Haszowanie tożsamości

Operatorów telekomunikacyjnych objęły po wakacjach nowe obowiązki w kwestii ochrony danych osobowych. Chodzi o to, by stworzyć jednolity europejski schemat przeciwdziałania naruszeniom bezpieczeństwa.

Od 25 sierpnia obowiązuje nowe unijne rozporządzenie, nakazujące przedsiębiorcom telekomunikacyjnym powiadamiać regulatora o przypadkach naruszeń ochrony danych osobowych. Rozporządzenie jest taką formą prawa unijnego, które obowiązuje państwa członkowskie bezpośrednio, czyli nie wymaga oczekiwania na wdrożenie w prawie polskim. Uchwalone 24 czerwca weszło teraz w życie bez specjalnego rozgłosu i śladu zainteresowania mediów, skupione przez całe wakacje bardziej na tym, czego to mogą się o nas dowiedzieć służby wywiadowcze za oceanem.

Każdy europejski operator telekomunikacyjny, dostawca internetu lub innych usług telekomunikacyjnych, kiedy wykryje w swojej sieci naruszenie, jest zobowiązany w ciągu 24 godzin powiadomić organ zajmujący się w danym państwie ochroną danych osobowych, posługując się szczegółowym formularzem, którego treść stanowi załącznik do unijnego rozporządzenia. Wskazany termin jest bezwzględny; jeżeli do opisu zdarzenia brakuje wyjaśniających informacji, należy przekazać te, które są dostępne, a później je ewentualnie uzupełnić.

Operator ma też niezwłocznie zawiadomić poszkodowaną osobę, opisując zdarzenie i okoliczności, a także zastosowane środki zaradcze. Te obowiązki oznaczają, że usługodawca musi poddać analizie rodzaj naruszonych danych osobowych, prawdopodobne konsekwencje, identyfikując, czy chodzi o kradzież danych lub czy wpływ na prywatność użytkowników może mieć rozległe skutki, wymagające wprowadzenia nowych technicznych zabezpieczeń.

Tożsamość zaszyfrowana

Komisja Europejska wprowadza techniczną drogę ucieczki od nadzwyczaj kłopotliwego obowiązku informowania abonenta, nasuwającego przecież na myśl zaniedbanie usługodawcy. By tego uniknąć, musi się on legitymować się zastosowaniem akceptowanych przez regulatora technicznych narzędzi ochrony. Mają one spowodować, że dane osobowe stają się nieczytelne dla każdego, kto nie jest uprawniony do ich poznania. Nieczytelność danych można zapewnić przez zastosowanie systemów szyfrowania i protokołów kryptograficznych wykorzystujących algorytm, o którym wiemy, że używany przez niego klucz do odszyfrowania nie został dotąd złamany. Opcjonalnie można stosować do uwierzytelniania, funkcję haszującą, zastępującą dane osobowe, o której również wiadomo, że używane przez nią klucze nie zostały dotąd złamane. Opisanie takiego warunku językiem prawa międzynarodowego nie jest proste, ale należałoby go rozumieć jako dosyć restrykcyjny. Nie chodzi zdobycie ogólnej certyfikacji bezpieczeństwa, której dla systemów stosowanych w skali europejskiej zapewne nietrudno byłoby uzyskać. Chodzi raczej o wiedzę, że nie udokumentowano pojedynczych przypadków skompromitowania kluczy szyfrujących.

Rozporządzenie przewiduje standaryzowanie wymagań dla tego typu narzędzi kryptograficznych i publikowanie dla nich list referencyjnych przygotowanych w porozumieniu z ENISA, Europejską Agencją Bezpieczeństwa Sieci i Informacji. Ta lista jeszcze nie powstała.

Rozporządzenie sygnalizuje stopniową ewolucję podejścia do organizacji ochrony danych osobowych i bezpieczeństwa informacyjnego, która nie sprowadza się tylko do obecnej intelektualnej debaty o osobistym prawie do prywatności w relacjach z państwem, angażującej ostatnio organizacje skupiające protagonistów swobód obywatelskich. Efekty teraz wprowadzanych przepisów dotyczą bowiem organizowania systemowego bezpieczeństwa i likwidowania podatności. Osiągnięcie standaryzacji dla powszechnych zastosowań kryptografii na poziomie unijnym nie będzie pewnie łatwe, ale już przecież miewało miejsce, gdy kiedyś zaczęto uzgadniać zabezpieczenia dla telefonii komórkowej lub w systemach płatniczych. W obu przypadkach dopuszczano jednak dotąd daleko idące kompromisy, oczywiście głównie kosztem nieświadomych użytkowników. Jednym z przejawów zmiany podejścia jest wskazanie nowego zadania dla ENISA, która powoli traci status spokojnej słonecznej synekury dla byłych funkcjonariuszy na odległej od Brukseli Krecie. W kreowanej powoli unijnej polityce bezpieczeństwa informacyjnego ENISA zyskuje kolejne uprawnienia centrum kompetencyjnego.

Wdrażanie bezpieczeństwa

Nowy obowiązek przedsiębiorców telekomunikacyjnych trzeba zestawić z wcześniej wprowadzonym obowiązkiem informowania o naruszeniach bezpieczeństwa i integralności sieci, który w Polsce reguluje od początku tego roku Prawo telekomunikacyjne. Raporty o naruszeniach zbiera departament spraw obronnych UKE, ale podobnie jak w innych państwach, sprawia to kłopoty interpretacyjne choćby w kwestii określania charakteru i zakresu zdarzeń, które należy raportować. Niewiele też na razie wiadomo, co z tego ma wynikać. UKE nie dostało żadnego dodatkowego budżetu, by zorganizować i wyposażyć np. CERT dla operatorów telekomunikacyjnych, a utarte ramy dotychczasowych doświadczeń z przygotowaniem przez operatorów planów działań w sytuacjach szczególnych zagrożeń, to jednak zupełnie inne obszary problematyki bezpieczeństwa.

Trochę inaczej działa GIODO. Wiedząc o projektowanych przepisach nowego rozporządzenia, podjął wiosną prace nad wdrożeniem procedury i na roboczo dyskutuje z operatorami, jak nowe obowiązki w praktyce zastosować. Moim zdaniem, kwestia ochrony danych osobowych to aspekt bardziej praktyczny, niż to, co ma analizować w sprawie różnej kategorii naruszeń bezpieczeństwa UKE, więc stanie się lepszym praktycznym testem na współpracę z przedsiębiorcami w sprawach bezpieczeństwa.

Komisja Europejska z konsekwencją poszerza ramy dla organizowania systemu bezpieczeństwa informacyjnego na podstawie tej sygnalizowanej już koncepcji. Podjęto działania w celu ścigania przestępczości zorganizowanej w internecie, z pomocą biura Europolu. Na początku tego roku opublikowano też projekt dyrektywy, która zakłada raportowanie naruszeń we wszelkich innych dziedzinach gospodarki elektronicznej. W tym wypadku organizację systemu walki z naruszeniami ochrony danych osobowych w telekomunikacji można również widzieć jako poligon doświadczalny dla przyszłej regulacji.

Wielu użytkowników doświadcza niestety dotkliwych naruszeń prywatności z powodu najróżniejszych rodzajów spamu, który nęka na ślepo, więc jest dotąd nieregulowany, bo wysyłany do anonimowych użytkowników. Również w tej kwestii niezbędna byłaby współpraca z operatorami i dostawcami internetu, ale do tego przydałby się rzecznik ochrony prywatności.


TOP 200