Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.11.2019

Baza cyberzagrożeń otwarta

Kaspersky Threat Intelligence Portal
26.11.2019

Kopia zapasowa w chmurze

Veeam Backup dla Office’a i Azure
26.11.2019

Automatyzacja jako usługa

QNAP Qmiix
25.11.2019

Jeszcze szybciej

Trzeci generacja Ryzen Threadripper
25.11.2019

Wirtualizacja na...

QNAP QGD-1600P
25.11.2019

Laserowy projektor

Optoma UHZ65UST
25.10.2019

Skalowalna infrastruktura

Red Hat OpenStack Platform 15
25.10.2019

Cienki klient 2.0

Windows Virtual Desktop
25.10.2019

Nowy sprzęt Microsoftu

Rodzina Surface się powiększa

Dialog o interpretacji

Data publikacji: 22-03-2019 Autor: Michał Jaworski

Wielokrotnie pisałem, że informatyk musi mieć w swoim „portfolio” umiejętność rozmowy z przedstawicielami innych profesji, a z prawnikami w szczególności. Te dwie grupy zawodowe mogą bowiem oszczędzić sobie wiele pracy, a pracodawcom wydatków. Pod warunkiem że będą rozmawiać.

 

Niedawno media obiegła wiadomość, że w systemie e-PIT, jednym ze sztandarowych projektów administracji, pracodawca może zalogować się bez wiedzy pracownika i bez wzbudzania alarmu systemu sprawdzić dane, które być może ów pracownik chciał zachować dla siebie – dodatkowe przychody, przychody współmałżonka, komu przekazywał 1% itp. Luka w uwierzytelnianiu faktycznie była, ale szybko ją usunięto. Sprawą zainteresował się także UODO, bo nie ulega wątpliwości, że podszywanie się pod innego obywatela jest przestępstwem. W tym newsie było jednak coś jeszcze, co umknęło uwadze większości, a dotyczyło w równej mierze informatyków i prawników!

Najpierw pytanie – jak należy sklasyfikować dane, do których dostęp miała podszywająca się osoba? Media podały, że naruszona była tajemnica skarbowa. Jeśli tak, to sprawa staje się bardzo poważna, bo dostęp do tego typu tajemnicy mają nieliczni, wymagane jest od nich złożenie specjalnego przyrzeczenia, a kary pozbawienia wolności za ujawnienie informacji skarbowych sięgają pięciu lat! Zgodnie z ordynacją podatkową – tu nieco uproszczę – praktycznie wszystkie dane pochodzące od podatników, które znajdą się w zasobach organów podatkowych, są objęte tajemnicą. Z drugiej strony, żeby powstał e-PIT, znowelizowano ustawę o podatku dochodowym od osób fizycznych w taki sposób, aby organ podatkowy mógł udostępnić dane za pośrednictwem portalu podatkowego. Obywatel zgłasza więc chęć zapoznania się z danymi na swój temat, organ je udostępnia, a ów obywatel może z tymi danymi zrobić, co mu się żywnie podoba. Może je wydrukować, zostawić na ławce w parku, wrzucić na swój profil w sieci, przechowywać na rosyjskich serwerach – jego dane, jego decyzja. Dane te w tym momencie oczywiście nie są już objęte tajemnicą skarbową, bo gdyby były, trzeba by obywatela aresztować i przykładnie ukarać.

Gdzieś zatem w magiczny sposób następuje usunięcie atrybutu tajemnicy skarbowej z tej konkretnej paczki danych, udostępnionych konkretnemu obywatelowi. Kiedy i gdzie to się dzieje? Czy zmiana następuje wewnątrz infrastruktury organu podatkowego, natychmiast po uwierzytelnieniu obywatela? A może dopiero w momencie opuszczenia fizycznej infrastruktury organizacji i po wyruszeniu w podróż światłowodem do danej osoby? Czy też tajemnica skarbowa jest zdjęta dopiero po pojawieniu się danych na urządzeniu, na którym obywatel je wyświetla, zapisuje czy w inny sposób przetwarza? Zwróćmy uwagę, co odpowiedzi na te pytania oznaczają dla prawników, a co dla informatyków.

Jaka będzie kwalifikacja czynu nieuprawnionego dostępu do danych dla prawnika? Jeśli uwierzytelniona osoba ma dostęp do danych, które już nie są objęte tajemnicą skarbową, nawet jeśli dzieje się to w najgłębszym zakamarku wewnętrznej infrastruktury organu podatkowego, to zarządzający systemem mogą być spokojni. Ale jeśli zdjęcie tajemnicy skarbowej następuje dopiero po pojawieniu się danych na urządzeniu obywatela – jest duży problem! Dla informatyka interpretacja postawionego problemu przekłada się na konieczność stworzenia i dostarczenia zupełnie innych mechanizmów ochrony danych. Jeśli zdjęcie tajemnicy skarbowej następuje jeszcze w bazie danych organu podatkowego, oznacza to, że dalej po systemie i sieci podróżuje pakiet, który nie musi już być chroniony w bardzo restrykcyjny sposób. Jeśli zaś tajemnica skarbowa znika dopiero na urządzeniu obywatela, dane muszą być maksymalnie zabezpieczone do samego końca swojej podróży.

Interpretacja opisywanej sytuacji dotyka po stronie prawnej odpowiedzialności karnej, a po stronie wyboru rozwiązania technicznego – nakładów czasowych i finansowych koniecznych do stworzenia systemu. W tym przypadku czynnikiem inicjującym dialog była luka w systemie e-PIT nagłośniona przez media. Trudno wymagać od informatyków biegłości w prawie, a od prawników, aby mieli rozeznanie w meandrach IT. Jednak na tym przykładzie doskonale widać, jak wiele można by osiągnąć po nawiązaniu dialogu. Obie grupy mają we krwi szacowanie ryzyka i mogą opisać swoją część zagadnienia w sposób zrozumiały dla drugiej profesji. Wszystko po to, aby wybrać optymalne i dobre rozwiązanie. Taki dialog już dzisiaj powinien być standardem.

 


Michał Jaworski – autor jest członkiem Rady Polskiej Izby Informatyki i Telekomunikacji. Pracuje od ponad dwudziestu lat w polskim oddziale firmy Microsoft.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"