Od dvije velike povrede osobnih podataka u Njemačkoj, ona koja je pogodila političare privukla je gotovo 65 puta veću pažnju. Hoće li EDPB reagirati? Mjesec dana nakon što je njemačko nadzorno tijelo za zaštitu osobnih podataka LfDI upravo simboličnom kaznom od 20.000 eura kaznilo Knuddels.de za curenje osobnih podataka njihovih 330.000 korisnika, bumerang se vratio u obliku objave ukradenih osjetljivih osobnih podataka stotina članova njemačkog parlamenta i drugih javnih osoba.
Njemačka na ovaj slučaj gleda puno ozbiljnije, te je angažirala sve raspoložive snage kako bi otkrila o čemu se radi i umanjila posljedice. Ovo je rezultiralo upravo munjevito brzim hapšenjem dvadeset-godišnjeg njemačkog hakera koji je na kraju priznao da je podatke ukrao sam, a objavio ih je iritiran izjavama pojedinih javnih osoba. Optužen je za špijunažu i neovlaštenu objavu osobnih podataka. Procjenjuje se da je povreda osobnih podataka u ovom slučaju obuhvatila jedva 1.000 osoba.
Nejednak tretman
Zašto je ovo važno? Knuddels.de je društvena mreža koja omogućava privatnu konverzaciju svojih 2 milijuna članova, a ukradeno im je 330.000 podataka potrebnih za prijavu korisnika uključujući i njihove zaporke. Time su apsolutno sve osobne informacije uključujući i sadržaje osobnih komunikacija izložene neovlaštenom pristupu. Kategorija osobnih podataka ista je ili slična kao i u slučaju curenja osobnih poruka političara s tim da je političara 330 puta manje. Dobre prakse razvoja softvera nalažu primjenu jednosmjernog enkripcijskog algoritma (hash) koji onemogućava curenje zaporki. S time možda nije upoznata široka javnost, no primjena ovakvog algoritma kod zaštite zaporki je za svakog programera jednako uobičajena kao i primjena kuhače za kuhara. Sigurnosni propust koji je Knuddels.de napravio ukazuje na potpuno zanemarivanje pravila struke i ovakav bi servis trebalo ugasiti jer za svojih 2 milijuna korisnika predstavlja katastrofu koja se može dogoditi već sutra. Što je napravio LfDI (njemački AZOP)? Nagradio ih je za dobro vladanje jer su bez odlaganja prijavili incident i omogućio im nastavak rada. Spomenimo i da je sukladno članku 58.1.f GDPR-a, nadzorno tijelo ovlašteno ograničiti ili zabraniti obradu. Ovdje, gdje je za to postojao valjani razlog, ono to nije učinilo niti je takvu svoju odluku obrazložilo.
S druge strane, kada se radilo o osobnim podacima političara, angažirane su sve raspoložive snage kako bi se pronašao krivac i spriječilo daljnje curenje podataka.
Kako su podaci političara ukradeni?
Prema do sada dostupnim informacijama, podaci njemačkih političara i javnih osoba su ukradeni sa raznih on-line računa koji su bili zaštićeni jednostavnim zaporkama poput „Iloveyou“, „1234“ i sl. Prava bi ironija bila kada bi se na kraju dokazalo da su podaci ukradeni zahvaljujući povredi osobnih podataka na Knuddels.de. Naime, ljudi imaju tendenciju koristiti iste zaporke na više različitih IT servisa, pa je vrlo lako moguće da su upravo ukradene zaporke za Knuddlesa poslužile za pristup podacima i na drugim servisima. Ako se pak dokaže da su podaci u kompromitiranim on-line servisima stvarno bili zaštićeni jednostavnim zaporkama, zapitajmo se zašto su oni uopće dozvolili takve zaporke znajući da struka na kompleksnosti zaporke inzistira već desetljećima. Hoće li regulator i sada biti popustljiv? Žalosno, prema načelu konzistentnosti, morao bi biti. Ovo pak povlači pitanje intervencije EDPB-a (European Data Protection Board). Hoće li EDPB dozvoliti zanemarivanje pravih problema i rizika u zaštiti osobnih podataka ili će sam sebi priznati da je primjena odgovarajućih tehničkih i organizacijskih mjera zaštite srce svakog učinkovitog sustava upravljanja podacima? Kako stvari s GDPR-om stoje, tresla se brda - rodio se miš!
Što kaže Google?
U trenutku pisanja ovog teksta, količina stranica na njemačkom i engleskom jeziku koje Google pronalazi za pojmove „Knuddels breach“ i „German politicians leak“ razlikuje se gotovo 65 puta u korist političara. Isto tako, neviđenu medijsku prašinu i sve moguće sigurnosne službe je podigao i Cambridge Analitca slučaj u Velikoj Britaniji za koji se također smatralo da ima političkog utjecaja. S druge strane, curenje podataka pacijenata iz bolnica i osobnih konverzacija „malih“ ljudi ostaje praktički nezamijećeno i nekažnjeno.
EU Certifikat cyber sigurnosti
Neki su se političari poput njemačke ministrice pravosuđa i zaštite potrošača, Katarine Barley, poučeni ovim iskustvima počeli boriti za uspostavu certifikacijskog mehanizma koji bi davao jamstvo odgovarajuće razine sigurnosti za IT proizvode. Hoće li taj mehanizam zaživjeti i hoće li konačno uspostaviti jasne zahtjeve za primjenom konkretnih tehničkih i organizacijskih mjera za zaštitu podataka kakve je primjerice kartična industrija definirala još u devedesetim godinama prošlog stoljeća, tek ćemo vidjeti.
Prema Gartneru, više od 30 posto porasta potražnje za sučeljima za programiranje aplikacija (API) do 2026. doći će od umjetne inteligencije i alata koji koriste velike jezične modele (LLM).
Gartner je otkrio svojih osam najboljih predviđanja kibernetičke sigurnosti za 2024. i kasnije. Među glavnim predviđanjima, usvajanje generativne umjetne inteligencije (GenAI) smanjit će jaz u kibersigurnosnim vještinama i smanjiti kibersigurnosne incidente potaknute zaposlenicima.
Meta Platforms promijenila je svoja pravila kako bi dopustila da veća količina sadržaja generiranog umjetnom inteligencijom ostane na Facebooku, Instagramu i Threadsu. Postovi će sada morati biti označeni kao manipulirani i neće se uklanjati.
