V minulém příspěvku jsem se pokusil stručně shrnout o čem obecné nařízení o ochraně osobních údajů je.

V tomto příspěvku bych se chtěl zamyslet nad tím, co všechno je považováno za osobní údaje. GDPR to samozřejmě nijak exaktně, stejně, jako jiné důležité pojmy, nedefinuje, jak jinak.

V minulém příspěvku jsem psal o tom, jak identifikovat uživatele používající různé prohlížeče a sledovat jejich aktivity na internetu.

V tomto příspěvku se podíváme, jak identifikovat uživatele, kteří používají různá zařízení. Předesílám, že tento příspěvek nemá nic společného s marketingem ale s odhalováním závažné kriminality.

GDPR požaduje, aby za účelem zajištění ochrany informací byla přijata odpovídající bezpečnostní opatření organizační a technické povahy, neuvádí však, která by to měla být.

A to je zásadní problém, protože ďábel GDPR tkví právě v těchto nejasných a vágních definicích.

Výše sankcí za nesplnění požadavků jest vysoká. Údajně by měla motivovat dotčené subjekty k tomu, aby braly ochranu osobních údajů vážně.

Nabízí se však otázka, zda této skutečnosti nebude spíš využíváno k vyřizování si osobních účtů mezi zaměstnanci a zaměstnavatelem a dále pak ze strany konkurence k jejímu poškození.

Samozřejmě, že by bylo lepší, kdyby se technologie rozpoznávání obličeje nedala oklamat ani pomocí fotografie, makeupu a masky.

Ale přesto se uživatel, který se bude do svého telefonu hlásit pomocí svého obličeje, může cítit bezpečněji než ten, co tak činí přiložením prstu nebo zadáním hesla.

BankBot rozhodně neinstaloval žádné falešné uživatelské rozhraní, které by bylo uloženo v aplikaci pravého mobilního bankovnictví.

Jedná se o naprosto nešťastnou formulaci, kterou bohužel převzaly všechny mainstreamové zpravodajské weby, a která mohla vyvolat dojem, že smartbanking těchto bank byl špatně zabezpečen, když se do nich dalo uložit to falešné uživatelské rozhraní.

Problém je, že GDPR vůbec nedefinuje, co přesně se rozumí oním rozsáhlým zpracováním.

Z uváděných příkladů však lze odvodit, že pokud zpracováváte osobní údaje o méně než několika jednotkách tisíc občanů, tak se o rozsáhlé zpracování nejedná, a nemusíte tak jmenovat DPO.

Jako ochrana před zcela novými druhy ransomware resp. jejich detekcí lze použít tzv. techniku canary files.

Ta spočívá v tom, že se do adresářů, které obsahují citlivá data, umístí návnada v podobě několika málo souborů, a pokud dojde k jejich změně, tak je jasné, že došlo k zavlečení ransomware.

GDPR požaduje, aby subjekt, který provádí rozsáhlé zpracování osobních údajů, jmenoval tzv. pověřence pro ochranu osobních údajů (Data Protection Officer, zkr. DPO).

A pokud daný subjekt DPO nejmenuje, byť správně měl, tak za to může dostat pokutu. Bez ohledu na skutečnost, zda měl či neměl implementována příslušná bezpečnostní opatření.

Objevila se nová vlna ransomware BadRabbit cílená na ruské firmy, kterých mělo být napadeno více jak 200.

Údajně se šíří jako drive-by download malware, který se nachází na kompromitovaných zpravodajských webech, a vydává za aktualizaci aplikace Adobe Flash Player a na vnitřní síti se pak snaží zneužívat exploit EternalRomance, na který byly vydána záplata již v březnu tohoto roku.