Odliczamy do RODO

Instalowanie skryptów może być niebezpieczne

Metadane
Podmiot udostępniający: Departament Informatyki Biura DIODO
Wytworzył informację: Andrzej Kaczmarek
Wprowadził‚ informację: Paweł Holiczko 2017-04-20 15:04:31
Ostatnio modyfikował: Paweł Holiczko 2017-04-20 16:01:17

GIODO uczula administratorów danych, że wstawianie skryptów, czyli krótkich programów komputerowych, umożliwiających np. zbieranie danych statystycznych czy pośrednictwo w sprzedaży reklam, w prowadzonych przez tych administratorów systemach informatycznych, może prowadzić do wykradania danych.

Potwierdza to przypadek zaobserwowany i zgłoszony administratorowi danych przez klienta jednego z banków. Klient ten zauważył, że dane dotyczące kwoty operacji wykonywanych przez niego na rachunku bankowym przekazywane są z systemu bankowego do firmy, z którą bank zawarł umowę na świadczenie usług analitycznych i doradczych związanych z badaniem rynku świadczonych usług. Firma miała analizować w tym celu oglądalność strony internetowej banku, a tymczasem, jak zauważył klient, uzyskiwała również dostęp do szczegółów wykonywanych przez nich operacji finansowych. Zaistniałe zdarzenie może świadczyć o luce w stosowanych przez ten bank procedurach zarządzania bezpieczeństwem. Umożliwiła ona bowiem podmiotowi trzeciemu (z którym bank zawarł umowę o współpracy) zmodyfikowanie procesu przetwarzania do postaci wykraczającej poza dopuszczalny przez bank zakres.

Administrator danych powinien mieć pełną kontrolę nad przetwarzaniem danych

Obowiązkiem administratorów danych przetwarzających dane osobowe przy użyciu stron internetowych, za pośrednictwem których świadczone są różnego rodzaju publicznie dostępne usługi (m.in. urzędów, banków, sklepów internetowych), jest zapewnienie pełnej kontroli nad tym, jakie dane osobowe, nad którymi sprawują nadzór, są przetwarzane oraz komu i w jakim zakresie są udostępniane. Przy czym pełna kontrola oznacza nie tylko kontrolę odnoszącą się wyłącznie do przetwarzania realizowanego przez aplikacje administratora danych (np. banku), ale również kontrolę przetwarzania, do którego dochodzi w wyniku działania programów stron trzecich (skryptów) wstawianych przez administratora danych do swojej aplikacji w celu np. zbierania danych statystycznych, badania rynku lub do zamieszczania reklam przez wyspecjalizowane podmioty w ramach sprzedanej im powierzchni reklamowej. Skrypty takie mogą być umieszczane albo bezpośrednio w aplikacji administratora danych, co jest często stosowaną praktyką, albo na serwerach podmiotów trzecich i za pośrednictwem odnośników (linków) łączone funkcjonalnie z systemem administratora danych. Rozwiązanie takie skutkuje często brakiem kontroli administratora danych nad działaniem tych skryptów, zwłaszcza nad tym, kiedy i w jakim celu kod źródłowy skryptu został zmodyfikowany przez podmiot nim zarządzający. Wielu administratorów danych, którzy doświadczają takich sytuacji, usprawiedliwia się tym, że nie mają wpływu na działanie skryptów, którymi zarządza firma, której oni udostępnili jedynie miejsce na swojej stronie internetowej (np. na potrzeby zamieszczania reklam). GIODO przypomina jednak, że sytuacja taka nie może mieć miejsca.

Zgodnie z art. 26 ust. 1 ustawy o ochronie danych osobowych, administrator danych jest obowiązany dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności powinien zapewnić, aby były one:

    • przetwarzane zgodnie z prawem,
    • zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,
    • merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
    • przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

Zapewnienie tych właściwości wymaga pełnej kontroli administratora danych nad celami i środkami używanymi do przetwarzania danych osobowych. Kontrola taka powinna odnosić się zwłaszcza do wykorzystywanych systemów teleinformatycznych, których działanie powinno być przez administratora w pełni kontrolowane.

Dobre praktyki i zalecane standardy

Stąd w wielu dobrych praktykach wymagane są odpowiednie procedury dotyczące testowania i zatwierdzania wszelkich wprowadzanych zmian,  m.in. odnoszących się do systemów informatycznych. Tak np. ITIL (ang. Information Technology Infrastructure Library) - kodeks postępowania dla działów informatyki w odniesieniu do zarządzania zmianami wymaga, aby zmiany były odpowiednio planowane, kontrolowane i rejestrowane. Oznacza to, że każda zmiana przed jej wprowadzeniem powinna być formalnie zatwierdzona przez upoważnioną osobę. Ponadto, powinien być prowadzony rejestr dokonanych zmian i wydań (wersji) wprowadzanego do stosowania oprogramowania. Odpowiednie procedury zarządzania zmianami przewidują również inne metodyki i standardy zarządzania systemami informatycznymi. Dla przykładu wskazać można opracowaną przez stowarzyszenie ISACA metodykę COBIT (stanowiącą zbiór dobrych praktyk z zakresu IT Governance, które mogą być wykorzystywane w szczególności przez audytorów systemów informatycznych) czy standardy ISO/IEC 20000-1 i ISO/IEC 20000-2 dotyczące zarządzania usługami informatycznymi.

GIODO zbada sprawę

Jednocześnie opisany w mediach przypadek uzyskania przez firmę zewnętrzną dostępu do danych finansowych klientów banku skłonił Generalnego Inspektora Ochrony Danych Osobowych (GIODO) do zajęcia się tą konkretną sprawą z urzędu.

Serwisy GIODO:

Ostatnie aktualności