Roksa, czyli erotyczny… wyciek
„Nie wiemy, czy wykradziono nam Twoje dane, ale na wszelki wypadek informujemy, że mogło do tego dojść”. Podobny, nieco absurdalnie brzmiący komunikat wysłał swoim użytkownikom serwis internetowy Roksa, zamieszczający anonse erotyczne. W całej sytuacji, dla jednych zabawnej, dla innych może mniej, jest pewna logika.
Mówiąc bez eufemizmów, Roksa to polski portal publikujący ogłoszenia prostytutek, ze zdjęciami, opisami i cenami. Serwis rozesłał do swoich użytkowników ostrzeżenie, w którym pisze, że ktoś powiadomił witrynę, iż ma jej bazę danych. Portal uszczegóławia, że zestawienie zawiera: loginy, hasła, adresy mailowe, adresy IP, listy ogłoszeń, wiadomości wysyłane do administratora serwisu oraz szczegółowe dane przelewów bezpośrednio na konto Roksy.
O kogo chodzi w przypadku tych danych? Zapewne jako użytkowników należy rozumieć zarówno klientów, jak i osoby oraz firmy, które w witrynie umieszczają ogłoszenia seksualne. Ale co ważne, portal zaznaczył, że nie wie, czy faktycznie doszło do włamania. I tu pada kluczowe zdanie: „Jednakże zgodnie z obowiązującymi przepisami informujemy Państwa o zaistniałym incydencie, wskutek którego Państwa dane mogły dostać się w niepowołane ręce”.
Oczywiście chodzi o RODO. Interesujące w sprawie jest to, że gdyby nie było unijnego rozporządzenia obwarowanego wysokimi karami finansowymi, Roksa zapewne nie miałaby powodu ostrzegać internautów o wycieku, który może był, a może go nie było. Ale Urząd Ochrony Danych Osobowych, jeśli baza faktycznie zostałaby upubliczniona, rozliczy właścicieli portalu z tego, jak zabezpieczyli informacje użytkowników oraz czy dołożyli starań, żeby ograniczyć negatywne skutki naruszenia bezpieczeństwa. Stąd trochę osobliwy komunikat, który trafił do skrzynek osób korzystających z usług Roksy.
Ostrożność firm gromadzących dane jest większa niż dotąd, bo europejscy urzędnicy pokazali w ciągu minionego roku, że nowe prawo naprawdę działa. Pierwszą karę zanotowaliśmy także w Polsce. Przy czym jeden szczegół operacji lokalnego UODO wydał mi się osobliwy. Prezes państwowej instytucji Edyta Bielak-Jomaa, ogłaszając karę dla firmy przetwarzającej informacje o przedsiębiorcach, nie podała nazwy spółki ukaranej kwotą blisko miliona złotych. Wcześniej w wielu krajach zapadały analogiczne decyzje i doskonale wiedzieliśmy, że we Francji 50 mln euro zapłaci Google, w Portugalii 400 tys. euro – szpital Barreiro Montijo, a w Wielkiej Brytanii 120 tys. funtów – lotnisko Heathrow. Dlaczego w Polsce UODO ogłosił karę, ale nie powiedział, na kogo ją nałożył? Mogę się tylko domyślać, że prezes urzędu nie chciała piętnować publicznie firmy, a skupić się na problemie. Może.
Jest to jednak odrobinę niezrozumiałe. Swoją drogą ustalenie, kim jest „pierwsza polska ofiara RODO”, nie było zbyt trudne. Chodzi o szwedzką spółkę Bisnode, działającą w Warszawie. Bisnode, nazywane w branży „wywiadownią gospodarczą”, gromadzi dane o przedsiębiorcach, pobierane z publicznych rejestrów takich jak CEIDG. Z ich użyciem tworzy rekordy i opracowania dotyczące ryzyka handlowego. Aż 943 tys. zł stanowi karę za to, że Bisnode nie powiadomił wszystkich, z grona 6 mln przedsiębiorców, których dane przetwarzał. Tymczasem spółka miała wywiązać się z obowiązku informacyjnego tylko wobec 90 tys. osób z kilkumilionowej rzeszy. Przy czym prezes polskiego oddziału szwedzkiej firmy Andrzej Osiński zapewnił w „Gazecie Prawnej”, że e-maile trafiły do blisko miliona osób. Pozostałych nie powiadomiono, bo w publicznym rejestrze nie było adresów elektronicznych, a wysyłka listów okazała się zbyt droga (koszty sięgnęłyby 22–30 mln zł). Osiński dodaje, że Bisnode był kontrolowany pod kątem RODO w dwóch innych krajach i tamtejsi regulatorzy nie stwierdzili naruszenia przepisów.
Z obydwu opisanych przypadków wynika, że firmy muszą bardzo serio i skrupulatnie podchodzić do zarządzania danymi osobowymi. Rzecz jest tym trudniejsza, że przypadek Bisnode pokazuje, iż można próbować wywiązać się z obowiązków, a i tak dostać wysoką karę. Do tego łatwo sobie wyobrazić, że nie każdy istotny niuans jest jasny. Jak dowodziła firma, koszt powiadomienia wszystkich zainteresowanych byłby abstrakcyjnie wysoki (bardziej opłacało się zapłacić karę). A na pytanie dziennikarzy o właściwy sposób przesłania informacji UODO odpowiada: „nie możemy z urzędu udzielać podobnych wskazówek”. Druga strona medalu jest taka, że dotąd w kwestii obrotu prywatnymi danymi panowała wolnoamerykanka, a firmy telemarketingowe pozwalały sobie na niemało bezczelności. Teraz może nie jest idealnie, ale na pewno zmienił się układ sił.
Podobne wywiady i felietony
Dlaczego ransomware działa
Na cyberprzestępczym rynku pojawił się nowy wirus typu ransomware. Nazywa się Ekans (lub Snake) i specjalizuje się w atakowaniu systemów przemysłowych. Specjaliści mówią, że jest najgroźniejszy z dotychczas znanych. Właściwie już teraz można się zastanawiać, czy zarobi dla swoich autorów więcej czy mniej milionów dolarów niż poprzednicy, tacy jak Gpcode, CryptoLocker albo Petya. Jednak mnie ciekawi, jak to się stało, że blokowanie komputerów i szyfrowanie plików z żądaniem okupu w ogóle jest skuteczne.
Od brzegu do brzegu
Zaciekawiło mnie, kiedy bodaj kilka miesięcy temu znajomy analityk IT zaczął opowiadać, że wyraźnie rośnie zainteresowanie edge computingiem. A przecież do niedawna wszystko wydawało się iść w stronę chmury. Czy rzeczywiście mamy do czynienia ze zmianą trendu?
5G w pięciu smakach
Ciekawe, że chyba żaden z poprzednich punktów milowych nie budził tak wielkiego zainteresowania jak 5G. Ale gdyby przyjrzeć się 1G, 2G, 3G i 4G, to każdy z Tych etapów rozwoju niósł z sobą co najmniej tyle samo nowości, o ile nie więcej. Poniżej pięć kluczowych moim zdaniem kwestii dotyczących transmisji kolejnej generacji.