Rutronik za evropsko Splošno uredbo o varstvu podatkov
Rutronik GmbH
Avtor: Bernd Hantsche
2018_260_19
»Varnost je zapleteno vprašanje, ki zahteva strokovno znanje in rešitve z vseh področij izdelkov«. Na novo ustanovljena strokovna ekipa podjetja Rutronik za SUVP strankam pomaga pri varnostnih konceptih, komponentah in svetovanju za uveljavitev uredbe.
25. maj 2018 je rok za izvedbo evropske Splošne uredbe o varstvu podatkov (SUVP) in s tem iz nje izpeljanih novih ter do zdaj najstrožjih zakonov o varstvu podatkov. S tem morajo skoraj vsa podjetja, ki obdelujejo osebne podatke, izvesti obsežne ukrepe za njihovo zaščito. »Podjetja so s tem pred izrednimi izzivi,« pojasnjuje Bernd Hantsche, vodja oddelka za ugnezdene in brezžične sisteme pri podjetju Rutronik. »Njihova naloga ni le razumevanje Uredbe in njenih učinkov na njihovo podjetje, procese ter izdelke, ampak tudi opredelitev in izvedba ustreznih ukrepov – kar pri tako zapleteni ter večplastni temi, kot je varnost, nikakor ni preprosto.«
Za strojne in programske razvijalce ter vodje izdelkov sta odločilna predvsem 25. člen »Varstvo podatkov s tehničnimi rešitvami in zasebnosti prijaznimi prednastavitvami« in 32. člen »Varnost obdelave podatkov«. »Ta člena puščata odprta številna vprašanja. Zaradi tega smo ustanovili interdisciplinarno strokovno ekipo, s katero bomo svoje stranke podpirali pri iskanju odgovorov na ta vprašanja in razvijanju celostnih sistemskih konceptov, ki so skladni s SUVP,« je povedal Hantsche.
Šifriranje
Uredba med drugim predpisuje, da morajo biti osebni podatki šifrirani skladno s stanjem tehnike in stroški izvedbe, pri tem pa je treba upoštevati še vrsto, obseg, okoliščine ter namene obdelave skupaj z verjetnostjo in resnostjo tveganj. »Kateri podatki pa sploh so neposredno ali posredno povezani z osebami? In kaj pomeni ‘stanje tehnike’ za posamezne komponente in sisteme? Je vedno in povsod potrebno asimetrično šifriranje RSA ali kdaj zadošča že postopek AES, ECC ali hibridno šifriranje SSL/TLS?« nam daje misliti Hantsche. Podobne nejasnosti najdemo tudi pri drugih predpisih.
»Kadar po spletnih forumih preučujemo te teme, dobimo namesto odgovorov največkrat le občutek, da predpisom ne bomo mogli zadostiti. Marsikdo pričakuje val opominov. S svojo ekipo želimo svojim strankam zagotoviti utemeljene odgovore in jim ponuditi tudi primerne rešitve.«
Strokovna ekipa podjetja Rutronik za SUVP združuje strokovnjake s področij pomnilniških medijev, radijske komunikacije, plošč za vgrajene sisteme, varnostnih gradnikov, mikrokrmilnikov, prikazovalnikov in tipal. Namenjena je svetovanju razvijalcem in vodjem portfeljev pri zagotavljanju varnega prenašanja, shranjevanja ter obdelave podatkov. Hantsche, ki vodi ekipo, opisuje potek dela: »V pogovoru s stranko odkrijemo varnostno kritične točke v vsakem načinu uporabe, možne vrste nevarnosti in kolikšna so posamezna tveganja. Ko so te točke razjasnjene, lahko naša ekipa pripravi primeren koncept sistema, ki je skladen s SUVP.«
Ta koncept obsega vse dele in sisteme, ki so na kakršen koli način pomembni za določen način uporabe. Treba jih je natančno uskladiti, saj so pogosto medsebojno odvisni in imajo zato spreminjajoče se učinke. V ta namen tesno sodelujejo različni strokovnjaki. Kot podjetje z izredno široko ponudbo lahko Rutronik zagotovi tako komponente in sisteme kot tudi znanje za celostno izvedbo takšnih konceptov, tako da lahko svojim strankam ponudi celostne rešitve – »pakete brez skrbi«.
Poleg osebnega svetovanja pripravlja strokovna ekipa v sodelovanju z zadevnimi proizvajalci knjigo, ki celovito povzema osnovna znanja in prakso v zvezi s komponentami, tehnologijami ter celotnimi načini uporabe.
»Klasični vidiki prenašanja, shranjevanja in obdelave podatkov še ne zadoščajo. Vedno pogosteje prihaja do vdorov z družabnim inženiringom, kar morajo proizvajalci naprav obvezno upoštevati.« Družabni inženiring omogoča prevarantom, da na primer vidijo kode PIN ali gesla kar z daljnogledom ali pa jih pridobijo z ukradenih ključev ali transponderjev RFID za odpiranje vrat ali overjanje pred uporabo naprav. Tako lahko premagajo vsako kodo PIN in tudi najbolj zapletena gesla. »Obstajajo pa tudi rešitve za družabni inženiring, na primer biometrične rešitve s tipali za oči ali prstne odtise in sistemi s 3D-kamerami za prepoznavanje obrazov ali vsaj posebni prikazovalniki z zelo majhnim kotom prikaza,« pravi Hantsche. »Prevarantom lahko delo močno otežimo tudi z izbiro optimalnega radijskega protokola in z mehanizmi, ki zlonamerno kodo odkrivajo že pri zagonu.«
Nevarnost za varstvo podatkov zaradi zvočnikov
Glasno zvonjenje v igralnici, glasba v dvigalu ali supermarketu ali pa prodajni avtomat, ki pove: »Vaša izbira trenutno ni razpoložljiva.« – vedno več naprav ima zvočnik. Obiskovalci igralnic ali kupci pa imajo pri tem skoraj vedno s seboj pametni telefon. To kombinacijo je mogoče izkoristiti za vohunjenje: Nekatere aplikacije zahtevajo pri namestitvi dostop do mikrofona, vendar tega večina uporabnikov ne opazi. Spomladi leta 2017 je Tehnična univerza Braunschweig na primer samo v storitvi Google Play odkrila 234 aplikacij, ki uporabljajo funkcijo Ultrasonic Tracking Beacon podjetja Silverpush. Ta omogoča odkrivanje položaja uporabnika tudi za osebe, ki imajo izključeno klasično določanje položaja v svojem pametnem telefonu. V ta namen oddajajo zvočniki tone s kodami v frekvenčnem območju med 18 in 20 kHz, kar ljudje zelo težko zaznamo, pametni telefoni pa zlahka – to je jasna kršitev varstva podatkov!
Tukaj bo varnostni koncept obsegal naslednje komponente: Enota TPM (Trusted Platform Module), ki zlonamerno kodo zazna že med zagonom, varna šifrirana komunikacija z veljavnimi potrdili in asimetrično ali hibridno izmenjavo ključev ter vrsta dodatnih zaščitnih ukrepov na vseh ravneh programske opreme in komunikacije. Poleg tega priporočamo še analogni nizkoprepustni filter visokega reda in zvočnik, uglašen za frekvence pod 18 kHz, na primer R-AS09208AR podjetja PUI Audio.
