30.4.08

Kako je "porezni broj" postao "osobni identifikacijski broj"?

Porezni broj bio je tema ovih stranica u veljači, a trenutno zasjedanje Sabora, na kojem se po hitnom postupku usvaja Zakon o osobnom identifikacijskom broju broju, prava je prilika za dopunu tog zapisa.

Što se novo dogodilo u međuvremenu? Zakon je pred usvajanjem, a jedna od najvećih novosti je da se, umjesto termina "Porezni broj", koristi termin "Osobni identifikacijski broj". Ne radi se samo o terminološkoj novosti. Zakonom se predviđa korištenje osobnog identifikacijskog broja ne samo za prijavu i obradu poreza, nego u praktički bilo kojem segmentu djelovanja državnih tijela - od državne uprave, jedinica lokalne samopurave, svih pravnih osoba koje se financiraju državnim proračunom pa do pravnih osoba kojima su povjerene javne ovlasti. Neću ulaziti u ocjenu hoće li se popraviti djelovanje državne uprave te hoće li porezi biti prikupljeni na pravedniji i učinkovitiji način (što je naravno važna tema, no vjerujem da će biti obrađena na drugim mjestima). Mene zanima što takva formulacija znači za zaštitu privatnosti?

Imam nekoliko zamjerki na prijedlog Zakona o osobnom identifikacijskom broju, a sve proizlaze iz istog osnovnog uzroka: prijedlog Zakona posebno ne ističe, a čini mi se da niti ne uvažava, činjenicu da osobni identifikacijski broj ima sve karakteristike osobnog podatka. Zakonom se ne razlikuje definicija i primjena tog broja između fizičkih i pravnih osoba (osim tek u tehničkim detaljima oko dodjele samog broja). To mogu shvatiti sa stajališta državne uprave, no takav pristup može biti poguban za zaštitu privatnosti. Moramo shvatiti da će sveobuhvatnom primjenom ovog broja biti označen veliki broj podataka o životu svake osobe, kao i različite osobne aktivnosti ili transakcije. Jedinstveni broj olakšava kopanje i pretraživanje takvih podataka, a nekako sumnjam da će takva pretraživanja uvijek biti motivirana legitimnim i legalnim razlozima.

Naravno, ne iznosim glas protiv suštine takvog Zakona, već želim upozoriti da Zakon mora posebno istaknuti da, kada se osobnim identifikacijskim brojem označavaju podaci vezani za fizičke osobe, taj broj mora biti klasificiran kao osobni podatak (kako bi se prema njemu mogle primjeniti sve odredbe Zakona o zaštiti osobnih podataka). Usput, ovaj zakon pokazuje apsurd birokratske fraze "pravne osobe" - pravni entiteti ne mogu biti osobe. Na taj način se, također, gubi oštrina značaja zaštite osobnih podataka i zaštite privatnosti.

Široko i, kako se čini, neograničeno korištenje osobnog identifikacijskog broja imati će za posljedicu da će identifikacijski brojevi pojednih osoba biti opće poznata informacija (ili barem informacija do koje je veoma lako doći). Dakle, ne samo da će postojati veliki broj, ponekad i veoma delikatnih informacija označenih osobnim brojem, nego će taj broj biti dostupan praktički bilo kome. Postoji samo mali korak do njegove zloupotrebe.

Stoga mislim da bi Zakon ipak trebao biti restriktivan u pogledu upotrebe broja i propisati uvjete za korištenje osobnog identifikacijskog broja. Provedbeni bi akti potom trebali opisati slučajeve u kojima se ovaj broj koristi (tko, kada, u koje svrhe?).

Posebno bi trebalo posvetiti pažnju okolnostima u kojima organizacije koje nisu navedene u članku 5. kao korisnici osobnoga identifikacijskog broja koriste ovaj broj. Smiju li takve organizacije uopće koristiti taj broj? Zakon ih ne spominje, no nekako mi se čini da je zakonodavac predvidio da i oni budu uključeni uproces korištenja ovog broja. Stoga mislim da bi taj aspekt trebao biti dodatno uređen.

Nadalje, korištenje i obrada osobnog identifikacijskog broja trebala bi biti striktno regulirani mjerama informacijske sigurnosti. Zakonodavac je to možda i ostavio za provedbene pravilnike, no ukoliko propusti na ovom mjestu klasificirati ovaj broj kao osobni podatak, sumnjam da će provedbeni akti biti dostatni.

Osobni identifikacijski broja mora biti zaštićen na isti način kao i brojevi kreditnih kartica. Ne smiju se pohranjivati kod korisnika ovog broja, njihov sadržaj mora biti šifriran, a izmjena strogo kontrolirana. To ne bi trebalo paralizirati primjenu osobnog identifikacijskog broja, postoje različita informatička rješenja pomoću kojih će se omogućiti provedba zakona, a da se ne povećaju rizici od njegove zloupotrebe.

Također mislim da bi dobra mjera protiv zloupotrebe trebala biti i mogućnost svake osobe da provjeri način korištenja njegovog/njenog osobnog broja (naročito u slučajevima pretraživanja različitih baza podataka). To je izvedivo informatičkim rješenjima, ali nedostaje podloga u prijedlogu Zakona.

Zakon, na kraju, donosi i kaznene odredbe (članak 17.). Predviđena je kazna za obveznike koji ne koriste osobni identifikacijski broj na propisani način. Također postoji kazna za korisnike ali samo za slučajeve kada identifikacijske brojeve ne koriste u svakodnevnom radu. Zakonodavac nije predvidio kazne korisnicima za zloupotrebe osobnog identifikacijskog broja (mislim da zakonodavca ne opravdava činjenica da ne vidi mogućnosti zloupotrebe).

Naravno, inzistiranje na ovakvim zahtjevima tražiti će dodatna ulaganja, no vjerujem da će se u 110 milijuna kuna (koliko je predviđeno za provedbu ovog Zakona) naći nešto i za zaštitu privatnosti.

23.4.08

"Vulnerability Management" za neznalice


Prije desetak dana uputio sam vas na zanimljiv dokument o upravljanju ranjivostima koji se može pronaći na stranicama SANS-a. Prekjučer je Qualys objavio vijest o izlasku još jedne publikacije sa sličnom tematikom. Wiley, jedan od vodećih svjetskih izdavača, i tvrtka Qualys objavili su veoma zanimljivu e-knjigu “Vulnerability Management for Dummies”. Knjiga na zanimljiv način opisuje sve faze uspostave programa upravljanja ranjivostima. Čitatelj će dobiti veoma plastičnu ilustraciju o preobrazbi tehničke aktivnosti ograničenog dometa u kritičan poslovni proces. Knjiga je besplatna i može se preuzeti na ovoj stranici.

15.4.08

Ponavljamo seminar o insajderskim prijetnjama

Primjeri iz naše bliže i dalje okoline neprestano potvrđuju da su insajderi i dalje najveće prijetnje informacijskoj sigurnosti. Za sve koji žele saznati nešto više o motivima, načinu djelovanja i mogućnostima detekcije insajderskih prijetnji, ponavljamo prošlogodišnji seminar. Naravno, osvježen. Seminar će se održati 3. i 4. lipnja 2008. u Zagrebu. Brošuru i prijavnicu možete pronaći na ovoj stranici.

12.4.08

Proces upravljanja računalnim ranjivostima

Svim korisnicima servisa QualysGuard (a i onima koji će to postati) preporučujem da pročitaju zanimljiv tekst na stranicama organizacije SANS. U tekstu se iznosi praktično iskustvo u izgradnji programa upravljanja ranjivostima, iz vizure korisnika servisa QualysGuard. Usput, svakako razgledajte Reading Room sekciju na stranicama organizacije SANS, ako do sada već niste to učinili. Na tom ćete mjestu naći niz zanimljivih tekstova o implementaciji mjera informacijske sigurnosti.

U čemu je razlika između procjene ranjivosti ("Vulnerability Assessment) i upravljanja ranjivostima ("Vulnerability Management")? Procjena ranjivosti je tehnička aktivnost koja se obično provodi ne prečesto, ponekad i neredovito. Obuhvaća provjeru prisutnosti eventualnih tehničkih nedostataka i ranjivosti na mrežnim resursima, a ponajprije se provodi na perimetarskom dijelu informacijskog sustava. Ako se provodi kako treba, procjena ranjivosti će u jednom trenutku dosegnuti kritičnu točku: broj resursa koje treba provjeriti naglo raste, učestalost provjere zauzima nerijetko i tjednu dinamiku, u provjeru se uključuju i druga mjesta u organizacijskoj hijerarhiji (ne samo mrežni tehničari već i voditelji sigurnosti, revizori, rukovoditelji, administratori nemrežnih sustava...), provjera se počinje provoditi i na internim resursima... Procjena ranjivosti kao tehnička aktivnost prelazi u proces i nastaje upravljanje ranjivostima. Izvještaji o utvrđenim ranjivostima prelaze u detaljan "workflow" koji uključuje i osobe nadležne za implementaciju popravaka, vlasnike resursa, a ponekad i revizore. Upravljanje ranjivostima reflektira se i na "compliance" proces (pogledajte i ovaj tekst).

Dokument na koji vas upućujem govori upravo o ovim elementima. Primjetiti ćete da postoje terminološke razlike između spomenutog dokumentu i ovog teksta, no suštinski pokriveni su svi bitni aspekti upravljanja ranjivostima.

Treba reći i da je tvrtka Qualys je pionir a danas i jedan od lidera poslovnog modela "Software-as-a-Service" (SaaS). Rekao bih da je upravo informacijska sigurnost idealan kandidat za primjenu ovog modela (naravno uz uvijet njegove dobre tehnička izvedbe). Naime, informacijska se sigurnost ne ubraja u "core" interese managementa i tvrtke za sada ulažu samo neophodne resurse. S druge strane, otkrivanje i upravljanje ranjivostima zahtjeva kontinuiranu predanost na različitim tehničkim i organizacijskim razinama, a dostignuća samog procesa nisu uvijek vidljiva. Dakle, mali je korak do zanemarivanja ovog procesa. Model izvedbe servisa QualysGuard u potpunosti rasterećuje organizaciju od rutinskih aktivnosti, jamči ažurnost i preciznost.

2.4.08

Još jedan slučaj krađe podataka

Prije desetak dana se pojavio još jedan slučaj krađe podataka o kreditnim karticama. Hannaford Bros. - američki maloprodajni lanac s gotovo 300 dućana - obavijestio je o gubitku (krađi) preko 4 milijuna brojeva keditnih kartica. Vijest zapravo i nije vijest. Trgovački lanac TJX je početkom 2007. izgubio podatke o 45 milijuna kartica, a krađe povjerljivih podataka s notebooka i arhivskih traka postale su uobičajene. No, razlog zbog kojeg skrećem pažnju na slučaj Hannaford je činjenica da je tvrtka Hannaford Bros. imala certifikat o sukladnosti s Payment Card Industry Data Security Standard (PCI DSS) i to za 2007. i 2008. godinu.

Kako se, onda, mogao dogoditi incident ovih razmjera? Odnosno, pitanje se može postaviti i na slijedeći način: kako je Hannaford mogao dobiti certifikat o sukladnosti? Pokušat ću odgovoriti na drugo pitanje.

Prvo, činjenica da je neki sustav dobio potvrdu o sukladnosti s određenim pravilima ne znači da će se ta pravila poštovati ni 24 sata od davanja potvrde. To vrijedi za sve složene tehnološke sustave, ne samo informatičke. To vrijedi i za vaš osobni auto: prolazak na tehničkom pregledu nije jamstvo o njegovom besprijekornom funkcioniranju. No, certifikat u svakom slučaju doprinosti uvjerenju da je mogućnost ispada sustava dovoljno (prihvatljivo) niska. Ovo razmatranje osobito vrijedi za informacijsku sigurnost. Informacijska je sigurnost složen tehnološki sustav u kojemu je faktor utjecaja netehnoloških elemenata (čitaj: ljudski faktor) izuzetno visok. Tržišni certifikati (kao što je PCI DSS), norme (ISO 27001), formalne provjere (revizije) i neformalne provjere (penetracijski testovi) provjeravaju djelovanje ljudskog faktora u većem ili (češće) manjem dometu, no potvrda o prihvatljivom djelovanju ljudskog faktora vremenski je ograničena na razdoblje trajanja postupka provjere. Sve ostalo je samo određena mogućnost da će potvrda biti valjana i nakon odlaska revizora. Stoga, revizija i službeni certifikati koji proizlaze iz revizije trebaju biti upotpunjeni s kontinuiranim praćenjem rada sustava. Jednokratna se provjera mora transformirati u kontinuirani proces.

Drugi problem nastaje iz formalnog statusa same revizije. Iako je postupak donošenja PCI DSS certifikacije detaljno definiran te postoje strogi kriteriji koje moraju ispunjavati ovlašteni revizori, pojavili su se komentari (i prije slučaja koji ovdje opisujemo) o različitim naporima i različitim razinama striktnosti koje PCI revizori zahtjevaju. Tu se pojavljuje i problem sukoba interesa u kojem se često mogu naći revizori (sjetimo se Enrona, no u drugim poslovnom kontekstu i drugom okruženju). Također, treba uzeti u obzir da svaka revizija u kojemu klijent plaća troškove revizije (a ne tijelo koje reviziju zahtjeva) u sebi sadrži rizike nadekvatne provjere (jer, klijent ima pravo tražiti najjeftiniju reviziju).

Iako često na ovim stranicama pišem o regulaciji informacijske sigurnosti, smatram da formalna certifikacija, bez jasno definiranih i detaljno dorađenih pravila igre, može napraviti lošu uslugu informacijskoj sigurnosti.

Za kraj, vraćam se samom slučaju Hannaford. Rezultati istrage još nisu objavljeni, no pojavile su se procjene da je događaj o kojemu ovdje govorim bio moguć ponajprije djelovanjem "insidera".