U objašnjenju odluke piše nešto što će promijeniti način na koji većina organizacija danas doživljava zaštitu osobnih podataka.
Incident tijekom kojega je ukradeno 600 tisuća osobnih podatka vozača i 57 milijuna podatka korisnika Ubera dobio je jednu potpuno novu dimenziju. Nedugo nakon postizanja dogovora o isplati odštete od 148 milijuna dolara u Americi, Uberu je 26.11.2018. kaznu od 385 tisuća funti propisao i britanski ICO (Information Commissioner’s Office - ono što je u Hrvatskoj AZOP - Agencija za Zaštitu Osobnih Podataka). U objašnjenju ove odluke piše nešto što će nadajmo se, promijeniti način na koji većina organizacija danas doživljava zaštitu osobnih podataka. Pojasnimo što se zapravo dogodilo u Uberu.
Zakazala informacijska sigurnost
Uber, kao i brojne druge moderne tvrtke koje su u svoje poslovanje integrirale DevOps ili DevSecOps principe, izvorni programski kod drži na jednom od nepoznatijih repozitorija - GitHubu.
DevOps je princip rada koji se temelji na kontinuiranom razvoju i eksploataciji naprednih IT servisa (više na https://www.youtube.com/watch?v=_I94-tJlovg). DevSecOps je način primjene DevOps principa u kojem je sigurnost duboko integrirana u procese razvoja u pružanja usluga. To je jedan od najučinkovitijih načina primjene privacy by design & privacy by default principa.
GitHub je online servis za pohranjivanje i razmjenu izvornog koda sa brojnim naprednim mogućnostima koje su ga učinile da-facto standardom među programerima. DevOps principi podrazumijevaju vrlo česta ažuriranja IT servisa koja se mogu obavljati doslovce jednom naredbom pomoću koje se nova verzija izvornog koda preuzima sa repozitorija (ovdje GitHuba). Korisnici GitHuba (programeri) imaju jedinstvene korisničke račune, a vlasnici projekata im dodjeljuju prava pristupa za svaki projekt na kojem rade. Obzirom na sveprisutni trend outsourcinga, programeri često imaju svoj korisnički račun koji uopće nije pod kontrolom tvrtke za koju rade, ali ipak pomoću njega pristupaju izvornom kodu te tvrtke (npr. Bill koji je vanjski programer za npr. Uber može se za spajanje na GitHub koristiti svojim korisničkim računom vezanim uz mail adresu [email protected] kojem pristupa zaporkom 1234. Radi slabe zaporke, Billov račun je lako kompromitirati i pomoću njega pristupiti do koda na kojem radi.) Uber je ovog rizika bio svjestan, ali nije poduzeo ništa da ga umanji. Napadači su uspjeli provaliti nekoliko ovakvih računa i pomoću njih pristupiti izvornom kodu Ubera.
Ali kompromitirani podaci nisu bili na GitHubu. Bili su pohranjeni na Amazon S3 servisu. S3 je servis za online pohranu velikih količina podataka.
Za pristup ovom servisu koriste se posebni pristupni podaci koje su nesavjesni programeri iz Ubera upisali u izvorni kod svoje aplikacije pohranjen na GitHubu. Napadači su pomoću ovih podataka pristupili velikoj količini osobnih podataka na Amazon S3 servisu.
Nakon toga su od Ubera uspjeli iznuditi 100 tisuća dolara što je Uber pokušao prikriti kao dio svojih aktivnosti davanja nagrade za uočeni sigurnosni propust.
Odluka koja mijenja perspektivu
Bilo kako bilo, britanski je regulator ICO, uzevši u obzir sve navedeno donio vrlo jasan zaključak na temelju kojega je onda i propisao odgovarajuću kaznu: SIGURNOSNE MJERE KOJE JE IMPLEMENTIRAO UBER BILE SU NEADEKVATNE.
Svi znamo da je osnovni cilj Uredbe uspostaviti društvo u kojem će osobni podaci biti sigurni. Na kraju krajeva, uredba se zove „General Data Protection Regulation“, no ona sama ne propisuje obavezne sigurnosne mjere. Brojne su organizacije ovu nejasnoću tumačile kao nepostojanje obaveze zaštite podataka i po tom pitanju nisu učinile baš ništa. Fokusirale su se na izradu pravilnika i razne dokumentacije koja je zahtijevana Uredbom ali u pravilu ne rezultira onim najvažnijim - sigurnošću.
Ovom je odlukom ICO jasno pokazao što je cilj GDPR-a, a što nije. Ako podaci nisu sigurni, sva dokumentacija ovog svijeta neće promijeniti činjenicu da niste ispunili jedan od dva najvažnija cilja GDPR-a - osigurali podatke. Uspijete li svoje poslovne procese izgraditi na način da se osobni podaci obrađuju u skladu s etičkim načelima i pri tom se pobrinete za dovoljnu razinu sigurnosti, učinili ste mnogo. Za one koji su usklađivanje sa GDPR-om pomiješali s izradom pravilnika, evidencije aktivnosti obrada i imenovanjem službenika za zaštitu podataka, ICO ima jasnu poruku - niste napravili ništa.
U nastavku svoje odluke, ICO pojašnjava da politika i prakse Ubera NISU ADEKVATNO POKRIVALE RIZIK koji proizlazi iz korištenja usluga trećih strana, u ovom slučaju GitHuba. Ovime se dodatno naglašava obaveza upravljanja rizikom, kao osnova na kojoj se mora temeljiti zaštita osobnih podataka. To nije ništa novo. Svaka organizacija morala bi učinkovito upravljati rizikom, a što je ona naprednija, to je veći njen rizik vezan uz zaštitu podataka. Certifikacija sustava upravljanja informacijskom sigurnošću prema ISO 27001 svakako je dobra osnova. Ipak, nadzorno tijelo s punim pravom neće vjerovati nikakvom certifikatu, a ne bi trebala ni Uprava. Uprave moraju zapošljavati sposobne, iskusne i kvalitetne stručnjake za informacijsku sigurnost, moraju im dati svu potrebu potporu i resurse, te i same moraju razumjeti rizike s kojima se organizacija suočava. Uprave koje upravljanje informacijskom sigurnošću ne doživljavaju ozbiljno, suočavat će se sa sve ozbiljnijim probojima sigurnosti, poslovnim gubicima, kaznama i odštetama.
Kako onda znati jesmo li se uskladili s GDPR-om?
Ako tim koji se brine za zaštitu osobnih podataka u vašoj organizaciji ne razumije što se dogodilo u Uberu, velika je šansa da ne razumije ni vlastite obrade osobnih podataka i rizike koji iz toga proizlaze. Ako ih ne razumije, nije ih svjestan. Ako ih nije svjestan, ne može ih ni umanjiti. Zapitajte se koliko ste rizika vezanih uz zaštitu osobnih podataka identificirali u posljednjih godinu dana? Koliko ste tih rizika umanjili implementacijom odgovarajućih kontrola? Jeste li uspostavili kontinuirani proces upravljanja rizikom zaštite osobnih podataka? Ako niste napravili ništa od navedenoga, zapitajte se zašto? Nedostaje li možda iskrena potpora uprave ili je problem u nedostatku resursa koji stvarno razumiju kako upravljati rizikom? Odgovor gotovo sigurno leži upravo u jednom od ta dva pitanja.
Testno pitanje za DPO tim
Ako ste sve ovo pročitali i zaključili da razumijete što se zapravo dogodilo u Uberu, trebali ste se zapitati još jednu stvar. Stvar koja je morala pasti na pamet svakome tko je shvatio o čemu se ovdje radi. Pitanje koje je moralo pasti na pamet osobi odgovornoj za zaštitu osobnih podataka sa adekvatnim razumijevanjem rizika u razvoju. Kako možemo biti sigurni da isti oni koji su pristupili izvornom programskom kodu Uberovih aplikacija, taj kod nisu izmijenili? Kako znamo da u njega nisu ugradili funkcionalnosti koje bi mogle rezultirati puno gorim posljedicama? Je li Uber učinio sve što je potrebno kako bi se osigurao od takve vrste diverzije? Sigurnost osobnih podataka ne odnosi se samo na njihovu povjerljivost. Utjecaj na integritet podataka često može imati puno gore posljedice od njihovog curenja, no time ćemo se baviti u nekom drugom tekstu.
