Ochrana soukromí na internetu JIP 21.11. 2011 Pavla Kovářová KISK, ÚISK, Ikaros, NAKLIV
Témata dne Soukromí a internet Riziko osobních informací na internetu Zdroj největších problémů Vodítka ve výzkumech Proč to řešit? Ochrana a obrana
SOUKROMÍ A INTERNET
Definice soukromí „Do soukromí spadají nejen naše hmotné i nehmotné statky, informace o našem okolí, rodině, informace o nás samotných. Vždy se jednalo o určitý prostor, kam nesmí bez našeho svolení nikdo vstupovat nebo do něj zasahovat.“ (Zadražilová, Nebezpečí zneužití osobních informací v době globálního monitoringu) „Pojem soukromí resp. soukromý a rodinný život se však nevztahuje jen na prostory jako koupelny, toalety, případně na celý byt nebo dům. Soukromí znamená jistou sféru integrity jednotlivce a jeho blízkých, která obklopuje jednotlivce samého, ať se nachází kdekoli.“ (ÚOOÚ, Stanovisko č. 1/2008) Nárok sám určit, kdy, jak a v jakém rozsahu jsou informace o něm šířeny dál (volně dle Westin, Privacy and Freedom)
Typologie Fyzické: ochrana před průnikem do fyzického prostoru někoho jiného Informační: může souviset se shromažďováním a sdílením dat o někom, jejich zpracování, přístupem k nim nebo jak může jejich majitel ovlivňovat práci s nimi; vč. oblasti financí, lékařství, sexualitě či politice Organizační: soukromí institucí, např. utajení obchodního tajemství, vládních informací… Duševní a intelektuální: vnímání jednotlivce, jeho pocity a intelekt
Soukromí a hranice Hranice se liší u kultur i jednotlivců Při soukromé komunikaci musí být kladně odpovězeno na otázku: „Je způsob, jakým jsou informace nebo fyzický majetek zobrazovány nebo vyměňovány mezi dvěma stranami, znám pouze těmto dvěma stranám?“ (Long, Google Hacking) S internetem nárůst sdílení i shromažďování informací => zmenšení soukromí Zákon jen etické minimum, některé chrání, jiné omezují soukromí, občas naráží
Soukromí v českém zákoně Dle Listiny základních práv a svobod základní lidské právo i právo na soukromí (čl. 7, 10, 13, vč. soukromí zpráv) Zákon 101/2000 Sb., o ochraně OÚ Zákon 480/2004 Sb., o některých službách informační společnosti Trestní zákoník Některé zákony soukromí omezují (daně, registry, státní správa, bezpečnost, zrušený zákon o data retention), jindy na sebe naráží (např. soukromí X svoboda projevu)
Riziko osobních informací na internetu
Zneužitelnost informací Člověk = vždy nejslabší článek zabezpečení Cílenější útok úspěšnější, ale náročnější Lze zneužít VŠECHNY informace, ale některé lépe Nejohroženější identifikační údaje (tradiční i elektronické) 9
Typy zneužitelných informací Král, 2006: Červená – identifikační informace (vč. autentizačních), rodné jméno matky, informace o zdravotním stavu apod. Oranžová (žlutá) – telefonní číslo, adresa, datum narození, zájmy a koníčky apod. Zelená – směrovací číslo, průzkumy veřejného mínění, atd., ale jen bez spojení s údaji z předchozích skupin „Čtvrtina (…) jako heslo používá nějaký pro ně snadno zapamatovatelný údaj, jako třeba datum jejich narození či nějakého výročí“ (Noska, 2010)
Zdroje informací OBĚŤ Zveřejněné informace Programy za informace… Spyware Nedůvěryhodný správce Použité HW úložiště Hlavičky zpráv
SOCIÁLNÍ SÍTĚ – zdroj největších problémů
Internet a pes
Sociální sítě (SNS) Spojení starších komunikačních metod Jádrem uživatelské profily a jejich spojení Podstatný není tolik obsah jako sociální sdílení Často čím víc zveřejněno, tím lépe, příp. čím víc přátel, tím lépe => kdo není na Facebooku neexistuje Neuvědomění si rizik a důsledků Mobilní SNS ke všemu přidávají stálou dostupnost + informaci o fyzickém místě Navazují na popularitu „vystavování se“ (např. Lidé, Líbímseti, Badoo…)
Možnosti nastavení soukromí Možnost vyhledání osoby Na celém internetu Na stránkách FB Přístup ke osobním informacím (kontakty, škola…) Všichni uživatelé FB Přátelé přátel Jen přátelé Přístup ke zprávám, multimédiím… Všichni uživatelé FB (půl miliardy lidí) Nastavení AdHoc
SNS mění vztahy i bouření
VODÍTKA VE VÝZKUMECH
Jak velký je to problém? V ČR neexistují specializované výzkumy k tématu Řešeno v zahraničí/zaměřené na děti do 15 nebo 18 let/na dílčí témata Př. výzkumu v USA a GB v r. 2008 – 52 % respondentů neznalo své nastavení pro ochranu soukromí (The state of computer privacy : Steganos 2008 survey into PC security)
Výzkum: SNS a dospívající Iniciátor Microsoft v r. 2010 v 11 evropských zemích 5 615 respondentů do 18 let a 8 566 dospělých Dospívající: Dle 43 % zveřejňování OI na internetu bezpečné Zveřejňují: skutečné jméno (85 %), fotografie sebe a přátel (71 %), školu (44 %), adresu (13 %) Většina omezuje přístup k informacím, volně nechává 17 % 63 % kontakt od neznámých, téměř 1/2 odpověděla Rodiče: 40 % nesleduje aktivitu dětí a jimi zveřejňované OI 50 % nesleduje dodržování pravidel pro ochranu soukromí
Monitorování zaměstnanců (truconneXion, 2009) Průzkum v 200 českých firmách Necelé 3/4 používají monitoring pro snížení nákladů 56,8 % částečně či zcela omezuje přístup k internetu 35,9 % považuje zneužívání pracovní doby na PC za klíčové k řešení (roste)
Robert Kleiner, truconneXion „Celkový zneužívaný čas se v průběhu roku zkrátil z jedné a půl na průměrně jednu hodinu denně, kterou zaměstnanec věnuje svým aktivitám nesouvisejícím s jeho prací. Mezi nejrozšířenější formy zneužití firemních technologií patří využívání e-mailu k soukromým účelům, on-line nákupy a sociální sítě,“ „Jejich kontrola v rámci pravidel je nejenom nezbytná, ale také zdravá. Už samotné rozšíření informace, že jsou zaměstnanci monitorováni, má preventivní účinek a významně zvyšuje jejich efektivitu na pracovišti“
Proč to řešit?
Narušitelé soukromí Instituce chránící zájmy a bezpečí => často naruší soukromí běžných uživatelů, ale nestačí na problémové Stát pro zjednodušení aktivit Firmy cíleným marketingem Provozovatelé CCTV systémů Nedůvěryhodný správce sítě/serveru, ISP… Blízcí lidé Sám postižený špatným nastavením SW nebo výměnou za výhodu Útočníci
Typy nelegálního ohrožení soukromí Sociální inženýrství Malware, hl. s rysy spywaru Nevyžádané zprávy: spam, scam (vč. pyramid, podvodných loterií a nigerijských dopisů), řetězové zprávy, hoax Phishing a následovníci, tj. pharming, SMiShing, vishing Kyberšikana: Ghyslain Raza (Star Wars Kid), Ryan Patric Halligan, Anna Halman, Megan Meier Kyberstalking Kybergrooming: Pavel Hovorka Sexting: Jessica Logan Krádež identity Vydírání: cizinec vydíral 80 Češek přes internet (8/2010) Soutěž o o nejkrásnější dítě na FB?
Ochrana a obrana
Ochrana soukromí na internetu 100% bezpečnost neexistuje, ale ohrožení lze omezit a ztížit Správné nastavení SW, hl. práv (prohlížeč, ukládání záznamů o činnostech na počítači, autentizace…) Použití a správné nastavení bezpečnostních aplikací (firewall, antispyware, šifrování, anonymizér…) Poučení uživatele a jeho bezpečné chování – základ všeho
Bezpečné chování Přemýšlet před jednáním, zda nemůže ohrozit soukromí Neměnit pohodlí za rizika soukromí (např. pamatování přihlašovacích údajů, nečtení varování…) Ověřovat si oprávněnost požadavků na informace Neposkytovat žádné informace, nestahovat a neinstalovat nic, pokud to není nezbytné Pozorně se seznámit s podmínkami užití služeb, ale i zařízení v zaměstnání či institucích zpřístupňujících internet Čas od času preventivní prověření situace, vymazání historie prohlížení i otevřených dokumentů, přenastavení…
Pomocné organizace ÚOOÚ – možnosti uzákoněny; sankce, stanoviska, ovlivňuje legislativu, už řešil porušení zákona: 101/2000 Sb. Omezení k účelu: Opencard – identifikace i pokud to nebylo nutné Závazek kvality dat: Celní informační systém v r. 2008 existoval, ale nebyl používán – nebylo možné zajišťovat kvalitu dat Závazek bezpečnosti dat: dokumenty s OÚ, vč. zdravotních záznamů s dalšími odpadky nalezeny v lese Vymazání dat: Nadační fond přes požadavky nevymazal uložené OÚ 480/2004 Sb. Spam: většinou zjištěna neoprávněnost stížnosti, ale chyba zákazníka Internet Hotline a Internetová horká linka Iuridicum Remedium – iniciativa odborníků, hl. právníků Další občanské (i mezinárodní) snahy
Dotazy? E-dotazy: kovarovap@gmail.com Děkuji za pozornost. Dotazy? E-dotazy: kovarovap@gmail.com