Tzw. protokół szyfrowania danych (SSL lub nowsze wersje TLS) ma chronić dane internetowe przed dostępem osób niepowołanych i wyciekiem danych. Strony szyfrowane w ten sposób oznaczone są „zieloną kłódką” przed nazwą domeny i przedrostkiem https tak, by każdy internauta wiedział, że strona na którą wchodzi jest odpowiednio zabezpieczona. Takie zabezpieczenie to standard w przypadku witryn które wymagają od nas podanie danych osobowych. Szyfrowanie danych stosuje się też w portalach społecznościowych i coraz częściej forach i blogach.
Od początku głosowania, czyli od wczorajszego poranka, strona bo.kalisz.pl i podstrona ankiety.konsultacje.kalisz.pl szyfrowane nie były.
Połączenie z ankietą nie było szyfrowane jeszcze dziś przed południem
Poprosiliśmy urzędników o wyjaśnienia. Nim dostaliśmy oficjalną odpowiedź informatycy ratusza zaszyfrowali połączenia, a wszystkie linki do niezabezpieczonej ankiety podmieniono na nowe. Dlaczego dopiero po kilkudziesięciu godzinach od uruchomienia głosowania? - Aplikacja (…) miała ustawiony certyfikat SSL. Niestety, od zeszłego piątku trwa dość intensywna próba destabilizacji pracy serwerów (zapewne związana z uruchomieniem elektronicznego systemu głosowań). Skutkować to mogło czasowym problemem z dostępem do niektórych elementów aplikacji. W dniu dzisiejszym został zainstalowany nowy certyfikat SSL, zlokalizowany w obrębie innej maszyny, celem zminimalizowania niegodności i zwiększenia bezpieczeństwa całego procesu. – wyjaśnia Elżbieta Zmarzła, rzecznik prasowy Ratusza.
Po naszej interwencji ankieta wzbogaciła się o konieczny certyfikat szyfrowania
Urzędnicy do tej pory nie komunikowali o problemach z szyfrowaniem danych, ani o niebezpieczeństwie jakie może się z tym wiązać. Dopiero po naszej interwencji okazało się, że z certyfikatem były poważne problemy. Ile osób zdążyło już podać swoje dane w nieszyfrowanej wersji ankiety? Nie wiadomo. Pewne jest jednak, że mogło to tworzyć realne zagrożenie wycieku danych. - W formularz wpisujemy przecież tzw. dane wrażliwe (imię, nazwisko, pesel, adres).- - Transmisja nie jest nawet zabezpieczona przez SSL protokołem https !! Prywatne dane mogą zostać wykradzione lub podmienione przez hakerów atakiem Man-in-the-middle!! – ostrzegali na facebooku informatycy z blogu armatronica.com
O konieczności zabezpieczenia podobnych witryn internetowych i baz danych wrażliwych jasno mówi Generalny Inspektorat Ochrony Danych Osobowych. - Zgodnie z art. 36 ustawy administrator danych ma obowiązek zabezpieczenia danych m.in. przed ich nieuprawnionym ujawnieniem. W razie przesyłania danych metodą teletransmisji przy użyciu sieci publicznej zawsze istnieje możliwość przejęcia przesyłanych danych przez osobę nieuprawnioną. Istnieje również niebezpieczeństwo ich nieuprawnionej zmiany, uszkodzenia lub zniszczenia. Niezbędne jest zatem zastosowanie odpowiednich zabezpieczeń, które ochronią przesyłane dane. O tym, jakie środki należy zastosować, administrator danych powinien zdecydować samodzielnie. Może to być wymieniony w pytaniu protokół szyfrowania danych SSL – czytamy w komunikacie GIODO.
M. Spętany, fot. internet
Napisz komentarz
Komentarze