Неделна разходка 26

Продължавам всяка неделя да разказвам за смешни истории, свързани със социалните мрежи, GDPR и сигурността на личните данни в интернет. Измина една вълнуваща седмица, която предизвика днешното ми обикаляне из сайта на Министерство на културата, Столична община и „Информационно обслужване“ АД.

В понеделник в Министерството на културата се проведе „информационен ден” във връзка с декларациите за собственост, които медиите трябва да подадат по закон. Първо, жанрът на събитието информационен ден предполага доста сериозна подготовка и продължителност по-различна от 2 часа. Второ, на забележката ми, че Министерството на културата не осигурява адекватна защита на информацията в декларациите по чл. 7а и чл. 7б от ЗЗДПДПОРДМУ ми беше отговорено, че ведомството има политика за защита на личните данни. В което продължавам да се съмнявам. Напомням на министерството съобщението на Комисията за защита на личните данни, в което се казва, че информирането на гражданите за тяхното право на жалба до КЗЛД (чл. 13, пар. 2, б. „г” и чл. 14, пар. 2, б „д” от Регламента) става по начин, който често въвежда в заблуждение субектите на данни относно обстоятелствата, при които администраторът обработва техни лични данни и правомощията на КЗЛД при упражняване на правата им в областта на защитата на личните данни…публикуването от страна на администраторите на невярна и заблуждаваща информация е нарушение на задължението за прозрачна комуникация със субектите на данни по чл. 12-14 и е пречка за ефективното упражняване на техните права. КЗЛД моли всички администратори, които са публикували информация за контакти с институцията, да проверят тяхната актуалност в съответствие с информацията, предоставената в раздела „Контакти” на сайта на КЗЛД.

Давам линк към текста от блога ми, защото сайтът на комисията днес не работи. Та мисълта ми беше, че ако министерството беше седнало да приведе в съответствие с GDPR сайта си и текстовете в него, щеше да даде верен телефон на КЗЛД.

Следващата ми спирка е в сайта на Столична община или по-точно сайтът на Направление “Архитектура и градоустройство”, заради проведената „втора част от дискусиите по общественото обсъждане на проекта за подробен устройствен план на парк “Борисова градина”. Ако се питате дали информациите за КЗЛД в сайта на направлението са верни, не, не са.

Както писах на 9 юни, Наредбата за реда и начина за провеждане на обществени обсъждания в областта на пространственото развитие и устройството на територията на Столична община изисква присъствен лист за заключителната дискусия. И такъв имаше – с колони за имена, кого представлява участникът, координати за обратна връзка и… подпис.  Мислите, че присъственият лист в този си вид отговаря на GDPR? Не, не отговаря. Обещавам скоро да разкажа как трябва да изглежда правилният присъствен лист. Но тук не е важна само формата. Трябва да има и някаква мисъл защо искаме и какво се случва с тези лични данни.

Но както казва един от районните кметове „Контрол по изпълнението на заповедта запазвам за себе си“.

Най-смешен тази седмица е сайтът на  „Информационно обслужване“ АД. И то не с публикуваната информация, а с тази, която не е публикувана. Защото освен за хакерска атака в Стара Загора, медии писаха за проблем със система на компанията във Варна. А в съобщението за Варна нищо не се казва. Не зная дали това е проблем с политиките на компанията или PR проблем, но е смешно. Още повече, че „Информационно обслужване“ съвместно с община Варна са отрекли да има изтичане на лични данни в града. Та да кажа какво още ми липсва в съобщението – в колко града в страна се използва  тяхна системата за прием в детски заведения,  друг път имало ли е опити за хакерски атаки към тях, защо се е стигнало въобще до блокиране на системата и какво ще направят в бъдеще да не се допуска подобен  проблем.

В становището на дружеството, публикувано в сайта zagoranews.bg се казва:

  • Сигнал към служител на „Информационно обслужване“ АД относно публикацията във Facebook е получен на 26 юни 2019 г. 7:59 сутринта по електронна поща;
  • Извършен е анализ на постъпилите данни и проверка за наличие на описания проблем;
  • Проблемът е потвърден независимо от разработващия екип във Варна и екип в София;
  • Незабавно са предприети действия за оперативно информиране на клиентите, използващи тази версия на софтуерния продукт и спиране на публичния достъп до инсталацията, а в последствие и до цялата система;
  • Извършен е анализ на атаката, като резултатите са следните:

– Системата дава възможност за въвеждане на ЕГН на дете за организиране на приема в детските заведения;

– При подаване на ЕГН се извършва справка чрез интерфейс към локална база данни „Население“, като информацията, която се връща към потребителя е три имена и постоянен адрес на лицето;

– Атакуващият, използвайки публично достъпния механизъм за съставяне на ЕГН, генерира множество последователни ЕГН (номера), които подава чрез заявки към системата. При съвпадение на генериран номер с издаден такъв, информацията за връзката „ЕГН – три имена – адрес“ се съхранява в базата данни на атакуващия;

– Атакуващият е публикувал изходния код на средството за извличане на личните данни в GitHub на адрес https://github.com/fakedob/grao.

  • Разработен е план за коригиране на несъответствието, по който са извършени следните действия:

– отстранена е функционалността за извличане на личните данни по ЕГН;

– реализирана е допълнителна функционалност за търсене на ЕГН в комбинация със съвпадащо първо име на лицето;

– извършен е преглед на изходния код за наличие на други несъответствия, свързани със сигурността на системата;

– извършено е сканиране за уязвимости на инсталацията;

– след потвърждение на корекцията, новата версия на системата е инсталирана в общината;

– подновен е достъпът до системата от потребителите, тъй като в настоящия момент тя е в реална експлоатация.

  • Извършеният преглед на сигурността на системата показа, че не е идентифициран достъп до данните, поддържани от самата система и няма неоторизирани промени в базата данни;
  • Извлечени са лог файловете от web сървъра и е извършен анализ на заявките към него за достъп до функционалността за извличане на данни.
Можете да споделите: