Na ile poważny jest problem z procesorami Intela?

Sądząc z informacji publikowanych przez specjalistyczne media – jest to bardzo poważny problem. Za serwisem Niebezpiecznik.pl mogę powtórzyć, że odkryta podatność może umożliwiać ataki prowadzące do uzyskania dostępu do danych przechowywanych w pamięci urządzenia, takich jak hasła, klucze służące do szyfrowania czy dane zawarte w aplikacjach.

Kogo dotyczy i w jakim zakresie?

Znów powtórzę za specjalistami od bezpieczeństwa – w zasadzie każdego, kto używa urządzenia wykorzystującego procesory wyprodukowane po 2010 r.

Czy zwiększanie bezpieczeństwa kosztem wydajności procesora to właściwe rozwiązanie – jedno i drugie naraża przecież użytkowników na straty.

Jak się słyszy, to jedyne rozwiązanie.

Czy myśli pan, że Intelowi grożą pozwy?

To wszystko zależy od tego, co Intel (i inni producenci procesorów, jak się okazuje) wiedział i o jakiej jurysdykcji mówimy. Raczej nie spodziewałbym się skutecznych pozwów w Europie, w przeciwieństwie do USA. Za oceanem już sama groźba pozwu może doprowadzić do zawarcia ugody. Pokazuje to wyraźnie sprawa Volkswagena.

Na jakiej podstawie można ewentualnie pozywać – czy tylko za samą wadliwość procesora, na podstawie przepisów o rękojmi, gwarancji, czy również o odszkodowanie za wykradzione dane?

Autopromocja
Nowość!

Trzy dostępy do treści rp.pl w ramach jednej prenumeraty

ZAMÓW TERAZ

Rozwiązaniem problemu jest albo wymiana procesora, albo zainstalowanie odpowiedniej łatki w systemie operacyjnym. Jeżeli więc producent procesorów wiedział o istnieniu tej podatności i tej wiedzy nie ujawnił, przez co uniemożliwił załatanie dziury, to naraża się na odpowiedzialność. Na pewno w grę wchodzi potencjalnie rękojmia i niezgodność towaru z umową, a także ogólne przepisy o deliktach. Ale, jak już mówiłem, spraw sądowych raczej spodziewałbym się w USA, nie w Europie.

Czy w przypadku europejskich użytkowników wejdą w grę przepisy unijne czy jednak amerykańskie?

To zależy od tego, gdzie chcielibyśmy pozwać – jeżeli przed sądem europejskim, to raczej na pewno przepisy unijne. Z drugiej strony praktyka w zakresie zasądzanych odszkodowań przez sądy w USA jest taka, że pozywanie w USA zwyczajnie się bardziej opłaca, czego dowodzi np. sprawa słynnego lądowania kapitana Wrony. Jest tak dlatego, że odszkodowanie zasądzane przez sąd w USA może mieć także funkcję karną, a więc oderwaną od rzeczywistego rozmiaru szkody.

Czy unijne ogólne rozporządzenie o ochronie danych osobowych (RODO) ochroni w jakiś sposób przed takimi sytuacjami w przyszłości?

RODO zadziała tutaj w dość nieoczekiwany sposób – otóż nowe europejskie prawo ochrony danych osobowych wprowadza obowiązek dobierania środków zabezpieczenia danych osobowych odpowiednich do zagrożeń dla danych i ryzyka, jakie przetwarzanie danych niesie dla osób, których te dane dotyczą. Co jednak istotne, ten obowiązek ciąży na... podmiotach wykorzystujących procesory w swojej działalności, czyli na nas wszystkich, którzy przetwarzamy dane z wykorzystaniem wadliwych procesorów; na klientach wiodących światowych dostawców chmury obliczeniowej, którzy też są narażeni na ataki. W sytuacji ujawnienia takiej podatności, skutkiem działania RODO powinno być zastosowanie takich środków, które będą nas chroniły przed atakiem: czyli zainstalowanie odpowiednich łatek, a do tego czasu, być może, ograniczenie przetwarzania danych w wadliwych systemach czy np. odłączenie ich od sieci publicznej.

RODO nakłada także na podmioty przetwarzające dane osobowe obowiązek sporządzenia tzw. oceny skutków dla ochrony danych osobowych (DPIA). W takiej ocenie uwzględnia się m.in. ryzyko związane z przetwarzaniem danych – i to ryzyko, związane z wadliwymi procesorami, też trzeba uwzględnić. A same DPIA traktować elastycznie, a nie jako dokumenty sporządzone raz na zawsze – gdy pojawia się nowe ryzyko, trzeba uaktualniać DPIA i odpowiednio reagować.