zaočkovanie vieme preukázať aj elektronickým očkovacím preukazom, pobyt v zahraničí odsledovať prostredníctvom aplikácie eHranica a vo viacerých štátoch aj vyhľadávať kontakty s infikovanou osobou v zariadeniach s väčším výskytom osôb prostredníctvom registrácie cez QR kód. Má to však aj svoju odvrátenú stránku – tou je možné zneužitie údajov, ich únik a zásah do práv občanov na súkromie a ochranu osobných údajov.
Slovenská bezpečnostná IT firma identifikovala v aplikácii eHranica kritickú zraniteľnosť, dokázala získať kontrolu nad vakcinačným profilom ľubovoľného človeka. Národné centrum zdravotníckych informácií (NCZI) ako dotknutá verejná inštitúcia podala v súvislosti s únikom dát trestné oznámenie na neznámeho páchateľa. Ako sa právo pozerá na konanie etických hackerov a čo očakávame od verejných inštitúcií pri nakladaní s našimi osobnými údajmi?
Ak máme dôverovať, že verejná inštitúcia vyvíja maximálne úsilie v súlade s najnovšími poznatkami pri ochrane údajov, prirodzene očakávame, že rieši ich zraniteľnosť. Podobne ako keď chcem zistiť únik vzduchu z plávacieho kolesa, ponorím ho do vody. Vytvorím teda prostredie, kde sa zraniteľnosť preukáže a otestuje. Neuspokojím sa iba s ubezpečením, že všetko je v poriadku. Práve na takéto testovanie sa využívajú rôzne hackerské techniky (phishing, malware, WAP, man-in-the-middle a iné typy útokov) za účelom názornej ukážky nedostatočnej kybernetickej bezpečnosti informačných systémov.
Z hľadiska typu útoku a následku zvolenej hackerskej techniky Trestný zákon považuje za trestné:
- neoprávnený prístup prelomením bezpečnostného opatrenia,
- neoprávnené odpočúvanie a monitorovanie obsahu komunikácie, resp. získavanie obsahu údajov (sniffing),
- neoprávnené narušenie fungovania počítačového systému prostredníctvom manipulácie s počítačovými údajmi, resp. manipulácia so samotnými údajmi (napr. útoky DoS, DDoS).
Vo všetkých prípadoch môže byť konanie trestným, aj keď ním nebola spôsobená škoda.
Je zrejmé, že pre minimalizovanie rizika trestného postihu je vhodné získanie predchádzajúceho súhlasu prevádzkovateľa informačného systému. Tento prístup môžeme označiť aj ako white hacking.
Tento prístup je však súčasne závislý od vôle verejnej inštitúcie overovať zraniteľnosť svojich informačných systémov. Informácie, či takéto penetračné testy NCZI uskutočnilo, verejnosť nepozná. NCZI je prevádzkovateľom základnej služby podľa zákona o kybernetickej bezpečnosti a súčasťou kritickej infraštruktúry štátu. Preto bezpečnostné opatrenia v tejto verejnej inštitúcii by takéto overovanie mali zahrňovať.
„Etický hacker upozornil na zraniteľnosť citlivého informačného systému a toto upozornenie bolo v záujme nás všetkých.“
Ak sa zraniteľnosť rozhodne overovať tretia osoba – etický hacker, môže sa oprieť pri limitovaní rizika trestnej zodpovednosti za prelomenie bezpečnostných opatrení o nasledovné argumenty:
- úmysel (motív) spáchať trestný čin – presadzovanie verejného záujmu na zlepšení kybernetickej bezpečnosti verejných inštitúcií vylučuje trestnú zodpovednosť,
- proporcionalita – osoba (útočník) koná v dobrej viere len v takom rozsahu, ktorý je nevyhnutný na potvrdenie zraniteľnosti, t. j. odhalenie zraniteľnosti (vrátane toho, že absentuje akékoľvek bezpečnostné opatrenie), ak existuje bezpečnostné opatrenie prelomenie tohto bezpečnostného opatrenia, ale bez samotného prístupu,
- subsidiarita – zraniteľnosť systému je najskôr zverejnená dotknutému subjektu a až potom nasleduje ďalšie zverejňovanie.
Etický hacker upozornil na zraniteľnosť citlivého informačného systému a toto upozornenie bolo v záujme nás všetkých. Preto skôr ako podanie trestného oznámenia by sme očakávali od verejnej inštitúcie prezentovanie vlastných bezpečnostných opatrení, vrátane penetračných testov. V súkromnom sektore dnes veľké spoločnosti odmeňujú odhalenie zraniteľnosti. Modernými sú bug bounty programy.
Tento text ste mohli čítať len vďaka našim predplatiteľom. Pridajte sa k nim a predplaťte si .týždeň.