Szewc z PWr bez butów chodzi > Olgierd Rudak > Lege Artis

2011-01-04 23:15

Oceń wpis

facemash politechnika wrocławska Nigdy nie sądziłem, że przyjdzie mi tu pisać o Politechnice Wrocławskiej w takim kontekście: wskutek zaniedbań w zabezpieczeniach systemu e-dziekanat ~~powstał~~ przemknął serwis, w którym można było oceniać losowo zestawione zdjęcia studentek tej uczelni (ponoć od czegoś podobnego zaczynał kiedyś twórca Facebooka -- nie wiem, nie znam się, nie interesuje mnie to).

O aspektach technicznych sprawy więcej pisze Niebezpiecznik w tekście "FaceMash, czyli wyciek danych z Politechniki Wrocławskiej" -- wydaje mi się, że ciekawe jest to, że nie doszło do skopiowania zbioru, lecz ów "rozrywkowy" serwis czerpał pliki ze zdjęciami na bieżąco, a więc cały czas miał nieskrępowany dostęp do bazy Politechniki (e-dziekanat to dziecko... Sygnity! -- co za wstyd...) -- mnie jednak, rzecz jasna, bardziej interesuje aspekt prawny zdarzenia.

Oto dowiadujemy się, że PWr -- oprócz tego, że pracownicy próbowali namierzyć osobę, która "wykorzystała lukę w systemie" (ba, do mnie nawet doszły plotki, że nie mogąc poradzić sobie z wyciekiem danych posłużyli się... atakiem DDoS...) -- rozważa powiadomienie prokuratury o "wykradzeniu" zdjęć.
Gdybym był żakiem na tej uczelni pomyślałbym, że to uroczo z ich strony -- faktycznie może i warto zbadać czy nie doszło do naruszenia przepisów o ochronie danych osobowych (chociaż jeśli po stronie FaceMashPWR nie doszło do powstania zbioru, nie można twórcom serwisu stawiać zarzutów z art. 49 ust. 1 UoODO!), no i mamy uroczy przepis penalizujący nieautoryzowany dostęp do informacji, nawet jeśli nie wymagało to przełamania jakichkolwiek zabezpieczeń (tak, to ten sam uroczy art. 267 par. 1 kodeksu karnego).

Niestety, musiałbym także brać pod uwagę przepisy nakazujące administratorowi danych osobowych -- którym jest, jakby na to nie patrzeć, Politechnika Wrocławska -- prawidłowe zabezpieczenie zbioru. Z ryzykiem, że jeśli owo zabezpieczenie nie było prawidłowe, zaniedbania mogą być oceniane z perspektywy art. 51 ust. 2 lub art. 52 ustawy o ochronie danych osobowych. Warto bowiem pamiętać, że status administratora danych osobowych wiąże się także z pewnymi powinnościami, tj. z obowiązkiem zapewnienia przetwarzanym danym osobowym odpowiedniego poziomu bezpieczeństwa -- a to pod rygorem odpowiedzialności karnej.
Skoro zatem (choćby wskutek niedociągnięć po stronie wykonawcy) mogła zaistnieć sytuacja, w której osoba postronna miała bieżący (!) dostęp do danych, to nawet jeśli nie doszło do skopiowania oryginalnego zbioru, administrator może mieć kłopot z prawem.

PS zrzut ekranu powyżej pociągnięty za Niebezpiecznikiem.

Komentarze (8)

Tagi wrocław, prawo, dobra osobiste, bezpieczeństwo, it, dane osobowe, PWr, FacemashPWR

Kategoria prawo i życie

Komentarze

skomentuj

2011-01-05 16:33:40 | 90.156.50.* | P4trykx

Re: Szewc z PWr bez butów chodzi [6]
z ciekawostek dodam, że dziekan Wydziału Informatyki Zarządzania powiedział, że jeśli
ten system komputerowy zrobili studenci po kierunku Informatyka to trzeba pomyśleć
nad zmianą programu nauczania. skomentuj

2011-01-05 17:10:32 | 89.74.173.* | lejzab

a jak to uzasadnił? skomentuj

2011-01-05 18:25:47 | 90.156.50.* | P4trykx

Nie rozumiem pytania.
Tok rozumowania: system jest zły--> jeśli zrobili go absolwenci WIZ to jest
podejrzenie, że studia nie kształcą dobrych specjalistów więc trzeba coś zmienić z
programie nauczania może skomentuj

2011-01-05 19:50:29 | 89.74.173.* | lejzab

ale zły technicznie, czy, powiedzmy, moralnie? bo technicznie chyba taki najgorszy
nie jest. chyba że dziekan miał na myśli 'elektroniczny dziekanat', a nie to coś
'hot-or-not' skomentuj

2011-01-05 21:47:56 | 87.205.141.* | Przyrodnik

Re: Szewc z PWr bez butów chodzi [0]
Obojętnie czy chodziło o hot-or-not. Wystarczy dodać do programu nauczania jeden
przedmiot "hack it". 3 rok programuje, 2 lamie. i tak az do napisania na 5 roku
programu ktorego zlamanie zajmie czas do obrony autora. skomentuj

2011-01-05 22:05:54 | 78.8.199.* | Pierre do Le Perra

@lejzab:
P4trykx mowi: "dziekan powiedzial, ze jesli system informatyczny uczelni z ktorego
ktos podkradl obrazki zrobili absolwenci tejze uczelni, to znaczy, ze go zle
zabezpieczyli, czyli pewnie byli niedoszkoleni i trzeba to poprawic zmieniajac
program studiow"
to nie bylo lejzabie o tej parodii fejzbuka, tylko o systemie uczelnianym i jego
tworcach :)

a swoja droga - tfurcy parodii fejzbuka tez mogli sie bardziej postarac :) to co
zrobili to ani parodia, ani inspiracja, ani nic odkrywczego: 1. ktos inny juz
wczesniej to zrobil, 2. czemu to jest po angielsku? jakis kompleks? 3. ani graficznie
ladne, 4. ani to zart, 5. ani prztyczek w nos... skomentuj

2011-01-06 00:00:34 | 90.156.50.* | P4trykx

@lejzab
sorry nie zrozumiałem o co pytasz. Dziekan miał na myśli sys. komputerowy do obsługi
studentów. To było jakieś 2 lata temu, wtedy pewnie jeszcze nie było tego naszego
fejzuka. skomentuj

2011-01-06 09:45:05 | *.*.*.* | olgierd

Myślę, że ten e-dziekanat robili absolwenci jakiejś tam uczelni technicznej, na tyle
dobrzy, że zatrudniła ich spółka Sygnity -- co samo w sobie jest zastanawiające.

Przecież na pomysł "włamię się podmieniając w pasku adresu ID rekordu" to nawet ja --
wybitna lama -- bym wpadł. skomentuj