Dane osobowe bez osoby

Czyżby inspektorzy GIODO mieli wkrótce stracić pracę? Aż tak źle może nie będzie, ale IBM szykuje sporą rewolucję na rynku przetwarzania danych osobowych.

Czyżby inspektorzy GIODO mieli wkrótce stracić pracę? Aż tak źle może nie będzie, ale IBM szykuje sporą rewolucję na rynku przetwarzania danych osobowych.

Od 2002 r. liczba baz danych rejestrowanych rocznie przez Generalnego Inspektora Ochrony Danych Osobowych wzrosła blisko dwukrotnie. Obecnie każdego roku w Polsce pojawia się ponad 2700 nowych baz, przetwarzających nasze nazwiska, daty urodzenia, numery PESEL, adresy zamieszkania i inne kluczowe dane. Danych niezarejestrowanych jest prawdopodobnie kilkakrotnie więcej - nasze adresy zostawiamy przecież w setkach sklepów internetowych, forów dyskusyjnych, portalach, z których nie wszystkie rejestrują swoje zbiory w GIODO.

Gdzie drwa rąbią, tam wióry lecą - mówi stare przysłowie. Im więcej danych, tym większa szansa, że wpadną w niepowołane ręce. W serwisie Computerworld Online w sekcji Bezpieczeństwo niemal co tydzień piszemy o kolejnym przypadku kradzieży bazy danych, tajemniczym wycieku z oddziału banku lub ministerstwa. Dane stały się towarem. Internetowe podziemie, przyzwyczajone do handlu gigabajtami pirackich programów bez większych oporów przyjęło je na rynek, tak samo jak wcześniej numery kart kredytowych wykradane ze sklepów.

Zuchwałość bez granic

Spektakularne przypadki kradzieży danych osobowych miały miejsce na całym świecie. Ogromne bazy danych osobowych kradziono w Stanach Zjednoczonych. Od początku 2005 r. ofiarą włamywaczy padła duża sieć sklepów Retail Ventures, a nawet wyspecjalizowane hurtownie danych osobowych, od których można byłoby oczekiwać, że będą wiedziały jak chronić swój "towar". Z firm-hurtowni LexisNexis i ChoicePoint w odstępie dwóch miesięcy skradziono bazy liczone w setkach tysięcy rekordów.

Prawdziwy sport z kradzieży baz danych zrobili sobie Rosjanie, kradnący w celach handlowych bazy liczone w milionach rekordów. W 1997 r. na moskiewskich bazarach można za kilkadziesiąt złotych kupić CD z danymi osobowymi klientów operatora GSM Northwest Telecom. W 2002 r. na rynku "wypłynęły" potężne bazy danych największych operatorów telefonicznych i komórkowych - 1,3 mln abonentów sieci Megafon, 1,9 mln abonentów NorthStart Telecom, pół miliona abonentów MTS i po kilkanaście tysięcy od innych operatorów.

Już rok później na rynku pojawiła się licząca 3,9 mln rekordów baza abonentów z Sankt Petersburga. Rekord bezczelności został pobity, na początku 2005 r. w sprzedaży pojawiła się kompletna baza transakcji... Centralnego Banku Rosji w latach 2003-2004 (bez ostatniego kwartału). Brakujący kawałek bazy został jednak wystawiony przez "solidnych" złodziei na sprzedaż nie dalej jak miesiąc temu.

Również w Polsce mieliśmy do czynienia z kompromitującymi wyciekami poufnych danych, choć nie były one związane z włamaniem do systemu informatycznego. Prawdopodobnie w wyniku niedbalstwa pracowników w niepowołane ręce w ubiegłym roku trafiły dyski twarde z danymi z naszego Ministerstwa Spraw Zagranicznych, a następnie z bazą klientów Banku Millennium.

Sprzeczna natura bazy

Zuchwałe kradzieże danych mają miejsce pomimo stosowania wymyślnych zabezpieczeń technicznych i organizacyjnych. Każda z poszkodowanych firm na swoich stronach chwaliła się bezpieczeństwem danych i dbałością o prywatność klienta. Wpadka ChoicePoint nie nauczyła niczego ich kolegów po fachu z firmy LexisNexis, którzy padli ofiarą kradzieży danych w niespełna miesiąc później.

Po pierwszej kradzieży bazy danych z rosyjskiego banku kierownictwo wprowadziło ścisłe ograniczenia w dostępie, a stanowiska pracy pozbawiono jakichkolwiek urządzeń umożliwiających zapisywanie informacji na nośniki, takie jak: dyski CD/RW, pamięci flash czy dyskietki. Jak się okazało, te zabezpieczenia na nic się nie zdały - wciąż dochodzi do kolejnych kradzieży.

Problem, jak się wydaje, polega przede wszystkim na nagromadzeniu dużych ilości wrażliwych danych w jednym miejscu i zarazem udostępnianiu ich za pomocą różnych interfejsów czy to na WWW, czy to setkom pracowników w siedzibie firmy. Jednak te dwie rzeczy stoją ze sobą w całkowitej sprzeczności jeśli chodzi o bezpieczeństwo, które wymaga przecież maksymalnego ograniczenia dostępu do bazy. Równocześnie jednak potrzeby biznesowe powodują, że dane te muszą być jak najszerzej dostępne.

Jak wyjść z tego impasu? Narzucające się rozwiązanie w postaci szyfrowania informacji w bazie posiada poważne ograniczenie - jak bowiem przetwarzać zaszyfrowane informacje? Baza danych nie jest tworem statycznym, nieustannie wykonywane są na niej operacje porównywania rekordów, podlega uaktualnieniom itd. Szyfrowanie wymagałoby od interfejsu użytkownika możliwości rozszyfrowania danych - a jeśli miałby je użytkownik, to także i włamywacz.

Skróty zamiast danych

Nadzieję na nową architekturę systemów przetwarzających wrażliwe dane stwarza przedstawiony niedawno przez IBM produkt o nazwie DB2 Anonymous Resolution. Idea jego działania jest prosta - nie porównujmy "otwartych" danych, porównujmy ich skróty kryptograficzne! W systemie IBM zastosowano tak naprawdę pomysł podobny do stosowanego od dawna przy przechowywaniu haseł w systemach unixowych. System nie przechowuje hasła, tylko jego skrót, który w przypadku kradzieży nic nie da złodziejowi, ponieważ nie da się odtworzyć hasła ze skrótu. Ale jak sprawdzić, czy hasło wpisane przez użytkownika jest poprawne? Bardzo prosto - obliczając skrót z wpisanego hasła i porównując go ze skrótem zapisanym w systemie. Jeśli będzie taki sam, to hasło jest poprawne. Tak samo może działać przecież baza danych.

W systemie opracowanym przez IBM kryptograficzna funkcja skrótu zamienia dowolny tekst na ciąg pozornie przypadkowych znaków o długości kilkunastu znaków. Na przykład tekst "Józef Tkaczuk" po przepuszczeniu przez funkcję skrótu SHA1 (i zakodowaniu w formacie BASE64) da w wyniku łańcuch "v9nFgEK8Jj94V2E3GdY7q8Y39jw". Zatem w rekordzie zawierającym nazwisko klienta baza może przechowywać ten skrót zamiast samego nazwiska. W przypadku kradzieży bazy złodziej nie będzie w stanie zdekodować skrótów do nazwisk, ponieważ z założenia odwrócenie funkcji skrótu jest niemożliwe. Ale jak przy kolejnych zakupach sprawdzić, czy ten klient już ma swoje konto? Analogicznie jak z opisanymi wyżej hasłami - jeśli użytkownik wpisze nazwisko "Józef Tkaczuk", to baza obliczy skrót tego ciągu znaków identyczny jak powyżej i znajdzie go w bazie.

W DB2 Anonymous Resolution funkcję tę wykonuje moduł Anonymizer. Jego funkcją jest "odosobowienie" danych osobowych, czyli takie przetworzenie pól zawierających dane identyfikujące osobę, by nie miały one żadnego znaczenia dla osoby postronnej. Po "anonimizacji" baza może nadal służyć analizie statystycznej (zawiera zapisane otwartym tekstem daty urodzenia bądź kwoty transakcji) lub wykrywaniu anomalii (podejrzane przelewy powyżej określonych kwot). Jednak w przypadku kradzieży informacje te będą bezwartościowe, ponieważ nazwiska i skojarzone z nimi adresy będą nieczytelne.

Co się jednak stanie, gdy użytkownik wpisze ciąg znaków o identycznym znaczeniu, ale nieco inny? Kluczową cechą funkcji skrótu jest tzw. efekt lawinowy - zmiana choćby jednego bitu w tekście wejściowym zmienia wszystkie bity wyjściowego skrótu. Na przykład:

Józef Tkaczuk v9nFgEK8Jj94V2E3GdY7q8Y39jw
jozef tkaczuk R4364aK6YQmFNRn6DE/+RFi68pc
józef tkaczuk z0yd038xsGJShlfKc8QotUdu9AQ