Názory k článku
Unikli osobné údaje všetkých testovaných na Covid-19 v SR
-
Toto je neuveritlene lemplactvo. Treba zalobu na zaklade zakona o ochrane osobnych udajov, spravit audit, vycislit skody, vymahat na dodavatelovi. Mozno si nabuduce spocita, ze security audit by ho vysiel lacnejsie.
Ale kedze sme na Slovensku, predpokladam, ze zmluva je postavena tak, ze "my nic, my za nic nerucime, iba berieme prachy". Snazil som sa dopatrat, kto im to zbastlil, ale zial nepodarilo sa mi. Neviete niekto? Lebo aspon negativne PR si za toto urcite zasluzia :-( -
"Kto aplikáciu Moje eZdravie vytvoril?
Dnes už bývalý šéf Národného centra zdravotníckych informácií Peter Blaškovitš pre Živé.sk potvrdil, že za jeho pôsobenia na aplikácii robili interní zamestnanci inštitúcie, keďže ju potrebovali vytvoriť čo najskôr a verejné obstarávanie by stálo istý čas. Kto na softvéri pracoval neskôr, NCZI nepovedalo."
-
Zákony jsou víc než smluvní podmínky, a jsem si jistý, že ochrana zdravotních záznamů je rozhodně chráněna zákonem. Jen GDPR umožňuje ve vážných případech pokutu až 20 milionů euro nebo až 4% ročního obratu, podle toho, co je vyšší. Ale je pravděpodobné, že nebude motivace to pořádně vyšetřit. Všichni zúčastnění na straně státu si budou krýt zadky a o otázky typu "proč není zabezpečení a bezp. audit součástí zakázky?" nikdo nestojí.
České eRoušky a yntelygentňý karanténa jsou šíté ještě víc horkou jehou. To je taky důvod, proč od kovidu vytvářím co nejméně lokalizačních dat.
-
Problémy jsou čtyři:
1. na většinu porušení GDPR musí upozornit poškozený a musí se případu věnovat, aby se něco řešilo,
2. poškozený z toho nic nemá, vyčíslení újmy je složité až nemožné,
3. odpovědnost není konkrétní; když Vám ublíží lékař, nemocnice platí odškodné, ale může ho regresovat na lékaře, a lékař je navíc přímo trestně odpovědný,
4. odpovědnou osobou je často instituce; ta díky rozdrobení odpovědnosti a využívání "oprávněných zájmů" podle GDPR dosáhne toho, že kvalifikace problému se dostane na spodní mez (a pak je pokuta jen symbolická).V IT oboru je celkové pojetí odpovědnosti tristní. Jediní, kteří mohou rizika posuzovat, jsou samotní IT odborníci, ale ti nejsou majiteli a často ani vedoucími. Takže klasický průběh je, že manažer rozhodne, jak to udělat, jaké peníze na to nedá, přidá nesplnitelný termín. Tým, ačkoliv ví, že je to pitomost, upozorní na rizika, umyje si ruce a udělá, co je žádáno.
Jako jedinou možnost vidím, aby odborníci měli povinnost dodržovat zákony a měli nejen právo, ale i povinnost neuposlechnout příkazu, který by vedl k ohrožení (dat). Jinak se náš obor, podle mě, narovnat nedá.
-
Sice jsem dal palec nahoru, ale nesouhlasím s navrženým řešením.
1. Vývojový tým nemůže spolehlivě rozhodovat o splnitelnosti termínu a nákladech. Jistě může upozornit na jednoznačné podcenění náročnosti, ale to je dost hrubý metr. A co když prostě ten termín, který slíbili, nestihnou?
2. Vývojový tým nemusí mít dostatek zkušeností a nějaké bezpečnostní riziko prostě nepozná.
Řešení vidím dvě:
a) V podobných případech udělat povinný bezpečnostní audit pomocí jiného týmu nebo organizace.
b) Vykašlat se na populistický boj s korupcí a plýtváním a namísto toho se zaměřit na kvalitu a (v krizových situacích typu Covid) zaplatit klidně bez výběrového řízení dražšího dodavatele, který ví, co dělá.
-
Vývojový tým nemusí mít dostatek zkušeností a nějaké bezpečnostní riziko prostě nepozná.
To už je povinnost firmy. Odborné profese - např. instalatéři, účetní, ..., nemohou mít živnost, dokud nemají odborného garanta. Prostě jim tu živnost nezapíší.
Komické je, že tak důležitý obor, jako je IT, nic takového nemá.
Vykašlat se na populistický boj s korupcí a plýtváním a namísto toho se zaměřit na kvalitu a (v krizových situacích typu Covid) zaplatit klidně bez výběrového řízení dražšího dodavatele, který ví, co dělá.
To funguje v době největší krize. Např. když bylo potřeba zajistit roušky a respirátory, když se nevědělo, co Covid napáchá. Jenže z tohoto kritického stavu jsme už venku a není důvod nedodržovat pravidla.
Nicméně, souhlasím s tím, že pravidla jsou zbytečně překomplikovaná. Za jedno, zdržují až neúměrně, za druhé, paradoxně složitá pravidla vytvářejí skulinky (nebo spíš skrýše) pro korupci. Dnes peníze tečou bokem hlavně díky tomu, že se to odůvodní nějakým "pravidlem".
-
např. instalatéři, účetní, ..., nemohou mít živnost, dokud nemají odborného garanta. Prostě jim tu živnost nezapíší.
Komické je, že tak důležitý obor, jako je IT, nic takového nemá.
Ono to nie je komické, ale skôr logické.
Inštalatér, účtovník... nevymýšľa nič nové, vykonáva opakovanú činnosť. IT to robí len čiastočne (posúvači krabíc a inštalátori krabicových riešení). Pokiaľ robíte čokoľvek mimo krabicových riešení, tak robíte vývoj a nikdy dopredu neviete, čo všetko budete musieť riešiť (shawing the yak). Každý nový projekt je jedinečný a treba nájsť spôsob, ako realizovať v rámci rozpočtu investora a to znamená kompromisy a "cutting corners". Účtovník taký problém nemá, jeho najväčší problém je, že mu dodajú podklady na poslednú chvíľu. Akýkoľvek doklad dostane, vždy má na to metodiku, v najhoršom prípade metodické usmernenie od finančnej správy.
No a z toho vyplýva, že neviete štandardizovať činnosť IT tak, ako viete štandardizovať činnosť toho účtovníka. A keď neviete štandardizovať, neviete stanoviť kritéria na živnosť, a tým pádom ich nemôžete požadovať na výkon činnosti.
-
Inštalatér, účtovník... nevymýšľa nič nové, vykonáva opakovanú činnosť. IT to robí len čiastočne (posúvači krabíc a inštalátori krabicových riešení). Pokiaľ robíte čokoľvek mimo krabicových riešení, tak robíte vývoj a nikdy dopredu neviete, čo všetko budete musieť riešiť (shawing the yak). Každý nový projekt je jedinečný a treba nájsť spôsob, ako realizovať v rámci rozpočtu investora a to znamená kompromisy a "cutting corners".
To právě není vůbec pravda. I v těchto oborech se chodí s kůží na trh. Běžný instalatér instaluje jen podle ověřených postupů, ale např. v chemické továrně nebo elektrárně už nejsou dané přesné postupy. Nicméně je daný požadavek na to, jak důkladné musí být postupy, aby se dalo říct, že byla zachována opatrnost, která je v dané situaci žádána.
Právě v IT oboru se to zvrhlo. Investoři volí kompromisy, jenže ne kompromisy ve svém byznysu, ale na datech, která mají svěřená.
No a z toho vyplýva, že neviete štandardizovať činnosť IT tak, ako viete štandardizovať činnosť toho účtovníka.
Zrovna tyto obory jsou si velmi podobné. Při účtování a daních často najdete způsob, který je výhodný, ale nemáte jistotu, že finanční správa nebude mít názor odlišný. Co pak děláte? Jdete k daňovému poradci, který si vyžádá spoustu podkladů, a když to bude sedět, dá na to svoje kladné posouzení. Obdobně si můžete vyžádat závazné posouzení od správce daně - a také tomu předchází ta fáze "opatrnostních" opatření - musíte zpracovat a doložit spoustu dokumentů, než získáte kladné stanovisko. A proč? Protože když to neuděláte, tak škodu zaplatí daňový poradce, nebo Vám pokuty, úroky a výlohy na soudy zlikvidují firmu. Dnes jde finanční správa docela daleko, např. praktikují, že účetní je spolupachatelem trestného činu, pokud jí rukama procházejí dokumenty, ze kterých věděl, nebo měl vědět, že se jedná o krácení daně.
Nevidím jediný důvod, proč by se stejně nemělo postupovat vůči ajťákovi, který ví, nebo měl vědět, že řetězec zpracování dat není dostatečně zabezpečený. Bohatě stačí, když bude mít povinnost takové konání zmařit (tj. např. upozornit a dál se na něm odmítnout podílet).
Chápu, kolegové, že je to děsivá představa a nikdo si nechce připustit, že bychom nad sebou takový bič měli. Ale je na pováženou, že není.
-
J ouda (neregistrovaný)
Bič problém nebude, problém bude v kasičce.
Splácat něco v nějakém frameworku můžete dát v podstatě cvičené opici za hrst banánů, výsledek bude sice vypadat jako popisuje článek výše, ale bude to levné a rychlé, takže vyfakturujete a jste happy.
A teď si vemte že místo toho budete platit lidi, kteří jsou kromě dobrých programátorů i experti na bezpečnost. A řeknete jim i (nereálný) termín. A že to chcete dobře. -
zákon a ČNB výrazně reguluje IT v bankách (přímo a nepřímo), výsledek je, že vše je enormně na vývoj prodlužuje a prodražuje. Vše se pak omezuje na nástroje, které jsou enormně drahé a těžké pro smrtelníka získat. Na vše se musí pravidelně dělat audity (audity běžných programů jdou do mio každý rok). Nejvíce užitku k bezpečnosti ale stejně dělá nonstop dozor a logování všeho.
Nevím, jestli tohle právě je cesta.
Je absurdní po vývojářích vyžadovat znalosti bezpečnosti, to by pak nedělali vývojáře. Stejně jako instalatér nedělá chemické a fyzikální rozbory trubek, jen jde podle označení.
Asi by se měli stanovit vlastnosti, které ten SW musí mít, to by si měl stanovit objednatel. V posledních době v ČR vznikla řada zajímavých manuálů a doporučení.
-
Asi by se měli stanovit vlastnosti, které ten SW musí mít, to by si měl stanovit objednatel. V posledních době v ČR vznikla řada zajímavých manuálů a doporučení.
Toto zjevně nefunguje. Pokud mám rozpočet, pak uvažuji jestli budu řešit bezpečnosti, nebo jestli risknu data uživatelů a přinesu novou funkci.
Audity za mio Kč jsou podle mě naprosto nezbytné. Jako je nezbytné neustále ověřovat medicínské přístroje. Pokud to nenastane, vždy se najdou "chytré" firmy, které dokáží udělat za čtvrtinu ceny to, co konkurence, která na pravidla neprdí.
-
Pavel TišnovskýZlatý podporovatelJeště je zde možnost mít profesní komoru.
Ovšem v oboru, kde se (prý) počet vývojářů zdvojnásobí každých pět let, je to těžké.
-
Peter FodrekZlatý podporovatel
o to viac, keď u náas je to ešte horšie ako v Kalifornii pred 5=imi rokmi
Closing The Computer Science Gap, From Classroom To Career
Muhammed Chaudhry11:00 pm CET•February 1, 2015And it’s a good thing because currently there are
-more than 75,000 open jobs in computing in California
-and only 4,324 computer science graduates to fill them.
https://techcrunch.com/2015/02/01/integrate-california-schools-with-computer-science/?guccounter=1
čo zanmená, že kvalifikovaných nových zamestnacov je 5,77% resp. ešte menej..
-
Peter FodrekZlatý podporovatel
Ale ak išlo o interný výávoj štátu (čo išlo), tak bude viac tých 4% ak sa za obrat bude považovať príjem štátneho rozpočtu
a príjmy rozpočtu SR na rok 2020sú
14 366 446 802 EUR
https://www.mfsr.sk/sk/financie/verejne-financie/rozpocet-verejnej-spravy/#collapse-340191600419574943a teda pokuta do 574 657 872.08 EUR. zabolí.. A škoda, že nemáme hmotnú zodpovednosť štátnach úradníkov väčšiu ako 3 mesačné platy.
Túto pokutu by pocítilo "pár" generácií potomkov tých úradníkov, čo to robili, keďže nemôžete odmietnuť zdediť záväzky za pokuty od štátu.
-
Martin X (neregistrovaný)
"nemôžete odmietnuť zdediť záväzky za pokuty od štátu."
K tomuto by som videl rád citáciu zákona, Občiansky zákonník takúto podmienku nepozná. Deti nemôžu predsa trpieť za zločiny svojich rodičov. Základný princíp pri odmietnutí dedičstva je "všetko alebo nič", teda sa nedá dedičstvo odmietnuť čiastočne.
-
Peter FodrekZlatý podporovatel
Alebo sa o tom len diskutovalo. Ale pokiaľ si pamätám tak sa to malo riešiť v rámci likvidácie dedičstva, ale ako vidim neprešlo to. A je to chyba. Lebo dedenie dlhov len do výšky dedečstva podporuje nezodpovedné správanie poručitelo resp. budúcich poručiteľov
-
Tak zrovna u eRoušky zůstávají veškerá data v telefonu a až když je člověk nakažený, tak do centrální databáze nahraje sadu anonymních bluetooth klíčů, které si stáhnou ostatní klienty a ověří si, zda je nemají v lokální databázi a tudíž se s daným nakaženým nesetkaly.
Tady je prostor na nějaký únik osobních dat opravdu malý. -
J ouda (neregistrovaný)
To už tu párkrát bylo. To jsme třeba měli takovou jednoduchou extension, poslalo se pár bajtů po autentikovém spojení na server, a on je poslal zpátky. Co se na tom mohlo pokazit?
Myslím že být apriori nedůvěřivý k čemukolik co apriori vypadá na papíře neprůstřelně je celkem oprávněné. -
Peter FodrekZlatý podporovatel
Možno bude ďalší diel seriálu
Seriál Bezpečnost dat ve zdravotnictví
https://www.root.cz/serialy/bezpecnost-dat-ve-zdravotnictvi/ono to je stále "malý" únik osobných údajov
Naproti tomu ve Spojených státech existuje veřejně dostupný systém hlášení úniků dat ve zdravotnictví.
Úniků dat rozhodně není málo: v roce 2015 unikla data prakticky třetiny obyvatel USA, 113 milionů záznamů. Loni, tj. v roce 2017, uniklo ve Spojených státech něco přes pět milionů záznamů:
https://www.root.cz/clanky/derave-kardiostimulatory-i-ransomware-decimujici-nemocnice/
