1 / 23

Delikaatsete registrite turvaanalüüs

Delikaatsete registrite turvaanalüüs. Jan Willemson, Cybernetica Valgeranna 25.05.2006. Elektroonilised registrid. Eestis on palju riiklikke andmekogusid, milles sisaldub informatsiooni riigi elanike kohta Järjest rohkemaid neist andmekogudest on võimalik kasutada elektrooniliselt

tamah
Télécharger la présentation

Delikaatsete registrite turvaanalüüs

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Delikaatsete registrite turvaanalüüs Jan Willemson, Cybernetica Valgeranna 25.05.2006

  2. Elektroonilised registrid • Eestis on palju riiklikke andmekogusid, milles sisaldub informatsiooni riigi elanike kohta • Järjest rohkemaid neist andmekogudest on võimalik kasutada elektrooniliselt • Arvutipõhine andmehaldus võimaldab elanikele ja ettevõtetele pakkuda ka täiesti uuelaadseid teenuseid ning muuta olemasolevaid teenuseid käideldavamaks • Heaks näiteks selles valdkonnas on Eesti riiklik andmekogude ristkasutuse süsteem X-tee

  3. Digitaalse andmehalduse ohud • Digitaalinformatsiooni kaitsmise meetodid on uued ning kasutajale raskemini hoomatavad kui tavalised füüsilised turvameetmed • Arvutis failide kujul hoitavate andmete kopeerimine on võimalik kiiresti, ilma kvaliteeti kaotamata ning jälgi jätmata • Varastatud elektrooniliste andmekogude töötlemine (nt erinevate andmekogude üheks kokkupanemine) käib väga efektiivselt • Erinevaid registreid kuritahtlikult kombineerides võib väga paljude inimeste kohta panna kokku küllalt täieliku profiili

  4. Uurimuse eesmärgid • Analüüsida riiklikesse registritesse kuuluvate isikute privaatsuse tagamise meetodeid • Kaardistada Eestis hetkel toimivate delikaatseid isikuandmeid sisaldavate andmekogude kasutusjuhud • Anda ülevaade meditsiiniliste registrite pidamise rahvusvahelisest kogemusest • Teha ettepanekud Eesti seadusandluse muutmiseks tagamaks ühest küljest andmete maksimaalne käideldavus ning teisest küljest delikaatsete isikuandmete kaitse

  5. Registrite pidamine • Registreid on mõtet pidada ainult siis, kui neid kasutatakse • Registritel on kaks põhilist kasutusjuhtu: • Operatiivkasutus • Justiitsministeeriumi kriminaalhooldusregister ja kinnipeeturegister • Politeiameti karistusregister ja politsei infosüsteem PolIS • Informatiiv-statistiline kasutus • Sotsiaalministeeriumi terviseosakonna registrid, nt tuberkuloosiregister, vähiregister, raseduskatkeregister • Sotsiaalministeeriumi tööhõiveosakonna registrid Tööturuametist, Töötukassast, Sotsiaalkindlustusametist ja Tööinspektsioonist

  6. Delikaatsete isikuandmetega registrid • On rida registreid, mis on nii tundlikud, et isegi neisse kuulumise fakt on delikaatne, samas tuleb neid kuidagi kasutada ja omavahel linkida • Näiteks EV Tervise infosüsteemi arengukava aastateks 2005--2008 näeb ette 29 medinfot sisaldava elektroonilise andmekogu loomist, sh • AIDSi register • HIVi andmekogu • Narkomaaniaravi register • Käesolev uurimus keskendub narkoregistrile

  7. Registrite linkimine • ... on sisuliselt ristkasutus, st mitme registri peale ühe suurema moodustamine või ühest registrist andmete teise kandmine, näiteks • Surmapõhjuste registrist vähiregistrisse postmortaalselt avastatud vähijuhtude kandmine • SotsMin'i tööhõiveosakonna registrite ühendamine tööhõivestatistika saamiseks • HIVi andmekogu ja narkoregistri ühendamine saamaks ülevaadet HIV-positiivsetest narkomaanidest • Mitmed terviseregistrite ristkasutuse juhud teadusuuringute eesmärgil

  8. Õiguslik ruum • Pole ühtki seadusakti, mis registrite linkimist kuidagi reguleeriks • AKI käest tuleb iga kord eraldi luba küsida • Teadusuuringuteks ei piisa sellestki. IKS §14 (3): • Delikaatsete ja eraeluliste isikuandmete töötlemine on ilma andmesubjekti nõusolekuta lubatud: • seaduse või välislepinguga ettenähtud ülesande täitmiseks; • andmesubjekti või muu isiku elu, tervise ja vabaduse kaitseks. • Euroopa Liidu baasdirektiiv 95/46/EC lubab samas ilmutatult delikaatseid isikuandmeid avalikes huvides teadusuuringuteks kasutada • Sama nt Põhjamaade vastavas seadusandluses

  9. Isikukood • Isikukoodi sisseviimise algne motivatsioon oli luua isikutele ühene identifikaator, et muuhulgas lihtsustada andmekogude linkimist • Samas kasutatakse isikukoodi sageli vääralt • Näiteks pangad autendivad kliente telefoni teel isikukoodi abil, et pangakaarte kinni panna • Paradoksaalselt leidsid riigiisad, et isikukood võimaldab linkimist liiga lihtsalt (!). IKS §16: • Isikukoodi töötlemine on lubatud ilma andmesubjekti nõusolekuta, kui isikukoodi töötlemine on ette nähtud välislepingus, seaduses või määruses. • Kokkuvõttes ei täida isikukood oma eesmärki

  10. Isikute tuvastatavus (I) • Narkootiliste ja psühhotroopsete ainete ning nende lähteainete seaduse §111 lõige 5 ütleb narkoregistri kohta nõnda: • Andmekogu peetakse kujul, mis ei võimalda registrisse kantud isikut tuvastada. • Pole selge, mida see säte tegelikult tähendab, sest andmed tuleb füüsiliste isikutega siduda vähemalt • andmekogu uuendamisel • teiste andmekogudega linkimisel

  11. Isikute tuvastatavus (II) • See tähendab, et kusagil tuleb (kasvõi mitme osapoole vahel hajutatult) hoida vahendeid registrikirjete ja füüsiliste isikute kokkuviimiseks • Ükskõik milliseid turvameetmeid me ka ei rakendaks, alati jääb kusagil alles isik või isikute rühm, kes suudab(vad) kõik registrisse kuulujad kindlaks teha

  12. Kodeerimiskeskus (I) • Varjamaks volitatud töötleja eest registrisse kuuluva isiku identiteeti (nime, isikukoodi), töötas Sotsiaalministeerium välja nn kodeerimiskeskuse kontseptsiooni • Kodeerimiskeskus on sisseostetav teenus, mis • saab narkomaani isikukoodi, • krüptib selle ära ja • saadab volitatud töötleja (TAI) andmebaasi.

  13. Kodeerimiskeskus (II) • Selleks, et krüptitud isikukoodi teiste andmetega kokku viia, kasutatakse üht arsti infosüsteemi poolt genereeritud võtit, mis liigub kaasa nii andmetega kui ka krüptitud isikukoodiga. • Mis on selle kontseptsiooni puudus? • Kodeerimiskeskus omandab narkomaanide isikukoodid!

  14. Registrisse kuulumise tõenäosus • Vaatleme narkoregistrit, kust on kustutatud nimed ja isikukoodid, kuid alles on jäetud inimeste vanus, rahvus ja elukoht • Olgu nende väljade mingite konkreetse väärtustega kirjeid narkoregistris k tükki • Kui ründaja suudab välja selgitada, et asulas X elab antud vanusega antud rahvusest isikuid n tükki, siis võib ta väita, et igaüks neist kuulub vaadeldavasse registrisse tõenäosusega k/n • Kui k=n, siis pole isikukoodide kustutamisel andmete varjamise seisukohast mingit efekti

  15. Ründe hind • Registrile ligipääsemine ja väärtuse n leidmine ei pruugi olla odavad • Saamaks teada, palju elab asulas X teatud rahvusest teatud vanusega inimesi, võib ründaja • üritada osta ära rahvastikuregistri volitatud töötlejat • sõita kohapeale ja külameeste käest asja uurida • Kui ründaja ründab kasu saamise eesmärgil, peab ründe hind jääma väiksemaks oodatavast tulust • Ründe hinda ei ole reeglina lihtne leida, kuid analüüsiks piisab sellest, et hind on olemas

  16. Ründed narkoregistri vastu • SotsMin sõnastas järgmised ohud: • Ründaja tahab kompromiteerivaid andmeid kätte saada selleks, et nende abil inimest või tema lähedasi santažeerida või manipuleerida • Ründajaks on pank, kindlustusselts või mõni muu finantsasutus, kes otsustab andmete põhjal inimese kuulumise mõnesse riskirühma, et siis tema makseid suurendada • Ründajaks on uuriv ajakirjanik, kes on saanud mõne tuntud isiku kohta vihje ning tahab kontrollida, kas see isik tõepoolest kuulub sellesse registrisse • Millised neist rünnetest toimivad, kui me teame isiku kuulumist registrisse tõenäosusega k/n?

  17. Santaažirünne • Suur osa narkomaane pole heal rahalisel järjel, kuid nt poliitikuid võib santažeerida küll • Kas santažeerimine on võimalik, kui me teame poliitiku kuulumist narkoregistrisse mitte 100%, vaid mingi tõenäosusega k/n? • Jah, sest poliitik ju ei tea, mida ründaja täpselt teab. Kui 100%-lise kindluse korral oleks ründaja ootetulu x, siis nüüd on see k/n * x • Seega ei kaota kodeerimiskeskuse sisseviimine santaažirünnet, vaid kahandab ainult tema tulukust

  18. Panga/kindlustusseltsi rünne • Ründajal polegi põhimõtteliselt oluline registris inimesi sajaprotsendiliselt identifitseerida • Teadmist, et konkreetne finantsteenust sooviv isik on tõenäosusega k/n narkomaan, saavad nii pangad kui kindlustusseltsid oma riskiarvutustes täiesti kasutada • See omakorda tähendab, et kodeerimiskeskuse mõte kahandada ründajate motivatsiooni isikute peitmise läbi ei ole selle stsenaariumi puhul kuigi tõhus

  19. Uuriva ajakirjaniku rünne • Erinevalt pangast peab uuriv ajakirjanik oma väidetes 100% kindel olema • Selle ründe vastu kodeerimiskeskus aitab ... • ... kui ei kehti k=n • See, kas k=n või ei, sõltub narkoregistri andmekoosseisust, mis muutub • Seega tuleb ajakirjanikuründe välistamiseks registrit monitoorida ja vajadusel välju kustutada • Vajadus tekib hetkel, kui k=n, see aga tähendab, et monitoorija suudab narkomaane identifitseerida

  20. Kuidas registreid linkida? • Isikukoodi kodeerimiseks on kaks võimalust: • kasutada universaalset asenduskoodi • kodeerida igas registris isikukood eraldi • Esimesel juhul on linkimine lihtne, kuid asenduskood muutub kiiresti isikukoodi aliaseks • Kujutame ette kuritegelikku tagasitesiendusteenust • Teisel juhul tuleb linkimiseks luua eraldi teenistus, mis erinevaid asenduskoode ühendab • See teenistus on jälle suur turvarisk • Tagasiteisendusteenus on raskem, aga võimalik

  21. Kokkuvõtteks (I) • Teiseste andmete järgi on isikute tuvastamine küll raskem ega tööta 100%, kuid mitte võimatu • Kui isik on kord tuvastatud, saab seda infot kasutada mitu korda • See toob ründe omahinna alla • Pahategemiseks polegi 100%list kindlust vaja • Küll aga on täpseid andmeid vaja heategemiseks • Kodeeritud identiteetidega andmebaasi tuleb turvata sama rangelt nagu ilma kodeerimata • Volitatud töötleja eest pole mõtet isikuid varjata • Iskuandmed (sh isikukood) võivad registrites lahti olla • See kergendab ka tuntavalt registrite legaalset kasutust

  22. Kokkuvõtteks (II) • Registrite linkimiseks tuleb luua nii seadusandlik kui tehnoloogiline raamistik • Iga delikaatseid isikuandmeid sisaldava registri kohta tuleb määrata vähemalt • isikute klassid, kes omavad registrile mingil tasemel ligipääsu (iga inimene kuulub potentsiaalselt mingisse klassi); • millise täpsusega mingisse klassi kuulujad andmeid näha võivad; • vajalikud koostööstsenaariumid, mille alusel ründajad info omandamiseks koopereeruma peavad

  23. Kokkuvõtteks (III) • Isikukoodi (pool)salastamine on • Lootusetu ( ldap://ldap.sk.ee) • Mõttetu, sest isikukood ei sisalda delikaatset infot, sisuliselt on tegu inimese unikaalse nimeosaga • Kahjulik, sest eeskätt kannatavad registrite legaalsed kasutajad, ründajate elu aga oluliselt raskemaks ei muutu

More Related