Zo sveta

Končiaci sa rok 2011 bol bohatý na prúsery v oblasti ochrany osobných údajov súkromia, a to tak doma ako i vo svete. Portál https://www.privacyrights.org zhrnul poltucet tých najvýznamnejších vo svojom malom rebríčku:

1. Ako prvý uviedli FAIL z dielne SONY, kde sa vraj v apríli zastavil istý hacker, ktorý sa zásobil menami, adresami, emailovými adresami, dátumami narodenia, heslami do sietí Playstation a Qriocity, prihlasovacími menami a ID viacerých užívateľov. Predpokladá sa, že útočník mohol získať aj históriu nákupov užívateľov, fakturačné adresy a tiež informácie o password security question. O niekoľko mesiacov neskôr bolo zistené, že hacker získal prístup k 101,6 miliónom záznamov, vrátane 12 mil. nezašifrovaných čísel kreditných kariet.
INFO:
http://www.huntonprivacyblog.com/2011/04/articles/gaming-security-breach...
http://attrition.org/security/rant/sony_aka_sownage.html

2. Ďalšou hviezdou v poradí bol americký poskytovateľ služieb elektronickej pošty, ktorý rovnako v apríli ohlásil bezpečnostný incident s dopadom na 75 klientských firiem. Konzervatívne odhady vravia o úniku 50-60 mil. emailových adries a až 250 miliónov emailov sa tak ocitlo v nebezpečenstve. Hoci meno a email, možno neznejú príliš tragicky, podvodníkom využívajúcim phishing to však v mnohých prípadoch stačí na ich nekalé ciele.
INFO:
http://www.databreaches.net/?p=17374

3. Sutter Physicians Services a Sutter Medical Foundation si celkom užili len pred pár mesiacmi, keď po krádeži nešifrovaného počítača z kancelárskych priestorov zmenili držiteľa zdravotné záznamy 4,2 milióna pacientov. Medzi údajmi v počítači boli mená, adresy, diagnózy, emaily, telefóny dátumy narodenia. Hoci medzi uniknutými údajmi neboli čísla sociálneho zabezpečenia a ani žiadne finančné informácie, Sutter Health sa nevyhol žalobe pre nedbanlivosť ohľadom bezpečnosti spracúvaných údajov.

4. Kontrolný úrad v Texase sa problémom nevyhol po tom, čo údaje o z viacerých dôchodkových inštitúcií bolo možné prečítať z verejného serveru. Údaje (mená, čísla sociálneho zabezpečenia, čísla vodičákov, adresy a dátumy narodenia) sa mohli týkať 2-3,5 milióna texasanov, v ktorých mene bola samozrejme podaná spoločná žaloba.

5. Health Net zase prišlo o 9 serverov s osobnými údajmi 1,9 milióna dotknutých osôb, pričom sa bavíme o menách, adresách zdravotných dátach, číslach sociálneho zabezpečenia, ale aj finančných informáciách. Rozsah tohto bezpečnostného incidentu zväčšuje aj skutočnosť, že prevádzkovateľ si nesplnil povinnosť informovať dotknuté osoby o úniku ich údajov, aby mohli prijať aspoň minimálne opatrenia na odvrátenie škôd.

6. Posledným v rebríčku PrivacyRights.org je TRICARE, o ktorom sme písali aj u nás. Približne 5 miliónov dotknutých osôb a celá plejáda zdravotných a finančných údajov. Novinkou je snáď informácia o žalobe podanej štyrmi dotknutými osobami. Požadovaná náhrada škody sa šplhá k piatim miliardám dolárov, čo by znamenalo tisícku pre každého, čo z pohľadu firmy môže byť veľa ale s ohľadom na jednotlivca to nie je žiadne terno.
INFO:
http://www.oou.sk/usa-reportuju-ohrozenie-milionov-zdravotnych-udajov

Aj takýto bol teda rok 2011 čo sa týka ochrany osobných údajov a súkromia vo svete či skôr prevažne v USA. Zaujímavo by však mohli vyzerať aj podobné rebríčky na Slovensku. U nás neplatí povinnosť oznamovať bezpečnostné incidenty, takže je nemožné získať podobné štatistiky. Bruselskí legislatívci nám však chystajú revíziu smernice pre ochranu údajov, ktorá by s Data Breach Notification mala počítať.

ZDROJ:
https://www.privacyrights.org/top-data-breach-list-2011

Úrad komisára pre slobodu informácií a ochranu súkromia z kanadskej provincie Alberta sa pokúsil prispieť k redukcii predvianočného stresu špeciálnou verziou tradične piesne a zároveň aj pripomenúť všetkým hekticky nakupujúcim ľuďom, že si aj v čase vianočného zhonu majú dávať pozor na svoje osobné údaje a súkromie.

Na melódiu vianočnej piesne „Santa Claus is Coming to Town“ prinášame jej text, spoločne s voľným prekladom do slovenčiny...

Telemarketingová spoločnosť AMERICALL z Illinois zaplatí 500 000 USD za porušenie pravidiel telemarketingového predaja z dielne Federal Trade Commission (FTC). Týmito pravidlami boli povinnosť zaradiť žiadateľa do zoznamu nevolaných (OPT-OUT – spotrebitelia, ktorých na základe ich vlastnej žiadosti marketingové spoločnosti neoslovujú), aby neboli neskôr opätovne obťažovaní marketingovými telefonátmi a tiež zákaz kontaktovať spotrebiteľov pod falošným menom. FTC je federálna inštitúcia na ochranu práv spotrebiteľov, ktorá dozerá na obchodné vzťahy so spotrebiteľmi nielen z obchodného pohľadu, ale aj z pohľadu ochrany osobných údajov či pravidiel telekomunikačnej prevádzky. Počas vyšetrovania FTC vyšlo najavo, že manuál pre pracovníkov AMERICALL obsahoval inštrukciu nezaradiť spotrebiteľa do zoznamu nevolaných, napriek jeho výslovnej požiadavke. Zistené bolo aj podvodné konanie pri zobrazovaní CallerID, ktoré podľa telemarketingových pravidiel FTC prikazuje zobraziť ako meno telemarketingovej spoločnosti alebo jej klienta, v mene ktorého v telefonáte vystupuje.

Takýto postup zabezpečil, že účty za telefonovanie sa AMERICALL vďaka polmiliónovej pokute výrazne predražia. Ako sa zdá, vysoké pokuty môžu byť cestou aj pre slovenských regulátorov, aby zabezpečili obdobne efektívny výkon práva spotrebiteľov a dotknutých osôb v prípade ich porušenia.

Tlačová správa Európskej komisie zo dňa 17. novembra 2011: Európska únia a Spojené štáty americké dnes podpísali novú dohodu o prenose údajov o pasažieroch letov z EÚ do Spojených štátov. Ak túto novú dohodu o osobných záznamoch o cestujúcich (tzv. PNR) prijme Európsky parlament a jednotlivé členské štáty EÚ na zasadnutí Rady ministrov, tak sa ňou nahradí súčasná dohoda z roku 2007. V dôsledku toho sa zlepší ochrana údajov a zároveň to poskytne účinný nástroj na boj proti závažnej nadnárodnej trestnej činnosti a proti terorizmu.

Iba minulý týždeň sa na verejnosti prepierala schopnosť Facebooku sledovať svojich užívateľov aj keď surfujú po iných stránkach. Informoval o tom bloger Nick Cubrilovic a vzápätí to popreli predstavitelia známej sociálnej siete. Napriek sľubom a vyjadreniam Facebooku a tiež po ubezpečení, že cookies použiteľné na sledovanie boli odstránené vyznieva najnovšia informácia z amerického patentového úradu ako výsmech všetkým užívateľom. Facebook si totiž iba niekoľko dní pred ospravedlneniami a sľubmi podal patentovú prihlášku, v ktorej abstrakte sa píše:

„In one embodiment, a method is described for tracking information about the activities of users of a social networking system while on another domain. The method includes maintaining a profile for each of one or more users of the social networking system, each profile identifying a connection to one or more other users of the social networking system and including information about the user. The method additionally includes receiving one or more communications from a third-party website having a different domain than the social network system, each message communicating an action taken by a user of the social networking system on the third-party website. The method additionally includes logging the actions taken on the third-party website in the social networking system, each logged action including information about the action. The method further includes correlating the logged actions with one or more advertisements presented to the one or more users on the third-party website as well as correlating the logged actions with a user of the social networking system“.

Info o tom čo robí užívateľ na stránkach s inou doménou ako facebook.com a použitie týchto informácií pre svoje ciele si Facebook cení tak, že si ich potrebuje chrániť aj podľa patentového práva USA. O úprimnosti k svojim užívateľom preto nemôže byť ani reči. Skôr naopak...a maslo na hlave má po tomto odhalení CEO Mark Zuckerberg.

PATENT: http://appft.uspto.gov/netacgi/nph-Parser?Sect1=PTO2&Sect2=HITOFF&u=%2Fn...

Osobné údaje ľudí, ktorých počet sa pomaly blíži k počtu obyvateľov Slovenska, boli postihnuté bezpečnostným incidentom amerického poskytovateľa zdravotnej starostlivosti TRICARE. Krádežou záloh sa tak do nesprávnych rúk dostali osobné údaje pacientov vojenského zdravotného systému od rokov 1992 do 2011. Údaje pacientov môžu obsahovať čísla sociálneho zabezpečenia, adresy, telefónne čísla a tiež zdravotné údaje ako poznámky lekárov, laboratórne testy či predpísané lieky.

S najväčšou pravdepodobnosťou ide o najrozsiahlejší incident zahŕňajúci ohrozenie osobných údajov odkedy je v USA účinný Health Insurance Portability and Accountability Act prikazujúci prevádzkovateľovi oznamovať bezpečnostné incidenty.

Pri udalosti takéhoto rozsahu sa jednoducho nedá neopýtať: „Sme na Slovensku skutočne pripravený na eHealth?"

Vyhlásenie TRICARE: http://www.tricare.mil/mybenefit/Download/Forms/DataBreach_PublicStateme...

see more Very Demotivational

A: Nie je to úžasné? Nemusíme nič platiť za tento chliev.
B: Veru áno! Ešte aj jedlo máme zdarma.

Facebook a TY

Ak za niečo neplatíš, tak nie si zákazník.
Si tovar na predaj.

Okrem toho, že nový layout FACEBOOKu ako vždy krátkodobo naštval väčšinu jeho užívateľov (krátkodobosť ich hnevu dokonale vystihol autor comixu :-D), ozvali sa aj hlasy vyjadrujúce obavy z dôsledkov funkcie Timeline na ochranu súkromia.

Obavy z Timeline hovoria najmä o tom, že má priniesť...

Digital Forensics Association vydala štúdiu Suzanne Widupovej pod názvom The Leaking Vault 2011, týkajúcu sa bezpečnostných incidentov spojených z únikom osobných údajov za posledných 6 rokov. Zahŕňa až neuveriteľných 3765 zaznamenaných a zverejnených incidentov a je najväčšou štúdiou svojho druhu. Autorka zozbierala informácie od organizácií, ktoré monitorujú bezpečnostné incidenty a tiež z vládnych zdrojov pričom sa jej podarilo okrem USA zmapovať aj ďalších 33 krajín. Štúdia pokrýva incidenty v období rokov 2005 až 2010 v počte 806,2 milióna záznamov, s ktorými bolo neoprávnene nakladané. V priemere prišli organizácie denne o 388 000 záznamov čo znamená únik 15 000 záznamov každú hodinu za uplynulých 6 rokov. Alarmujúce čísla pre ochranu osobných údajov len dopĺňajú náklady organizácií spojené s bezpečnostnými incidentmi vo výške 156 miliárd USD.

Vzhľadom na to, že naša legislatíva neobsahuje povinnosť informovať verejnosť o bezpečnostných incidentoch, nie sú podobné štatistiky pre Slovensko k dispozícii. Prevádzkovateľ nie je totiž povinný ani notifikovať dotknutú osobu, že jej údaje boli skompromitované, a že by bolo vhodné prijať preventívne opatrenia na to, aby neboli zneužité.

Celá štúdia: https://www.infosecisland.com/download/index/id/34.html