Rejestr ABI – bądź świadomy

Rejestr Administratorów Bezpieczeństwa Informacji, to nowa funkcjonalność dostępna na stronie internatowej Generalnego Inspektora Ochrony Danych Osobowych https://egiodo.giodo.gov.pl/abi_register.dhtml od 26 stycznia 2015. Często mylony jest z jawnym rejestrem zbiorów, wprowadzonym mocy przepisów Ministra Administracji i Cyfryzacji z 11 maja 2015 r. (Dz. U. Z 2015, POZ. 719) w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów.  Minęły już dwa lata i pora podzielić się moim doświadczeniem.

Zadajmy sobie pytanie czym jest ten rejestr? Niczym innym jak bazą danych osobowych ABI, zawierającym takie dane jak imię oraz nazwisko administratora bezpieczeństwa informacji oraz dane administratora danych, czyli podmiotu przetwarzającego dane osobowe (nazwa, adres, regon). Pamiętajmy jednak, że w tej niewinnej ewidencji mamy znacznie więcej danych, które są bezpośrednio powiązane z powyższymi:

  • Posiadając imię i nazwisko ABIego, możemy przyjąć, że jest to osoba niekarana, gdyż zgłoszenie możliwe jest wyłącznie dla osób niekaranych. Zgodnie z ustawą o ochronie danych osobowych tego typu informacja jest daną wrażliwą.
  • Dodatkowo możemy podejrzewać, że jest to osoba, która posiada odpowiednią wiedzę i umiejętności do pełnienia funkcji. Kwestia oceny kompetencji administratora jest zupełnie subiektywna, jednak posiadamy pewien profil tej osoby.
  • Niejednokrotnie możemy odnaleźć prywatny adres zamieszkania administratora bezpieczeństwa informacji, wskazany jako adres do korespondencji w prawdzie do administratora danych, ale z mojego doświadczenia, podmioty chętnie wskazują konkretne i skuteczne formy kontaktu z ABIm.
  • Lista organizacji, w których dany ABI pełni funkcję. Przy relatywnie niewielkiej ilości poświęconego czasu (około 15 minut), posługując się podstawowymi umiejętnościami, jesteśmy w stanie ustalić nazwy, adresy podmiotów, w których dana osoba jest administratorem bezpieczeństwa. Z jednej strony to cenna informacja pod kątem wiarygodności ABI, z możliwością wystąpienia o referencje, by zweryfikować kompetencje danej osoby. Z drugiej, możemy ustalić konkretnego pracownika, który odpowiada za bezpieczeństwo w powiązanych ze sobą podmiotach. Naturalnie możemy się pomylić w związku ze zbieżnością imion i nazwisk, ale przy niskim nakładzie pracy, możemy ustalić taką informację.
  • ID zgłoszenia, Bądź czujny! Od 6 lutego 2017, otrzymujemy informacje od naszych Klientów, że zdarzają im się podejrzane telefony lub emaile np. z zapytaniem p numer pesel w celu weryfikacji, zgłoszenia ABI. Podawane jest ID zgłoszenia czyli numer dostępny publicznie, w celu uwiarygodnienia, dane podmiotu i nawet proszeni jesteśmy o numer regon w celu weryfikacji. Podejrzewamy, że ktoś może konstruować bazę ABIch wraz z pełnymi danymi osobowymi.
  • Pod kątem marketingowym, to potencjalny Klient na usługi szkoleń, audytów, niszczarek, urządzeń do kopii zapasowych, programów etc.
  • Możemy określić dosyć szczegółowy profil Klienta. W zestawieniu z innymi danymi, również dostępnymi publicznie profil osobowy potencjalnego Klienta, może być również potraktowany jako profil osobisty potencjalnej Ofiary Ataku.
  • Korzystając z badań/ankiet, możemy wytypować zespół zainteresowań i cech osób ABIch – naturalnie z marginesem błędu. Jednak otrzymamy w ten sposób pewną prognozę.
  • W zestawieniu z profilami społecznościowymi mamy jeszcze więcej informacji o osobie, która odpowiada za Bezpieczeństwo naszych danych. Pomyśl, czy cenną informacją mogą być takie dane jak:
    • zdjęcia i informacje o członkach rodziny ABIego;
    • informacje o wykształceniu, umiejętnościach, ukończonych kursach;
    • hobby, zainteresowania, a nawet preferencje kulinarne;
    • informacja np. z portali randkowych o „poszukiwaniu drugiej połówki”.

Zważając na powyższe, czy kiedykolwiek dokonano analizy ryzyka prowadzenia takiego rejestru? Zgodnie z teorią zapewne ryzyko wyszło niskie w związku z brakiem wystąpienia incydentów w ostatnich 5 latach, co było wskaźnikiem nierzetelnym, gdyż rejestr jest nowym tworem. Jednak pamiętajmy, że decydując się na pełnienie funkcji ABI powyższe informacje są publiczne i dostępne.

Postanowiłem opublikować tę informację, nie w celu inspirowania do złego (ten kto ma takie plany, wie skąd je pozyskać i jak, już od dawna), ale by podnieść Twoją świadomość. Musimy zdać sobie sprawę, że taki rejestr ABI po prostu istnieje.

Plusem rejestru ABI jest większa dostępność do osób, które mogą nam udzielić informacji odnośnie przetwarzania danych. Podmiot, który wyznacza Administratora Bezpieczeństwa Informacji jest postrzegany jako bardziej wiarygodny.

Apel Kryptos24 do Administratora Danych Osobowych:

Administratorze danych, wybieraj odpowiedzialnie osoby do pełnienia kluczowej funkcji ABI. To Twój najlepszy partner i wspólnik, który wie o słabościach Twojej organizacji. Ma on również dostęp niemalże do wszystkich informacji. Weź pod uwagę, że każdy ABI jest szczególnie narażony na:

  • propozycję korzyści w zamian za przekazanie informacji,
  • szantaż,
  • atak socjotechniczny (wyłudzenie informacji nieświadomie).

Apel Kryptos24 do Administratora Bezpieczeństwa Informacji:

Administratorze Bezpieczeństwa Informacji, bądź świadomy zagrożeń i podejmuj słuszne oraz etyczne decyzje. Zostałeś powołany do dbania o jedną z podstawowych potrzeb człowieka – o bezpieczeństwo!

Apel do Generalnego Inspektora Ochrony Danych Osobowych

Rejestr Administratorów Bezpieczeństwa Informacji nie posiada żadnego zabezpieczenia uniemożliwiającego automatyczne pobranie bazy wszystkich administratorów bezpieczeństwa informacji. W ciągu 2 godzin, przeciętny informatyk jest w stanie pobrać taką bazę informacji publicznych. Jako firma działająca w branży jest to również dla nas użyteczny materiał marketingowy, ale bezpieczeństwo obywateli jest dla nas cenniejsze. Zalecamy:

  • zabezpieczenie przed masowym przeglądaniem rejestru i pobieraniem z niego informacji,
  • użycie mechanizmu CAPTCHA, w momencie żądania o wynik zapytania,
  • kontrolowanie adresów IP, pobierających zbiorcze informacje i wykonujące skrypty na bazie, pod kątem ewentualnego reagowania na incydenty;
  • monitorowanie liczby zapytań i ich natężenia, np. jeśli w nocy liczba wywoływanych operacji w bazie danych jest największa, to raczej nie obywatele, ale skrypty stworzone do tego celu.

W jaki sposób Kryptos24 wspiera administratorów?

Przede wszystkim poprzez podnoszenie świadomości i opracowywanie materiałów praktycznych, które pomagają zarówno Administratorom Danych jak i Administratorom Bezpieczeństwa Informacji oraz innym osobom, których dotyczy proces ochrony informacji. Realizuje to głównie szkoląc Cię i uczulając na pewne zachowania. Jako rozwiązanie ogólnopolskie, otrzymujemy informacje z całego kraju. Współpracując ze mną, możesz skutecznej przeciwdziałać wystąpieniu incydentów lub skuteczniej zareagować.