Hakeri, digitālās ekonomikas riski un iespējas

Tehnoloģijas rada fantastiskas iespējas, bet ir jāapzinās arī riski!

J.Endziņš, LTRK valdes priekšsēdētājs

Šobrīd pieaug interneta informācijas loma. Caur dažādiem komentāriem, kas pārsvarā ir anonīmi, tiek paustas vispretrunīgākās idejas un viedokļi, kas praktiski bloķē objektīvu faktu uztveri

J.Rozenvalds, LU SZF profesors

Egils Stūrmanis (cert.lv) savā prezentācijā dalījās redzējumā par tehnoloģiju attīstību un potenciāliem (drīzāk teorētiskiem) draudiem, ko tās var radīt. Norādīja uz vairākiem piemēriem, kas saistīts ar sociālo inženieriju un to, kā nelabvēļi var iegūt piekļuves paroles. Riskus arī nevajadzētu pārvērtēt, jo arī hakeri ir ieinteresēti iegūt vien tādus datus, ko tie var izmantot saviem mērķiem. Ja esat sabiedrībā zināma persona, tad tie ir dati, kurus jūs nevēlētos, lai tie nonāktu plašākas sabiedrības acīs, bet kopumā hakeru uzbrukumi privātpersonas datiem galvenokārt saistāmi ar piekļūšanu naudas makam (banka, paypal u.c.), kā arī izspiešana (datus šifrējošais vīruss).

Stūrmanis norādīja uz dažādām ļaunatūras niansēm jeb kāpēc nevajadzētu instalēt Pokemon Go spēli ārpus Google Play vai Apple Store vietnes. Piemēram, ļaunatūra iegūstot piekļuvi īsziņu sūtīšanai varētu nosūtīt īsziņas uz maksas numuriem, bet tā, ka to skaits un noskaitītā summa būtu nepamanāma mēneša rēķinā.

Cik objektīvi lietotājs var izsekot sīkām transakcijām? Šī ir būtiska nianse arī attiecībā uz tuvākā laika jaunievedumu – bezkontakta bankas kartēm un to lietošanas drošumu.

Zane Beļavska (Aizsardzības ministrija) klātesošos iepazīstināja ar ministrijas likumdošanas iniciatīvu, tā saucamo “Ētisko hakeru regulējumu”. Iecerēts, ja ētiskie hakeri (jeb pētnieki) par atrasto “caurumu” laicīgi ziņos cert.lv, bet par to publiski izteiksies vien tad, kad “caurums” būs salāpīts, iestāde varētu neizmantot krimināllikuma pantu par nesankcionētu piekļuvis IT sistēmai. Pēc šāda ziņojuma, iestādei, kuras pārziņā ir caurumainais resurss būtu pienākums 90 dienu laikā (ar iespēju pagarināt vēl uz 90 dienām) to novērst.

No stāstītā tā arī nekļuva skaidrs, kā un vai prasību necels, piemēram, trešās puses, kurai radīts datu aizskārums. Nenoliedzami, kaut kāds regulējums ir vajadzīgs, lai pasargātu “trauksmes cēlājus”, skepsi rada atvēlētais laiks, kura laikā iestāde “caurumu” “lāpīs”, kas kopsummā tomēr ir pus gads.

Datu aizsardzības speciālisti un juristi (Ivars Krievs un Agnese Boboviča) pastāstīja par jauno EK datu aizsardzības direktīvu 2016/672 [1], kura stāsies spēkā 2018. gada 25. maijā. Direktīva, lai arī neievieš neko konceptuāli jaunu, nostiprina vairākas lietas attiecībā uz datu apstrādi. Būtiskākais:

1. Attiecas arī uz ES pilsoņu datu apstrādi ārpus ES.
2. Aktīva darbība piekrītot (ielikt ķeksi, nevis izņemt, ja nepiekrīt).
3. Savu datu kontrole, to skaitā atsaukšana. T.i. persona būs tiesīga pieprasīt kādi dati tiek glabāti sistēmā, tos labot un/vai atsaukt, ja tie zaudējuši mērķi (piem., līgums izbeigts).
4. Apstrādājamo datu minimizēšana. Mērķis izskaust: "glabājam visu, kad savajadzēsies, lai būtu". Glabāt drīkstēs vien tādus datus, kādi nepieciešami mērķa sasniegšanai.
5. Mērķa ierobežošana. Datu pārzinim vajadzēs ne tikai formulēt mērķi ar kādu dati tiek ievākti, bet arī saprotami to subjektam jāpasniedz.
6. Ziņošana par incidentu saistībā ar datiem. Datu pārzinim 72 stundu laikā būs jāziņo uzraugošai institūcijai (Datu valsts inspekcijai), kā arī būs pienākums paziņot datu subjektam.
7. Nu un, protams, sodi. Vienmēr vainīgs būs datu pārzinis (kam pieder dati), bet sodīt varēs arī operatoru un citas iesaistītās puses. Maksimālais sods līdz 20 miljoniem EUR vai 4% no iepriekšējā gada apgrozījuma (attiecīgi tā summa, kura būs lielāka).

Arnis Puksts un Artūrs Filatovs, kuru prezentācija, lai arī vairāk izskatījās pēc sava biznesa prezentācijas, iepazīstināja ar vispārējiem principiem un pasaulē pieņemto praksi kā pasargāt datus.

Tika izskaidrots arī Datamed gadījums [2], kurš nesen bija nonācis sabiedrības uzmanības centrā. Datamed veica datu apstrādi medicīniskiem datiem, ko piegādā medicīnas laboratorijas. Šinī gadījumā laboratorijas uzskatāmas par datu pārzini, bet Datemed – datu apstrādes operators, ar kuru noslēgta ārpakalpojuma vienošanās. Tik tālu viss likumīgi. Problēma sākas brīdī, kas Datamed par nelielu, bet taisnīgu samaksu ļāva datu subjektiem apskatīt savus datus. No operatora šis uzņēmums kļuva par datu pārzini, mainījās datu apstrādes mērķis. Katrā ziņā, datu pārzinis ir tiesīgs pielīgt trešo pusi, kas nodrošinās datu apstrādi un tam, cik liels ir uzņēmums vai tā kapitāls nav nekādas nozīmes.

Avoti:

[1] EIROPAS PARLAMENTA UN PADOMES REGULA (ES) 2016/679 - http://eur-lex.europa.eu/legal-content/LV/TXT/HTML/?uri=OJ:L:2016:119:FULL&from=EN

[2] Sākta pārbaude par "Datamed" personas datu apstrādes atbilstību likumam - http://nra.lv/latvija/179316-sakta-parbaude-par-datamed-personas-datu-apstrades-atbilstibu-likumam.htm