Na spletu se je v minulih dneh pojavil portal covid-19-stats, ki je ljudi pozival, naj posredujejo svoje podatke, iz katerih bodo upravljalci nato sestavili aktualne in podrobne statistike o novem koronavirusu, torej o zdravih, okuženih, samoizoliranih in ozdravljenih državljanih. Posameznik je na portalu označil, ali in od kdaj kaže simptome, nazadnje pa je vnesel tudi svoj EMŠO, ki je zelo občutljiv osebni podatek. Kljub temu je EMŠO spletni strani zaupalo okrog 130.000 ljudi.
Snovalci strani so sicer zagotavljali, da je EMŠO ob vnosu izbrisan in da so hranili zgolj njegove šifrirane oblike, za kar so uporabljali tako imenovani algoritem SHA256. Toda ta algoritem ni primeren za šifriranje relativno enostavnih serij znakov, kot je EMŠO, opozarjajo strokovnjaki.
Ob zagonu je portal doživel izjemno promocijo, povezavo do njega je prek družbenih omrežij delila celo nekdanja evropska komisarka Violeta Bulc. Kmalu zatem pa je pobuda postala tarča kritik, dokler ni danes pozno popoldan portal ugasnil.
Zakaj algoritem ne zadošča?
»Uporaba zgoščenih vrednosti, v tem primeru z algoritmom SHA256, ne zagotavlja nujno anonimnosti pri manjših množicah vrednosti,« je pojasnil Gorazd Božič s SI-Certa. »Število vrednosti EMŠO za računalnik ni veliko, saj nekatere kombinacije niso mogoče. Dan rojstva ima lahko vrednost med 1 in 31, mesec med 1 in 12, pa še pri tem nekatere kombinacije odpadejo, ker 30. februarja ni. Zato je nabor vrednosti dovolj majhen, da bi lahko nekdo izdelal tabelo za vse realne vrednosti EMŠO in iz zgoščenih vrednosti rekonstruiral EMŠO za posameznega uporabnika,« je pojasnil.
Postopek bi šel nekako tako: algoritem SHA256 bi EMŠO spremenil v serijo črk in številk. Posamezni EMŠO vselej ustvari isto serijo črk in številk, zato je ta kot nekakšen prstni odtis. Prednost tega prstnega odtisa je, da je načeloma anonimen. Postopek pretvorbe namreč potuje zgolj v eno smer, kar pomeni, da iz prstnega odtisa ni možno ponovno sestaviti EMŠO. A to anonimizacijo je možno zaobiti, opozarja Božič, in sicer s pripravo tako imenovane mavrične tabele prstnih odtisov za vse možne EMŠO. Ko najdemo ujemanje med prstnim odtisom, ki smo ga ustvarili in zanj poznamo EMŠO, ter prstnim odtisom v bazi, dobimo tudi EMŠO osebe, ki je uporabila stran. Celo če vzamemo vse možne EMŠO za 999 let, bi postopek trajal nekaj več kot pet ur. To ranljivost bi lahko izkoristili nepridipravi, če bi se dokopali do zbranih podatkov. Če bi imeli snovalci portala zle namere, jim ne bi bilo treba niti zaobiti anonimizacije. Lahko bi zgolj uporabili podatke in rekli, da so jih izbrisali. Dodatna težava zbiranja EMŠO prek spleta je, da bi lahko nepridipravi izdelali dotični strani podoben ponaredek in zbirali podatke s tako imenovano phishing prevaro, podobno kot v primeru lažnih bančnih elektronskih sporočil in podobnih poskusov kraje osebnih podatkov.
Vsi osebni podatki izbrisani
Informacijska pooblaščenka Mojca Prelesnik je danes dobila več deset prijav in vprašanj glede zakonitosti obdelave zdravstvenih podatkov na tem portalu. Opozorila je celo, da pri uporabi algoritma SHA256 ne gre za anonimizacijo vnesenih podatkov, ampak za psevdonimizacijo. To pomeni, da imajo še vedno naravo osebnih podatkov, ki jih je možno relativno enostavno restavrirati, še zlasti, če so ti podatki strukturirani kot EMŠO ali davčna številka. Če bi upravljalci portala podatke uporabnikov želeli zbirati in obdelovati zakonito, bi si morali pridobiti vsaj osebno privolitev posameznika.
Šifriranje podatkov ni enako kot njihova anonimizacija. »Šifriranje preprečuje nepooblaščenim seznanitev z vsebino, ne pomeni pa, da so podatki razosebljeni in da identifikacija oseb ni več možna. Šifrirani podatki so psevdonimizirani, a še vedno osebni, ne anonimni, zato je tudi za obdelavo psevdonimiziranih podatkov potrebna pravna podlaga,« je poudarila Prelesnikova.
Na vse te nepravilnosti je informacijska pooblaščenka opozorila tudi ekipo, ki je zasnovala portal. »Zbiranje podatkov smo zato ustavili, portal pa se bo predelal v skladu z zakonskimi zahtevami. Nato se bo ponovno zagnal,« sta danes sporočila snovalca Tomaž Gregorič in Sašo Knez. Zatrdila sta, da sta vrednosti SHA256 vseh številk EMŠO izbrisala.
