Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



07.08.2019

Kurzinformation it-sa, 8-10...

It-sa is one of the leading international trade fairs for IT security. With around 700...
08.07.2019

Narzędzie EDR

ESET Enterprise Inspector
08.07.2019

Usuwanie skutków awarii

Veeam Availability Orchestrator v2
08.07.2019

Indywidualna konfiguracja

baramundi Management Suite 2019
05.07.2019

Technologia Ceph

SUSE Enterprise Storage 6
05.07.2019

Szybkie i bezpieczne...

Konica Minolta bizhub i-Series
05.07.2019

Edge computing

Atos BullSequana Edge
04.07.2019

Terabitowa ochrona

Check Point 16000 i 26000
04.07.2019

Obsługa wideokonferencji

Poly G7500

Dialog o interpretacji

Data publikacji: 22-03-2019 Autor: Michał Jaworski

Wielokrotnie pisałem, że informatyk musi mieć w swoim „portfolio” umiejętność rozmowy z przedstawicielami innych profesji, a z prawnikami w szczególności. Te dwie grupy zawodowe mogą bowiem oszczędzić sobie wiele pracy, a pracodawcom wydatków. Pod warunkiem że będą rozmawiać.

 

Niedawno media obiegła wiadomość, że w systemie e-PIT, jednym ze sztandarowych projektów administracji, pracodawca może zalogować się bez wiedzy pracownika i bez wzbudzania alarmu systemu sprawdzić dane, które być może ów pracownik chciał zachować dla siebie – dodatkowe przychody, przychody współmałżonka, komu przekazywał 1% itp. Luka w uwierzytelnianiu faktycznie była, ale szybko ją usunięto. Sprawą zainteresował się także UODO, bo nie ulega wątpliwości, że podszywanie się pod innego obywatela jest przestępstwem. W tym newsie było jednak coś jeszcze, co umknęło uwadze większości, a dotyczyło w równej mierze informatyków i prawników!

Najpierw pytanie – jak należy sklasyfikować dane, do których dostęp miała podszywająca się osoba? Media podały, że naruszona była tajemnica skarbowa. Jeśli tak, to sprawa staje się bardzo poważna, bo dostęp do tego typu tajemnicy mają nieliczni, wymagane jest od nich złożenie specjalnego przyrzeczenia, a kary pozbawienia wolności za ujawnienie informacji skarbowych sięgają pięciu lat! Zgodnie z ordynacją podatkową – tu nieco uproszczę – praktycznie wszystkie dane pochodzące od podatników, które znajdą się w zasobach organów podatkowych, są objęte tajemnicą. Z drugiej strony, żeby powstał e-PIT, znowelizowano ustawę o podatku dochodowym od osób fizycznych w taki sposób, aby organ podatkowy mógł udostępnić dane za pośrednictwem portalu podatkowego. Obywatel zgłasza więc chęć zapoznania się z danymi na swój temat, organ je udostępnia, a ów obywatel może z tymi danymi zrobić, co mu się żywnie podoba. Może je wydrukować, zostawić na ławce w parku, wrzucić na swój profil w sieci, przechowywać na rosyjskich serwerach – jego dane, jego decyzja. Dane te w tym momencie oczywiście nie są już objęte tajemnicą skarbową, bo gdyby były, trzeba by obywatela aresztować i przykładnie ukarać.

Gdzieś zatem w magiczny sposób następuje usunięcie atrybutu tajemnicy skarbowej z tej konkretnej paczki danych, udostępnionych konkretnemu obywatelowi. Kiedy i gdzie to się dzieje? Czy zmiana następuje wewnątrz infrastruktury organu podatkowego, natychmiast po uwierzytelnieniu obywatela? A może dopiero w momencie opuszczenia fizycznej infrastruktury organizacji i po wyruszeniu w podróż światłowodem do danej osoby? Czy też tajemnica skarbowa jest zdjęta dopiero po pojawieniu się danych na urządzeniu, na którym obywatel je wyświetla, zapisuje czy w inny sposób przetwarza? Zwróćmy uwagę, co odpowiedzi na te pytania oznaczają dla prawników, a co dla informatyków.

Jaka będzie kwalifikacja czynu nieuprawnionego dostępu do danych dla prawnika? Jeśli uwierzytelniona osoba ma dostęp do danych, które już nie są objęte tajemnicą skarbową, nawet jeśli dzieje się to w najgłębszym zakamarku wewnętrznej infrastruktury organu podatkowego, to zarządzający systemem mogą być spokojni. Ale jeśli zdjęcie tajemnicy skarbowej następuje dopiero po pojawieniu się danych na urządzeniu obywatela – jest duży problem! Dla informatyka interpretacja postawionego problemu przekłada się na konieczność stworzenia i dostarczenia zupełnie innych mechanizmów ochrony danych. Jeśli zdjęcie tajemnicy skarbowej następuje jeszcze w bazie danych organu podatkowego, oznacza to, że dalej po systemie i sieci podróżuje pakiet, który nie musi już być chroniony w bardzo restrykcyjny sposób. Jeśli zaś tajemnica skarbowa znika dopiero na urządzeniu obywatela, dane muszą być maksymalnie zabezpieczone do samego końca swojej podróży.

Interpretacja opisywanej sytuacji dotyka po stronie prawnej odpowiedzialności karnej, a po stronie wyboru rozwiązania technicznego – nakładów czasowych i finansowych koniecznych do stworzenia systemu. W tym przypadku czynnikiem inicjującym dialog była luka w systemie e-PIT nagłośniona przez media. Trudno wymagać od informatyków biegłości w prawie, a od prawników, aby mieli rozeznanie w meandrach IT. Jednak na tym przykładzie doskonale widać, jak wiele można by osiągnąć po nawiązaniu dialogu. Obie grupy mają we krwi szacowanie ryzyka i mogą opisać swoją część zagadnienia w sposób zrozumiały dla drugiej profesji. Wszystko po to, aby wybrać optymalne i dobre rozwiązanie. Taki dialog już dzisiaj powinien być standardem.

 


Michał Jaworski – autor jest członkiem Rady Polskiej Izby Informatyki i Telekomunikacji. Pracuje od ponad dwudziestu lat w polskim oddziale firmy Microsoft.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"