Hlavní navigace

Vlákno názorů ke zprávičce T-Mobile řeší v USA únik dat o desítkách milionů zákazníků od D.A.Tiger - Kdyz ctu podobne zpravy, tak zacinam nejen chapat...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 19. 8. 2021 9:33

    D.A.Tiger

    Kdyz ctu podobne zpravy, tak zacinam nejen chapat smysl GDPR, ale je mi cim dal tim sympatictejsi. Me by moc zajimalo, k cemu treba takovy telefoni operator potrebuje cislo pojistky klienta nebo jeho ridicaku.

  • 19. 8. 2021 9:42

    Filip Jirsák

    V USA nemají občanky ani rodná čísla. Místo nich se tam pro identifikaci osob často používají právě řidičáky a číslo sociálního pojištění.

  • 19. 8. 2021 9:43

    Joelp

    Oni používají číslo pojistky jako my rodné číslo. A řidičák zase stačí jako doklad totožnosti.

    Číslo sociálního zabezpečení v USA potřebuješ na každé rohu

  • 19. 8. 2021 10:23

    Miroslav Šilhavý

    Já si dokonce myslím, že by měla být zavedena objektivní odpovědnost na škody související s úniky dat. Každý by si měl 10x rozmyslet, jestli citlivá data chce sbírat, a když už, tak jak je uchovávat a oddělovat. Každému jednotlivému postiženému vzniká obvykle jen (díky bohu) malá škoda, ale v součtu je to obrovské číslo, kterému se ty firmy vyhýbají. Prostě si spočítaly, že se každý nebude soudit o pár desítek dolarů, a že je lepší čas od času zaplatit škodu jen tomu, kdo se soudit bude.

  • 19. 8. 2021 11:12

    nil nil (neregistrovaný)

    No, takže řešením je prostě naučit se soudit hromadně i o pár dolarů, tedy odpovědnost tady je, tedy pointa vašeho komentáře neplatí ...

    I kdyby Vaše pointa platila, tak nemůžete vymáhat škodu po společnosti za něco, co způsobí, zneužije/využije někdo jiný a způsobí škodu nakonec někdo jiný. Mohl byste hledat nějaké pochybení v zabezpečení, ale to byste potřeboval nějaký minimální standard se kterým vám někdo zaručí, že když ho splníte, tak se nic nestane. Jak víme, takový standard by se jistě našel, ale nakonec nezaručí nic, protože útočníci jsou stále o pár kroků napřed, abych tak řekl.

    Jinými slovy byste mohl maximálně tak žalovat nedbalost. To už by se nejspíš řešilo při hromadné žalobě a upřímně, dát někomu za banální pochybení nebo přehlídnutí pálku i mnoha desítek milionů k náhradě ... to teda dík.Dav se jistě nasytí, ale nepomohlo to ničemu. Nakonec se Vám na to tak akorát každý vykašle.

    Není to zas tak dávno, kdy mě kontaktoval nějaký vykuk a chtěl podepsat NDAčko kteřé říkalo, že pokud by mi někdo i naboural počítač, tak mohou platit i desítky milionů ... prej to lidi klidně podepisují a nemá s tím problém a prej se to nestává a blá blá blá. Tak jsem ho s tím (slušně) poslal někam ... to jistě taky udělalo mnoho lidí.

    19. 8. 2021, 11:12 editováno autorem komentáře

  • 19. 8. 2021 13:33

    Trident

    Kazdy si asi "banalni" pochybeni predstavuje jinak. To je ale v IT zvykem prehlednuti zlehcovat. Takovy unik muze mit pro zamestnance treba stejny dopad jako kdyz nekoho prejede jesterka z nedbalosti.
    Kolega takhle resil pomotani dat logistice prevozu lidskych organu. Reknes si stejne by clovek umrel... banalita. Nebo otestovani tisnovych linek... zapomel, a hele on nekdo zrovna volal nedovolal se a umrel ( kolega z O2). No banalita.

    Predstavte si ze nekdo zneuzije tyto osobni udaje na vyrobu falesnych dokladu a zacne delat pravni ukony. A uz to jede... pujcky, nakupy nez se na to prijde prava osoba ma jen oci pro plac. Zabaveni majetku, rozpad rodiny, deti ukradne stat, nebo jina zla entita (tchyni navedena manzelka) atd... ti lide si obcas hodi i masli. Proste nemaji na to vec rozporovat.

    Ale to je preci banalni zalezitost ne?

    Ten vykuk s tim NDAckem si musi uvedomit ze vymahatelnost muze byt nejake mrzke procento. Pokud je to zahranicni firma tak hodne stesti.
    Seriozni firma co to vyzaduje tak taky chce pojisteni a spoluucast uz si resis s pojistovnou.

    Lidi to podepisuji protoze i v CR je dost hlupaku. Najdes-li seniora co dela za 30-50kkc najdes i naivniho devela co podepise takove NDA.

    Jsem za panem Silhavym. Jednoznacne odpovednost. Systemy/proce­sy/know how na minimalizaci rizik jsou. Jen neni paka je nasadit.

    19. 8. 2021, 13:35 editováno autorem komentáře

  • 19. 8. 2021 17:29

    nil nil (neregistrovaný)

    @Trident Vasco

    Promiňte, ale vaše argumentace hraje spíš na city, než na podstatu problému - normy a jejich záruka.

    No dobře, pojďme do toho, zkusím to taky zahrát na city: když Váš kolega udělá nějakou chybu, tak by ho měli zavřít třeba jako za vřaždu? Že jako někde mu přeteče iteger a půjde jako na kolik, 10, 20 ... nebo zaplatí 1, 2 , 50 milionů škodu?
    Přitom bezpečnost kódu, to je dávno překonaná věc ...

    Poslední dobou se zapomíná na to, že ne všechno musí být něčí vina a ne za všechno musí někdo konkrétní pikat.

    <hr />

    Ten vykuk s tim NDAckem si musi uvedomit ze vymahatelnost muze byt nejake mrzke procento

    Hmmmm, kolik jste ochotný na to vsadit? ;-)

    Systemy/proce­sy/know how na minimalizaci rizik jsou

    To je právě ten problém. Oproti minimalizaci rizik navrhujete maximalizaci postihů ... psaní kódu není tak automatická věc jako kladení cihel nebo standartního výpočtu minimálního zatížení nosníku a předepsaný materiál.

    Nicméně, viděl bych tu možný průnik. Rozhodně bych nebyl proti nějakému např, cechu, to už tady pan Šilhavý kdysi navrhoval, který by zajišťoval minimální osvětu a dovedu si představit, že "trestatelné" by byly např. ty nejhorší prohřešky, jako např. rvaní vstupu přímo do sql dotazů nebo třeba jisté manipulace s hesly a daty, jako např. vytažené logy atd .... nějaké minimum řekněme. Jenomže to se pořád posouvá.

    A nebo by mohla být cesta ceritifikace systémů. Prostě třeba ten T-Mobile by musel mít nějakou splněnou úroveň auditu. Taková prověrka.

    19. 8. 2021, 17:32 editováno autorem komentáře

  • 19. 8. 2021 19:17

    Trident

    To si asi nerozumime a vkladate mi na zaklade svych domenek neco do ust/klavesnice neco co jsem ani nenaznacoval.

    Jako clovek fusujici trochu do letectvi se mi takovy pristup v maximalizaci trestu samozrejme prici protoze nikam nevede. Nicmene stve mne kdyz se nenastavuji procesy na minimalizaci rizik a neustale prochazeji ty same detinske prusvihy na ktere uz mohly byt nastaveny kontrolni mechanismy. Celemu IT chybi kultura bezpecnosti a zodpovednosti nejen za praci samotnou ale i za nastaveni procesu a kontrolni mechanizmy. Proste to spadlo no... a devel pokrci rameny. Proste to nainstalujte znova rekne dodavatel a pokrci rameny...

    1. Problem prevozu organu - chybel kontrolni mechanismus, jedina zaloha na jejich strukturu se dalo spolehnout byla nastesti papirova. Trest neni za chybu ale za chybejici proces ktery by to mel odhalit
    2. Problem testu tisnovych linek - kontrola prace a pripadne jina osoba/oddeleni ktere by to protestovalo -> chyba procesu a chyba rozdeleni kompetenci AFAIK kolega odesel s podminkou.

    Ad NDA - kde nic nemas ani smrt nebere. Muzes zabavit vsechno ale ten clovek ti nikdy ty penize majetkem ktery nemanesplati. Kde nic neni ani smrt nebere.Pokud bude sankce na 50 mega ale vytahnes z nej jen 5 tak co ti to bude platne kdyz zakosum musis nahradit minimalne 40 mega? Proto se uzaviraji pojistky nebo rozprostira riziko. A hlupak neni jeden ale dva co to takhle uzavreli.
    Jedina moznost kde se neco podari vytahnout je pokud je u te zakazky figuruje v investicich nejaky garant - napr. stat.

    Nechtel bych aby ten cech fungoval jen jako cech zebraku z ankh-morporku ci parta elitaru kde ze zakona musi byt clovek clenem a odvadet desatky. Jednom za rok schuzka o tom jak je dulezite davat veci na jine veci ale ze tamti jine veci na jine veci nedavaji protoze jim to prijde stupidni :-)

  • 19. 8. 2021 21:14

    nil nil (neregistrovaný)

    No já nevím, neřekl bych, že vám něco vkládám do klávesnice: Jsem za panem Silhavym. Jednoznacne odpovednost

    Key points:

    Celemu IT chybi kultura bezpecnosti a zodpovednosti nejen za praci samotnou ale i za nastaveni procesu a kontrolni mechanizmy.

    Ano, na tomto se shodneme, to ale podle mě není to o čem psal pan Šilhavý a není to ani nic jako "odpovědnost jednoznačně ano" ... Nejspíš se neshodneme v rozsahu a implementaci.
    Problém ale je, že to prodraží i projekty, u kterých je to zbytečné ... proto bych viděl jako řešení spíš ty certifikace pro určité provozy, viz. výše, ale to už je detail.

    Trest neni za chybu ale za chybejici proces ktery by to mel odhalit

    Což by řešila ta mnou navrhovaný systém ceritifikací pro určité provozy. Ale něco takového už se deje, ne?

    chyba procesu a chyba rozdeleni kompetenci AFAIK kolega odesel s podminkou.

    Máme v práci dva testery. Klasické Q&A. Občas se chyba stane. Nevidím důvod za každou cenu někoho trestat. Občas i jim něco unikne a nepodezřívám je z nekompetence nebo nezájmu. Zkuste si vydefinovat co všechno se se systémem může stát abyste zaručil bezchybovost. Pokud vím, občas se tak stane i v letectví nebo kosmonatice a tam podle mě testují jak na steroidech, takže hodně štěstí ... jak říkám, šel bych cestou certifikací a prokazatelného uhlídatelného "minima"

    Nechtel bych aby ten cech fungoval jen jako cech zebraku

    Mohl by fungovat třeba podobně jako právnická komora. Zrovna mě nic jiného nenapadá

    NDA
    Muzes zabavit vsechno ale ten clovek ti nikdy ty penize majetkem ktery nemanesplati.

    Jenomže bude mít na krku do konce život exekuci. Bude dělat jenom na nejčernější černo, jeho činost bude v součtu dále jenom munice pro další státní kontroly všech, bude na tom bita jeho rodina a známí v konečném důsleku a velmi nerad bych aby to bylo proto, že se někde přehlídl, protože měl prostě blbý den a na něco klikl ...

    Proto se uzaviraji pojistky nebo rozprostira riziko. A hlupak neni jeden ale dva co to takhle uzavreli.

    Takže prodražení výroby kvůli vymáhání nesmyslů (ten s tím NDAčkem)

  • 19. 8. 2021 23:22

    Miroslav Šilhavý

    @Poleno

    Já tedy vnímám, že 99 % sběru osobních dat je úplně zbytečných, obvykle se jedná o naplnění byrokratických snů Rakousko-Uherského formalismu, nebo ještě častěji potřeb marketingu. Ani jedno není nic, co zajímá poškozeného. Jako příklad uvádím sběr dat na doklady, kde není absolutně potřeba evidovat odběratele zboží / služby, vyjma specifického případu, a tím je odběratel-plátce DPH, který chce uplatnit vstup, a to ještě u objednávky nad 10000 Kč. V ostatních případech jsou data sbírána zbytečně. Ku příkladu, e-shop potřebuje znát adresu pro doručení, a po úspěšném doručení zboží může v klidu zapomenout i ty doručovací údaje. Právní rizika přecházejí na odběratele, ten musí při reklamacích prokazovat odpovědnost dodavatele.

    Dodavatel by si měl velmi pečlivě zvážit, jestli mu rizika ze sběru dat přinášejí dostatečný prospěch - a to nyní přinášejí, protože rizika jsou takřka nulová. Nikomu se nevyplatí přepsat e-shop na (kvazi)anonymní režim, náklady jsou vyšší, než myslitelný postih. To všechno je špatně.

    GDPR by mělo jít mnohem dál, tedy nepřipouštět sběr a uchování dat v žádné situaci, kdy lze stejného výsledku dosáhnout bez toho. Nyní je GDPR pro srandu králíkům, každý blbeček prohlašuje, že sběr dat je oprávněný zájem (není!) a že to nelze jinak dělat, protože systémy to nepodporují (rozuměj: nejsou ochotny to podporovat.)

  • 20. 8. 2021 6:54

    JSH

    No tak zrovna marketing je určitě oprávněný zájem. Vždyť představenstvo každé firmy má celkem jasný úkol - zisk. I ten "stejný výsledek" je v praxi zatraceně gumový pojem.

  • 20. 8. 2021 9:04

    jinejmuf

    Oprávněný zájem rozhodně není zjednodušení marketingových plánů managementu.

    Oprávněný zájem jsou data nezbytná k uzavření obchodu a splnění zakázky.

  • 20. 8. 2021 8:06

    nil nil (neregistrovaný)

    Většina sběru dat je zbytečných, na druhou stranu většina takových dat nepředstavuje žádné větší riziko a pokud by někdo chtěl, prostě si je lehce zjistí nějakou kampaní nebo se na vás zaměří. Nejvetší problém představují platební údaje a ty nemusí ani uniknout, stačí když si je na svém eshopíčku bude někdo prostě ukládat. Ne každý vůbec správně přesměrovává na platební bránu a jen tak nezkontrolujete, že tam opravdu přesměrovaný jste. Vsadím boty, že to ani vy nekontrolujete ani 5x do roka. Maximálně tak čas od času nějde nenakoupíte.

    Navíc, u většiny problémů (kromě plně elektronických karet) by se to dalo dohledat, protože až do nedávna musela proběhnout fyzická akce na úřadě. To už dnes neplatí a lehký přístup i ze Zimbabwe už stát umožňuje ke kde čemu, jako např. katastr a kdoví co ještě ....

  • 20. 8. 2021 11:11

    Miroslav Šilhavý

    @Poleno

    Tady se nedá dívat na věc tak, že ty údaje nejsou nebezpečné. Ochrana soukromí má víc rozměrů - např. někdo si nepřeje, aby kdokoliv jiný věděl, že nakupuje určitý druh zboží. Důvodů, proč lidé tají skutečnosti je vícero. Stud, obava ze závisti, právní ochrana, ...

    Běžné je, že jdu do obchodu, a aniž bych se komukoliv představoval, si nakoupím. Třeba i za stovky tisíc. Jedině když chci, tak si vyžádám daňový doklad (nezjednodušený) a nechám vepsat své údaje, ale to se týká jen podnikatelů. 99,99999 % obchodních transakcí nevyžaduje znalost ani jména. U e-shopů je to možná potřeba leda tak při doručení do schránky. Přes parcel shop není potřeba ani to. Při doručení kurýrem stačí být kontaktní na telefonu na dané adrese - ale opět to jde i bez jména. Ověření oprávnění k předání zboží může probíhat (a často už probíhá) jen na základě znalosti jednorázového kódu.

    Všechny tyto procesy se ale v online praxi naprosto nesmyslně váží na sběr údajů, které nejsou k ničemu. Pokud jsou k ničemu, pak je zbytečné riskovat jejich únik, je nejlepší je prostě nemít. A pokud je někdo chce mít, nechť je na základě souhlasu má, ale ať taky nese řádná rizika, když je neuhlídá. Nyní není nikdo ničím tlačen data skutečně důsledně chránit. Firmy se zaměřují, aby v nejmenší možné míře vyhověly GDPR, a proto je na místě mluvit o dalším posunu vpřed.

  • 20. 8. 2021 11:29

    nil nil (neregistrovaný)

    No, to sice ano, to bych jistě souhlasil, ale pokud vím, tak tady ta vlákna nejsou o ochraně soukromí, ale o únicích dat, která mohou přímo způsobit nějakou hmatatelnou škodu.
    O ochraně soukromí se klidně pobavit můžeme, jenže tím driftováním komentujete mé výroky ke kontextu ve kterém debata byla ještě před tím, než jste to zase o kousek posunul.

    Sice tím získáváte pořád nové a nové úhly ze kterých reagovat a zpochybňovat, nicméně pro kontext a smysl debaty je toto naprosto destruktivní.

  • 20. 8. 2021 13:26

    Miroslav Šilhavý

    @Poleno

    Právě já nesouhlasím s tím, že hmotná škoda je to hlavní měřítko. Přímá škoda vzniklá jednomu zákazníkovi je bagatelní. Daleko větší škodou je zásah do soukromí. Nemám potřebu, aby se díky úniku dat někdo dozvěděl s kým obchoduji (a mnohdy tím zjistil, co a kde kupuji.) V takových případech se dá škoda špatně vyčíslit, přesto je existentní.

    Prevencí před všemi druhy škod z úniku dat je vytvořit prostředí, ve kterém se málokomu vyplatí data vůbec sbírat, a když už ano, tak by měl mít motivaci je opravdu velmi dobře izolovat a chránit.

  • 20. 8. 2021 19:24

    nil nil (neregistrovaný)

    Nemám potřebu, aby se díky úniku dat někdo dozvěděl s kým obchoduji

    Jenomže to zase nejsou data, která shromažďují běžné eshopy, nota bene proto, že by je nepotřebovaly. Takže to se do této diskuze taky moc nehodí.

    Prevencí před všemi druhy škod z úniku dat je vytvořit prostředí, ve kterém se málokomu vyplatí data vůbec sbírat, a když už ano, tak by měl mít motivaci je opravdu velmi dobře izolovat a chránit.

    Takže systém, kde jsou data buď k ničemu, nebo šíleně předražená a budou tak tvořit vstupní bariéru pro nové podnkající subjekty?
    Nemyslím, že je po covidu a masivní destrukci střední třídy korporacemi za poslední dva roky potřeba ještě skopnout k zemi každého, kdo by chtěl něco vybudovat ...

    20. 8. 2021, 19:26 editováno autorem komentáře

  • 21. 8. 2021 8:00

    Miroslav Šilhavý

    Takže systém, kde jsou data buď k ničemu, nebo šíleně předražená a budou tak tvořit vstupní bariéru pro nové podnkající subjekty?

    Ano, to je dobrý argument. Přesto si myslím, že by se spíš našly cesty, jak osobní data vůbec nepotřebovat. Zákonná povinnost mě napadá leda snad v případě AML zákonů a bezpečnosti státu (např. telco), a i tam by se to dalo řešit prostou kvazianonymizací ve vnějších systémech. Mně by se třeba týkalo možná 5-10 míst, kde je moje data potřeba opravdu shromažďovat. Zbytek poskytovatelů a dodavatelů je mají zcela zbytečně.

  • 21. 8. 2021 9:26

    nil nil (neregistrovaný)

    @Miroslav Šilhavý

    To už byste musel přesně definovat o jakých datech se bavíme. Např. to číslo OP zase tak často nedáváte, spíše do dlohodobých služeb kde se jedná o nějaký trvalý platební styk: banka, broker, bank. šlužby nebankovním subjekterm - např. broker etc.
    Pokud jenom někde nakupujete, adresu dát musíte, pokud s někým komunikujete musíte dát na sebe kontakt např. pro opětovnou identifikaci. Já např. dávám tel. číslo do formuláře jenom ve vyjímečných případech, když je poviné tak si vymyslím, a pokud je formulář otravný, tak klidně i nenakoupím. Oproti tomu jeden z mých rod. příslušníků to číslo dává, stejně je veřejné a často potřebuje, aby mu dopravce volal ...

    Problém v ČR je možná je v tom, že státní identifikační údaje (R.Č, OP, pas) se začaly používat pro obyčené obchodní styky, takže s nimi operuje nakonec kdekdo, a rychle se přešlo do slabě bezpečného online prostoru i vůči státní správě, což je smrtelná kombinace. Bylo by potřeba oddělit státní identifikační údaje od běžných. Tím by se podle mě dramaticky zvýšila bezpečnost "prostě jenom tak".

    Vymáhání údajů je problém, osobně si pamatuji když ještě e-shopy nevěděli, že mohou vyžadovat tel. číslo "pro zkvalitnění služeb" a rychle se naučily k tomu zákazníky nutit. Jistě v předchozí větě cítíte ten sarkasmus. To je podle mě údaj, o kterém by tady byla řeč jako o zbytečném, který by nikdo nemusel shromažďovat. Prostě např. dobrovolný. Nechápu, proč toto neošetřuje GDPR. Nicméně jak jsem zmínil výše, kombinace jméno a adresa bude potřeba pořád. Vaše číslo si kdekdo zjistí. Nevím jestli to víte, ale jednou mi paní operátorka sdelila, že pokaždé když uzavřete smlouvu s operátorem nebo se obnoví, tak vás zapíší do jakéhosi "veřejného telefoního seznamu" a je na vás, abyste zavolal a nechal se odtud vypsat. Takže co ...

    Firmy se naučily, že tyto údaje mohou z lidí tahat násilím, je to takový nepsaný kartel. Všichni to dělaj, takže není alternativa. Vzpomínal jste UK, tak vězte, že v UK nemají ani trvalé bydliště. To je prostě váš problém to nahlásit či přehlásit. A stát si vás ale pomocí NIN a vašeho portálu identifikuje. A zbytku je to jedno, fungují jako v nerelační databázi, přesto i do ní nějaké identifikace (jméno, adresa, mail ...) dát musíte, jinak bude prázdná a nebude kam věci doručit ... a zaplatit taky musíte.

    21. 8. 2021, 09:31 editováno autorem komentáře

  • 20. 8. 2021 12:58

    Gregor Fefor

    Právnická komora? Už to nehul.

    Inštitúcia, ktorej hlavnou náplňou je udržiavanie regulovaných cien, boj proti nečlenom poskytujúcim služby v oblasti práva a zametanie prešľapov členov pod koberec. Ešte som nepočul, že by advokátska komora či už v ČR alebo SR bola užitočná niekomu mimo jej klaky...

  • 20. 8. 2021 19:19

    nil nil (neregistrovaný)

    @Gregor Fefor

    A co já s tím, že jsi to nepočul?


    A teď fakticky, já napsal by fungovat třeba podobně jako:

    Mohl by fungovat třeba podobně jako právnická komora. <b>Zrovna mě nic jiného nenapadá</b>

    Asi jsi měl náročný týden, ale mě kvůli tomu nadávat nemusíš.

  • 19. 8. 2021 23:18

    Jan Hrach

    > Predstavte si ze nekdo zneuzije tyto osobni udaje na vyrobu falesnych dokladu a zacne delat pravni ukony. A uz to jede... pujcky, nakupy nez se na to prijde prava osoba ma jen oci pro plac.

    Jestli spíš není problém v tom, že jde takové úkony provádět na základě čísel, která se zadávají na každém rohu a ještě k tomu v případě úniku nejdou změnit. Já neznám detailně situaci v USA, ale přijde mi to podobné jako české číslo občanského průkazu: to moje zná doslova sto lidí (společně se jménem, adresou atd.) - úřednice na poště, policajt co mě náhodně kontroloval, recepční v hotelu, ochranka minimálně tří objektů (zapisujou si lidi co pouští dovnitř), celník, dvě směnárny a dvě banky (ty si občanku navíc kopírovaly/ske­novaly, takže tam má kdo ví kolik lidí plnou kopii), pronajímatel bytu, telefonní operátor, zaměstnavatel, lékař a registrační systém (očkování proti covidu)…

  • 19. 8. 2021 23:31

    Miroslav Šilhavý

    V mnoha zemích funguje právo, aniž by existovala dokonalá identifikace. Ve Velké Británii, kterou doufám nepovažujeme za banánový stát, zaváděli identifikační doklady až po roce 2000. V USA také nemají žádnou pevnou identifikaci.

    Náš problém - zejména Německý a ex-Rakousko-Uherský - je, že se snažíme mít veškerou úřední agendu postavenou na betonových základech. Pevná identifikace a nad ní pevné právní úkony. Ale to není jediná cesta. Právní vztahy jsou zpravidla dvoustranné, a je - když se nad tím zamyslíte - naprosto jedno, jak jsou jednotlivé strany označeny a na jakou míru je ověřena jejich totožnost. Dokud vztah funguje, není důvod to řešit (nemo iudex sine actore). Když to zaskřípe, je v zájmu stran sporu umět označit protistranu.

    Měli bychom se odpoutat od pocitu, že rodné číslo, nebo číslo občanky jsou nějaké magické identifikátory. Jsou to čísla, která mohou a nemusí být opravdová, a je vždy součástí každého sporu prokázat, že na druhé lavici sedí opravdu ten správný.

  • 20. 8. 2021 8:22

    nil nil (neregistrovaný)

    Jaké doklady zavedli v Británii? Pasy měli vždycky, NIN dáváte jenom při zvláštních příležitostech, řidičák mít nemusíte a občanský prlaz ani povinný nikdy nebyl


    Identity cards were scrapped in 2011 - they’re no longer valid and you can’t use them as proof of identify.

    You don’t have to return your identity card. You should destroy it or keep it in a safe place.

    The fee you paid won’t be refunded.
    https://www.gov.uk/identitycards

    Přetáčíte to na kritiku státního zřízení ale problém vlastně spočívá jenom v tom, jak píše pan Hrach, že při znalosti pár čísílek můžete co chcete. A já dodávám, že trend poslední doby je ještě jakékoliv užití zjednodušovat, takže se dál ještě odstanete ke službám, i ke kritickým. Jsem zíral, ale např. k obnově hesla na Airbank mi stačilo pár údajů, které o mě ví v kroužku kam jsem chodil ... a po obnově hesla se za mě může přihlásit do elektronického státu přes identitu. Ǒ jak jednoduché. Toto je problém.

    To co navrhujete, je v podstatě jako akcie na doručitele. To si taky nepomůžete, protože pro přístup ke službám by za vás mohl získat někdo, komu stačilo vlézt vám do bytu oknem a už byste nikdy neprokázal, že to bylo vaše ... tedy musel byste nasadit mechanismy jako např. fotka při uzavření vztahu, pak ji někde mít, prokazovat datum etc ... navíc byste pak znemožnil např. dohledání zdravotních údajů v případě težšího úrazu a podobně ... všechno má svá proti.

    Ono by to možná spíš chtělo oddělit. Vůči státu mít jenom státní číslo, třeba rodné a na občance a vůči všemu ostatnímu něco úplně jiného. Nebo číslo na obč. průkazu delší s tím, že jenom jedna část je veřejná pro účely např. ověření podle občanského průkazu. Nevím, nějak to prostě oddělit, protože u státu máte často velmi citlivou agendu. Soukromé subjekty už jsou na tom jinak.

    20. 8. 2021, 08:24 editováno autorem komentáře

  • 19. 8. 2021 11:37

    cc

    V US můžeš podat "Class-action lawsuit", kde se právě můžou soudit ty miliony lidí zárověň.

  • 19. 8. 2021 14:37

    Filip Jirsák

    Byla by s tím zavedena také objektivní zodpovědnost za škodlivý provoz generovaný zařízením? Rozesílání spamu, DDoS útoky apod. To by byl vítr v domácnostech a SOHO…

  • 19. 8. 2021 15:18

    JSH

    No to by teda byla divočina. Kdo by tu odpovědnost nesl? Chtít to po domácnostech asi nebude moc politicky průchodné. A výrobce by to mohlo spíš motivovat k vylepšení spolehlivosti kurvítek.

  • 19. 8. 2021 15:37

    Lukas1500

    Chtít to po domácnostech asi nebude moc politicky průchodné.
    Řeklo by se jako vždycky: "My nic, to všechno zlá EU" :-)

  • 19. 8. 2021 16:37

    Filip Jirsák

    No jo, ale chtít něco po jednom a po druhém ne je dost ošemetné. Pak najednou zjistíte, že osobní data nezpracovává ta velká korporace, ale její prodejci jako fyzické osoby, na které se ty požadavky nevztahují…

  • 20. 8. 2021 7:26

    JSH

    Souhlas. Tady je problém, že IT je svým způsobem strašně unikátní. Jaký jiný obor řeší, kdo nese zodpovědnost za škody způsobené kompetentním padouchem z druhé strany planety? Obvyklé je přece jít po tom padouchovi.
    Dá se najít nějaká paralela pro router v botnetu? Možná tak že se mi banda gaunerů vláme do chaty a udělají si z ní třeba varnu. Bude tam někdo řešit, že jsem tam měl zámek, na který se schopnému zloději stačí škaredě podívat? Leda tak pojišťovna se bude cukat, pokud bych tam měl moc cenné věci.

  • 20. 8. 2021 9:18

    Filip Jirsák

    Máte pravdu, nicméně tam podle mne chybí jeden důležitý detail. U té chaty, baráku nebo auta považujeme za normální, že je věcí vlastníka tu věc zabezpečit. Nikoho nenapadne nechat stát na ulici odemčené auto a pak tvrdit „takhle jsem to koupil, já tomu nerozumím, nemůžete po mně chtít, abych to nějak zabezpečoval“. Jistě, rozdíl je v tom, že když necháte odemčený byt nebo auto, hrozí škoda především vám. U napadeného routeru hrozí majiteli také nějaká újma, ale ta je zpravidla menší, než újma někoho jiného, kdo je tím routerem napaden.

    Myslím, že nějakého posunu se dočkáme až tehdy, až i v IT bude platit, že primárně zodpovědný je vlastník daného zařízení. Pokoušet se stíhat padouchy z druhého konce světa je marné, vždycky ta zodpovědnost musí být i tam, odkud to reálné poškozování ostatních vychází.

    Precedenty na to podle mne jsou. Třeba šíření a uchovávání drog je trestné i u nás, nesnažíme se postihnout jen výrobce drog kdesi na druhém konci světa.

  • 20. 8. 2021 9:42

    JSH

    Jo, u auta nebo chaty je normální je nějak zabezpečit. Jenže to je ochrana tak proti ožralému bezdomovci. O ochranu před kompetentním útočníkem rozhodně nejde.
    U routru by to zhruba odpovídalo změně hesla, aby se tam nedostaly sousedovy děti. A tuhle úroveň ochrany podle mě ani nemá cenu požadovat, protože to k ničemu nevede.

    Jak s tímhle souvisí šíření a uchovávání drog nechápu.

  • 20. 8. 2021 9:59

    Filip Jirsák

    Souvisí to tak, že i v případě drog se nesnažíme zabránit ilegální činnosti jen u samotného původce, ale postihujeme i ty, kteří se na tom podílejí později a fungují jako mezičlánky. Samozřejmě se to pak liší tím, zda jde o podporu úmyslnou, vědomou nebo jen z nedbalosti, ale všechny ty případy nastávají jak ve fyzickém světě tak ve světě IT.

    Lidé si běžně pořizují nadstandardní zabezpečení jako nemovitostí tak aut. V případě IT zabezpečení většina zařízení není ani pravidelně aktualizovaná, což je podle mne úplný základ. A je to to, co dnes způsobuje nejvíc problémů – zařízení v botnetech nejsou získávány sofistikovanými útočníky, jsou to zařízení získaná díky roky známým bezpečnostním dírám.

  • 20. 8. 2021 10:22

    JSH

    Jo, lidi si běžně pořizují nadstandardní zabezpečení. Ale aby chránili sebe! Ochrana ostatních je vyžadována jen na úrovni toho, co dostanou standardně z fabriky.
    A zrovna nutnost pravidelných aktualizací je něco, co se jinde prakticky nevyskytuje. Třeba svolávačky a STKčka u aut řeší věci jako brzdy, ne zámky a alarmy.
    Zabezpečit domácí router aspoň na základní úrovni je prostě mimo schopnosti většiny lidí. Přenést zodpovědnost na vlastníka toho routeru nevyřeší vůbec nic. Tu zodpovědnost je třeba přenést na někoho, kdo je schopný s tím něco udělat. Od vlastníka routeru je reálné chtít leda tak občasnou revizi jako u plynového kotle.

  • 20. 8. 2021 9:52

    JSH

    Jen abych zdůraznil kam mířím. U aut se očekává zabezpečení na úrovni "takhle jsem to koupil, já tomu nerozumím, já jen mačkám tenhle čudl na klíčku". Jaká je odpovídající úroveň zabezpečení u domácího routeru? ;)

  • 20. 8. 2021 10:48

    Filip Jirsák

    Jaká je odpovídající úroveň zabezpečení u domácího routeru? ;)
    „Takhle jsem to koupil, já tomu nerozumím, jenom jsem na začátku nastavil heslo podle návodu.“

    A ten router se bude aktualizovat sám pomocí automatických aktualizací. Akorát ta zodpovědnost musí být na tom koncovém uživateli – aby si koupil router, který tohle splňuje. Což nejspíš zjistí na základě nějaké certifikace. Pokud by ta zodpovědnost nebyla na koncovém uživateli, koupí si nějaký router, který automatické aktualizace mít nebude a bude díky tomu o dvacet korun levnější.

    Koncová zodpovědnost nemůže být u toho, kdo tomu rozumí – protože ten může být zodpovědný, ale pak toho moc neprodá. Musí být u toho, kdo platí – a je pak na něm, aby zaplatil někomu, kdo tomu rozumí.

  • 20. 8. 2021 12:26

    Lukas1500

    Koncová zodpovědnost nemůže být u toho, kdo tomu rozumí – protože ten může být zodpovědný, ale pak toho moc neprodá. Musí být u toho, kdo platí – a je pak na něm, aby zaplatil někomu, kdo tomu rozumí.
    Viděl bych to tak, že zodpovědnost je na tom, kdo s tím může něco udělat. Což v případě routeru je ten, kdo k němu má přístup.

    Analogie s revizemi u komínů nebo STK je zajímavá, nicméně u routeru by taková revize musela být aspoň jednou denně. Automatické aktualizace by toto řešily, pokud by zodpovědnost přešla na toho, kdo aktualizace vydává. Jak by to bylo při ukončení podpory daného routeru? To by měl jeho provozovatel povinnost ho vyhodit a koupit nový? Stejně tak Windows 7 a starší?

    Situace se zabezpečením auta je zajímavý příklad. Osobně se mi protiví, že bych měl mít povinnost si zabezpečit svoje auto před ukradením a zneužitím. Jako kdyby ukradení a zneužití auta bylo v pořádku a na vině byl majitel, který auto nevybavil superbezpečnostním zařízením, znemožňujícím jízdu či ještě lépe neskladovat své auto v pancéřovém kontejneru. Jenže pak je tu jiný příklad: legálně držené zbraně a jejich zabezpečení před zneužitím. I tam by se dalo říct, že na vině není ten, kdo položil nabitou pistoli před školu ale ten, kdo ji našel a vystřelil z ní a zde mi připadá logičtější dbát na zabezpečení zbraně aby se nedostala do nepovolaných rukou. I auto může být zbraň, přestože k tomu nebylo vyrobeno, takže požadavek na zabezpečení auta by byl z tohoto pohledu logický. A kdo jiný by to měl zařídit než vlastník.

    Asi je tedy správné, požadovat zabezpečení nějaké zneužitelné věci (jako třeba osobních údajů) po někom, v jehož moci je takové zabezpečení provést, tedy po tom, kdo tyto údaje uchovává. Ten pak musí prokázat, že učinil přiměřená opatření, aby ke zneužití nedošlo.

  • 20. 8. 2021 13:10

    Filip Jirsák

    Auto jste povinen si zabezpečit proti zneužití. Vlastník zneužitelné by měl mít povinnost ji (přiměřeně) zabezpečit proti zneužití – u zbraní a aut to platí, u zařízení připojených k internetu z historických důvodů ne. Přitom nebezpečnost je zhruba stejná – když ransomwarem vyřadíte z provozu nemocnici, může jít o životy.

    Při ukončení podpory routeru by ho musel provozovatel přestat používat, nebo zajistit jeho zabezpečení nezávisle na výrobci. Právě proto ta zodpovědnost musí být na provozovateli – s výrobcem nic neuděláte, ale zákazník se může rozhodnout, zda si koupí levnější router a garantovanou podporou půl roku, nebo si připlatí za dražší, ke kterému výrobce poskytuje podporu třeba 5 let.

    Osobní údaje typu jméno, příjmení, adresa, rodné číslo moc zneužitelné nejsou, protože se válí na každém rohu.

  • 20. 8. 2021 13:43

    Lukas1500

    Osobní údaje typu jméno, příjmení, adresa, rodné číslo moc zneužitelné nejsou, protože se válí na každém rohu.
    Jednotlivě asi ne, ale čím více jsou údaje propojeny s dalšími údaji, tím jsou zajímavější.

  • 20. 8. 2021 13:19

    JSH

    Pokud díky tomu certifikátu pak za škody bude platit někdo jiný, pak je to OK. Pokud by za škody stále ručil zákazník, pak si samozřejmě bude diktovat podmínky pojišťovna :)
    Akorát ten certifikát nemusí být vůbec vynucený zodpovědností zákazníka. Může být prostě součástí homologace toho routeru. Pak se vůbec nemusí řešit nějaká minimální úroveň buzerace nutná pro to, aby lidi začali kupovat bezpečnější routery.

    Ale s aktualizacemi je tu samozřejmě i další problém. V rámci ceny výrobku prostě nemůžou být aktualizace na věky věků. Takže se nabízejí možnosti jako autodestrukce, provoz routeru po záruce jen na vlastní riziko, nebo třeba router jako služba.

  • 20. 8. 2021 13:40

    Lukas1500

    nebo třeba router jako služba.
    Router jako služba už myslím existuje. Auto jako služba také. Nakonec bude všechno jako služba - prostě takový velký kolektivní dům "koldům".

    Jestlipak by fungovala i zbraň jako služba?

  • 20. 8. 2021 14:40

    Lukas1500

    Třeba tak, že si zajdu na střelnici a tam mi ji půjčí? :)
    To ano. I lov zvířátek lze pořídit jako "službu". Měl jsem na mysli spíše využití v sebeobraně. Na to jsou různé "bezpečnostní služby", nicméně to už není jen ta zbraň.

  • 20. 8. 2021 14:16

    Filip Jirsák

    Osobně bych dal přednost spíš odpovědnosti provozovatele. Provozovatel, který ví, co dělá, ať si klidně připojí co chce. Ale samozřejmě je možná i ta cesta homologace, jako u aut nebo zařízení, která připojujete k veřejné datové síti, a pak třeba pravidelné „STK“.

    Nicméně k nějakému modelu „router jako služba“ doufám dospějeme. Doufám, že domácí router bude mnohem chytřejší zařízení, než je dnes – že se bude opravdu starat o připojení zařízení do místní sítě, zaregistruje je do DNS, nechá jim vystavit HTTPS certifikáty apod. Dávalo by smysl, aby to zařízení fyzicky poskytoval ISP, ale aby mohlo poskytovat služby různých dodavatelů. Dnes máte modem (nebo jeho obdobu) od ISP, WiFI AP, set-top-box, třeba Alexu – přitom to vše má jediný účel, propojit vaše domácí zařízení s nějakým poskytovatelem služeb. A každý to řeší svým zařízením, svou technologií…

  • 20. 8. 2021 14:45

    Lukas1500

    Nicméně k nějakému modelu „router jako služba“ doufám dospějeme.
    Ano, dává to smysl. Přesto bych se nerad dostal do stavu, kdy bude "všechno jako služba" a lidé se nebudou schopni pomalu ani sami najíst nebo vymočit, protože na všechno mají nějakou službu.

  • 20. 8. 2021 15:13

    JSH

    Toho bych se nebál. Záchod jako službu mám na každé benzínce a moje schopnosti to nějak neovlivňuje. :)

  • 20. 8. 2021 15:22

    Filip Jirsák

    Na druhou stranu, vypěstovat si obilí, odchovat prase, ukovat pluh na zorání pole pro to obilí, postavit barák – nic z toho neumím. Dostávám jako službu produkci potravin, stavbu baráku, výrobu auta, výrobu všech ostatních zařízení. A nemám pocit, že by to moji svobodu nějak umenšovalo, právě naopak. Pokud byste chtěl být nezávislý na ostatních, vybral jste si špatný druh…

  • 20. 8. 2021 15:47

    Lukas1500

    Na druhou stranu, vypěstovat si obilí, odchovat prase, ukovat pluh na zorání pole pro to obilí, postavit barák – nic z toho neumím.
    Já taky ne, ačkoliv nějaký stabilní domek bych snad v konečném čase postavil. Asi je třeba si najít nějakou hranici, co ještě chci přijímat jako službu a co chci umět sám. Například ústřední topení je skvělá věc - dokud funguje, jinak jsou lepší kamna na dřevo a les. Jenže spousta by nedokázala ani rozdělat oheň. "Potřebujete opravit topení? Jistě, po svátcích Vám tam někoho pošleme."

    Pokud byste chtěl být nezávislý na ostatních, vybral jste si špatný druh…
    Úplně nezávislý bych být nechtěl a ani nemohl. Ovšem zase bych nechtěl být zbytečně závislý. Spousta motoristů si neumí ani nasadit rezervní kolo, beztak jej už ve voze nemají (jen to zabírá místo a zvyšuje spotřebu, opravná sada nebo telefon do servisu stačí...).

  • 20. 8. 2021 15:21

    kamui

    Router jako služba už existuje. Mám jeden takový krám doma - nic to pořádně neumí, nejde to přepnout do bridge módu (to je mi pak ta veřejná IPv4 hodně platná), ale vyhodit to nemůžu, protože je to současně optický modem.

    EDIT: a ještě lepší je UPC modem u rodičů. Ten neumí ani tak základní věc jako statické DHCP(v4) nebo povolit příchozí provoz do LAN přes IPv6.

    20. 8. 2021, 15:24 editováno autorem komentáře

  • 20. 8. 2021 15:47

    bez přezdívky

    "až i v IT bude platit, že primárně zodpovědný je vlastník daného zařízení"

    to je hodně ošklivý argumentační faul - kde prosím platí to, co má platit "i v IT"?
    - když mně někdo ukradne auto a způsobí škodu, tak jako vlastník odpovědnost nenesu
    - když se mně někdo vloupá do chaty a udělá si tam sklad drog, já jako vlastník odpovědnost nenesu
    - když se mně někdo vloupá do kůlny a z ukradeneého hnojiva a nafty vyrobí výbušninu, já jako vlastník odpovědost nenesu

    "Pokoušet se stíhat padouchy z druhého konce světa je marné"

    tohle bysme zas mohli přenášet do reálného světa, ne? přestaneme stíhat pachatele obecné i závažné kriminální činnosti a budeme stíhat oběti ...

  • 20. 8. 2021 16:45

    Lukas1500

    přestaneme stíhat pachatele obecné i závažné kriminální činnosti a budeme stíhat oběti ...
    Jestli tomu správně rozumím, tak nejde o to, jestli vlastník zabránil zneužití ale jestli vyvinul přiměřené úsilí aby zabránil zneužití.

    Já bych třeba preferoval přístup: "není to moje, tak na to nehrabu", jenže to bohužel v praxi moc nefunguje.

  • 20. 8. 2021 19:06

    Filip Jirsák

    pavelry: Když někdo ukradne auto, které jste neměl zamčené, budete mít problém. Když se někdo vloupe do továrny, která pracuje s nebezpečnými chemikáliemi, a nějaké ukradne, budete mít problém. Když někdo spáchá trestný čin vaší zbraní, budete mít problém – problém budete mít dokonce i tehdy, když se zjistí jenom to, že má zbraň v držení někdo jiný. Nejste zodpovědný za čin, který spáchal někdo jiný, ale jste zodpovědný za to, že jste nebezpečnou věc řádně nezabezpečil.

  • 19. 8. 2021 12:00

    byCx

    To je trochu naivní si myslet, že GDPR něco změnilo po technické stránce. Jinak ty získaný údaje se dají dobře využívat na scamy, které v USA mají mnohem větší tradici než tady u nás.

  • 19. 8. 2021 12:44

    GeBu

    Jako důsledek tlaku změnilo. Je sposta lidí, kteří pracují s daty a nic si neuvědomovali a nic neřešili. A najednou se udělalo bububu a tak si něco zjistili a určité technické kroky se všude udělaly, právě proto, že se lidi trochu zamysleli.
    Ale neříkám, že dostatečně.

  • 19. 8. 2021 13:50

    byCx

    Znám lidi, co to vyřešili jen papírem, který musí každý zákazník podepsat a tím to pro ně skončilo. Za tuhle radu zaplatili několik desítek tisíc GDPR poradcům. V korporaci, kde pracuju, se pak bezpečnost řeší softwarem třetích stran, ale změny za účelem zvýšení bezpečnosti v samotné infrastruktuře procházejí jen velmi neochotně. Takže jo, to povědomí se určitě zvedlo, ale prakticky je ten dopad mnohem menší, než by se mohlo zdát.

  • 19. 8. 2021 14:14

    oss

    No zmenilo sa napriklad to, ze ma uz nebombarduje tolko spamu s dataz emailov, ktore firmy len tak predavali.
    Tiez sa zmenilo aj to, ze uz musim explicitne suhlasit s newsletrom a nemozu mi makretingove veci poslat automaticky. Celkovo mi chodi o 70% menaj emailov a nic mi nechyba.

    Rovnako ma sluzby musia infromovat co o mne zbieraju a to je velky plus, proste ak nejaka toho zbiera vola tak tam nevleziem.

  • 19. 8. 2021 15:28

    SB

    O to, jak to vyřešili, přece vůbec nejde, jde o to, že odteď za to mají právní zodpovědnost s případnými důsledky.

  • 19. 8. 2021 22:54

    Libor Peltan

    To mi připomnělo, jak jsem si dneska zakládal účet u SNCB (kvůli jízdenkám na vlak), tak po mně mermomocí chtěli pohlaví a nepustilo mě to dál, dokud jsem si nějaké nezvolil.

    (jo a taky chtěli, aby heslo mělo 12 až 16 znaků ... že je 11 málo, mi přijde paranoidní, ale proč je 17 moc, to je doslova na hlavu)

    19. 8. 2021, 22:55 editováno autorem komentáře