Modalitatea folosită de INS pentru anonimizarea datelor personale ale persoanelor recenzate este depășită tehnologic și nu oferă suficientă protecție, avertizează specialiști în securitate cibernetică.
Confidențialitatea datelor strânse la Recensământul 2022 este 100% securizată, afirma recent, într-un interviu pentru Europa Liberă, șeful INS, Tudorel Andrei.
„Din momentul în care ați finalizat chestionarul (de auto-recenzare online), datele sunt criptate și nu mai există nicio legătură între CNP – care se criptează într-un cod statistic care nu mai are nicio legătură cu acesta – și datele introduse”, a spus acesta.
În fapt, INS ar folosi pentru anonimizarea CNP-urilor – colectate fie în prealabil de la alte instituții, fie direct prin intermediul portalului de auto-recenzare – o funcție de dispersie criptografică de tip CNPToSHA1 și nu una de criptare propriu-zisă, arată Eduard Șuică, programator și specialist în criptografie. Diferența face ca sistemul să fie vulnerabil în privința protejării datelor cu caracter personal introduse.
„Felul în care este folosită această funcție este unul neconform, făcând CNP-ul foarte ușor de extras în timp rezonabil. Peste această funcție ar fi trebuit construit, cu instrumente suplimentare, pentru a oferi o protecție eficientă a datelor. A fost parcurs un singur pas din trei”, ne-a declarat specialistul.
În condițiile în care INS a colectat deja diverse date personale și de la alte instituții – informații care apar de altfel pre-setate în momentul auto-recenzării online – criptarea de această manieră a datelor le face chiar mai vulnerabile decât transferul CNP-urilor ca atare în serverele de stocare.
„Raportarea CNP-urilor în clar ar duce la tratarea datelor ca vulnerabile iar instituțiile implicate ar putea lua măsurile necesare. Tratarea lor ca date ‘criptate’, va implica un nivel scăzut de securitate din partea părților implicate, aici”, a arătat Eduard Șuică.
Funcția de dispersie criptografică utilizată de INS atribuie o funcție numerică fiecărui CNP. Ținând cont de formatul CNP-urilor românești, din care primele șapte cifre au un număr limitat de opțiuni (pentru sex este disponibilă cifra 1 sau 2, pentru luna din an de la 1 la 12), pot fi generate maxim 3,5 miliarde de variante de CNP-uri.
„O mapare a tuturor CNP-urilor la valorile lor SHA1 devine o problemă trivială ce nu necesită mai mult de 3-4 ore calcul pe o stație de lucru obișnuită”, a spus el.
Citește articolul integral pe romania.europalibera.org.
Lasa un raspuns