W dniu 2019-08-16 o 14:54, Wojciech Bancer pisze:
> Nie zmienia to niczego w znaczącym stopniu, ponieważ
> głównym problemem jest człowiek. Aktualizowany smartfon
> jest bezpiecznym narzędzie, a do tego o wiele bardziej
> użyteczne.

Swego czasu była afera dot. spowolnienia iPhone'a po aktualizacji. Można
byłoby dyskutować czy wolniejsze urządzenie jest "bardziej użytecznym".
OK - zgadzamy się - głównym problemem jest człowiek. Może się zgodzić,
że nie tylko Klient, ale też bankowiec?

>> 1. Nie jest prawdą, że komputer łatwiej zarazić wirusem.
>
> Jest prawdą.

Uwzględnij człowieka!

>> Wszystko zależy od okoliczności.
>
> Ale mówimy o statystyce a nie okolicznościach.
> Statystycznie łatwiej to zrobić z komputerem, bo ten ma mniej
> ograniczających go trybów pracy.

Uwzględnij człowieka! Sekretarka, która bez wylogowania wychodzi z
sekretariatu jest większym zagrożeniem z punktu widzenia wycieku danych
niż użytkownik domowy nawet jeśli tenże w ogóle nie ma hasła.

>> 2. Przede wszystkim stawiam na człowieka. Powinieneś to już zauważyć.
>
> Nie. Ty stawiasz na to że:
> - człowiek używający tokena jest mądry

Nie pomyślałem o tym, ale skoro zauważyłeś, że tokeny były dla Premium i
korporacji to pewnie ludzie dostający je w garść rzeczywiście byli
bardziej odpowiedzialni niż przeciętny zjadacz chleba.

> - człowiek używający smarfona jest debilem o IQ doniczki

Niekoniecznie. Zbyt surowy jesteś w swoich ocenach.

> I na tym opierasz swoją argumentację. Człowiek z tokenem trzyma
> sejfy w każdym miejscu, w tych sejfach te tokeny i w ogóle ich
> nie nosi, jest rozważny w chuj. A człowiek ze smartfonem
> to "Gimbaza" z odruchem wpisywania PINu.

Rozumiem, że te skrajności mają pokazać błędy w argumentacji.
1. Niekoniecznie sejf i niekoniecznie w każdym miejscu. Token w domu
starczy. Zazwyczaj jest tak mały, że da się go ukryć.
2. Nie da się ukryć, iż dla nastolatków smartfon to prawdziwy fetysz. Fakt.
3. Rzeczywiście dziwi mnie, iż nigdy nie poznałeś żadnego PIN-u osoby,
która go wpisywała w telefon - np. w autobusie, tramwaju etc.

Zwróć uwagę jak Klient wpisuje PIN w bankomacie (często zasłaniając
ręką, rozglądając się na boki itd.), a jak w telefonie. Z ręką na sercu
- nie widziałem, aby ktoś równie ostrożnie wpisywał w telefonie, co w
bankomacie, a przed płatnościami bezstykowymi przy kasie.

> Ty sobie wyśniłeś jakieś tezy o tym, że nie zauważam polaków
> i ich aktywności sportowej, ale mnie do tego nie mieszaj.

Jeszcze niedawno tak twierdziłeś - przypomnę, iż nie dostrzegałeś boomu
na zegarki sportowe. Najprościej je zauważyć właśnie przy aktywności
fizycznej.

> A odzywka o "rzeczywistości" jest po prostu chamska,
> podobnie jak przyrównywanie użytkowników smartfonów do Gimbazy.

Kwestia dyskusyjna. Ktoś mógłby to nazwać ironią, ktoś być może
sarkazmem, a jeszcze inny peryfrazą. Nie ma natomiast wątpliwości, iż
nie używam w dyskusji wulgaryzmów. Te - owszem - możesz nazwać "chamskimi".

> Nie piszę o prawie, tylko o przypadku w którym FBI miało problem
> z odbezpieczeniem telefonu zabezpieczonego *tylko* PINem.
> Wg Ciebie czymś niewartym uwagi.

Apple daje milion hakerowi, który włamie się do iOS. ;-)
Pomieszałeś tu zupełnie kontekst. FBI próbowało uzyskać dostęp do
konkretnego aparatu. Złodzieja na ulicy może nie interesować obywatel X
czy Y. Okradnie tego, który mu to ułatwi.

> Tak, w końcu sobie poradzili. Doczytaj jak i pomyśl, czy statystyczny
> złodziej ma szansę na używanie takich technik (klonowanie pamięci NAND
> urzadzenia).

Tylko co to ma do rzeczy?

>> Rozumieć mam, iż uszkodzoną niszczysz z uwagi na możliwość przechwycenia
>> istotnych danych np. w serwisie?
>
> Nie, nie ma takiej potrzeby. A możliwość którą opisujesz należy do
> kategorii urojonych.

Strasznie trudno Ci przychodzi odpowiedź na to pytanie. Zupełnie
niepotrzebnie. Serwis sprzętu nie jest niczym nadzwyczajnym. Gdy oddaję
komputer - zawsze wyciągam z niego dysk. W przypadku iPada jest to
pewien problem. Oczywiście zależy co uległo uszkodzeniu. Najrozsądniej
byłoby zniszczyć sprzęt, ale ponosi to za sobą duże koszty. Czasami
udaje się pewne rzeczy naprawić względnie tanio.

>> To była istota tego pytania.
>
> Pokazująca jak mało wiesz o współczesnych metodach zabezpieczania
> danych w aplikacjach.

To nie o to chodzi... OK - spróbuję jaśniej i prościej... Padła matryca
w komputerze. Może tylko pękła. Zauważyłem, iż często komputer jest
oddawany do serwisu "z powodu matrycy", a użytkownik w ogóle nie myśli o
danych na dysku. W komputerze stosunkowo łatwo wymontować HDD/SDD
(oczywiście nie każdym). To rozwiąże problem. W urządzeniu przenośnym -
jest problem.

>> Ściślej - ilość haseł, który przeciętny Kowalski musi dziś zapamiętać.
>
> Mniej więcej 2-3, reszta może być zabezpieczona w odpowiednio do tego
> celu stworzonych programach.

Sprowadzi się to właściwie do tego samego. Odgadnięcie 2-3 haseł daje
dostęp do reszty. Rozumiem, że te hasła mają odblokowywać owe programy.

Rozumiem, że owe programy masz w komórce. A gdy padnie komórka albo
zdarzy Ci się wypadek śmiertelny? Co wtedy?

>> Upraszcza to sobie nadając te same PIN-y/hasła w wielu miejscach. Zatem
>> tak - problemem jest człowiek, ale także ten, który tworzy system, a nie
>> tylko ten, który z niego korzysta.
>
> Człowiek który tak sobie życie upraszcza, upraszcza sobie
> też życie nie mając tokena w sejfie, tylko przy sobie.

??? Upraszczam sobie życie nosząc to, czego nie muszę??? Ciekawa koncepcja.

>> Podałem policję czy służby jako przykład oczywisty.
>
> Czego? Firmy? Podmiotu gospodarczego?

Instytucji używającej sejfu.

> "Do wniosków takich prowadzi art. 83a ust. 1 ustawy o systemie oświaty, który
> stanowi, że do prowadzenia szkoły lub placówki nie mają zastosowania przepisy
> o działalności gospodarczej. Oznacza to, że ustawodawca przyjął, że działalność
> oświatowa polegająca na prowadzeniu szkoły nie jest działalnością gospodarczą."

Wątpliwa interpretacja.
W Ustawie o systemie oświaty nie występuje Art. 83a. Jest Art. 83 ust.
1, który stanowi: "W szkołach i placówkach, z zastrzeżeniem ust. 6,
działają rady rodziców, które reprezentują ogół rodziców uczniów.".
Żadnego "a" nie ma w tym artykule ani innych literek alfabetu. Może
jakąś starą i wątpliwą interpretację znalazłeś?

Prowadzenie szkoły działającej w ramach systemu oświaty nie jest
traktowane jako działalność gospodarcza i odbywa się na zasadach
podanych w przepisach odrębnych.
Prywatną szkołę możesz natomiast prowadzić w dowolnej formie, poza
spółką partnerską.
Działalność ta może być zarejestrowana jako:
jednoosobowa działalność gospodarcza
spółka cywilna
jedna ze spółek prawa handlowego: spółka jawna, spółka komandytowa,
spółka komandytowo-akcyjna, spółka z ograniczoną odpowiedzialnością lub
spółka akcyjna
----------------

OK, ale zostawmy, bo sama "działalność gospodarcza" nie jest nigdzie
jednoznacznie zdefiniowana i US niejednokrotnie mają problem z jej
interpretacją. Zatem nie chciałbym teraz rozwodzić się czy szkoła
prywatna to jest/nie jest, a niepubliczna itd.

> Ale rozmawialiśmy o przypadku sejfu stricte do dokumentów.

Takich stricte jest z pewnością dużo mniej.

> Nie na temat. Rozmawialiśmy o przypadku firmy (w rozumieniu potocznym)

W "Psach" Pasikowskiego firmą nazywano policję. Natomiast OK - można
doprecyzować. Już wiem, że wyłączamy z tego oświatę, czyli największą
grupę zawodową (ok. 700.000 pracowników jeśli dobrze pamiętam statystyki
Broniarza z okresu strajku), do tego wyższe uczelnie, wszelkie służby od
zdrowia do specjalnych. Potem jeszcze urzędy, a urzędników to mamy
wiadomo ilu... No i sejfy, w których trzyma się tak dokumenty, jak i
gotówkę. Gdy już nam została Pani Gienia sprzedająca rzodkiewkę w naszym
koszyku "firm" to tak! Masz rację. Dostęp Polaków do sejfu w "firmach"
jest żaden.

> i posiadaniu sejfu stricte do dokumentów. Takie podmioty zapewne są,
> ale ani nie są mniej, ani bardziej poważne niż inne, które wybrały
> inne bezpieczne sposoby przechowywania dokumentów ważnych.

Pani Gienia sejfu nie ma, ale ma przy sobie iPhone! Może zatem robić
przelewy. ;-)
A teraz poważnie - z pewnością w swojej firmie przeżyłeś parę kontroli
różnego szczebla. Czy takie dokumenty elektroniczne wystarczały? Jak
rozumiem papierowe są niszczone lub w ogóle nie wytworzone na rzecz
elektronicznych.

>>> a "sejf". Są poważne firmy, bez sejfu, są i niepoważne z sejfem.
>>> Przykładem tej drugiej niech będzie Amber Gold. Chcesz drążyć
>>> dalej?
>>
>> Wolałbym przykład tej pierwszej "poważnej" bez zabezpieczonej dokumentacji.
>
> Peszek. Do obalenia Twojej tezy wystarczy Amber Gold.

No nie. Ja szukam POWAŻNEJ bez. To jednak co innego niż NIEPOWAŻNA z. ;-)

>> Ciekawa interpretacja... Czyli tak... Mam dyplom wyższej uczelni in
>> blanco.
>
> Czyli najprościej jak wskażesz punkt ustawy, który definiuje termin "druk
> ścisłego zaszeregowania" zamiast tworzyć blubry.

Nie bardzo wiem, co to ten "blubr", ale odpowiem Ci tak: to nie ma
znaczenia. Sądziłem, że logika wystarczy i nie trzeba Ci będzie ustawy.

>> I wtedy to mogę sobie robić z nim, co chcę?
>
> Jak podpada pod restrykcje wynikające z innych ustaw, to możesz
> robić to co wynika z tych ustaw. Ale pisałeś o RODO.

Chyba faktycznie zbyt skomplikowanie to opisałem. Masz rację: nie każdy
dokument chroniony RODO musi wylądować w sejfie. Nie każdy druk in
blanco musi trafić do sejfu.

> [...]
>
>> Praktyka jest taka... Druki ścisłego zarachowania [...]
>
> A czyli jednak nie "zaszeregowania" tylko "zarachowania",
> a to już wchodzi w rachunkowość i dokumenty księgowe.

Nie znam się. Tak w pierwszym odruchu wydaje mi się, że dowody osobiste,
paszporty, świadectwa, certyfikaty itp. itd. to nie są dokumenty
rachunkowe czy księgowe. Przyznaję - mogę się mylić.
Zaszeregowania/zarachowania - to był pewien skrót myślowy. Być może
faktycznie zbyt skomplikowany.

> Ale specjalnie nie ma nic wspólnego z RODO.

Myślałem o dokumentach, których druk jest ściśle ograniczony (np.
dyplomy), a który w pewnym momencie pokrywa się danymi osobowymi (i tu
RODO).
Tak mi się teraz przypomniało - a wiesz, że u mnie w firmie wszelkie
pieczątki także trafiają do sejfu? Oczywiście na koniec dnia. Na
początku pobiera je upoważniona osoba. I pewnie znowu - pani Gienia od
rzodkiewki nie będzie takich procedur stosować, jak "poważna" firma.
Gdybyś zechciał sobie wpisać do Google "Jarucka, Cimoszewicz, faksymile"
to poczytasz o aferze związanej właśnie z pewną pieczątką ;-)

> No dobrze. Mamy spis z natury, ktory ewidentnie jest takim drugiem.
> Pokaż przepis nakazujący mi robienie spisu w formie papierowej.

Ale to głupstwo. Ja mówię o poważnych rzeczach. Spis z natury
porównujesz do hasłem do kont czy sieci?

> Idąc dalej: jest sobie np. studio dżwiękowe, gabinet masażu,
> studio filmowe, studio architektoniczne, czy gabinet fryzjerski,
> czy firma hostingowa.
>
> Niech będzie, że część ma osobowość prawną, a część nie (spółki
> osobowe lub 1-os działalności). Wkaż mi prosze które z tych
> podmiotów muszą mieć sejf i jakie dokumenty w nich muszą
> przechowywać i z jakich przepisów to wynika.

A to akurat bardzo proste. Studio dźwiękowe. Nagrywa materiał i musi
dochować wszelkiej staranności, aby nie wyciekł. W przeciwnym razie
pozew o odszkodowanie może je zrujnować. Dlatego solidna kasa, system
zabezpieczeń, aby udowodnić przed sądem swoje racje jest priorytetem.
Podobnie ze studiem filmowym.

Masaż, fryzjer... No tak - tu masz niewątpliwie rację... ;-) Jeszcze
pani Gienia!
Firma hostingowa? W sejfie będzie trzymać kopie bezpieczeństwa i hasła,
w tym admina.

> Czy możesz przyjąć do wiadomości, że jednak się na tym (obiegu
> elektronicznym dokumentów) nie znasz i krążysz wokół tematu jak
> Ci którym "rowery rozdają na placu czerwonym"?

Dlaczego? Bo tak mówisz, czy może masz jakiś argument?

>>> Ale rozmawialiśmy o firmach, a nie urzędach.
>>
>> A to ma znaczenie?
>
> To że najpierw posługiwałeś się pojęciem ogólnym "firma",
> a teraz próbujesz udowodnić, że te same reguły dotyczą
> "urzędu" co i owej "firmy".

Już przyznałem rację - firmy od rzodkiewki faktycznie obejdą się... Byle
nie większe, bo te mogą np. stawać do przetargu, opracowywać oferty, a
te z pewnością będą chronione przed np. szpiegostwem gospodarczym.
Wówczas pewnie - na pewnym etapie rozwoju - pojawią się najpierw
pomieszczenia nieco bardziej chronione, a później także ów... sejf!

>> Pojawia się pewien problem interpretacyjny w tych kontach, zauważasz?
>> Jak zdefiniować ROR/konto osobiste?
>
> ROR to ROR. Rachunek Oszczędnościowo Rozliczeniowych.

Cudowny jesteś! A potem masz pretensje i żale o porównania do Gimbazy.
"ROR to ROR" - świetna definicja.

> Nie jest to konto oszczędnościowe.
> Nie jest to lokata.
> Nie jest to rachunek bieżacy.
> Nie jest to konto techniczne.
> Nie jest to rachunek kredytowy.

OK, to już wiem, czym nie jest ROR. A teraz wracamy do pytania: Jak
zdefiniować ROR?

> https://pl.wikipedia.org/wiki/Rachunek_oszczędnościo
wo-rozliczeniowy

W tej definicji konto a'vista z Pekao się mieści. Jest dla osoby
fizycznej, jest podstawowym kontem, można się za jego pomocą rozliczać,
jest umowa. I choć Wiki podaje: "Rachunek oszczędnościowo-rozliczeniowy
jest rachunkiem a vista" to jednak Pekao rozróżniało ROR (Eurokonto
wtedy) i a vista.

Wydaje się, iż konto w kantorze Aliora też spełniać może definicję ROR-u
z Wiki, a za takowe nie uchodzi w definicji banku.

> Przypomnę: pisaliśmy o tym, że Ty masz wśród znajomych ludzi
> 40+, a ja ludzi w okolicach lat 30, których problem frankowy
> nie dotyczy. I pisałem, żebyś nie tworzył statystyk i wyobrażeń
> (tu: "na pewno revolut nie ma tylu kont ha ha!") wyłącznie na bazie
> Twojej grupy wiekowej, z którą masz kontakt.

Hmm... Jeśli chcę się dowiedzieć czegoś o Kowalskim to przyglądam się
grupie 18-70 lat. Ty grupie max. 30 i uważasz, że otrzymane dane są
porównywalne pod względem wiarygodności?

> Nie wszyscy pracują w spółkach skarbu państwa z nadania partyjnego,
> gdzie pracę dostają spady polityczne 40+.

Jeśli jednak mówimy o systemie masowym (bankowość) to jednak mam
wrażenie, iż budżetówka więcej nam powie niż oddział Facebooka w PL.

> Tokeny miały wyższy poziom bezpieczeństwa niż uwcześnie stosowane karty kodów.

Z tym, że owe dwa banki od tokenów - CA i EB - nie miały karty kodów. A
zatem nie była to naturalna migracja czy alternatywa. Swego czasu w EB
był token GSM jako alternatywa wobec sprzętowego. Wychodzi na to, iż
właśnie znikający EB był prekursorem bezpieczeństwa.