch błędnych próbach. No ale adresy e-mail to coś więcej niż grosze na moim koncie. Czy da się obliczyć jaka jest wartość “czarnorynkowa ” bazy mejlowej? Owszem. Na Ukrainie można kupić wysyłkę spamu do niemal 40 mln kont Polaków kosztuje podobno 1000 dolców. Więc jeśli masz bazę 300 mejli to na czarnym rynku jest ona warta 2 grosze. No co na to poradzę, że tyle wychodzi? Nie sądzę, żeby ktokolwiek rzucił się na taką bazę korzystając z tęczowych tablic, sztuczek socjologicznych i luk w oprogramowaniu aby zarobić 2 grosze. Czemu więc Freshmail robi aż takie zabezpieczenia?

Nikt przy zdrowych zmysłach przecież nie utrudniałby bez przyczyny życia swoim użytkownikom. W wędrówce po sieci trafiłem w końcu na powód. Strona GIODO pokierowała mnie do Rozporządzenia Dz. U. z 2004 r. Nr 100, poz. 1024. Jest to dokument z 2004 który nazywa się “w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych”.

Określa on 3 poziomy bezpieczeństwa, z czego trzeci, najwyższy dotyczy danych osobowych zgromadzonych w sieci publicznej (internet). Dwa poniższe poziomy dotyczą baz danych osobowych np. w firmach na komputerach nie podłączonych do sieci. Jakie wymogi co do hasła stawia to rozporządzenie?

Czytaj podobne  4 startupy dziennie to niedużo

poziom podstawowy

“W przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni. Hasło składa się co najmniej z 6 znaków.”

poziom podwyższony

“Hasło składa się z co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne.”

poziom wysoki

Poziom wysoki nie ma wymogów co do hasła więc zakładam, że musi obejmować wymogi w niższych poziomach, ni mniej ni więcej:

  • Minimum 8 znaków
  • Małe i wielkie litery
  • Cyfry albo znaki specjalne
  • Zmiana co najmniej raz na  30 dni

I nagłe wyjaśnia się skąd Freshmail ma takie obostrzenia.

Czy naprawdę wymogi co do haseł muszą być aż tak ostre? Eksperci od bezpieczeństwa powiedzą oczywiście, że hasło powinno mieć przynajmniej 6 znaków i jakieś znaki specjalne, żeby nie można było go złamać łatwo. Oczywiście to prawda. Ale nie o to pytam.

Pytam, czy prawo powinno wymuszać tak wyśróbowane środki bezpieczeństwa?

Niektórzy powiedzą, że tak, bo przecież zbiór 200 mejli jest tak bezcenny, że trzeba poświęcić wszystko aby go chronić. No cóż, moi drodzy, przykro mi ale oddaliście już swoje mejle za darmo i dobrowolnie na różnych forach, zakładając konto pocztowe, konta na serwisach społecznościowych, a jeżeli gdzieś na stronie podałeś e-mail to nieskończona liczba spamerów ma Twój mejl w swojej bazie danych. I te obostrzenia nie uratują Cię przed niczym.

No chyba, że chcesz ukryć na jaki newsletter zapisałeś się. To oczywiście pewien argument, nikt nie chciałby ujawniać jakie różowe materiały subskrybuje. Ale pomijając parę tematów jak seks itp. jest coś o czym nie chciałbyś żeby inni się dowiedzieli? No oczywiście.

Pracujesz jako grafik, a jesteś zapisany na kurs hotelarski? – obecny szef nie powinien wiedzieć. Przykładów można by mnożyć. Ale dalej – czy sądzisz, że hakerzy specjalnie by poświęcali setki godzin, aby wykraść hasło admina Twojej listy subskrypcyjnej i szantażować Cię ujawnieniem prawdy szefowi? Toż to raczej paranoja, a nie zdrowy rozsądek.

No dobrze, ale powiedzmy, że newsletter jest na temat drażliwy np. porady dla osób dotkniętych przemocą w rodzinie. Nie chcielibyśmy, żeby taka lista wyszła na jaw. A czy twórca newslettera by chciał? Zapewne on też nie, bo oprócz zarzutów karnych i więzienia straciłby cały szacunek i jego cała praca poszłaby nie tylko na marne, ale by mógł dodatkowo zaszkodzić osobom, którym pomóc chciał.

Czytaj podobne  Jak zmienić nazwę i ikonę zakładki na Facebooku?

Jednak na co dzień nie sądzę, żebyśmy zapisywali się na wiele newsletterów o których ukrywalibyśmy przed wszystkimi informacje.

A rozporządzenie zakłada, jakby każda baza danych osobowych zawierała tak wrażliwe dane.

Zapisałem się na newsletter McDonalda – wielka rzecz. Najwyżej kilka osób dowie się, że przybyło mi parę kilogramów. Co za problem.

Pomyślicie, że jednak mimo wszystko takie reguły są dobre, bo jednak chronią dane osobowe bo przecież admin może wpisać hasło 123 do konta newslettera o AIDS. No dobrze, niech Wam będzie.

Załóżmy więc na chwilę, że te obostrzenia jednak miałyby ratować jakieś bazy.

No cóż… nie ratują.

Jeżeli spojrzycie na ostatnie wycieki baz danych w Polsce to żaden nie dotyczył zbyt prostego hasła.

Rozporządzenie powstało w 2004, teraz mamy 2011, a w międzyczasie mimo GIODO i mimo rozporządzenia wyciekły:

baza Wykop.pl

baza Filmweb.pl

baza Joemonster.org

baza CV PKO

baza deviantART

a nawet dane użytkowników Wrocławskiej Karty Miejskiej

“wyciekła” też baza klientów Play

wyciekła “jakaś” baza 10 tysięcy haseł

Ani rozporządzenie ani GIODO tych danych nie uratowało.

Po co więc wymuszać takie zabezpieczenia dla haseł skoro dane i tak wyciekają?

Czy nie jest to przesada?

No cóż nie wiadomo co by było gdyby hasła były krótsze… chociaż?

A gdyby sprawdzić jakie wymogi mają najbardziej popularne usługi newsletterów na świecie?

Aby to zrobić skorzystałem ze strony Mashable, skąd wziąłem 10 usług międzynarodowych + 2 polskie (GetResponse(polskie?) i Freshmail):

Jak widać tylko dwa zagraniczne serwisy spełniają wymogi rozporządzenia co do długości hasła.

Wymóg liczb spełnia tylko 1 serwis zagraniczny

Czytaj podobne  Tajemnica radzieckich łagrów w Polsce z 1982 roku

Natomiast żaden nie wymusza zmiany hasła co max. 30 dni jak wymaga rozporządzenie.

Jeżeli jeszcze przyznamy punkt za każdy stopień bezpieczeństwa możemy przestawić wynik na osi wygoda – bezpieczeństwo:

Co z niego widać? Po pierwsze Freshmail jest wyjątkowo restrykcyjny jeżeli chodzi o hasła, o wiele bardziej niż wymaga tego rozporządzenie.

Drugi wniosek jest dosyć ciekawy i dlatego napisałem ten wpis.

Otóż jak widzicie, wymogi ustawowe są najbardziej wychylone w prawo względem testowanych serwisów międzynarodowych.

Serwisy międzynarodowe nie mają takich obostrzeń, a jakoś nie słychać żeby jakieś dane z tych systemów wyciekały.

Innymi słowy tam gdzie praktyka pokazała, że wystarczą mniejsze obostrzenia co do hasła, teoria (ustawodawca polski) uznał, że trzeba zaostrzyć regulacje.

Niestety taka praktyka wpisuje się w dłuższą niechlubną modę w Polsce.

W Polsce prawo tworzone jest często nad wyrost.

Prawo jest tworzone dla skrajnych przypadków.

W prawie polskim brakuje często zdrowego rozsądku.

Polskie prawo pisane jest dla korporacji, a wymuszane na małych firmach.

No i tracą na tym niestety polscy usługodawcy. Bo każde nowe rozporządzenie, które nakłada nowe wygórowane obowiązki na firmy powoduje, że ich koszty rosną i firmy te mają coraz gorzej w konkurencji z podmiotami zagranicznymi. A wiadomo, że podmiot zagraniczny może przyciągać i przyciąga polskich internautów – wystarczy, że wprowadzi polską wersję językową.

To nie jest odosobniony przypadek. Różnych przypadków przeregulowania jest więcej i dopóki niedawno mnie to slabo obchodziło, teraz mnie martwi bo ustawodawca z nudów zaczyna dobierać się do technologii.

A jak czytam pompatyczne regułki pisane stylem gimnazjalisty jak “powinnością nowoczesnego państwa europejskiego jest promowanie europejskiej twórczości audiowizualnej”  naprawdę zaczynam się martwić o to, kto ustanawia u nas prawo i  żeby przypadkiem ustawodawca nie zgasił przez swoją głupotę szansy jaką internet otworzył polskim innowatorom.

Przeczytaj też

Instagram help hackers maintain access to hacked a... My account was hacked. For a year there is no way to get back access. Hacker controls the account, and Instagram helps him do it. Personally i ...
Jak założyć firmę? Jak założyć firmę? Dowiedz się z tego wpisu! Założenie firmy jest naprawdę proste. Any to zrobić trzeba załatwić kilka prostych formalności i j...
10 najlepszych zabawek dla niemowląt na Aliexpres Wkrótce święta Bożego Narodzenia, a wraz z nim czas kupowania prezentów. Najbardziej z nich cieszą się najmłodsi. W tej grupie szczególnie ważne są pr...
Teraz kazdy moze stworzyc ransomware Wygląda na to, że WannaCry jest dopiero początkiem globalnego rozwoju trojanów żądających okupu za odszyfrowanie danych. Jak donosi Forbes na c...
Jak położyć panele podłogowe? Jak położyć panele podłogowe?  Po pierwsze kup panele, podkłady pod panele i plastikowe elementy do uzyskania równego odstępu od ściany. Do pra...
Napisano w Varia

Menu