Jedna slovenská IT spoločnosť poukázala na nedostatočné zabezpečenie štátnej aplikácie pod názvom - Moje eZdravie. Dáta v tejto aplikácii neboli dostatočné chránené, a mohlo by tak prísť k odcudzeniu dát. Táto aplikácia bola vyvinutá v súvislosti s korona epidémiou. Prevádzkovateľom tejto aplikácie je Slovenská republika.
Aké dáta boli zraniteľné voči útokom?
Informácie, ktoré by mohli byť odcudzené, boli osobné údaje a bolo by možné ich priradiť ku konkrétnym osobám. Jednalo sa o dáta ako napríklad: meno, priezvisko, rodné číslo alebo výsledok testu na COVID-19.
Netreba podceňovať dostatočné zabezpečenie
Dáta v aplikácii Moje eZdravie boli v nezašifrovanej podobe, čiže nedostatočne chránené. Podľa informácii môžeme prísť k záveru, že neboli dodržané bezpečnostné informačné normy a zabezpečené osobné údaje daných osôb.
Legislatíva GDPR vyžaduje dostatočné bezpečnostné opatrenia, či už osobitné alebo štandardné, pričom záleží na kontexte, povahe, účelu a rozsahu spracovania. V tomto prípade je možné zabezpečiť dáta viacerými spôsobmi, ako napríklad ich zašifrovanie. Existuje takzvaný etický hacking, ktorý využívajú firmy, aby zistili nedostatky napríklad v aplikácii. Zaplatia si odborníka a ten testuje zraniteľnosť systému. Nájdené chyby sa zaznamenajú a opravia.
GDPR označuje šifrovanie dát ako jedno z ochranných prvkov ako zabezpečiť údaje. Otázka je, prečo neboli dáta v aplikacii šifrované? Môžeme v tomto prípade hovoriť o porušení ochrany osobných údajov. Štát môže byť za toto pochybenie sankcionovaný a dokonca môže byť aj uložená pokuta.
Pokuta za porušenie nariadenia GDPR sa môže vyšplhať do miliónov eur
Za porušenie nariadenia hrozí nemalá pokuta. Výška pokuty sa môže vyčísliť až do 20 000 000 eur alebo 4% celkového obratu za predošlý rok, pri čom záleží, ktorá suma je vyššia. Výška pokuty závisí od závažnosti a individuálnych osobitostí porušenia. Ak by prišlo k zneužitiu osobných dát tejto aplikácie a prišlo by k súdnemu konaniu, výška by sa mohla vyšplhať až do stoviek tisíc eur.
Legislatíva GDPR a kybernetická bezpečnosť
Tento konkrétny prípad spadá do kategórie kybernetického bezpečnostného incidentu a porušenia ochrany osobných údajov. Na štátne orgány a orgány verejnej správy sa vzťahujú osobitné predpisy, ako zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti, zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe. Nie je výnimkou, že orgány verejnej správy a štátne orgány zabúdajú na bezpečnosť. Dôvody môžu byť rôznorodé. Nedostatok odborníkov, málo financií na zabezpečenie alebo nedostatočné vedomosti o danej problematike môžu viesť k závažným chybám.
Osobné dáta s nariadením GDPR dostali väčšiu mieru ochrany, pričom treba dbať na bezpečnostné normy ako napríklad ISO.