O autorze
Bartosz Mendyk, ukończył Wydział Prawa i Administracji Uniwersytetu Warszawskiego, doktor nauk prawnych. kontakt: www.drmendyk.pl

Zaniedbania Imperium Galaktycznego, które doprowadziło do katastrofy. Uwagi z punktu widzenia prawa

Na ekranach polskich kin zagościł film Rogue 1. Po seansie pozostają pytania: czy Imperium w sposób należyty chroniło swoje dane, w tym dane osobowe? Czy realizacja ustawy o ochronie danych osobowych i rozporządzeń wykonawczych mogła uchronić Imperium przed katastrofą? (analiza zawiera spoilery).

Film Rogue 1 opowiada o grupce buntowników (zbuntowanych nawet wewnątrz rebelii), którzy postanawiają wykraść plany Gwiazdy Śmierci. Akcja ta kończy się powodzeniem.

Analizę poprzedzę stwierdzeniem, że Imperium Galaktyczne, które istniało dawno temu w odległej galaktyce było państwem o zaawansowanych systemach komputerowych. Akcja całej sagi Gwiezdnych Wojen nie mówi wszak o ustawodawstwie Imperium, w tym o zasadach transparentności, czy bezpieczeństwa, ale widząc zagrożenia cywilizacji ziemskiej XXI wieku trzeba by stwierdzić, że nasze rozwiązania stanowić powinny pewne minimum minimorum dla znacznie bardziej rozwiniętego technologicznie Imperium.

Tym bardziej, że już w XXI w. państwa na Ziemi zdały sobie sprawę z problemów tzw. wojny hybrydowej- a więc wojny asymetrycznej- która zakłada prowadzenie walki konwencjonalnej (z użyciem sprzętu wojskowego), ale i cybernetycznej. Doświadczenia więc takich krajów jak Estonii mogłyby być dla Imperium bezcenne.

W ramach założeń wstępnych dodam również, że z punktu widzenia legalności- prawowitą władzę sprawuje Imperium, które doszło do władzy niemoralną drogą. Pomimo, że sercem i umysłem wspieramy rebelię to jest to organizacja, która swoją działalnością skrajnie opozycyjną oraz działaniami zbrojnymi przypomina organizację jaką była np. Irlandzka Armia Republikańska, czy Baskońską ETA (Baskonia i Wolność)- rebelia dopuszcza się więc aktów przemocy. Na marginesie pozostaje oczywiście kwestia słuszności władzy Imperium na gruncie filozofii prawa- bowiem Imperium dopuszcza się zbrodni przeciwko ludzkości na niewyobrażalną skalę, czego symbolem jest konstrukcja Gwiazdy Śmierci. Na gruncie prawdopodobnie wszystkich teorii prawa- a więc od zwolenników prawa natury do zwolenników Dwarkina, rebelii przysługuje prawo do czynnego oporu. Oczywiście rebelianci powinni liczyć się oni z konsekwencjami. Są to jednak założenia leżące na marginesie rozważań na temat bezpieczeństwa danych. Należy mieć na względzie, że Imperium działa w warunkach wojny i tym bardziej powinno odpowiednio zabezpieczać swoje dane.

Dodać należy, że rebelianci mieli o tyle ułatwione zadanie, o ile mieli tajnego współpracownika- jeden z inżynierów wskazał włamywaczom gdzie szukać odpowiedniego dysku twardego. Należy zatem postawić pytanie, czy gdyby Imperium spełniłoby chociażby postanowienia polskiej Ustawy o ochronie danych osobowych- misja rebeliancka zakończyłaby się fiaskiem? Po seansie gołym okiem widać naruszenie szeregu zasad bezpieczeństwa, w tym nawet polskiej ustawy. Do najważniejszych zaniedbań należy zaliczyć:

1. Skumulowanie danych w jednym miejscu

Pierwszą wątpliwość nasuwa samo skumulowanie tak dużej ilości danych, w tym danych osobowych w jednym miejscu. Wiadomo, że w wieży magazynowane są np. plany Gwiazdy Śmierci, ale i korespondencja osobista jednego z generałów. Należy więc domniemać, że zbierane są i znacznie ważniejsze z punktu widzenia państwa dane jak np. informacje o stażu stormtrooperów i np. nabywaniu przez nich uprawnieniach emerytalnych, rejestr skazanych, czy rejestry sądowe.

Z tego punktu widzenia najważniejszą wątpliwość budzi samo zgromadzenie tak gigantycznej ilości danych w jednym miejscu. Warto zwrócić uwagę- np. na rozwiązania estońskie, gdzie już funkcjonuje e-państwo. W sposób elektroniczny można więc tam głosować, rozliczać się z fiskusem, a nawet kupować nieruchomości.

Podstawą systemu Imperium powinno być estońskie założenie, że nie należy budować jednego centrum zawierającego dane. W szczególności system estoński posiada system x- road, który zakłada rozproszenie danych pomiędzy wieloma serwerami. Samo wejście do systemu wymaga specjalnego dowodu osobistego z chipem, wejście do określonych serwerów musi wiązać się z potrzebą załatwienia np. sprawy administracyjnej itd.- o takich zabezpieczeniach w Imperium chyba nikt nie śnił.

2. Zaniedbania bezpieczeństwa osobowego

Akcja filmu skłania do przekonania, że każdy droid lub człowiek może przeglądać praktycznie wszystkie zbiory danych- o ile stoi za panelem sterującym. Nie wyobrażam sobie, aby w tak olbrzymiej instytucji jak archiwum Imperium nie został wyznaczony- Administrator Bezpieczeństwa Informacji. Zakładając, że został on powołany każdy pracownik archiwum powinien posiadać „upoważnienie do przetwarzania danych osobowych". Problemem pryncypialnym tej instytucji była sytuacja, że rebelianci przebrali się za żołnierzy imperium i bez przeszkód weszli aż do serwerowni. Wchodząc do samego budynku powinni zostać zarejestrowani (zwłaszcza, że pracowali na lotnisku). Nawet jeżeli inżynier posiadał prawo wejścia- to nie do wszystkich sektorów. Widać więc, że jego prawo wejścia nie było ono ustalone indywidualnie. Tymczasem pracownicy powinni mieć indywidualnie wyznaczone strefy w których mogą przebywać i powinni być przeszkoleni- oraz powinni podpisać odpowiednie oświadczenie. Podsumowując- gdyby Imperium respektowało nawet polską ustawę o ochronie danych osobowych to rebelianci nie powinni mieć możliwości wejścia do wieży „archiwum”- nie mając uprawnień nie przeszli by przez recepcję.

3. Zaniedbania bezpieczeństwa fizycznego

Serwerownia (gdzie zawarte są m. in. dane osobowe) jest miejscem „strefy przetwarzania”, a więc miejscem w którym możliwy jest bezpośredni dostęp do zawartych danych. Powinno ono być na tyle zabezpieczone, aby przypadkowi inżynierowie- w tym dywersanci nie mieli prawa wstępu (zwłaszcza, że zarówno Imperium i rebelia posiadają siatki wywiadowcze). Sama serwerownia- jako, że jest pomieszczeniem w którym przetwarzanie posiada charakter krytyczny powinna być uznana za „strefę specjalną”. Dostęp do obu tych stref powinien być ściśle reglamentowany i kontrolowany. Powyższe wiąże się z obowiązkiem wprowadzenia systemów wydawania systemów kluczy- w tym elektronicznych- w filmie „intruzi” po wieży chodzą dość swobodnie, nawet po newralgicznych miejscach.

Prawdopodobnie Imperium wyposażyło budynek w specjalne drzwi i okna które posiadają właściwości antywłamaniowe i ognioodporne. Katastrofalnym zaniedbaniem bezpieczeństwa było nie zapewnienie w ogóle kontroli dostępu, sygnalizacji włamania i napadu, dozoru wizyjnego.- droid został unieszkodliwiony dopiero, gdy zabił kilka patroli stormtooperów, stojąc za pulpitem!

Imperium stosując prawo polskie (i unijne standardy) uniemożliwiłoby dostęp do pomieszczeń, gdzie znajdują się dane osobowe lub znajduje się do nich dostęp.

4. Bezpieczeństwo sytemu informatycznego

Zgodnie z polskim rozporządzeniem ws. warunków technicznych system ochrony systemu powinien wiązać się z przyjęciem zabezpieczeń na poziomie wysokim- jako że przetwarzane dane (w tym wrażliwe) były podłączone do sieci internetowej.
Dlatego każdy z pracowników tej instytucji Imperium powinien posiadać „Upoważnienia do przetwarzania danych osobowych”. Wiąże się to z posiadaniem indywidualnego identyfikatora oraz hasła. Wg polskiego rozporządzenia: długość takiego hasła powinna wynosić co najmniej 8 znaków, składać się z małych i wielkich liter oraz cyfr lub znaków specjalnych oraz powinno być ważne maksymalnie 30 dni! Już samo to powinno uniemożliwić znalezienie odpowiedniego dysku i dostęp droidowi do panelu!

W takich okolicznościach- nawet znalezienie się za pulpitem sterowniczym i konieczność złamania hasła, powinna utrudnić, a nawet uniemożliwić dostęp! Droid rebeliantów nie był stworzony do łamania haseł, złamanie takiej zapory powinno zając mu sporo czasu.

W zakresie wprowadzonych technologii biometrycznych system Imperium również pozostawia wiele do życzenia. Na planecie Ziemia bankomaty wypłacające pieniądze w oparciu o odcisk palca- są już technologicznie możliwe, ale nie są wprowadzane ze względu na obawy społeczeństwa. Tymczasem system ten oparty jest na wykrywaniu pulsu w organizmie- tak więc nawet zabójstwo strażnika- sprawiłoby, że jego linie papilarne byłyby bez znaczenia- a nieautoryzowany dostęp powinien wzbudzić alarm. Na Ziemi rebelianci nawet nie mogliby wypłacić pieniędzy z takiego bankomatu- w Imperium weszli do kluczowego pomieszczenia!
W kontekście biometrii- zabezpieczenia „ziemian” wypadają na plus w porównaniu z galaktycznymi.

5. Wydzielenie urządzeń elektronicznych

Skoro jedyną łącznością ze światem była antena na dachu oraz pole siłowe wokół planety- zdziwienie musi budzić fakt, że nikt w „Archiwum” nie zdecydował się wyłączyć anteny przez np. fizyczne odcięcie jej od prądu lub zablokowanie np. na 1 godzinę. Wydaje się również, że system powinien w przypadku ataku uniemożliwić użytkownikom- o mniejszych uprawnieniach dostęp do systemu- serwerowni. Niestety- również takie środki nie zostały podjęte.

Podsumowanie

Film Rogue 1 nasuwa dwie refleksje. Po pierwsze archiwum Imperium stosowanie norm bezpieczeństwa ograniczyło tylko do rejestracji zbiorów danych w urzędzie typu Imperialny Inspektor Ochrony Danych Osobowych, a podmiot ten (tj. archiwum) nigdy nie został skontrolowany! Nie zastosowano żadnych, nawet najmniejszych wymogów ustawy oraz rozporządzenia- co spowodowało utratę danych np. plany Gwiazdy Śmierci, zniszczenie terabajtów innych danych (ach te emerytury stormtooperów) oraz zniszczenie całego archiwum. Prawdopodobnie archiwum nigdy nawet pokusiło się o uzyskanie certyfikatu bezpieczeństwa ISO. Tak więc chociaż zaoszczędzili środki na ochronie danych osobowych, to stracili niewspółmiernie dużo- sama tylko budowa Gwiazdy Śmierci to wydatek rzędu miliardów złotych!

Druga refleksja, która nasuwa się po seansie jest taka, że cywilizacja ziemska XXI w., która dopiero co styka się z zagadnieniami e-chmury i niespotykanie szybką informatyzacją, która sprawia, że dopiero tworzą się e-państwa zapewnia znacznie większy poziom ochrony danych osobowych- niż Imperium, które nie chroni danych, w tym danych osobowych swoich obywateli w sposób należyty. Może to była kolejna przyczyna dlaczego musiało upaść?
Trwa ładowanie komentarzy...